정보보호 개요와 관리체계 - CIA, ISMS, CC, 법제
요약
정보보호의 핵심 3요소(CIA)부터 관리체계(ISMS, ISMS-P, ISO 27001), 제품 평가 기준(CC, EAL), 개인정보 보호 관련 법(개인정보보호법, 정보통신망법, GDPR), 가명화와 익명화까지 정보처리기사 실기 대비용으로 정리합니다.
정보보호 한눈에 보기 쌩기초
정보보호는 단일 주제가 아니라 여러 층위로 구성됩니다. 아래 5축을 기억하면 관련 문제가 어느 축에서 묻는지 금방 판별할 수 있습니다.
| 축 | 핵심 질문 | 대표 용어 |
|---|---|---|
| 3요소 (CIA) | 정보를 지킬 때 무엇을 지키는가? | 기밀성·무결성·가용성 |
| 확장 속성 | CIA 외에 추가로 보장할 것은? | 인증·부인방지·책임추적성 |
| 관리체계 | 조직 차원에서 어떻게 운영하는가? | ISMS, ISMS-P, ISO/IEC 27001 |
| 제품 평가 기준 | 보안 제품을 어떻게 신뢰할 수 있는가? | CC (Common Criteria), EAL |
| 법·제도 | 개인정보를 어떻게 법으로 보호하는가? | 개인정보보호법, GDPR, 가명화·익명화 |
CIA 쌩기초
CIA(Confidentiality·Integrity·Availability) 는 정보보호에서 가장 기본이 되는 3요소입니다. 세 요소의 영문 첫 글자가 CIA라는 약어를 만듭니다.
| 요소 | 영문 | 의미 | 파괴되었을 때의 예 |
|---|---|---|---|
| 기밀성 | Confidentiality | 인가된 사용자만 정보에 접근 | 외부인이 고객 DB를 훔쳐봄 (유출) |
| 무결성 | Integrity | 정보가 변경·손상되지 않음 | 해커가 성적 데이터를 조작 (위변조) |
| 가용성 | Availability | 필요할 때 정보에 접근 가능 | DDoS로 서비스가 다운됨 (차단) |
- 기밀성 파괴 = 몰래 본다
- 무결성 파괴 = 몰래 바꾼다
- 가용성 파괴 = 못 쓰게 한다
확장 보안 속성 기초
CIA만으로는 부족한 상황이 있어 다음 속성을 추가로 요구합니다.
| 속성 | 영문 | 의미 |
|---|---|---|
| 인증 | Authentication | "당신이 정말 그 사람이 맞는가?"를 확인 (비밀번호·생체인증·OTP) |
| 부인방지 | Non-repudiation | 어떤 행위를 한 사람이 "나는 안 했다"고 부인하지 못하게 함 (전자서명) |
| 책임추적성 | Accountability | 누가 언제 무엇을 했는지 추적 가능 (감사 로그) |
| 신뢰성 | Reliability | 시스템이 일관되게 의도한 대로 동작 |
부인방지와 책임추적성은 비슷해 보이지만 방향이 다릅니다. 부인방지는 "당사자가 나중에 부인하는 것을 막는" 법적 보호 장치이고, 책임추적성은 "운영자가 누가 무엇을 했는지 뒤쫓는" 관리 목적입니다.
RTO와 RPO 기초
장애·재해가 발생했을 때 얼마나 빨리 복구할 것인가, 그리고 얼마만큼의 데이터 손실 까지 받아들일 것인가를 정량적으로 정한 목표 지표가 RTO 와 RPO 입니다. CIA 3요소 중 가용성(Availability) 을 운영 차원에서 숫자로 표현한 셈입니다.
