정보보안의 3요소 (CIA Triad)

정보보안의 3요소는 정보 자산을 보호하기 위한 세 가지 핵심 원칙을 뜻하며, 이 원칙들의 영문 앞글자를 따서 CIA Triad라고 부릅니다.

1. 기밀성 (Confidentiality)

기밀성은 인가된(허가된) 사용자만 정보 자산에 접근할 수 있도록 보장하는 원칙입니다. 정보가 노출되는 것을 방지하는 것이 핵심입니다.

• 목표: 정보의 유출 방지
• 달성 방법:
  • 암호화 (Encryption): 데이터를 읽을 수 없는 형태로 변환 (예: 개인 정보 암호화)
  • 접근 통제 (Access Control): 사용자 인증, 권한 관리 (예: 비밀번호, OTP, 역할 기반 접근 제어)
  • 물리적 보안: 서버실 잠금 장치, CCTV

2. 무결성 (Integrity)

무결성은 정보가 권한 없는 방식으로 변경, 파괴되거나 위조되는 것을 방지하여, 정보의 정확성과 완전성을 유지하는 원칙입니다.

• 목표: 정보의 위변조 방지 및 정확성 유지
• 달성 방법:
  • 해시 (Hash): 데이터의 변경 여부를 확인하는 기술 (데이터 위변조 검증)
  • 전자 서명 (Digital Signature): 데이터의 출처 및 무결성 보장
  • 접근 통제: 데이터 변경 권한을 최소화

3. 가용성 (Availability)

가용성은 인가된 사용자가 필요할 때 정보 자산이나 시스템에 언제든지 접근하여 사용할 수 있도록 보장하는 원칙입니다.

• 목표: 서비스 중단 방지
• 달성 방법:
  • 백업 및 복구 시스템: 데이터 손실 시 즉시 복구 가능
  • 이중화 (Redundancy): 서버나 네트워크 장비가 고장 나더라도 다른 장비가 대체할 수 있도록 구성
  • DDoS 방어: 서비스 거부 공격으로부터 시스템 보호