정보보호의 개요

제2절 정보보호의 개요

제１항 정보의 정의

지능정보화 기본법(시행 2021.06.10) 제2조(정의) 제1에서 광 또는 전자적 방식으로 처리되는 부호, 문자, 음성, 음향 및 영상 등으로 표현된 모든 종류의 자료 또는 지식이라고 정의하고 있다.
‘데이터’는 현실 세계에서 측정하고 수집한 사실이나 값이며 ‘정보’는 어떤 목적이나 의도에 맞게 데이터를 가공 처리한 것을 의미한다.
즉 주로 각종 기기 또는 시스템에서 업무를 처리하면서 생성되는 원시 자료를 데이터라 하고 생성된 데이터를 목적이나 의도에 맞게 처리, 분석하여 데이터에 의미를 부여한 정보를 이용하여 의사결정을 통한 문제를 해결한다.
예를 들어 기상청에서 각 지역에 설치된 센서를 통해 시간대별로 기온을 측정한 수치 자료는 데이터이지만 이를 처리, 분석하여 평균기온을 구하거나 일자별, 지역별 데이터를 정리하여 지역의 날씨 등 결정에 사용한다.

[그림] 데이터와 정보의 관계

제２항 정보보호의 정의

ISACA에서는 정보보호를 인가된 사용자만이(기밀성) 정확하고 완전한 정보로(무결성) 필요할 때 접근할 수 있도록(가용성) 하는 일련의 작업이라고 정의하고 있으며, 지능정보화 기본법(시행 2021.06.10) 제2조(정의) 제15항에서 “정보보호”란 정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신 중 발생할 수 있는 정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한 관리적ㆍ기술적 수단(이하 “정보보호시스템”이라 한다)을 마련하는 것이라고 정의하고 있다.
또한 정보보호산업의 진흥에 관한 법률 제2조(정의) 제1항에서 “정보보호”란 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지 및 복구하거나 암호ㆍ인증ㆍ인식ㆍ감시 등의 보안기술을 활용하여 재난ㆍ재해ㆍ범죄 등에 대응하거나 관련 장비ㆍ시설을 안전하게 운영하기 위해 관리적ㆍ기술적ㆍ물리적 수단을 마련하는 것을 의미하고, NIST95에서는 “정보보호”란 정보시스템의 지원(하드웨어, 소프트웨어, 펌웨어, 정보/데이터, 통신)들의 무결성, 가용성, 기밀성을 목표 달성을 위해 정보시스템을 보호하는 것이라고 정의하고 있다.

종합하면 다양한 법과 기관의 정의를 모아 정리하면 ‘정보보호’란
1) 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위해 관리적, 기술적, 수단 또는 그러한 수단으로 이뤄지는 활동
2) 기밀성, 무결성, 가용성, 인증, 부인방지를 보장하기 위해 기술적, 물리적, 관리적 보호대책을 강구하는 것
이라 할 수 있다.

우리 일상에서 ‘정보보호(Information Protection)’와 ‘정보보안(Information Security)’ 이라는 용어의 사용에 있어서 모호함이 존재했는데 (보안뉴스)의 ‘CISSP CBK로 살펴본 정보보호와 정보보안’에서 그 이유는 첫째 두 용어 사용에 대한 구별 기준이 부재하다는 것과 둘째 보호와 보안의 대상이 동일한 이유로 분석하고 있다. 이에 대한 해법으로 CISSP CBK의 체계도를 기반으로 분석하여 정보보호와 정보보안 각 용어의 의미를 정의하였다.
CBK에서는 보안을 적용하는 목적이 정보를 보호(Protection)하기 위한 목적이며 이 목적을 달성하기 위한 보안원칙(Security Principle)으로 기밀성, 가용성, 무결성을 정의하고 있다. 기밀성, 가용성, 무결성 보장을 위해서는 보안통제유형 (Security Control Type)과 보안통제기능(Security Control Function)이 필요함을 설명하고 있다.

