정보보안의 가용성 (Availability)

가용성은 정보보안의 3요소(CIA Triad) 중 마지막 요소로, 인가된 사용자, 시스템, 프로세스가 필요할 때 지연 없이 정보 자산과 시스템에 접근하여 사용할 수 있도록 보장하는 원칙입니다.

---

1. 가용성의 목표

주요 목표는 서비스 중단 시간(Downtime)을 최소화하는 것입니다. 이는 시스템 고장, 자연재해, 또는 외부 공격 등 모든 종류의 방해 요소로부터 서비스를 보호하는 것을 의미합니다.

• 예시:
  • 금융 거래 시스템이 24시간 365일 원활하게 작동하는 것.
  • 서버에 과부하가 걸리거나 네트워크가 끊겨도 사용자가 웹사이트에 접근할 수 있는 것.

2. 가용성 확보를 위한 핵심 기술 및 대책

가용성을 달성하기 위한 대책들은 크게 예방과 복구/대응으로 나뉩니다.

① 예방 및 내결함성 (Fault Tolerance)

시스템의 강건성(Robustness)을 높여 장애 발생 가능성을 줄입니다.

• 이중화 (Redundancy): 핵심 장치나 기능을 여러 개 복사하여 운영합니다.
  • 예: 로드 밸런서(Load Balancer)를 사용하여 여러 대의 서버에 트래픽을 분산시키고, 한 서버가 다운되어도 다른 서버가 대체하도록 구성 .
• 클러스터링 (Clustering): 여러 서버를 하나의 시스템처럼 묶어 가용성을 높입니다.
• 백업 전원: UPS(무정전 전원 공급 장치) 및 비상 발전기 확보.

② 복구 및 대응

장애가 발생했을 때 빠르게 서비스를 정상화하고 데이터를 복구합니다.

• 데이터 백업 및 복구 계획 (DRP): 정기적으로 데이터를 백업하고, 재해 발생 시 복구할 수 있는 명확한 절차(Disaster Recovery Plan)를 마련합니다.
• 패치 관리: 시스템 및 소프트웨어의 취약점을 빠르게 패치하여 서비스 중단으로 이어질 수 있는 보안 사고를 예방합니다.
• 모니터링: 서버, 네트워크, 애플리케이션의 상태를 24시간 감시하여 장애 발생 징후를 조기에 감지합니다.

③ 외부 공격 방어

가용성을 직접적으로 위협하는 공격을 방어합니다.

• DDoS 방어: 대량의 트래픽을 발생시켜 서비스 마비를 유도하는 분산 서비스 거부 공격(DDoS)을 막는 전문 솔루션 도입.