맨위로가기

데이터 보안

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

데이터 보안은 데이터의 기밀성, 무결성, 가용성을 보호하기 위한 기술적, 법적, 관리적 조치를 포괄하는 개념이다. 주요 기술로는 디스크 암호화, 백업, 데이터 마스킹, 데이터 삭제 등이 있으며, 디스크 암호화는 데이터에 무단 접근하는 것을 방지하기 위해 데이터를 암호화하는 기술이다. 국제 법규 및 표준으로는 영국 데이터 보호법, 유럽 연합의 일반 개인정보 보호 규정(GDPR), ISO/IEC 27001, PCI DSS 등이 있으며, GDPR은 개인 정보 보호를 강화하기 위한 법규이다. 데이터 보안을 위한 보호 조치로는 접근 통제, 흐름 통제, 추론 통제, 데이터 암호화가 있다.

더 읽어볼만한 페이지

  • 데이터 보안 - 정보 보안
    정보 보안은 정보의 기밀성, 무결성, 가용성을 보장하고 허가되지 않은 접근으로부터 정보와 정보 시스템을 보호하며, 심층 방어 전략, 리스크 관리, 암호학, 표준 준수 등을 통해 정보 자산을 보호하는 활동이다.
  • 데이터 보안 - 백업
    백업은 데이터 손실 위험에 대비하여 자료를 다른 저장 장치에 복사하는 작업으로, 전체 백업, 증분 백업, 차등 백업 등의 방식을 사용하며, 효과적인 시스템 구축을 위해서는 복구 시점 및 시간 목표, 데이터 보안 등을 고려해야 한다.
  • 데이터 관리 - 데이터 센터
    데이터센터는 컴퓨터 시스템 및 관련 장비와 지원 인프라를 수용하는 시설로, 기술 발전에 따라 규모와 중요성이 확대되었으며, 에너지 효율과 보안을 고려하여 설계 및 운영되고, TIA-942 표준에 따른 티어 분류와 친환경 기술 도입이 이루어지고 있다.
  • 데이터 관리 - 정보 아키텍처
    정보 아키텍처는 정보 시스템 및 정보 기술 분야에서 공유 정보 환경의 구조적 설계를 의미하며, 웹사이트, 소프트웨어 등의 구성과 레이블링을 포함하여 검색 용이성과 사용성을 지원하고, 도서관정보학에 기원을 두고 있다.
데이터 보안

2. 기술

데이터 보안 기술에는 여러 가지가 있으며, 각각 다른 방식으로 데이터를 보호한다.


  • 디스크 암호화: 저장 장치(하드 디스크 드라이브(HDD)솔리드 스테이트 드라이브(SSD) 등)에 저장된 데이터를 암호화하여 권한 없는 접근을 막는다. 소프트웨어나 하드웨어 방식으로 구현할 수 있다.
  • 백업: 데이터 유실 시 복구할 수 있도록 데이터를 복사하여 보관하는 방법이다.
  • 데이터 마스킹: 데이터베이스 내 특정 데이터를 가려서 민감한 정보의 노출을 막는다.
  • 데이터 삭제: 하드 드라이브나 기타 디지털 미디어의 데이터를 완전히 삭제하여 정보 유출을 방지한다.

2. 1. 디스크 암호화

디스크 암호화는 하드 디스크 드라이브(HDD)솔리드 스테이트 드라이브(SSD) 등 저장 장치에 저장된 데이터를 암호화하여 권한이 없는 사용자가 데이터에 접근하는 것을 방지하는 기술이다. 디스크 암호화는 소프트웨어 (디스크 암호화 소프트웨어 참조) 또는 하드웨어 (디스크 암호화 하드웨어 참조) 형태로 제공되며, 실시간 암호화(OTFE) 또는 투명 암호화라고도 불린다.