[그림] CISSP CBK & 정보보호와 정보보안 개념도

두 용어에 내포돼 있는 의미를 살펴보면, 정보보호(Information Protection)는 특정 대상을 보호한다는 목적성을 띠고 있으며, 구체적인 방법보다는 원칙적이고 일반적인 의미로 사용되고 있는 반면에 정보보안(Information Security)은 목적을 달성하기 위한 방법이므로 구체적으로 누구가 절차를 수행하는지 보여주는 의미로 사용되고 있음을 알 수 있다.

[표] 정보보호와 정보보안의 의미론적 정의

정보보호	정보보안
목적지향적	방법지향적
객체적	주체적
원칙적	절차적
일반적	구체적

CISSP CBK에서 제시된 기준에 따라 의미론적 측면에서 정보보호와 정보보안의 위와 같이 구별하여 사용하는 것이 유용하다고 판단된다.
또한 ‘4차 산업혁명과 보안 패러다임 변화’에서는 보안위협수준에 따라 정보보호를 정보보안, 사이버보안, 사이버안보로 구분하고 있다. ‘정보보안’은 정보의 기밀성, 무결성, 가용성을 유지하기 위해 권한 없는 사용자로부터 정보의 유출, 훼손, 변조를 예방하고 대응하는 활동을 의미하며, ‘사이버보안’은 ICT 기술을 매개로 개인, 기업, 정부의 취약점을 공격하여 인간의 생명과 정신, 자산을 위협하는 공격으로 방어하는 활동으로 정의하였으며 ‘사이버안보’는 국가의 안보를 위협하는 사이버 공격으로부터 국가를 방어하는 전략으로 정의하고 있다.

[그림] 보안 패러다임의 변화

제３항 정보보호의 대상

정보보호 정의에서 살펴본 것과 같이 정보를 수집, 가공, 저장, 검색, 송신, 수신 등 처리하는 과정에서 정보의 훼손, 변조, 유출 등을 방지하기 위해서는 정보를 처리하는 시스템과 전송 중의 네트워크 상에서 보호가 필요하다.
조직 및 기업에서는 보유 가치가 있는 자산을 효과적인 보호하기 위해 정보자산이라는 이름으로 식별하게 되는데 이때 중요자산이 누락되지 않는 분류기준을 수립할 필요가 있다.
다음은 일반적인 정보자산의 분류기준이며 이러한 자산은 유형 또는 무형(조직 및 기업의 이미지 또는 평판, 직원 사기 등) 유무에 따라 분류할 수도 있다.

[표] 정보자산 분류기준

유형 정보자산 분류기준	설명
서버	대내외 서비스 및 업무를 위해 사용되는 서버 (Windows, Linux, UNIX, 클라우드 시스템 등)
어플리케이션	상용 또는 자체 개발된 업무용 프로그램 및 미들웨어 (WEB/WAS, DBMS, 개발된 소프트웨어 등)
URL	업무와 관련된 모든 URL 정보 (시스템에 접근하기 위한 인터페이스 주소 정보)
유틸리티	업무 수행을 위해 구매 또는 관리되고 있는 소프트웨어 (그래픽 도구, 문서 편집, 백신, OS, 개발 도구, 오픈 소프트웨어 등)
네트워크	정보 전송을 위한 네트워크 장비 (라우터, 스위치, 허브 등)
정보보호시스템	정보 자산을 보호하기 위한 각종 하드웨어 및 소프트웨어 (Firewall, IDPS, DDoS, Vaccine, DRM, DLP, NAC 등)
단말기	임직원 및 외부협력업체 등 인력이 자산에 접근하기 위해 사용하는 개인용 단말기 (업무용 PC, 노트북, 태블릿, 가상화 단말기 등)
저장매체	휴대용 또는 백업 저장매체 (외장형 HDD, USB, DAT Tape, Storage 등)
부대 시설 및 설비	시스템이 설치 운영되는 장소, 공간, 부대시설 및 정보시스템 운영을 지원하는 설비 (전산실, 사무실, 방재실, 통신실, IDC, 항온항습기, UPS, 발전기, 소화기, 백업매체 등)
인적 자산	임직원 및 외부협력업체 등 중요 자산에 접근 가능한 인력 (자산소유자/사용자, 시스템 운영자, 개발자, 정보보호담당자, 개인정보취급자 등)
전자정보 자산	전자적인 형태로 관리되는 데이터 (데이터베이스, 전자파일 등)
문서 자산	종이문서 형태로 업무 수행 중에 사용/산출되는 문서, 산출물 (규정, 지침, 관리대장, 계약서, 협약서, 서약서 등)

