computer_science/security
[인터넷보안] 01_정보 보안의 세계
렁치
2026. 7. 2. 07:00
정보 보안은 막연히 "해킹을 막는 일"이 아니라, 무엇을 왜 지키는가에 대한 명확한 기준에서 출발한다. 그 기준이 바로 CIA, 정보 보안의 세 기둥이다. 이 글에서는 보안의 3대 요소, 정보 보안의 역사적 흐름, 관련 법률, 그리고 보안 전문가에게 요구되는 소양을 정리한다.
1. 정보 보안의 3대 요소 (CIA)
모든 정보 보안은 세 가지 속성으로 집약된다.
| 요소 | 의미 | 대표 수단 |
|---|---|---|
| 기밀성(Confidentiality) | 인가된 사용자만 정보에 접근 | 방화벽, 암호, 패스워드 |
| 무결성(Integrity) | 인가된 사용자가, 인가된 방법으로만 변경 | 위·변조 탐지 |
| 가용성(Availability) | 필요한 시점에 정보 자산에 접근 가능 | 이중화, 백업 |
세 요소를 일상으로 이해하기
- 기밀성: 내 일기장을 남이 못 보게 하는 것
- 무결성: 화폐를 정부만 발행할 수 있게 하는 것. 위조지폐는 무결성 침해다.
- 가용성: 24시간 편의점처럼 필요할 때 늘 열려 있는 것
흔히 기밀성을 가장 먼저 떠올리지만, 상황에 따라 우선순위는 달라진다. 예컨대 금융 거래나 의료 기록에서는 데이터가 함부로 바뀌지 않는 무결성이 더 결정적일 수 있다.
2. 정보 보안의 역사
보안의 역사는 곧 공격과 방어가 주고받은 역사다.
| 시기 | 주요 사건 |
|---|---|
| 1950 이전 | 독일 암호기 에니그마 ↔ 앨런 튜링의 콜로서스로 해독 |
| 1960~70s | ARPANET, 유닉스(1969), 최초 이메일(1971) |
| 1980~90s | 네트워크 해커 등장, 해커 선언문, 데프콘 해킹대회(1990) |
| 2000s | DDoS로 대형 사이트 마비, 웜 대유행, APT 공격 등장 |
APT (Advanced Persistent Threat)
오랜 시간을 들여 특정 대상을 분석하고 취약점을 찾아 침투하는 지능적 지속 위협이다. 무차별 공격과 달리 표적을 정해 끈질기게 파고드는 것이 특징이라, 탐지와 방어가 특히 어렵다.
오랜 시간을 들여 특정 대상을 분석하고 취약점을 찾아 침투하는 지능적 지속 위협이다. 무차별 공격과 달리 표적을 정해 끈질기게 파고드는 것이 특징이라, 탐지와 방어가 특히 어렵다.
흥미로운 점은 '해커'라는 말의 변천이다. 초기에는 시스템 내부를 깊이 파고드는 순수한 탐구자를 뜻했지만, 1990년대 해킹 도구가 웹에 공개되며 악의적 의미로 굳어졌다.
3. 사이버 범죄와 법률
사이버 범죄는 크게 해커 수준의 침해(사이버테러형)와 인터넷을 이용한 일반 범죄로 나뉜다. 이에 대응하는 주요 법률은 다음과 같다.
| 법률 | 핵심 |
|---|---|
| 정보통신망법 | 정보통신망 이용·보호 일반 |
| 정보통신기반 보호법 | 주요 기반시설(통신사 등) 보호, 교란·파괴 시 중처벌 |
| 클라우드컴퓨팅법 | 클라우드 환경의 안전한 이용 |
| 전자정부법 | 공공 데이터·전자정부 보호 |
4. 보안 전문가의 소양
보안은 한 분야만 알아서는 안 되는 종합 학문이다. 운영체제(윈도우·리눅스), 네트워크(TCP/IP), 프로그래밍(C 등), 서버·DB(SQL), 암호 이론, 그리고 정책과 절차까지 두루 요구된다.
보안 거버넌스
조직의 보안을 달성하기 위한 구성원 간의 지배구조를 뜻한다. 기술만으로 보안이 완성되지 않으며, "누가 무엇을 책임지고 어떻게 의사결정하는가"라는 체계가 보안 정책의 핵심이다.
조직의 보안을 달성하기 위한 구성원 간의 지배구조를 뜻한다. 기술만으로 보안이 완성되지 않으며, "누가 무엇을 책임지고 어떻게 의사결정하는가"라는 체계가 보안 정책의 핵심이다.
윤리 의식은 기술보다 앞선다
보안과 해킹 기술은 양날의 검이다. 같은 기술이 방어에도 공격에도 쓰이기에, 반드시 합법적·방어적 목적으로만 사용해야 한다. 기술을 익히기 전에 윤리강령과 관련 법률을 숙지하는 것이 전제다.
보안과 해킹 기술은 양날의 검이다. 같은 기술이 방어에도 공격에도 쓰이기에, 반드시 합법적·방어적 목적으로만 사용해야 한다. 기술을 익히기 전에 윤리강령과 관련 법률을 숙지하는 것이 전제다.
한 걸음 더
- CIA 세 요소는 서로 충돌하기도 한다. 기밀성을 극단으로 높여 접근을 까다롭게 하면 가용성이 떨어지고, 가용성을 위해 접근을 쉽게 열면 기밀성이 약해진다. 보안 설계는 결국 이 셋 사이의 균형을 상황에 맞게 잡는 일이다. "완벽한 보안"이 아니라 "적절한 보안"을 말하는 이유가 여기에 있다.
- 에니그마와 튜링의 이야기는 단순한 일화가 아니라, 암호와 컴퓨터가 같은 뿌리에서 자랐음을 보여준다. 암호를 깨기 위한 계산 기계가 현대 컴퓨터의 시초가 됐고, 그렇게 태어난 컴퓨터가 다시 더 강력한 암호를 만들어냈다. 공격과 방어가 서로를 발전시키는 보안의 본질이 출발점부터 새겨져 있던 셈이다.
- CIA에 더해 부인 방지(Non-repudiation)와 인증(Authentication)을 보안 요소로 함께 꼽기도 한다. "내가 보낸 적 없다"고 발뺌하지 못하게 하는 부인 방지는 전자상거래나 전자서명에서 특히 중요하다. 세 기둥을 기본으로 삼되, 분야에 따라 필요한 속성이 더해진다는 점을 알아두면 좋다.