보안의 3요소
From CS Wiki
보안에서 가장 기본적인 목표가 되는 기밀성, 무결성, 가용성을 이르는 말
- 앞 글자를 따서 국내에서는 기.무.가, 해외에서는 C.I.A.라고 부르기도 한다.
구성[edit | edit source]
- 기밀성(Confidentiality)
- 데이터가 인가되지 않은 사람에게 새어나가지 않는 것이다.
- 기밀성을 해치기 위한 공격: 스누핑(Snooping)과 트래픽 분석(Traffic Analysis) 등
- 무결성(Integrity)
- 데이터가 변조되지 않는 것
- 무결성을 해치기 위한 공격: 변경(Modification), 가장(Masquerading), 재연(Replaying), 부인(Repudiation) 등
- 가용성(Availability)
- 기밀성과 무결성을 보장하면서 허용된 사람들이 데이터를 이용 할 수 있도록 하는 것
- 가용성을 해치기 위한 공격: 서비스 거부(Denial of Service), EMP공격, 물리적 파괴 등
수준[edit | edit source]
미국의 정부 공식문서는 FIPS 199에선 기밀성, 무결성, 가용성의 수준을 3단계로 구분하는 기준을 제시한 바 있다.
구분 | 낮음(Low) | 중간(Moderate) | 높음(High) |
---|---|---|---|
기밀성 | The unauthorized disclosure of information could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. | The unauthorized disclosure of information could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. | The unauthorized disclosure of information could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals. |
무결성 | The unauthorized modification or destruction of information could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. | The unauthorized modification or destruction of information could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. | The unauthorized modification or destruction of information could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals. |
가용성 | The disruption of access to or use of information or an information system could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. | The disruption of access to or use of information or an information system could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. | The disruption of access to or use of information or an information system could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals. |
역사[edit | edit source]
보안에서 기밀성, 무결성, 가용성이 대표적인 3요소가 된 정확한 시발점은 없다. 대체로 기밀성, 무결성, 가용성 순서대로 개념이 언급된 것으로 보고 있다.
- 기밀성은 1976년 미공군의 보안 연구에서 보안의 기본 개념으로 제시
- 미 국방성이 1983년 개발한 보안 바이블인 TCSEC(일명 오렌지북)에서도 기밀성 위주의 보안관리 방안을 가이드
- 무결성은 1987년 David Clark 와 David Wilson가 쓴 "A Comparison of Commercial and Military Computer Security Policies"라는 논문에서 등장
- 가용성은 가장 역사가 뚜렷하지 않지만 약 1988년 이후부터 흔하게 언급되기 시작함
- TCSEC과 비교되는 유럽의 보안 기준인 ITSEC은 기밀성, 무결성, 가용성 3가지를 모두 다루고 있음
- CIA 삼각형 또한 1990년대부터 사용되기 시작하였으나 그 기원은 뚜렷하지 않고 보안의 3요소가 자리잡기 시작한 이후 3요소라는 특성에 맞추어 자연스럽게 등장한 것으로 추정