조직 및 기업에서는 식별된 정보자산목록을 이용하여 자산가치평가(CIA) 및 위험도분석, 비즈니스연속성평가(BCP) 등의 후속활동을 수행한다.

제４항 정보보호의 목표

일반적으로 기밀성, 무결성, 가용성을 정보보호의 3요소라 하며, 정보보호의 기본목표이기도 하다.
l 3대 목표 = { 기밀성, 무결성, 가용성 }
l 5대 목표 = { 기밀성, 무결성, 가용성, 인증, 책임추적성 } : NIST 5대 정보보호원칙
l 6대 목표 = { 기밀성, 무결성, 가용성, 인증, 책임추적성, 부인봉쇄 }

[표] 정보보호 6대 목표

목표	기술	내용
기밀성 (Confidentiality)	접근제어, 암호화	인가된 사람, 프로세스, 시스템에서만 Need to Know 원칙에 근거하여 접근 가능하여야 한다는 성질
무결성 (Integrity)	접근제어, 메시지 인증, 백업, 침입탐지	송수신 또는 저장된 정보의 내용이 불법적으로 생성 또는 변경, 삭제되지 않아야 한다는 성질
가용성 (Availability)	백업, 이중화, 로드발란싱 Anti DDoS	합법적인 사용자의 서비스 요청에 대해 거절하지 않고 응답하여야 한다는 성질
인증 (Authentication)	메시지 인증 사용자 인증 (ID/PW, OTP 등)	객체나 주체의 자격이나 전송된 데이터의 내용을 보장하는 성질
책임추적성 (Accountability)	부인봉쇄, 로깅	객체의 이용을 추적 기록하여 추후 문제 발생 시 분석하기 위한 성질
부인봉쇄 (Non-repudiation)	PKI, 전자서명	관계자 간에 전자문서의 유효성을 부인하거나 반박할 수 없도록 보장하는 성질

제５항 정보보호의 원칙

정보보호 목표를 달성하기 위해 각 국가에서는 정보보호활동의 원칙을 제정하였으며 2015년 OECD에서는 ‘경제, 사회 번영을 위해 디지털 보호 위험 관리’에서 일반원칙과 운영원칙으로 구성된 8가지의 권장사항을 발표하였다.

[표] OECD의 정보보호 원칙

구분	키워드	설명
General Principles (일반 원칙)	인식, 기술 및 권한 부여	모든 이해관계자는 보안위험과 이를 관리하는 방법에 대해 이해해야 함
	책임	모든 이해관계자는 보안위험관리에 대한 책임을 가져야 함
	인권과 기본가치	모든 이해관계자는 인권과 기본가치에 따라 투명하고 일관되게 보안위험을 관리해야 함
	협력	모든 이해관계자 간에는 협력이 되어야 함
Operational Principles (운영 원칙)	위험평가 및 치료 주기	리더와 의사결정자는 보안위험이 지속적인 위험평가를 기반으로 처리되도록 해야 함
	보안 조치	리더와 의사결정자는 보안조치가 위험에 적절하고 상응하게 적용되었는지 확인
	혁신	리더와 의사결정자는 혁신이 고려되어야 함
	준비성과 연속성	리더와 의사결정자는 준비성과 연속성 계획이 채택되었는지 확인해야 함

또한 1996년 NIST에서는 NIST SP 800-14기술표준의 제2장 ‘Generally Accepted System Security Principles’(GASSP)과 제3장 ‘Common IT Security Practices’에서 정보보호 활동을 위한 원칙과 주요 활동사항을 정의하였다.

