CIA(기밀성, 무결성, 가용성) 삼원체란 무엇인가?

CIA 삼원(기밀성, 무결성, 가용성)은 정보 보안의 기본 개념입니다. 본 가이드는 CIA 삼원론의 세 가지 핵심 요소를 살펴보고, 민감한 데이터를 보호하고 정보 시스템의 전반적인 보안을 보장하는 데 있어 그 중요성을 설명합니다.

조직의 데이터와 자원에 대해 원하는 수준의 기밀성, 무결성 및 가용성을 달성하고 유지하는 데 도움이 되는 다양한 보안 제어 및 모범 사례에 대해 알아보세요. 당사의 전문가 인사이트를 통해 한 발 앞서 나가 CIA 삼원론을 마스터하십시오.

CIA 트라이어드의 세 가지 구성 요소는 무엇인가요?

CIA 트라이어드의 각 구성 요소인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)은 수세기 전은 아니더라도 수십 년 전으로 거슬러 올라가는 여러 학문 분야의 뿌리를 가지고 있습니다. 컴퓨터 과학에서 기밀성에 대한 한 가지 언급은 1976년 공군 간행물에서 비롯되었습니다. 무결성은 1987년 컴퓨터 보안 정책에 관한 군사 논문에서 언급되었습니다. 데이터 기밀성에 대한 언급은 같은 시기에 점점 더 대중화되기 시작했습니다. 1990년대 후반에 이르러 컴퓨터 보안 전문가들은 이 세 가지의 조합을 CIA 트라이어드라고 부르기 시작했습니다. 이제 CIA 트라이어드와 그 세 가지 구성 요소를 더 자세히 살펴보겠습니다.

기밀성(Confidentiality)

데이터 소유자는 데이터의 기밀성을 보호하고 누구도 이를 누설하지 않도록 책임져야 합니다. 기업은 접근 권한을 가진 자에게만 데이터 접근을 허용하기 위해 접근 통제 수단을 사용해야 합니다. 기업은 데이터 접근 권한이 있는 직원과 없는 직원 간의 데이터 공유를 제한해야 합니다. 업무 중 비밀번호 공유는 접근 권한 공유로 기밀성을 훼손할 수 있습니다.

예를 들어 인사부서부터 고객 지원팀에 이르기까지 회사 내부자 중에는 지적 재산권과 같은 데이터에 접근할 필요도 없고 접근해서도 안 되는 직원이 있습니다. 그러한 데이터를 다루는 것은 그들의 직무 설명에 포함되지 않습니다. 데이터 소유자는 네트워크 분할, 암호화, 토큰화, 데이터 마스킹을 통해 기밀 데이터를 분리하여 정보를 추상화함으로써 누구도 이해할 수 없도록 할 수 있습니다.

이러한 도구들은 또한 데이터 접근을 제한하여 일부 고객 데이터에 접근이 필요한 고객 서비스 담당자가 모든 데이터에 접근하지 못하도록 할 수 있습니다. 암호화와 같은 도구는 데이터가 조직을 떠날 때도 따라갑니다. 개인 식별 정보(PII) 또는 보호 대상 건강 정보(PHI)가 위험에 처한 경우 특히 중요합니다.

데이터 보유자는 사이버 범죄자 및 권한 없는 직원이 데이터를 볼 수 없도록 하기 위해 다중 인증 (MFA)와 같은 특정 통제 및 기술을 구현해야 합니다. 그럼에도 불구하고, 공격자들은 피싱 및 기타 악용을 통해 데이터를 보거나 제어할 수 있는 위치에 있습니다. 접근 권한이 클수록 공격자는 네트워크 전반에 걸친 횡방향 이동을 통해 데이터를 수집할 가능성이 높아집니다.

공격자는 고객 데이터베이스, 신원 및 접근 제어, 지적 재산을 찾기 위해 측면 이동을 합니다. 신원 및 접근 제어는 그들에게 더 많은 접근 권한을 부여하고, 개인 데이터를 찾을 수 있는 더 많은 데이터베이스와 프로세스를 열어줍니다.

무결성

사람들은 오류, 손상 또는 변조되지 않은 신뢰할 수 있고 깨끗한 데이터를 신뢰합니다. 잘못된 데이터는 이를 통해 가치 있는 통찰력을 도출하는 분석가를 오도할 수 있습니다. 분석가가 잘못된 방향으로 비즈니스를 이끌도록 하는 통찰력을 제시할 경우, 회사는 제품 개발에 대한 투자를 낭비하게 되어 고객의 공감을 얻지 못하거나 의도한 대로 작동하지 않는 제품을 생산할 수 있습니다.

