
정보보호의 출발점은 무엇을 지킬지, 무엇이 나쁜 결과를 일으킬지, 어떤 약점 때문에 사고가 가능한지를 구분하는 것입니다. 보호 목표는 기밀성·무결성·가용성의 CIA 3요소로, 접근 판단은 인증과 인가로, 사고 가능성은 자산·위협·취약점·위험의 관계로 정리하면 됩니다.
인증은 누구인지 확인하고, 인가는 무엇을 할 수 있는지 결정합니다. 위협은 손실을 일으킬 잠재적 사건, 취약점은 그 사건이 이용할 수 있는 약점, 위험은 발생 가능성과 악영향을 함께 고려한 정도입니다. 이 세 문장부터 정확히 기억하세요.
오늘의 한 줄: 보호 목표(CIA) → 사용자 판단(인증·인가) → 위험 판단(위협·취약점·영향)을 한 흐름으로 연결한다.
정보보호 전체 범위와 7일 순서는 독학사 3단계 정보보호 공부내용 총정리에서 확인할 수 있습니다.
CIA 3요소 한눈에 보기
| 목표 | 뜻 | 침해 상황 | 대표 통제 |
|---|---|---|---|
| 기밀성 Confidentiality | 허가받지 않은 공개·접근을 막음 | 고객정보 유출, 통신 도청 | 접근통제, 암호화, 권한 최소화 |
| 무결성 Integrity | 부적절한 변경·파괴를 막고 정확성을 유지 | 성적·설정·거래내역 변조 | 해시·서명, 변경통제, 감사기록 |
| 가용성 Availability | 권한 있는 사용자가 필요할 때 이용 | DDoS, 장애, 랜섬웨어로 서비스 중단 | 이중화, 백업·복구, 용량관리, 장애대응 |
1. 기밀성: 비밀로 만드는 것보다 접근 범위를 통제
기밀성은 정보를 아무도 볼 수 없게 만드는 것이 아니라 권한이 있는 주체만 정해진 범위에서 볼 수 있게 하는 속성입니다. 따라서 암호화뿐 아니라 계정관리, 권한검토, 화면 마스킹, 출력물 통제도 기밀성 대책이 됩니다.
문제에서 ‘비인가 열람’, ‘노출’, ‘도청’, ‘유출’이 보이면 먼저 기밀성을 떠올립니다. 다만 한 사고가 여러 목표를 동시에 침해할 수 있으므로, 질문이 직접 또는 주된 침해를 묻는지 확인해야 합니다.
2. 무결성: 바뀌지 않음이 아니라 올바르게 바뀜
무결성은 정보가 영원히 바뀌지 않는 상태가 아닙니다. 허가된 절차로만 정확하고 완전하게 변경되는 상태입니다. 정상적인 성적 정정과 승인된 소프트웨어 업데이트는 무결성 훼손이 아니지만, 공격자의 설정 변경이나 전송 중 메시지 변조는 무결성 침해입니다.
- 해시: 데이터가 달라졌는지 확인하는 데 사용합니다.
- 전자서명: 변경 여부와 서명자 확인에 도움을 줍니다.
- 변경통제: 요청·승인·시험·배포·기록 절차를 분리합니다.
- 감사기록: 누가 언제 무엇을 바꿨는지 추적합니다.
3. 가용성: 접속 가능뿐 아니라 적시에 믿고 사용
가용성은 서버 전원이 켜져 있다는 뜻을 넘어, 권한 있는 사용자가 필요한 시점에 서비스와 정보에 적시에 신뢰성 있게 접근할 수 있는 상태입니다. 장애, 과부하, DDoS, 재해, 실수로 인한 삭제가 모두 가용성을 떨어뜨릴 수 있습니다.
백업은 그 자체로 복구 완료가 아닙니다. 복구 가능성은 백업본의 무결성, 보관 위치, 복구 절차, 실제 복구시험까지 확인해야 합니다.
4. 인증과 인가: 순서와 질문을 구분
| 과정 | 답하는 질문 | 예 |
|---|---|---|
| 식별 | 누구라고 주장하는가? | 아이디 입력, 사번 제시 |
| 인증 | 그 주장이 맞는가? | 비밀번호·OTP·생체정보 검증 |
| 인가 | 무엇을 할 수 있는가? | 관리자 기능·특정 문서 접근 허용 |
| 감사 | 누가 무엇을 했는가? | 접속·권한변경·파일열람 로그 |
일반적인 접근 흐름은 식별 → 인증 → 인가 → 활동 기록입니다. 인증에 성공했어도 인가되지 않은 자료에는 접근할 수 없어야 합니다. 반대로 권한표에 이름이 있어도 현재 사용자가 그 사람인지 인증하지 못하면 안전한 접근통제가 되지 않습니다.
