컴퓨터 보안(computer security)이란?
여러 가지 위협으로부터 정보를 보호하는 정보보호(information security, 정보보안)의 한 영역으로써 컴퓨팅 환경에 저장되거나 처리되는 정보를 다양한 위협으로부터 보호하기 위한 정책 및 기법 등을 말하며 여기서 위협이란 권한을 부여받지 않은 자가 허락 없이 어떠한 정보를 접근, 수정, 훼손, 유출 등을 하는 것을 의미한다.
🍫 정보보호의 대표적인 목표
- 기밀성
- 무결성
- 가용성
1. 기밀성 (confidentiality)
정보에 대한 접근권한이 없는 사용자가 정보의 내용을 알 수 없도록 하는 것.
즉, 은행이나 기타 개인정보와 같은 기밀정보를 보호하는 것이며 보안을 지키지 위해 접근 자체를 못하도록 막거나 만약 정보에 접근하더라도 암호화된 정보(숫자나 그림 등과 같은 무의미한 내용)로 제3자가 봤을 때 어떤 내용인지 알 수 없도록 하는 방식이 가능하다.
2. 무결성 (integrity)
기밀성과 마찬가지로 접근권한이 없는 사용자가 정보를 수정하지 못하도록 하는 것.
너무나 당연하지만 예를 들어 은행DB에 저장되어있는 개인정보를 중간에 제3자가 임의로 수정하려 했을 때 못하도록 보호하는 것이다. 또한 고객 본인이 자신의 정보를 조회할 때 DB로부터 정보를 전달받는 과정과 제3자로 인해 임의로 수정이 됐을 경우 이를 확인할 수 있는 것도 포함된다.
3. 가용성 (availability)
기밀성, 무결성과 다르게 정보 본인에게 해당되며 정보에 접근하고자 할 때 방해받지 않도록 하는 것.
즉, 본인이 필요할 때는 언제든지 정보를 사용할 수 있어야 하고 즉시 조회가 가능하며 정해진 시간 내에 볼 수 있는 것을 보장한다.
4. 이외에 부인방지(non-repudiation), 인증(authentication), 접근제어(access control) 등이 있다.
💾 컴퓨터 / 인터넷 / 개인용 컴퓨터의 등장
컴퓨터는 컴퓨터의 이론적인 개념을 정립한 수학자이며 컴퓨터 과학자인 앨런 튜링(Alan Turing)부터 살펴보아야 한다.
그는 제2차 세계대전 당시 연합군의 암호분석가로 활동했는데 통신내용의 보안을 위해 에니그마(Enigma)를 이용해 매일 설정을 바꿨던 독일군의 암호문을 해독할 수 있는 일반적인 방법을 고안해내었다. 그리고 이를 바탕으로 콜로서스(Colossus)란 장치를 개발하여 마침내 수수께끼 같았던 독일군의 암호문을 해독하였다.
에니그마 머신 - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. 에니그마의 회전자(Roter) 에니그마(독일어: Enigma)는 회전자로 작동하는 암호 기계의 한 종류로, 그 이름은 고대 그리스어로 '수수께끼'를 뜻하는 아이니그마(고대 그리스어: αἴνιγμα)라는 말에서 따온 것이다. 암호의 작성과 해독이 가능하며 보안성에 따라 여러 모델이 있다. 1918년 독일인 아르투르 슈르비우스에 의해 처음 고안되어 상업적 목적으로 사용되었다. 특히 제2차 세계 대전 중 나치 독일이 군기밀을
ko.wikipedia.org
콜로서스 (컴퓨터) - 위키백과, 우리 모두의 백과사전
위키백과, 우리 모두의 백과사전. Colossus Computer도로시 두 보리슨과 엘시 부커가 콜로서스 마크 2를 실행하고 있는 모습세대1세대 컴퓨터CPU진공관과 사이러트론. 마크 1에서는 1600개, 마크 2에서는 2400개가 사용되었다. 또한 릴레이와 스테핑 스위치등이 장치된 커스텀 회로컨트롤러콘솔 스위치, 플러그 패널과 종이 테이프를 읽기 위한 포토셀사용 매체종이 테이프저장 매체종이 테이프 루프안의 ≤ 20 000 × 5-비트 문자RAM없음 콜로서
ko.wikipedia.org
이후 1950년대 ~ 1960년대를 거치며 메인프레임 형태의 컴퓨터가 개발되기 시작했다. 주로 기관이나 학교 등에서 이용했는데 이때 MIT 학생들이 만든 TMRC(Tech Model Railroad Club)라는 모임으로 인해 해커(hacker)라는 용어가 등장하게 되었다. 요즘 보안을 악의적으로 위협하는 사람을 해커라고 하지만 사실 그러한 행위를 하는 사람은 크래커(cracker)라고 하며 해커는 컴퓨터와 정보보안에 능통한 전문가를 뜻한다.
인터넷과 개인용 컴퓨터(Personal Computer, PC)의 등장은 1960년대 후반, 미국 국방부에서 개발하기 시작한 ARPANET(Advanced Research Projects Agency Network)으로부터 시작되었다. 초기에는 단순한 형태의 연결망이었으나 애플컴퓨터의 개인용 컴퓨터가 등장했던 1970년대를 거쳐 IBM이 애플보다 저렴한 PC를 판매, 인터넷 표준 통신 프로토콜인 TCP/IP가 개발되어 컴퓨터가 본격적인 대중화를 맞이했던 1980년대에는 상당히 복잡한 형태의 네트워크로 발전하였다. 하지만 인터넷과 PC를 이용할 수 있는 접근성이 낮아지며 그에 따른 보안의 필요성도 증가하게 되었다.
특히 1980년대 후반 인터넷을 통해 전파된 최초의 웜, 모리스 웜(Morris Worm)으로 인해 수천 대의 UNIX 컴퓨터를 감염되었는데 당시 인터넷상의 컴퓨터 수는 수만 대 정도였다고 하니 사회적으로 큰 이슈가 되었다고 한다. 이 사건을 계기로 미국에는 침해대응센터 CERT(Computer Emergency Response Team)를 만들었다고 한다.
물론 국내 침해대응센터도 있다.
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
인터넷을 통한 위협은 다양하고 지속적으로 발생하고 있다. 대표적인 사례로는, 2000년대 초 발생한 분산 서비스 거부 (Distributed Denial of Service, DDoS, 디도스)공격인데 당시 접속자가 많았던 유명한 사이트에 접속 불가한 상태가 몇 시간이나 지속되었다. 그리고 2010년대 중반부터 꾸준히 위협하고 있는 랜섬웨어(ransomware)는 PC를 감염시켜 저장되어 있는 문서나 그림 파일 등을 암호화해서 사용자 본인이 사용할 수 없도록 접근을 제한하는데 암호를 풀기 위해서는 금전적인 피해를 보게끔 유도하는 악성 소프트웨어이다. 이런 위협으로부터 정보를 보호하기 위해서는 미리 백업을 해두는 것이 중요하다.
다양한 위협으로부터 정보를 지키기 위한 법률도 있다. 미국에서 제정한 개인정보보호법(Privacy Act)은 1974년에, 유럽에서 제정한 개인정보보호법(GDPR)은 2016년에 제정해 실제 적용하기 시작한 시점은 2018년부터 라고 한다.
국내에서는 2001년 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제정, 2011년 개인정보 보호법 제정, 2015년 정보보호 산업의 진흥에 관한 법률 제정, 2018년 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(ISMS-P)를 하고 있다.
댓글