2. 1. 1. 소프트웨어 기반 암호화

디스크 암호화운영체제나 별도의 소프트웨어를 통해 데이터를 암호화하는 방식이다. 소프트웨어 기반 보안 솔루션은 데이터 도난을 방지하기 위해 데이터를 암호화한다. 그러나 악성 프로그램이나 해커데이터 손상을 일으켜 데이터를 복구 불가능하게 만들고, 시스템 사용을 불가능하게 만들 수 있다.[3]

2. 1. 2. 하드웨어 기반 암호화

디스크 암호화하드 디스크 드라이브에 저장되는 데이터를 암호화하는 기술로, 하드웨어 방식(디스크 암호화 하드웨어 참조)을 사용할 수 있다. 하드웨어 기반 암호화는 저장 장치에 내장된 암호화 칩을 통해 데이터를 암호화한다. 이러한 방식은 소프트웨어 기반 암호화에 비해 보안성이 뛰어나고 성능 저하가 적지만, 초기 비용이 더 많이 들 수 있다.

하드웨어 기반 보안 솔루션은 데이터에 대한 읽기 및 쓰기 접근을 제어하여 데이터 변조 및 무단 접근을 효과적으로 방지한다. 이는 소프트웨어 기반 보안 솔루션이 악성 프로그램이나 해커에 의한 데이터 손상 공격에 취약한 점을 보완한다.[3]

보안 토큰과 같은 하드웨어 장치는 PKCS#11을 사용하는 경우, 물리적 접근이 필요하기 때문에 보안성이 높다.[3] 접근은 토큰 연결과 올바른 PIN 입력(2단계 인증)을 통해서만 가능하다. 그러나, 동글은 물리적 접근이 가능한 모든 사람이 사용할 수 있다는 단점이 있다. 최신 하드웨어 기반 보안 기술은 데이터에 대한 완전한 보안 증명을 제공하여 이 문제를 해결한다.[4]

하드웨어 기반 보안 작동 방식은 다음과 같다. 사용자는 하드웨어 장치를 통해 수동으로 로그인, 로그아웃 및 다양한 접근 권한 수준을 설정할 수 있다. 생체 인식 기술은 악의적인 사용자가 로그인, 로그아웃 및 권한 수준을 변경하는 것을 방지한다. 주변 장치 컨트롤러(예: 하드 디스크 컨트롤러)는 장치 사용자의 현재 상태를 읽고, 이를 기반으로 악의적인 접근이나 악성 프로그램에 의한 불법적인 접근을 차단한다. 하드웨어 기반 접근 제어는 운영 체제가 컴퓨터 바이러스 및 해커의 공격에 취약한 것과 달리, 더 안전한 보호를 제공한다. 하드웨어는 운영 체제 이미지와 파일 시스템 권한이 변조되지 않도록 보호하며, 안전한 시스템 관리 정책과 결합하면 더욱 안전한 시스템을 구축할 수 있다.[5]

2. 2. 백업

백업은 유실된 데이터를 다른 소스에서 복구할 수 있도록 보장하기 위해 사용된다. 대부분의 산업에서 모든 데이터의 백업을 유지하는 것이 필수적이며, 사용자에게 중요한 모든 파일에 이 프로세스를 권장한다.[6]

2. 3. 데이터 마스킹

데이터 마스킹은 데이터베이스 테이블이나 셀 안의 특정 데이터를 가려서(마스킹) 데이터 보안을 유지하고 권한이 없는 사용자가 민감한 정보에 접근하지 못하도록 하는 프로세스이다.[7] 여기에는 사용자(예: 은행 고객 담당자가 고객의 주민등록번호 뒷자리 4자리만 볼 수 있도록 하는 경우), 개발자(새로운 소프트웨어 릴리스를 테스트하기 위해 실제 운영 데이터를 필요로 하지만 민감한 금융 데이터를 볼 수 없어야 함), 아웃소싱 공급업체 등으로부터 데이터를 마스킹하는 것이 포함될 수 있다.[8]

2. 4. 데이터 삭제

데이터 삭제는 하드 드라이브나 기타 디지털 미디어에 있는 모든 전자 데이터를 완전히 삭제하여, 자산 폐기 또는 재사용 시 중요한 데이터가 손실되지 않도록 하는 소프트웨어 기반 덮어쓰기 방식이다.[9]

3. 국제 법규 및 표준

데이터 프라이버시의 날은 유럽 평의회가 시작하여 매년 1월 28일에 열리는 국제 공휴일이다.[11]

영국 데이터 보호법은 개인 정보가 해당 정보와 관련된 사람들에게 접근 가능하도록 보장하고, 부정확한 정보가 있을 경우 개인에게 구제 조치를 제공한다.[10]

