기밀성

정보보안의 목표: 기밀성

정보보안의 3대 기술적 목표는 기밀성(Confidentiality) 보호, 무결성(Integrity) 보호, 가용성(Availability) 보호이다.

기밀성은 권한 있는 자만이 보호 대상 정보를 열람할 수 있도록 하는 기술적 목표이다. 권한이 없는 자는 그 정보를 열람하지 못하도록 해야 한다. 예를 들어 매우 중요한 정보가 적힌 문서가 있을 때, 기밀성에 대한 공격은 권한 없는 자가 그 문서를 보거나 훔치거나 그것을 본 사람들로부터 그 정보를 획득하는 것이다.

기밀성 공격의 종류

• 엿보기(Snooping)/도청(Sniffing): 네크워크로 오가는 데이터를 엿봄
• 신분 속이기(Spoofing): 정당한 권한이 있는 자로 위장하여 중요 정보의 송신자가 보내는 정보를 수신
• 트래픽 분석: 네트워크로 전송되는 암호화되거나 마스킹된 트래픽을 수집하여 송신자 IP, 메시지 길이 등 트래픽을 분석하여 중요 정보를 찾아냄

기밀성 보호를 위한 방법

• 기밀성 보호에 특화된 방법
• 암호화: 디지털 데이터의 기밀성 보호를 위한 대표적인 방법. 저장 시 또는 전송 시에 대상 정보를 암호화하고, 키를 안전하게 관리




• 일반적인 보호 방법
• 계정 및 권한 관리: 권한 없는 자가 중요 정보를 접근하지 못하도록 계정 및 권한 관리
• 사용자 인증: 전송 시 수신자에 대한 인증, DB, 서버 등 중요 정보 접근 시 인증
• 접근 통제: 시스템, DB, 네트워크에 대한 방어

기밀성 보호를 위한 유의사항

• 흔히 기밀성 보호 방법으로 많이 사용되는 암호화는 알고리즘의 안전성뿐 아니라 암호화 키의 안전한 관리가 안전성의 핵심이므로 항상 키 관리에 유의한다.
• 기밀성 보호 방법은 암호화 외에도 여러가지 방법이 있으므로, 보호 대상과 환경에 맞게 선택하여야 한다.