[표] GASSP의 보안원칙

원칙	설명
보편적 원칙 (Pervasive Principles)	1. 책임추적성의 원칙 2. 인식의 원칙 3. 윤리 원칙 4. 다중협력의 원칙 5. 균형성의 원칙 6. 통합성의 원칙 7. 적시성의 원칙 8. 재평가의 원칙 9. 공정성의 원칙
기능적 원칙 (Broad Functional Principles)	1. 정보보호 정책 2. 보안 인식 3. 책임추적성 4. 정보 관리 5. 환경 관리 6. 인력 자격 7. 무결성 8. 정보시스템 생명주기 9. 접근통제 10. 업무연속성 계획 11. 위험 관리 12. 네트워크와 기반구조 보호 13. 정보보호 법률, 규제, 계약 상 요구사항
상세 원칙 (Detailed Security Principles)	1. Need to Know 원칙 2. Need to go 원칙 3. Need to do 원칙 4. 최소권한의 원칙 5. 임무분리의 원칙 6. 임무 순환 원칙 7. 2인조 근무의 원칙

[표] NIST 컴퓨터 보안 원칙

번호	원칙
1	컴퓨터 보안은 조직의 임무를 지원해야 함
2	컴퓨터 보안은 견고한 관리를 위한 필수요소이여야 함
3	컴퓨터 보안은 비용 대비 효과가 고려되어야 함
4	컴퓨터 보안에 대한 책임과 책임추적성이 분명하게 정의되어야 함
5	시스템 소유자들은 자신의 조직 외부에 대해서 보안 책임을 가져야 함
6	컴퓨터 보안은 포괄적이고 통합된 접근방법을 통해 통제되어야 함
7	컴퓨터 보안은 정기적으로 재평가되어야 함
8	컴퓨터 보안은 사회적인 요인에 의해 제약을 받을 수 있음

제６항 위협과 피해 유형

‘위협’이란 조직이나 기업의 자산에 악영향을 미칠 수 있는 공격의 가능성을 가진 사건이나 행위를 의미한다.
l 특정 포트를 통해 내부 네트워크/시스템에 접근
l 토네이도에 의한 물리 시설의 파괴
l 내부 직원의 실수에 의한 중요 정보의 누설 또는 무결성 손상
1990년대 말 정보화시대에 중요한 정보자산을 안전하게 보호하기 위해 네트워크, 시스템, 통신, 시설 등에 초점을 두어 위협을 관리해 왔으나 4차 산업혁명 시대에서는 다양한 신규 기술의 등장과 함께 이러한 신기술을 적극 공격에 활용하거나 또는 해당 기술의 취약점을 활용을 통한 공격 피해 범위가 확대될 수는 위협들이 증가되고 있는 추세이다.
이러한 위협으로는 양자컴퓨팅, 랜섬웨어의 보편화, 익명화, 블록체인의 취약점, 인공지능 악용 등이 있으며 관련된 다양한 신기술이 적용된 보안위협의 변화 양상을 모니터링하고 적절한 대책을 마련하기 위한 노력이 더 필요하다.