유럽 연합 (EU)의 일반 개인정보 보호 규정 (GDPR)은 2018년 5월 25일에 법률로 제정되었다. GDPR을 준수하지 않을 경우, 최대 2000만유로 또는 연간 매출의 4%에 달하는 상당한 벌금이 부과될 수 있다.[12]

ISO/IEC 27001ISO/IEC 27002 국제 표준은 정보 보안을 다룬다.[14][15] 신뢰 컴퓨팅 그룹(Trusted Computing Group)은 컴퓨팅 보안 기술 표준화에 도움을 주는 조직이다. 지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard, PCI DSS)은 주요 직불 카드, 신용 카드등 카드 소유자 정보를 처리하는 조직을 위한 독점적인 국제 정보 보안 표준이다.[16]

일반 개인정보 보호법(General Data Protection Regulation, GDPR)은 유럽 위원회가 제안한 것으로, EU 내 개인의 데이터 보호를 강화하고 통일하는 동시에 EU 외부로의 개인 데이터 수출을 처리한다.

3. 1. 국제 법규

데이터 프라이버시의 날은 유럽 평의회가 시작하여 매년 1월 28일에 열리는 국제 공휴일이다.[11]

3. 1. 1. 영국 데이터 보호법 (Data Protection Act 1998)

영국에서는 데이터 보호법을 통해 개인 정보가 해당 정보와 관련된 사람들에게 접근 가능하도록 보장하고, 부정확한 정보가 있을 경우 개인에게 구제 조치를 제공한다.[10] 이는 개인을 공정하게 대우하기 위해, 특히 신용 확인 목적으로 중요하다. 데이터 보호법은 적법하고 합법적인 이유가 있는 개인과 회사만이 개인 정보를 처리할 수 있으며 공유할 수 없다고 명시하고 있다.

3. 1. 2. 유럽 연합 일반 개인정보 보호법 (General Data Protection Regulation, GDPR)

유럽 연합 (EU)의 일반 개인정보 보호 규정 (GDPR)은 2018년 5월 25일에 법률로 제정되었다. GDPR을 준수하지 않을 경우, 최대 2000만유로 또는 연간 매출의 4%에 달하는 상당한 벌금이 부과될 수 있다.[12] GDPR은 조직이 데이터 프라이버시 위험을 이해하고 소비자의 개인 정보 무단 공개 위험을 줄이기 위한 적절한 조치를 취하도록 하기 위한 것이다.[13]

3. 2. 국제 표준

ISO/IEC 27001:2013 및 ISO/IEC 27002:2013 국제 표준은 정보 보안을 다루며, 주요 원칙 중 하나는 모든 저장된 정보(데이터)는 소유되어야 하며, 해당 데이터를 보호하고 접근을 제어할 책임이 누구에게 있는지 명확해야 한다는 것이다.[14][15]

신뢰 컴퓨팅 그룹(Trusted Computing Group)은 컴퓨팅 보안 기술 표준화에 도움을 주는 조직이다.

지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard, PCI DSS)은 주요 직불 카드, 신용 카드, 선불 카드, 전자 지갑, 현금 자동 입출금기, 판매 시점 정보 관리 시스템 카드의 카드 소유자 정보를 처리하는 조직을 위한 독점적인 국제 정보 보안 표준이다.[16]

일반 개인정보 보호법(General Data Protection Regulation, GDPR)은 유럽 위원회가 제안한 것으로, EU 내 개인의 데이터 보호를 강화하고 통일하는 동시에 EU 외부로의 개인 데이터 수출을 처리한다.

3. 2. 1. ISO/IEC 27001 및 ISO/IEC 27002

ISO/IEC 27001:2013 및 ISO/IEC 27002:2013 국제 표준은 정보 보안을 다루며, 주요 원칙 중 하나는 모든 저장된 정보(데이터)는 소유되어야 하며, 해당 데이터를 보호하고 접근을 제어할 책임이 누구에게 있는지 명확해야 한다는 것이다.[14][15]

3. 2. 2. 신뢰 컴퓨팅 그룹 (Trusted Computing Group, TCG)

신뢰 컴퓨팅 그룹(Trusted Computing Group)은 컴퓨팅 보안 기술 표준화에 도움을 주는 조직이다.

