정보보호론은 크게 정보보호, 암호학, 네트워크 보안, 시스템보안, 정보보호 관리체계, 접근제어, 웹/DB 보안, 보안기술 및 관련 법규로 구성됩니다. 2014년 공무원 실기시험시 필수영역으로 분류되어 중요도가 높으며, 특정 파트는 전문성을 요하여 단순 암기보다 이해 중심의 학습이 필요합니다.
정보보호론 개요
정보보호론 시험은 전산 전공이나 정보처리기사와 같은 시험에서 주로 출제되는 범위와 유사합니다. 이 문서에는 정보보호론의 개념을 이해하고 핵심내용들을 요약하는 관점으로 정리해보겠습니다.
정보보호 및 정보시스템
정보보호는 정보의 수집, 가공, 저장, 검색, 송수신 중에 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적, 물리적 방법으로 정의할 수 있습니다.
정보보호의 주체는 크게 공급자와 사용자 측면으로 분류할 수 있습니다.
- 공급자: 서비스를 제공하는 기업, 정부기관에서 네트워크, 시스템, 데이터베이스 및 통신망을 안전하게 보호하기 위해 접근제어 및 보안 조치를 취합니다.
- 사용자: 서비스를 제공받은 사용자의 입장에서 개인정보, 로그인 정보 등의 유출 및 개인정보의 훼손, 변조, 유출을 막는 조치를 의미합니다.
정보보호 목적과 유형
앞서 정보보호의 목적은 데이터를 보호하는 것이라고 하였습니다. 데이터보호의 유형으로는 크게 기밀성, 무결성, 가용성을 유지하는 것입니다. 그리고 이를 위해 관리적, 물리적, 기술적인 보호조치를 사용합니다. 이를 그림으로 나타내면 아래와 같습니다.
예를 들어 데이터의 기밀성을 유지하기 위한 기술적인 대책으로는 암호화, 접근제어 등이 있으며, 관리적인 대책으로는 ISMS나 ISO 27001 같은 정보보호 체계를 따르는 것입니다. 해당 인증에 대한 자세한 정보는 다음을 참고 바랍니다.
이어서 정보보호론은 위와 같이 데이터 보호의 3가지 목적과 이를 위한 3가지 대응 유형의 틀에서 자세히 정리해보겠습니다.
정보보호 목적
| 보호목적 | 설명 |
| 기밀성 유지 | 허가되지 않는 주체가 정보에 접근하지 못하도록 하는 것입니다. 다음과 같은 기술적인 방법이 사용됩니다. – 암호화 (저장 및 전송 시) – 보안 (네트워크, 시스템 보안) – 접근제어 – 관리 및 인증(ISMS-P, ISO27001) |
| 무결성 유지 | 정보가 훼손되거나 변조되어 원본과 다르게 변경되지 않도록 보장하는 기술입니다. 정보 무결성을 위한 기술은 다음과 같습니다. – 해시 암호화 (저항성 특징 이용) – 공인인증기술 (부인방지) – 데이터베이스 무결성체크 기술 |
| 가용성 유지 | 시스템을 항상 사용할 수 있도록 보호하는 기술을 의미합니다. 가령 DDoS 공격으로 서버가 다운되거나, 천재지변 등으로 시스템 다운 시 가능한 짧은 시간내에 서비스를 복구하는 것을 말합니다. – 악성코드, 안티바이러스 프로그램 – 서비스거부 공격 회피 (Anti-DDoS) – HA (고가용성 보장) 기술 |
대응유형
위의 데이터보호를 실현하기 위해 관리적, 물리적, 기술적 방법을 사용할 수 있습니다.
| 유형 | 설명 |
| 관리적 보호 | 정보보호 정책이나 인증을 통해 관리적으로 예방할 방법입니다. 대표적인 정보보호체계는 다음과 같습니다. – ISMS / ISMS-P: 한국인터넷진흥원에 의해 시행 – ISO 27001: 정보보호관리 국제표준 인증으로 14개의 관리영역과 114개의 세부항목으로 구성 |
| 물리적 보호 | 중요시설에 대해 시설물 관리 등의 물리적인 조치를 통한 보호방법을 의미합니다. – 경비 CCTV – 물리적 망분리 – 제한구역 표지판 |
| 기술적 보호 | 앞서 설명해 드린 데이터보호 방법에 대한 기술적인 조치로서 이어서 설명드린 세부내용에 해당합니다. (암호화, 보안, 접근제어 등) |
정보보호론 세부내용
앞서 크게 정보보호의 목적과 유형에 대해서 살펴보았습니다. 이어지는 내용은 이에 대한 각론에 해당하는 것으로 이 문서에서 모두 자세히 다루기에는 내용이 길어지므로 각각 다른 글에서 하나씩 핵심 내용을 정리해보겠습니다.
아래 각론의 세부 키워드를 참고하시고 이어지는 글의 내용은 링크를 참고 바랍니다.
- 암호학: 블록/스트림 암호화, 대칭키/비댕칭키 알고리즘, 활용사례
- 네트워크 보안: SSL, IPSec, VPN 기술 / 방화벽 / IDS/IPS 솔루션
- 시스템 보안: 악성코드, 랜섬웨어
- 정보보호 표준 관리체계: ISMS 인증, ISO 27001
- 접근제어: DAC, MAC, RBAC, 2-Factor, MFA
- 웹보안과 데이터보안
- 최신 IT 용어 및 기술
- 관련 법규: 개인정보보호법 등
이상으로 정보보호론 개요 및 핵심 내용을 요약해 보았습니다. 각 파트별로는 이어지는 글에서 자세히 알아보도록 하겠습니다.