[보안] 정보 시스템에서 지켜야할 정보 보안

정보 시스템(웹 애플리케이션 포함)에서 지켜야 할 정보 보안 3가지

 1. 제삼자에 대한 정보 유출 방지(기밀성)

 2. 제삼자의 악의적인 정보 수정 방지(완전성)

 3. 적절한 권한을 가진 사람이 적절한 정보를 이용할 수 있게 할 것(가용성)

기밀성 - 제삼자에 대한 정보 유출 방지

 가장 문제가 되기 쉬운 보안 위험

 예) 쇼핑몰 사이트가 관리하던 고객 정보가 제삼자에게 유출되어 악용 / 시스템의 로그인 정보등이 유출되어 악의적인 정보 수정이나 서버 공격을 당함

 유출된 정보의 소유자인 고객의 피해는 물론이며, 그 시스템을 운영하는 기업은 신뢰를 잃고, 최악의 경우 회사 경영에 지대한 영향을 미치는 문제로 발전할 수 있음

완전성 - 제삼자의 악의적인 정보 수정 방지

 본래의 사용자나 시스템을 운영하는 기업에 불이익을 줄 수 있음

 예) 은행 계좌의 잔액 또는 쇼핑몰의 포인트를 부정하게 변경 / 기업이나 정부 기관의 웹 사이트를 제삼자가 마음대로 고치거나, 의도하지 않은 정보를 발산하거나, 컴퓨터 바이러스를 감염시키는 부정 사이트로 유도하는 등의 문제 발생

가용성 - 적절한 권한을 가진 사람이 적절한 정보를 이용할 수 있게 할 것

 본래 제공해야 할 정보나 서비스를 사용자에게 제공하지 못함

 본래 제공해햐하지 않을 정보나 서비스를 권한이 없는 사용자에게 제공함

 정보나 서비스를 제공하는 대상이 고객이라면, 사회적 신뢰의 실추나 배상 문제로 발전하며, 자사의 업무에 사용하는 시스템이라면 업무를 수행할 수 없는 등 직접적인 타격을 입음

웹 애플리케이션의 보안 문제

 웹 애플리케이션은 인터넷의 성립과 HTTP, WWW 등을 이용하여 발전되면서 널리 이용되고 있고, 인터넷을 통해 누구나 이용할 수 있는 특성이 약점으로 작용해 위같은 보안 문제가 빈발하고 있음

 현재는 시스템에 대한 다양한 공격 수법이 고안되어 있으며, 웹 애플리케이션의 보안 대책을 실시하려면 공격 수법과 그 영향, 그리고 그러한 공격을 막기 위한 대책을 공부해야 함