공격자는 침입 탐지 시스템(IDS)을 우회하고 내부 시스템에 무단 접근하여 실제 데이터에 도달하고 변경함으로써 데이터 무결성을 훼손할 수 있습니다. 허위 데이터는 IoT 및 OT 데이터의 잘못된 계산을 초래하여 데이터 센터, 댐, 발전소와 같은 시설 및 장비에 해로운 조치를 취하도록 시스템을 유도할 수 있습니다.

공개적이든 사적이든 데이터는 뉴스 사건, 제품, 서비스, 조직 및 인물을 적절히 반영해야 합니다. 해커 활동주의, 기업 스파이 활동, 선전은 데이터 무결성을 훼손하며 데이터를 변경하려는 잠재적 동기입니다.

사람들이 데이터 무결성에 대한 신뢰를 잃으면, 해당 데이터를 제시한 데이터 보유자에 대한 신뢰도 상실하게 됩니다. 조직은 평판, 고객, 수익을 잃을 수 있습니다.

가용성

사람, 프로세스, 기계가 접근할 권리가 있는 정확한 데이터도 접근할 수 없다면 무용지물입니다. 데이터를 유지, 보안 및 보호하는 저장 장치부터 이동 중인 데이터의 경로에 이르기까지 데이터를 이용 가능하게 하는 모든 것은 인증된 사용자에게 데이터를 전달해야 합니다. 공개 데이터는 엔드포인트 장치의 대외 인터페이스로 방해받지 않고 이동해야 합니다.

데이터를 이용 가능하게 하는 도구는 신뢰할 수 있어야 합니다. 피싱 공격이 이메일을 무력화시키면 합법적인 데이터와 거짓을 구분하기가 점점 더 어려워질 수 있습니다. 사람들이 통신 매체에 대한 신뢰를 잃으면, 더 이상 신뢰할 수 있는 데이터의 원천이 아니게 되어 데이터 가용성이 저하됩니다. 가짜 뉴스나 딥페이크 역시 마찬가지입니다. 이들은 인간의 목소리나 이미지를 모방하여 허위 정보를 유포할 수 있습니다.

실시간 데이터, 자동화, 그리고 데이터 가용성에 의존하는 기술 및 서비스 환경에 대한 가정과 기대 속에서, 가용성은 기밀성이나 무결성 못지않게 중요합니다. 가동 중단은 데이터 접근 불가로 이어질 뿐만 아니라, 시스템 운영에 필요한 데이터의 가용성 부족 역시 가동 중단을 초래할 수 있습니다.

CIA 삼원칙의 어느 한 특성도 다른 특성을 무효화할 수 없습니다. 조직이 접근 권한이 있는 자에게 데이터를 제공하더라도, 다른 집단이나 개인이 볼 수 없는 기밀 부분이 노출되거나 데이터 가용성을 확보하는 과정에서 무결성이 훼손될 위험을 감수해서는 안 됩니다.

조직이 CIA 삼원론을 사용해야 하는 이유는 무엇인가?

CIA 삼원론을 사용하는 조직은 세 가지 상위 목표를 통해 정보 보안의 많은 목표를 달성합니다. 조직이 데이터를 기밀로 유지하면 위협 행위자는 접근하지 못합니다. 접근하지 못하면 피싱이나 랜섬웨어와 같은 공격의 궁극적 목표가 실패합니다. 조직이 데이터 무결성을 유지하면, 데이터는 랜섬웨어 공격으로 암호화되지 않으며, 변경되거나 삭제되거나 올바르지 않은 형태로 다른 곳에 표시되지도 않습니다.

조직이 데이터 가용성을 유지하면, 위협 행위자가 데이터를 삭제하거나 데이터를 사용할 수 있게 하는 인프라를 무력화시키지 못합니다. 조직이 데이터 가용성을 유지할 때, 데이터는 조직과 구성원에게 가치를 실현합니다. 모든 조직의 데이터 보안 목표는 CIA 트라이어드를 출발점으로 삼고 모든 보안 노력을 이에 연결함으로써 달성 가능합니다.

공격자의 사이버 킬 체인 전 단계에 CIA 삼원칙을 적용함으로써, 조직은 킬 체인의 단계를 방해하고 사이버 사건이 목표에 도달하기 전에 차단할 수 있습니다.

결론

CIA 트라이어드는 데이터의 기밀성, 무결성 및 가용성을 보호하여 데이터 보안을 달성하기 위한 프레임워크입니다. CIA 트라이어드를 활용하여 조직은 무단 접근을 차단하여 데이터의 기밀성을 유지하고, 랜섬웨어 공격으로부터 데이터를 백업 및 무결성을 유지하며, 데이터의 가용성을 확보합니다. 적절한 당사자에게 데이터가 제공되지 않는다면, 이는 데이터가 존재하지 않는 것과 같습니다.

FAQs