CIA 보안 3요소란 무엇인가?
CIA는 정보 보안(infosec) 팀에서 보안 통제 및 시스템의 목록을 작성하는 데 사용하는 프레임워크 및 모델이다. 그것은 가용성, 무결성, 기밀성의 CIA 보안 3요소라고도 한다. 이것의 목적은 특벙 기술, 프레임워크, 시스템에 구애되지 않으면서 정보 보안 정책을 평가하고 시행할 수 있는 표준 절차를 제시하는 것이다.
기밀성
기밀성은 인가되지 않은 사람들에게 정보를 숨기는 것이다. 비밀로 해야 할 정보가 비밀로 남아있다면 기밀성을 달성한 것이다.
무결성
무결성은 정보에 대한 인가되지 않은 부정한 변경을 방지하는 것이다. 그것은 모든 정보보안 조직에서 반드시 따라야 하는 것이다. 또한 그것은 데이터의 일관성, 정확성, 신뢰성을 줄곧 유지할 수 있는 방법이기도 하다. 데이터의 보안은 완벽해야 하며 인가되지 않은 어떠한 접근도 허용해서는 안 된다. 이러한 것들을 돕는 조치에는 파일 퍼미션과 사용자 접근 데어가 포함된다.
가용성
가용성은 데이터의 정시성과 신뢰할 수 있는 접근을 가리킨다. 데이터에서 정보로, 정보에서 가치로 가는 경로는 만약 정보를 제때 사용할 수 없다면 그것이 무가치해짐을 의미한다. 분산 서비스 거부(Distributed denial-of-service, DDOS)와 랜섬웨어 공격은 범죄자가 지닌 가장 강력한 무기이며, 이러한 공격은 접근 권한을 가진 사람들이 정보에 접근하지 못하게 만든다.
블록체인의 기밀성
블록체인 기술은 디지털 생태계에서 운영되는 컴퓨팅 기술이므로 근본적인 보안 과제에 주의를 기울이는 것이 중요하다.
현존하는 모형에서의 기밀성
비트코인에는 별다른 제약이 없어서 클라이언트 소프트웨어를 가진 사람은 누구나 블록 생성 혹은 채굴 과정에 참여할 수 있다. 블록체인에 있어서 기밀성이란 네트워크 상에서 원하지 않는 참가자에게는 거래 정보를 숨기는 것이다. 그렇지만 비트코인과 같은 공중 블록체인은 개방돼 있고 참여를 제한할 수 없기 때문에 기밀성을 확보하는 것이 매우 어렵다.
비즈니스, 블록체인, 기밀성
비즈니스에 있어서 기밀성은 고객 및 그 밖의 이해당사자 사이에서 더 나은 신뢰를 구축하기 위한 사이버 보안 공간의 핵심 요소다. 허가현 블록체인은 미리 선정된 참가자만 분산 원장 네트워크의 데이터에 접근하도록 허용하므로 상당한 이점이 있다.\
하이퍼레저 해브릭에서의 기밀성 확보
하이퍼레저 패브릭에서는 라이브러리 파일을 호출해서 손쉽게 기밀성을 확보할 수 있다.
블록체인의 무결성
클라우드에 보내는 데이터에는 암호화를 적용하는 것이 일반적이다. 그러나 암호화는 내부 공격에 대해서만 확실한 기밀성을 제공할 수 있다. 그것은 구성 오류, 소프트웨어 버그, 스파이 시도 등으로 인한 손상으로부터 데이터를 보호할 수 없다.
현재 블록체인 네트워크의 무결성
무결성은 데이터의 조작을 피하는 방법이다. 블록체인은 원장이 조작되지 않도록 암호학의 해싱을 사용한다. 이러한 해시 함수의 주요 특징으로는 항상 단방향으로만 작동한다는 것을 들 수 있다. 해시 결과 또는 메시지 다이제스트로부터 데이터를 얻어내는 것은 논리적으로 불가능하다.
블록 배열과 불변성
각 노드는 블록들이 연결된 형태오 원장을 저장하며 새 블록의 생성은 이전 블록의 해시에 의존한다. 이것은 원장의 블록을 악의적으로 조작하지 못하도록 한다.
하이퍼레저의 무결성 확보
하이퍼레저 패브릭은 분산 원장 기술을 채택하고 있지만 다른 것들과 구분되는 몇 가지 주요한 특징이 있다. 피어를 승인하는 것은 항상 원장에 새로운 블록을 추가하기 전에 그것을 검증한다. 피어가 해킹될 경우 원장이 위함해질 수 있다.
블록체인의 가용성
비즈니스 애플리케이션을 사용하려면 네트워크(공중 혹은 사설)을 통해야 하며, 이러한 애플리케이션은 필요할 때 접근할 수 있어야지만 가치가 있다. 블록체인은 클라우드에서 구동되는 소프트웨어 애플리케이션이며 깨지거나 방해받지 않을 떄에만 가치가 있다. 블록체인이 사용자에게 보여지는 것은 탈중앙화된 애플리케이션(dApp)이며 그것이 항상 사용 가능하려면 프런트와 백엔드 시스템이 매끄럽게 연동돼야 한다.
현재 블록체인 네트워크의 가용성
디도스 같은 사이버 공격은 인터넷 서비스에 막대한 피해를 끼치며 웹사이트에 접근할 수 없게 만듦으로써 사업체에 큰 손실을 끼친다. 그러나 탈중앙화된 블록체인으로 구현된 애플리케이션을 공격하는 것은 어렵다.
단일 실패지점(single point of failure) 발생 방지
블록체인의 노드 한 군데가 작동하지 않더라도 네트워크 상의 나머지 노드에서 정보에 접근할 수 있다. 모든 노드가 원장의 정확한 사본을 유지하므로 그것은 항상 최신 상태다. 네트워크 상의 모든 노드는 논리적으로 자체 원장을 가지고 탈중앙화돼 있으므로 시스템 장애의 가능성이 전혀 없다.
사업과 가용성
블록체인의 가용성은 유효한 거래가 성공적으로 일어나는가에 달려 있다. 모든 사업체에 있어 거래 기록을 유지하는 것은 핵심적인 기능이며, 이러한 거래에는 사업 활동, 자산 항목, 공급망 관리 기록 같은 것이 있다.
출처: 블록체은으로 구현하는 사이버 보안, 라즈니쉬 굽타 지음
'Block Chain > 블록체인으로 구현하는 사이버 보안' 카테고리의 다른 글
| [블록체인] 7장, 블록체인과 이중 인중 (0) | 2021.04.06 |
|---|---|
| [블록체인] 6장, 블록체인으로 PKI 신원 식별 구축하기 (0) | 2021.03.30 |
| [블록체인] 4장, 하이퍼레저: 비즈니스용 블록체인 (0) | 2021.03.21 |
| [블록체인] 3장, 블록체인과 이더리움 (0) | 2021.03.15 |
| [블록체인] 2장, 보안의 진화 (0) | 2021.03.15 |