정보 보안 개념

보안이란?

- 공격자 또는 정당하지 않은 사용자로부터 자산을 지키는 행위

 

물리 보안 -> 물리적 자산을 보안

정보 보안 -> 정보 자산을 보호

 

보안 소프트웨어: 보안의 기능을 가진 소프트웨어

소프트웨어 보안: 소프트웨어를 어떻게 안전하게 만들 수 있는지

 

Data vs Information

Data

- 가공되지 않은 단순한 사실이나 값의 집합

- 의미를 도출하기 전의 자료

Information

- 데이터를 가공하여 의미와 가치가 부여된 값

- 의사결정에 도움이 되는 유용한 형태의 값

 

정보 자산

- 생명주기에 따라 관리, 일정 기준과 원칙 필요

- 자산의 조사 및 식별 => 자산의 분류 및 등록 => 자산의 가치 평가 => 자산의 변경 관리 => 자산의 관리 정책 수립 => .. 반복

 - 어떤 자산을 지켜야 하는지 식별하는게 제일 먼저

 

정보 자산 분류 기준

- 중요도 기준 분류

    - 자산이 조직의 업무와 운영에 미치는 중요도 기준으로 분류

- 기밀성 기준 분류

    - 정보 노출 시 조직에 미치는 영향(손해) 기준으로 분류

- 유형별 분류

    - 자산의 물리적, 논리적 형태에 따라 분류

- 법적/규제 요구사항 기준 분류

    - 적용되는 법적, 규제적 의무사항 정도에 따른 분류

- 위험 노출도 기준

    - 외부 위협에 노출되는 정도에 따른 분류

- 복구 우선순위 기준

    - 재해 또는 사고 발생 시 복구 시급성에 따른 분류

 

이 중에서 투자라 여겨지는게 법적/규제 요구사항 뿐

나머지는 그냥 돈 드는 거라 인식됨

 

 

정보 보안 비용

- 완벽한 보안 없음, 상황과 목적에 맞는 최적의 보안 수준 설정 필요

경제학적 관점

- 공격 비용: 공격에 성공하기 위해 투입되는 비용

- 정보 가치: 정보를 획득했을 때의 획득 가치

- 보안 비용: 정보 보안에 투입되는 비용

 

공격 비용 > 정보 가치 > 보안 비용