시스템 보안 위협 유형 - 정보 보안전문(보안의 3대 요소)과 인증 침해를 이해하기

핵심 인사이트 (3줄 요약)

1. 본질: 정보 보안의 3대 목표는 기밀성(Confidentiality), 무결성(Integrity), **가용성(Availability)**이며, 이에 **인증(Authentication)**을 더하여 4가지 보안 위협 유형으로 분류한다.
2. 가치: 이 **분류 체계(CIA+Auth)**를 통해 다양한 해킹 공격을 체계적으로 분석하고, 각 위협 유형에 대응하는 보안 기술을 적용할 수 있다.
3. 한계: 실제 공격은 여러 위협 유형을 조합하여 발생하므로,单一(단일) 기술만으로는 완벽한 보안을 달성할 수 없다.

1. CIA Triad: 정보 보안의 3대 요소

1.1 기밀성 (Confidentiality)

"인가된 사람만이 정보에 접근할 수 있다"

1.2 무결성 (Integrity)

"정보가 권한 없이 변조되지 않는다"

1.3 가용성 (Availability)

"정보와 시스템에 필요할 때 접근할 수 있다"

2. 4가지 주요 위협 유형详解

2.1 가로채기 (Interception): 기밀성 침해

[ 통신 흐름 ]
 Sender  ----(데이터)---->  Receiver
              ^
              |
         【해커가 도청】

예시:

• 네트워크 스니핑
• 이메일 가로채기 -通话(통화) 도청

대응 기술:

• TLS/SSL 암호화
• VPN
• 암호화 통신

2.2 변조 (Modification): 무결성 침해

[ 통신 흐름 ]
 Sender  ----(정상 데이터)--->  Receiver
              【해커가 데이터 변조】
              ----(변조된 데이터)--->  Receiver

예시:

• 데이터 변경 공격
• DNS Spoofing
• HTTPS 프로토콜ダウングレード(다운그레이드)

대응 기술:

• 데이터 무결성 검사 (Hash/MAC)
• 디지털 서명
• 프로토콜 보안

2.3 차단 (Interruption): 가용성 침해

[ 통신 흐름 ]
 Sender  -X-(데이터)-X->  Receiver
         【해커가 통신 차단】

예시:

• DDoS 공격
• 랜섬웨어
• 시스템 파일 삭제

대응 기술: -防火墙(방화벽)

• DDoS 방어 시스템
• 백업 및 복구

2.4 위조 (Fabrication): 인증 침해

[ 통신 흐름 ]
  (진짜 Sender 없음)
 【해커가 가짜 Sender 역할】
              ----(가짜 데이터)--->  Receiver

예시:

• IP Spoofing
• 신원 도용 -Session(세션) 하이재킹

대응 기술:

• Authentication (인증) -デジタル署名(디지털 서명)
• 인증서

3. CIA Triad의優先순위

3.1 기관별優先순위

3.2 Trade-off 관계

세 가지 목표는 상호 Trade-off 관계에 있다:

[ 예시 ]
기밀성을 높이면 -> 복잡한 암호화 -> 가용성 저하
무결성을 높이면 -> 많은 검증 -> 성능 저하

4. 기대효과 및 결론

• 체계적 분석: 위협을 4가지 유형으로 분류하여 체계적으로 분석 가능
• 적절한 대응: 위협 유형에 따라 적합한 보안 기술 선별 가능
• 총체적 보안: 여러 기술을 조합한 다층 방어(Defense in Depth) 필요

관련 개념 맵 (Knowledge Graph)

👶 어린이를 위한 3줄 비유 설명

1. 기밀성은 놀이공원에서 **"비밀번호 없이는 입장 불가"**와 같다. 비밀번호를 모르는 사람은 놀이시설을 탈 수 없다.

2. 무결성은 놀이공원에서 **"표시가 있는 표찰"**과 같다.표찰에 표시된 내용을勝手に(승강장에) 변경할 수 없어야 한다.

3. 가용성은 놀이공원에서 **"언제든 입장 가능"**과 같다. 놀이시설이 고장나면 아무도 놀지 못한다.

4. 인증은 놀이공원에서 **"본인 확인"**과 같다. 신분증을 제시하여 "진짜 Alice 맞구나"를 확인하는 것과 같다.