보안의 3요소

From CS Wiki

보안에서 가장 기본적인 목표가 되는 기밀성, 무결성, 가용성을 이르는 말

  • 앞 글자를 따서 국내에서는 기.무.가, 해외에서는 C.I.A.라고 부르기도 한다.

구성[edit | edit source]

  • 기밀성(Confidentiality)
    • 데이터가 인가되지 않은 사람에게 새어나가지 않는 것이다.
    • 기밀성을 해치기 위한 공격: 스누핑(Snooping)과 트래픽 분석(Traffic Analysis) 등
  • 무결성(Integrity)
    • 데이터가 변조되지 않는 것
    • 무결성을 해치기 위한 공격: 변경(Modification), 가장(Masquerading), 재연(Replaying), 부인(Repudiation) 등
  • 가용성(Availability)
    • 기밀성과 무결성을 보장하면서 허용된 사람들이 데이터를 이용 할 수 있도록 하는 것
    • 가용성을 해치기 위한 공격: 서비스 거부(Denial of Service), EMP공격, 물리적 파괴 등

수준[edit | edit source]

미국의 정부 공식문서는 FIPS 199에선 기밀성, 무결성, 가용성의 수준을 3단계로 구분하는 기준을 제시한 바 있다.

구분 낮음(Low) 중간(Moderate) 높음(High)
기밀성 The unauthorized disclosure of information could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. The unauthorized disclosure of information could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. The unauthorized disclosure of information could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals.
무결성 The unauthorized modification or destruction of information could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. The unauthorized modification or destruction of information could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. The unauthorized modification or destruction of information could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals.
가용성 The disruption of access to or use of information or an information system could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. The disruption of access to or use of information or an information system could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. The disruption of access to or use of information or an information system could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals.

역사[edit | edit source]

보안에서 기밀성, 무결성, 가용성이 대표적인 3요소가 된 정확한 시발점은 없다. 대체로 기밀성, 무결성, 가용성 순서대로 개념이 언급된 것으로 보고 있다.

  • 기밀성은 1976년 미공군의 보안 연구에서 보안의 기본 개념으로 제시
    • 미 국방성이 1983년 개발한 보안 바이블인 TCSEC(일명 오렌지북)에서도 기밀성 위주의 보안관리 방안을 가이드
  • 무결성은 1987년 David Clark 와 David Wilson가 쓴 "A Comparison of Commercial and Military Computer Security Policies"라는 논문에서 등장
  • 가용성은 가장 역사가 뚜렷하지 않지만 약 1988년 이후부터 흔하게 언급되기 시작함
    • TCSEC과 비교되는 유럽의 보안 기준인 ITSEC은 기밀성, 무결성, 가용성 3가지를 모두 다루고 있음
  • CIA 삼각형 또한 1990년대부터 사용되기 시작하였으나 그 기원은 뚜렷하지 않고 보안의 3요소가 자리잡기 시작한 이후 3요소라는 특성에 맞추어 자연스럽게 등장한 것으로 추정

CIA삼각형.png

같이 보기[edit | edit source]