| 지표 | 영문 | 측정 대상 | 한 줄 정리 |
|---|---|---|---|
| RTO | Recovery Time Objective | 시간 | 장애 발생 후 정상 가동까지 허용 시간 |
| RPO | Recovery Point Objective | 데이터 | 손실을 허용할 수 있는 데이터 양(시점) |
- RTO 예시: "전자상거래 시스템은 장애 발생 후 4시간 안에 복구해야 한다" → RTO = 4시간
- RPO 예시: "결제 DB는 1시간 분량 데이터까지만 손실을 허용한다" → RPO = 1시간 → 적어도 1시간 단위 백업·복제 필요
BCP·DRP와의 관계
- BCP(Business Continuity Plan, 업무 연속성 계획): 재해·장애 상황에서도 핵심 업무가 끊기지 않도록 만드는 종합 계획. 사람·프로세스·시스템·외부 협력까지 포함
- DRP(Disaster Recovery Plan, 재해 복구 계획): BCP의 한 갈래로, IT 시스템 복구 에 초점을 맞춘 세부 계획
- RTO·RPO 는 BCP·DRP를 수립할 때 각 시스템별로 개별 산정 하여 백업 주기, 이중화 수준, 재해 복구 센터(DR Site) 등급을 결정하는 근거가 됩니다.
ISMS 쌩기초
ISMS(Information Security Management System) 는 조직의 정보자산을 보호하기 위해 구축·운영하는 정보보호 관리체계입니다. 기술만 도입하는 것이 아니라, 정책 수립 → 실행 → 점검 → 개선의 사이클로 조직 전체가 체계적으로 정보보호를 운영하도록 만드는 프레임워크입니다.
- 주관 기관: 국내의 경우 KISA(한국인터넷진흥원) 가 ISMS 인증을 운영
- 인증 대상: 주요 정보통신서비스 제공자, 일정 규모 이상의 기업
- 인증 절차: 신청 → 예비 점검 → 심사 → 인증위원회 심의 → 인증서 발급 (3년 유효, 매년 사후관리)
- 구성: 관리체계 수립·운영 16개 항목 + 보호대책 64개 항목
ISMS-P 기초
ISMS-P(Personal Information & Information Security Management System) 는 기존 ISMS에 개인정보보호(Privacy) 요구사항을 결합한 확장 인증입니다. 2018년 11월에 ISMS와 PIMS(Personal Information Management System)가 통합되어 출범했습니다.
| 인증 | 보호 대상 | 인증 영역 |
|---|---|---|
| ISMS | 정보자산 전반 | 관리체계 + 보호대책 |
| ISMS-P | 정보자산 + 개인정보 | 관리체계 + 보호대책 + 개인정보 처리단계별 요구사항 |
- ISMS-P는 ISMS의 상위 개념. 개인정보를 대량 처리하는 기업(쇼핑몰·포털·통신사 등)은 ISMS-P를 받는 것이 일반적
- P는 Privacy(개인정보) 를 의미
ISO/IEC 27001 기초
ISO/IEC 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 공동 제정한 국제 정보보안 관리 표준입니다. ISMS의 국제 버전에 해당하며, 전 세계 어느 나라 조직이든 공통으로 따를 수 있는 프레임워크를 제공합니다.
- 핵심 구조: PDCA 사이클 (Plan-Do-Check-Act) — 계획 → 실행 → 점검 → 개선의 순환
- Annex A: 구체적 통제 항목 114개 (2013년판 기준, 2022년 개정판은 93개)
- 국내 ISMS와의 관계: 상호 인정되지는 않지만, 구조와 통제 항목이 상당히 겹쳐 함께 추진하는 기업이 많음
CC와 EAL 기초
CC(Common Criteria, ISO/IEC 15408) 는 보안 제품과 시스템의 보안성을 국제 공통으로 평가·인증하기 위한 기준입니다. 조직 전체의 관리체계를 평가하는 ISMS와 달리, 개별 제품(방화벽·스마트카드·DB 암호화 솔루션 등)의 보안 강도를 평가합니다.
EAL(Evaluation Assurance Level) 은 CC 평가의 보증 등급으로, 제품이 얼마나 엄격하게 검증되었는지를 수준별로 나타냅니다.
| 등급 | 의미 |
|---|---|
| EAL1 | 기능적으로 시험됨 (Functionally Tested) |
| EAL2 | 구조적으로 시험됨 |
| EAL3 | 방법론적으로 시험 및 점검됨 |
| EAL4 | 방법론적으로 설계·시험·점검됨 (상용 제품 일반 등급) |
| EAL5 | 준정형화된 설계 및 시험 |
| EAL6 | 준정형화된 검증된 설계 및 시험 |
| EAL7 | 정형화된 검증된 설계 및 시험 (최고 등급) |
숫자가 높을수록 엄격. EAL4가 상용 제품이 받는 일반적인 상한선이며, EAL5 이상은 군사·정부용 고신뢰 시스템에서 주로 요구됩니다.