NIST 문서에서 authorization은 시스템 운영을 공식 승인한다는 뜻으로도 쓰입니다. 이 글에서는 인증과 대비되는 접근권한의 허용·거부라는 의미로 사용합니다.
인증요소 세 가지
- 아는 것: 비밀번호, PIN
- 가진 것: 보안토큰, 스마트카드, 등록된 기기
- 본인 특성: 지문, 얼굴 등 생체정보
다중요소 인증(MFA)은 서로 다른 종류의 요소를 둘 이상 결합합니다. 비밀번호 두 개는 모두 ‘아는 것’이므로 다중단계일 수는 있어도 일반적인 의미의 다중요소는 아닙니다.
5. 자산·위협·취약점·위험
| 용어 | 핵심 뜻 | 예 |
|---|---|---|
| 자산 | 조직이 가치 있게 보호해야 할 대상 | 고객정보, 서버, 서비스, 평판, 인력 |
| 위협 | 손실을 일으킬 잠재력이 있는 사건·상황 | 공격자, 화재, 실수, 악성코드, 정전 |
| 취약점 | 위협이 이용하거나 촉발할 수 있는 약점 | 약한 비밀번호, 미패치, 단일 전원 |
| 영향 | 사건 발생 시 생기는 손실의 크기 | 업무중단, 과징금, 복구비용, 신뢰 하락 |
| 가능성 | 사건이 실제로 발생할 개연성 | 공격 노출도·위협 능력·통제 수준 반영 |
| 위험 | 가능성과 악영향을 함께 고려한 정도 | 높음·중간·낮음 또는 정량값 |
NIST는 위험을 잠재적 사건에 의해 위협받는 정도로 설명하며, 일반적으로 사건이 발생할 가능성과 발생했을 때의 악영향의 함수로 봅니다. 시험용으로는 다음 관계를 기억하면 됩니다.
위협이 취약점을 이용하면 자산에 영향이 생기며, 그 가능성과 영향의 크기로 위험을 판단한다.
한 사례로 연결
인터넷에 공개된 학사관리 서버가 있고 관리자 비밀번호가 기본값이라고 가정해 봅시다.
- 자산: 학생 개인정보와 학사서비스
- 위협: 외부 공격자의 계정 탈취 시도
- 취약점: 기본 비밀번호와 인터넷 노출
- 영향: 개인정보 유출·성적 변조·서비스 중단
- 통제: 기본 계정 변경, MFA, 접근원 제한, 로그 경보
- 잔여위험: 통제 후에도 남는 피싱·내부자·설정 오류 위험
6. 위험평가와 위험처리
- 범위와 자산 식별: 어떤 업무·정보·시스템을 평가할지 정합니다.
- 위협과 취약점 식별: 가능한 사고와 약점을 찾습니다.
- 가능성과 영향 평가: 기존 통제를 고려해 위험 수준을 정합니다.
- 처리 우선순위 결정: 허용 기준을 넘는 위험부터 대응합니다.
- 통제 후 재평가: 잔여위험이 수용 가능한지 확인합니다.
| 처리 | 뜻 | 예 |
|---|---|---|
| 회피 | 위험을 만드는 활동을 중단·변경 | 불필요한 인터넷 공개 기능 폐지 |
| 완화 | 가능성이나 영향을 통제로 낮춤 | MFA·패치·이중화 적용 |
| 공유·이전 | 계약·보험 등으로 일부 부담을 나눔 | 사이버보험, 전문서비스 계약 |
| 수용 | 근거와 책임 아래 잔여위험을 받아들임 | 비용·영향을 검토한 공식 승인 |
위험을 이전했다고 책임과 위험이 모두 사라지는 것은 아닙니다. 공급업체 장애로 서비스가 멈추면 조직의 업무영향은 남을 수 있으므로 계약·감독·대체계획이 필요합니다.
7. 통제는 예방·탐지·복구가 함께 있어야 함
| 기능 | 목적 | 예 |
|---|---|---|
| 예방 | 사고 가능성을 줄임 | 접근통제, 안전한 설정, 패치 |
| 탐지 | 사건과 이상을 빠르게 발견 | IDS, 로그분석, 무결성 점검 |
| 교정·복구 | 피해를 멈추고 정상 상태로 복원 | 격리, 재설정, 백업 복구 |
| 억제 | 공격 시도 의지를 낮춤 | 경고문, 책임·제재 고지 |
예방 통제가 실패할 수 있다는 전제로 탐지와 복구를 함께 설계해야 합니다. 하나의 목표에 여러 층의 통제를 두는 것을 심층방어로 이해하면 됩니다.
객관식에서 자주 틀리는 5가지
- “암호화는 무결성만 보장한다” → 암호화의 대표 목적은 기밀성이며, 무결성은 인증된 암호 방식·MAC·서명 등 별도 성질을 확인해야 합니다.