[표] 4차 산업혁명시대과 관련된 위협 유형

위협 유형	대상	내용
정보유출	개인	개인 데이터, 생체정보 유출
	기업	고객 정보, 기업 기밀정보 유출
	국가	국가정보, 군사정보, 국가기반시설정보 등 유출
금전 및 경제적 피해	개인	단말기 오동작, 데이터 삭제, 금융거래 등 사용 불가 피싱 등을 통한 사회공학적 피해
	기업	기업 전산망, 시스템 오동작 또는 마비
	국가	국가기반시설 마비로 인한 재난 유발
정신적 피해	개인	악플, 인신공격, 모독 등으로 인한 개인 사생활 침해에 따른 정신적 피해
	기업	허위 사실 유포, 위계 또는 위력으로 업무를 방해
	국가	사회 갈등 및 대립 조장, 허위 사실 유포, 불법 또는 유해 정보 유통
생명 위협	개인	전자 도어락, IP CCTV 등 해킹으로 인한 침입 또는 사생활 침해
	기업	자율주행차 또는 의료장비 등 IoT 기기 해킹
	국가	국가기반시설에 대한 사이버테러 위협

과거에는 사이버세계의 정보자산 등에 한정되었던 공격 대상이 점차 인체 또는 물리적 자산에까지 확대되고 있다. 4차 산업혁명 시대에는 모든 사물이 인터넷에 연결된 IoT 기기의 보급이 확산되지만 적절하게 관리되지 않은 기기들의 ‘좀비화’ 위험성도 함께 높아져 2016년 아마존, 뉴욕타밍즈 DDoS 공격에서와 같이 취약한 기기를 이용한 사이버 공격으로 인한 피해가 증가될 것으로 예상된다. 또한 자율주행자동차를 해킹한 차량사고 유도, 웨어러블 디바이스를 통한 생리 데이터 변조 등을 통해 이용자의 생명까지 위협할 가능성이 높아지고 있다.
검열되지 않은 다양한 콘텐츠가 쏟아지고 있는 SNS 세상을 이용하여 개인의 감정과 인지과정을 조작하는 가짜뉴스가 확산되고 있다. 사용자가 접한 가짜 뉴스는 현실 정보를 왜곡하고 사용자의 지각을 조작하여 정치적 의사결정 등에 영향을 미칠 수가 있다.
4차 산업혁명 시대에 새롭게 등장하고 있는 기술을 악용하여 국가안보에 위험을 주는 사례는 점차 늘어나고 있다. 이미 주요 국가들은 사이버 전쟁에 대비하여 군사전략을 마련하고 있으며 국제 협력도 활발하게 진행되고 있다.
사이버 공간에서의 공격 대상은 더 이상 개인이나 기업에 국한되지 않고 국가를 대상으로 한 사이버 전쟁으로 확대되고 있으며, 공격에 의한 피해는 정보유출에서 생명위협으로까지 변화하고 현실세계에서의 전쟁 못지 않은 큰 피해를 야기할 수 있음을 유념하고 대비할 필요가 있다.

제７항 정보보호 관점

100% 완벽한 보안은 불가능하다.

통제되지 않은 요소가 많은 비즈니스 환경에서 정보보호에 대해 최고 관리층은 ‘보안은 100% 완벽한 것’이라는 인식이 자리잡고 있으며 실무자들은 100% 완벽한 보안이 어렵다는 점을 인식하고 있지만 차마 공개적으로 얘기하기는 어려운 현실이다. 완벽에 가까운 정책을 만들고 그에 맞는 보안실행을 구축해야 하며 사고가 발생했을 대 피해를 최소화하는 대책 수립이 최선이다.

보안은 최종목표가 아니라 여정이다.

100% 보안이 불가능한 이유는 계속해서 비즈니스 환경이 바뀌고 각종 취약점이 발견되기 때문이다. 따라서, 끊임없이 정보보호 활동을 수행하고 평가/개선하는 과정이 중요하다. 아무리 훌륭한 정보보호시스템을 도입하여 설치하더라도 정보보호정책을 최신으로 관리하고 탐지 엔진을 최신으로 유지하여야 한다. 또한 조직이나 기업의 비즈니스 또는 법률 환경이 바뀌면 그에 맞추어 정보보호 정책을 새롭게 수정 보완하고 그에 맞는 보호대책을 수립하여야 한다. 이러한 정보보호 PCDA 활동의 무한 반복 과정을 ‘여정(journey)’이라는 단어로 적절하게 표현할 수 있다.