정보보안의 기밀성 (Confidentiality)

기밀성은 정보보안의 3요소(CIA Triad) 중 첫 번째 요소로, 오직 인가된(Authorized) 사용자, 엔티티, 프로세스만이 정보 자산에 접근하고 정보를 열람할 수 있도록 보장하는 원칙입니다.

---

1. 기밀성의 목표

주요 목표는 정보의 무단 노출(Disclosure)을 방지하는 것입니다. 여기서 정보 노출은 해킹뿐만 아니라 실수, 도청, 분실 등 모든 형태를 포함합니다.

• 예시:
  • 개인 식별 정보(PII)나 고객 데이터베이스가 외부로 유출되는 것을 막는 것.
  • 암호화되지 않은 통신을 제삼자가 엿듣지 못하게 하는 것.

2. 기밀성 확보를 위한 핵심 기술 및 대책

기밀성을 달성하기 위한 대책들은 크게 데이터 보호와 접근 제어로 나뉩니다.

① 데이터 보호 기술: 암호화 (Encryption)

데이터 자체가 유출되더라도 그 내용을 알 수 없게 만드는 가장 강력한 수단입니다.

• 저장 데이터 암호화 (Data at Rest): 하드 디스크, 데이터베이스, 클라우드 스토리지에 저장된 파일을 암호화합니다. (예: AES 알고리즘)
• 전송 데이터 암호화 (Data in Transit): 네트워크를 통해 데이터를 주고받을 때 암호화합니다. (예: SSL/TLS를 사용한 HTTPS 통신)

② 접근 통제 (Access Control)

정보에 접근하는 사용자(주체)의 신분을 확인하고 권한을 제한합니다.

• 인증 (Authentication): 사용자가 누구인지 확인하는 과정입니다.
  • 예: 비밀번호, 생체 인식(지문), OTP(일회용 비밀번호).
• 인가/권한 부여 (Authorization): 인증된 사용자가 무엇을 할 수 있는지 정의하는 과정입니다.
  • 예: RBAC (역할 기반 접근 제어): 관리자만 데이터 삭제 권한을 갖도록 제한.

③ 물리적/절차적 보호

• 접근 통제 시스템: 서버실 출입 통제, CCTV.
• 데이터 폐기: 사용하지 않는 미디어나 하드디스크를 완전히 파기하여 정보를 복구 불가능하게 만듭니다.