CIA 트라이어드(CIA Triad)란 무엇입니까?
" CIA 트라이어드(CIA Triad) "의 세 글자는 기밀성(Confidentiality), 무결성(Integrity) 및 가용성(Availability)을 의미합니다. CIA 트라이어드(CIA Triad)는 보안 시스템 개발의 기반을 형성하는 공통 모델입니다. 이는 취약성을 발견하고 솔루션을 생성하는 방법을 찾는 데 사용됩니다.
데이터 기밀성, 데이터 무결성 및 가용성은 비즈니스 운영에 매우 중요하며, CIA 트라이어드(CIA Triad)는 이 세 가지 개념을 별도의 핵심 포인트로 분류합니다. 이러한 차별화는 보안 팀이 각 문제를 해결할 수 있는 다양한 방법을 정확히 찾아내도록 안내하는 데 도움이 되기 때문에 유용합니다.
이상적으로는 세 가지 표준을 모두 충족하면 위협 사고를 처리하는 데 있어 조직의 보안 프로필이 더 강력하고 더 잘 대비할 수 있게 됩니다.
https://www.fortinet.com/kr/resources/cyberglossary/cia-triad
보안 CIA Triad 정의 및 중요성 | Fortinet
데이터 무결성, 가용성을 위한 보안 CIA Triad에 대해 자세히 알아보세요.
www.fortinet.com
정보보호의 목표 (CIA 트라이애드)
정보보호의 가장 기본이 되는 3대 목표는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)입니다.
이를 'CIA 트라이애드'라고 부르며, 정보보안의 기본 개념을 이해하는 데 핵심입니다.
보안에서 기밀성, 무결성, 가용성이 대표적인 3요소가 된 정확한 시발점은 없다. 대체로 기밀성, 무결성, 가용성 순서대로 개념이 언급된 것으로 보고 있다.
- 기밀성은 1976년 미공군의 보안 연구에서 보안의 기본 개념으로 제시
- 미 국방성이 1983년 개발한 보안 바이블인 TCSEC(일명 오렌지북)에서도 기밀성 위주의 보안관리 방안을 가이드
- 무결성은 1987년 David Clark 와 David Wilson가 쓴 "A Comparison of Commercial and Military Computer Security Policies"라는 논문에서 등장
- 가용성은 가장 역사가 뚜렷하지 않지만 약 1988년 이후부터 흔하게 언급되기 시작함
- TCSEC과 비교되는 유럽의 보안 기준인 ITSEC은 기밀성, 무결성, 가용성 3가지를 모두 다루고 있음
- CIA 삼각형 또한 1990년대부터 사용되기 시작하였으나 그 기원은 뚜렷하지 않고 보안의 3요소가 자리잡기 시작한 이후 3요소라는 특성에 맞추어 자연스럽게 등장한 것으로 추정
https://itwiki.kr/w/%EB%B3%B4%EC%95%88%EC%9D%98_3%EC%9A%94%EC%86%8C
IT위키
IT에 관한 모든 지식. 함께 만들어가는 깨끗한 위키
itwiki.kr
기밀성(Confidentiality)
기밀성은 권한이 있는 사용자만 정보에 접근할 수 있도록 하는 것입니다. 쉽게 말해, 비밀번호로 잠긴 일기장을 생각해보세요. 일기장 주인만이 그 내용을 볼 수 있어야 합니다.
기밀성을 위협하는 공격 유형:
- 스누핑(Snooping): 정보를 몰래 엿보는 행위
- 트래픽 분석(Traffic Analysis): 통신 패턴을 분석하여 정보를 유추하는 행위
기밀성을 보호하는 방법:
- 암호화(Encryption): 데이터를 암호화하여 권한 없는 사용자가 내용을 이해할 수 없도록 함
- 접근 제어(Access Control): 필요한 사람에게만 최소한의 권한 부여
무결성(Integrity)
무결성은 정보가 변경되지 않고 정확하게 유지되는 특성입니다. 예를 들어, 은행 계좌의 잔액 정보가 무단으로 변경되지 않아야 합니다.
무결성을 위협하는 공격 유형:
- 변경(Modification): 데이터의 내용을 변경하는 행위
- 가장(Masquerading): 다른 사용자로 위장하는 행위
- 재전송(Replay): 이전에 성공한 통신을 재전송하는 행위
- 부인(Repudiation): 행위를 했으나 하지 않았다고 부인하는 행위
무결성을 보호하는 방법:
- 해시 함수(Hash Function): 데이터의 무결성을 검증하는 함수
- 디지털 서명(Digital Signature): 문서의 출처와 무결성을 보장
가용성(Availability)
가용성은 정당한 사용자가 필요할 때 정보 시스템과 데이터에 지체 없이 접근할 수 있는 특성입니다. 예를 들어, 은행 앱이 24시간 언제든지 접속 가능해야 합니다.
가용성을 위협하는 공격 유형:
- 서비스 거부 공격(DoS, DDoS): 시스템 리소스를 고갈시켜 서비스를 마비시키는 공격
가용성을 보호하는 방법:
- 백업 및 복구(Backup & Recovery): 데이터와 시스템을 정기적으로 백업
- 중복성(Redundancy): 주요 시스템을 이중화하여 장애 시 대체 가능하도록 설계
확장된 정보보호 목표
최근에는 CIA 트라이애드에 더해 다음과 같은 추가 목표들이 중요시되고 있습니다:
- 인증(Authentication): 사용자나 시스템이 본인임을 증명하는 과정
- 부인방지(Non-repudiation): 행위를 수행한 후 그 사실을 부인할 수 없도록 하는 특성
- 책임추적성(Accountability): 시스템 내에서 발생한 행위를 특정 개인이나 시스템으로 추적할 수 있는 특성
https://m.blog.naver.com/hai0416/221630208997
정보보안의 3대요소: 기밀성, 무결성, 가용성 _쉬운 이해
정보 보안의 3대 요소 '네트워크'나 '시스템은'은 정보를 다루기 때문에 보안은 기본...
blog.naver.com
#정보보안기초 #CIA트라이애드 #사이버보안 #기밀성 #무결성 #가용성 #정보보호 #보안3요소 #컨피덴셜리티 #인테그리티 #어베일러빌리티 #데이터보안 #사이버방어 #정보유출방지 #해킹대응 #무단변경방지 #서비스가용성 #암호화 #접근제어 #보안모델 #디지털보안 #네트워크보안 #기업보안 #개인정보보호 #해시함수 #디지털서명 #백업복구 #중복성 #인증 #부인방지 #책임추적성 #서비스거부공격 #데이터무결성 #스누핑방지 #트래픽분석 #보안취약점 #정보보안정책 #시스템보안 #보안아키텍처 #사이버위협 #IT보안 #보안시스템개발
'보안 > 보안기초' 카테고리의 다른 글
[보안기초] 정보보호 대책의 3가지 축과 통합적 접근 (2) | 2025.05.03 |
---|