- “인증 성공은 모든 자원 접근 허용이다” → 인증 뒤에도 자원별 인가가 필요합니다.
- “비밀번호 두 개면 MFA다” → 같은 요소 두 개가 아니라 서로 다른 요소 종류를 결합해야 합니다.
- “취약점은 공격자다” → 공격자는 위협원, 취약점은 공격자가 이용할 수 있는 약점입니다.
- “위험 이전으로 조직 위험이 0이 된다” → 책임·업무영향·잔여위험이 남을 수 있습니다.
80자 내외 서술형 연습 답안
아래 문장은 기출문제가 아니라 공식 범위를 바탕으로 직접 만든 연습용 답안입니다.
- 기밀성
정보가 허가받지 않은 사람·프로세스에 공개되지 않도록 접근과 노출 범위를 제한하는 보안 속성이다. - 무결성
정보와 시스템이 허가 없이 변경·파괴되지 않고 정확성과 완전성을 유지하도록 보호하는 속성이다. - 가용성
권한 있는 사용자가 필요한 시점에 정보와 서비스를 적시에 신뢰성 있게 이용할 수 있는 속성이다. - 인증과 인가
인증은 사용자의 신원을 확인하고, 인가는 인증된 사용자가 수행할 수 있는 행위와 자원을 결정한다. - 위협·취약점·위험
위협은 손실 가능 사건, 취약점은 이용 가능한 약점이며 위험은 발생 가능성과 악영향을 함께 본 정도다. - 잔여위험
보안통제를 적용한 뒤에도 남아 있는 위험으로, 수용 기준과 책임자의 판단에 따라 추가 처리 여부를 정한다.
5분 셀프 테스트
- 성적표의 점수가 몰래 바뀌었다면 직접 침해된 CIA 요소는?
- 비밀번호 확인과 관리자 메뉴 접근 판단은 각각 인증인가, 인가인가?
- 비밀번호와 OTP를 함께 쓰는 것은 왜 MFA인가?
- 위협·취약점·위험을 한 문장으로 연결해 보세요.
- 위험 회피·완화·공유·수용을 각각 한 가지 예로 설명해 보세요.
정답 확인
1. 무결성 2. 인증, 인가 3. 아는 것과 가진 것이라는 서로 다른 요소를 결합했기 때문 4. 위협이 취약점을 이용할 가능성과 그 영향을 함께 고려해 위험을 판단 5. 본문의 위험처리 표와 비교
오늘의 마무리 체크
- CIA를 정의·침해사례·통제로 연결할 수 있는가?
- 식별·인증·인가·감사의 순서를 구분하는가?
- 인증요소 세 종류와 MFA 조건을 설명할 수 있는가?
- 자산·위협·취약점·영향·위험을 사례 하나로 묶을 수 있는가?
- 통제 적용 뒤 남은 잔여위험을 설명할 수 있는가?
전체 범위로 돌아가려면 독학사 3단계 정보보호 공부내용 총정리를 확인하세요.
공식 자료
- 국가평생교육진흥원 독학학위제 과목별 평가영역
- NIST FIPS 199, CIA 보안목표와 영향 분류
- NIST FIPS 200, 기본 보안 용어와 요구사항
- NIST SP 800-63-4, Digital Identity Guidelines
- NIST CSRC Glossary: Security와 CIA 정의
- NIST CSRC Glossary: Authentication
- NIST CSRC Glossary: Authorization
- NIST CSRC Glossary: Threat
- NIST CSRC Glossary: Vulnerability
- NIST CSRC Glossary: Risk
- NIST SP 800-30 Rev.1, Guide for Conducting Risk Assessments
이 글은 2026년 7월 10일 기준 학습용 요약입니다. NIST 온라인 용어집은 여러 NIST·CNSSI 문서의 정의를 모은 자료이므로, 각 정의는 원 출처의 맥락과 함께 확인해야 합니다.
'학위공부 > 독학사 요점정리' 카테고리의 다른 글
| [독학사 3단계/정보보호] 버퍼 오버플로·레이스 컨디션과 시스템 보안 (3일차) (0) | 2026.07.11 |
|---|---|
| [독학사 3단계/정보보호] 대칭키·비대칭키·해시·전자서명 정리 (2일차) (0) | 2026.07.11 |
| [독학사 3단계/컴퓨터공학] 정보보호 공부내용 총정리 (2026 평가영역) (0) | 2026.07.10 |
| [독학사/컴공/컴퓨터네트워크]8.네트워크 관리 및 보안 (0) | 2020.07.01 |
| [독학사/컴공/컴퓨터네트워크]7.응용 계층 (0) | 2020.07.01 |