개인정보 보호 법·표준 기초
| 법·표준 | 국가 | 핵심 내용 |
|---|---|---|
| 개인정보보호법 | 대한민국 | 모든 분야의 개인정보 처리 기본법 (2011 제정, 2020 데이터 3법 개정) |
| 정보통신망법 | 대한민국 | 정보통신서비스 제공자의 개인정보 보호 의무 (과거 분리, 현재 일부 조항만) |
| GDPR | EU | EU 일반 개인정보 보호법 (2018 시행). 역외 적용, 최대 과징금 연매출 4% |
| CCPA | 미국 캘리포니아 | 소비자 개인정보 보호법 (2020 시행) |
공통 원칙
법마다 표현은 다르지만 다음 원칙은 공통입니다.
- 수집 최소화: 꼭 필요한 정보만 수집
- 목적 제한: 수집 시 고지한 목적 외 이용 금지
- 동의 기반: 정보주체의 명확한 동의 필수
- 정확성: 최신·정확한 상태 유지
- 안전성: 유출·훼손 방지 조치 의무
- 파기: 목적 달성 후 지체 없이 파기
- 정보주체 권리: 열람·정정·삭제·처리정지 요구 가능
GDPR 고유 개념
- Data Controller (개인정보처리자) vs Data Processor (개인정보취급자) 역할 구분
- DPO(Data Protection Officer) 지정 의무
- 데이터 이동권(Right to data portability): 내 데이터를 다른 서비스로 옮길 권리
- 잊힐 권리(Right to be forgotten): 정보주체가 자기 정보 삭제를 요구할 권리
가명화와 익명화 기초
개인정보를 연구·통계·AI 학습에 활용하려면 신원을 식별할 수 없도록 가공하는 비식별 조치가 필요합니다. 가공 방식에 따라 가명화와 익명화로 나뉘며, 법적 취급이 다릅니다.
| 구분 | 가명화 (Pseudonymization) | 익명화 (Anonymization) |
|---|---|---|
| 복원 가능성 | 추가 정보를 쓰면 복원 가능 | 복원 불가 (영구 비식별) |
| 법적 취급 | 여전히 개인정보 (추가 보호 필요) | 개인정보 아님 (자유롭게 활용 가능) |
| 용도 | 통계·연구를 위한 가공 후 내부 활용 | 공개 데이터셋 배포 |
| 예시 | 홍길동 → 사용자_A001 (매핑 표 별도 보관) | 홍길동, 35세 → 30대 남성 |
주요 기법
- 가명처리: 이름·ID를 식별 불가한 값으로 치환 (위 예시의
사용자_A001) - 총계처리 (Aggregation): 개별 값 대신 합계·평균만 공개 (예: 전체 평균 연봉)
- 데이터 삭제: 식별 가능 속성 자체를 제거
- 데이터 범주화: 구체값을 범위로 변환 (
35세→30대) - 데이터 마스킹: 일부를
*로 가림 (010-1234-5678→010-****-5678)
정보보호 관련 기관 심화
| 기관 | 역할 |
|---|---|
| KISA (한국인터넷진흥원) | 국내 ISMS·ISMS-P 인증 운영, 침해사고 대응(KISA-CERT), 개인정보보호 정책 지원 |
| 개인정보보호위원회 | 개인정보보호 정책 총괄·분쟁조정 |
| 국정원 (국가사이버안보센터) | 국가·공공기관 사이버 위협 대응 |
| NIST (미국 국립표준기술연구소) | NIST Cybersecurity Framework, 암호 표준(AES·SHA 등) 제정 |
| ISO | ISO/IEC 27001 등 국제 정보보호 표준 제정 |
| CERT/CC | 카네기멜론대 산하 침해사고 대응팀 (CERT 개념의 발원) |