3. 2. 3. 지불 카드 산업 데이터 보안 표준 (Payment Card Industry Data Security Standard, PCI DSS)

지불 카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard, PCI DSS)은 직불 카드, 신용 카드, 선불 카드, 전자 지갑, 현금 자동 입출금기, 판매 시점 정보 관리 시스템 카드 등 주요 카드 소유자의 정보를 처리하는 조직을 위한 독점적인 국제 정보 보안 표준이다.[16]

4. 보호 조치

기술적 보호 조치에는 접근 통제, 흐름 통제, 추론 통제, 데이터 암호화가 있다.[17]


  • 접근 통제: 사용자 인증 및 권한 관리를 통해 허가된 사용자만 데이터에 접근하도록 제한한다.
  • 흐름 통제: 데이터의 이동 경로를 통제하고, 허가되지 않은 경로로 데이터가 유출되는 것을 방지한다.
  • 추론 통제: 통계 데이터베이스에서 기밀 정보가 유추되는 것을 막는다.
  • 암호화: 데이터를 암호화하여 권한이 없는 사용자가 데이터 내용을 해독할 수 없도록 한다.


보안 토큰 등을 활용하는 하드웨어 기반 보안은 소프트웨어 기반 보안의 대안이다. PKCS#11을 사용하는 토큰이나 휴대폰처럼 물리적 접근이 필요하므로 더 안전하며, 토큰 연결과 PIN 입력이 모두 이루어져야 접근할 수 있다(2단계 인증).[3]

4. 1. 접근 통제

접근 통제는 사용자 인증 및 권한 관리를 통해 허가된 사용자만 데이터에 접근할 수 있도록 제한하는 조치이다. 기술적 보호 조치의 네 가지 유형은 접근 통제, 흐름 통제, 추론 통제 및 데이터 암호화인데, 접근 통제는 사용자 진입 및 데이터 조작을 관리한다.[17]

하드웨어 기반 접근 제어는 운영 체제가 컴퓨터 바이러스 및 해커의 악의적인 공격에 취약하기 때문에 운영 체제에서 제공하는 보호보다 더 안전하다. 하드웨어 장치를 통해 사용자는 수동 작업을 통해 로그인, 로그아웃 및 다양한 수준을 설정할 수 있다. 이 장치는 생체 인식 기술을 사용하여 악의적인 사용자가 로그인, 로그아웃 및 권한 수준을 변경하는 것을 방지한다. 하드웨어 기반 보호 기능을 사용하면 소프트웨어가 사용자 권한 수준을 조작할 수 없다.[5] 보안 토큰은 PKCS#11을 사용하는 토큰이나 휴대폰과 같은 경우, 손상되기 위해 필요한 물리적 접근 때문에 더 안전할 수 있다.[3] 접근은 토큰이 연결되고 올바른 PIN이 입력된 경우에만 활성화된다 (2단계 인증 참조).[3]

4. 2. 흐름 통제

흐름 통제는 데이터의 이동 경로를 통제하고, 허가되지 않은 경로로 데이터가 유출되는 것을 방지하는 조치이다.[17] 기술적 보호 조치의 네 가지 유형은 접근 통제, 흐름 통제, 추론 통제 및 데이터 암호화이다. 접근 통제는 사용자 진입 및 데이터 조작을 관리하고, 흐름 통제는 데이터 배포를 규제한다.[17] 추론 통제는 통계 데이터베이스에서 기밀 정보의 추론을 방지하고, 데이터 암호화는 기밀 정보에 대한 무단 접근을 방지한다.[17]

4. 3. 추론 통제

추론 통제는 통계 데이터베이스에서 기밀 정보가 유추되는 것을 막는 기술적 보호 조치이다.[17] 사용자가 데이터베이스를 쿼리하여 개별 정보를 유추하는 것을 방지한다.

4. 4. 암호화

데이터를 암호화하여 권한이 없는 사용자가 데이터 내용을 해독할 수 없도록 하는 조치이다.[17] 소프트웨어 기반 보안 솔루션은 데이터 도난을 방지하기 위해 데이터를 암호화한다. 그러나 악성 프로그램이나 해커데이터 손상을 일으켜 데이터를 복구할 수 없게 만들어 시스템을 사용할 수 없게 만들 수 있다. 하드웨어 기반 보안 솔루션은 데이터에 대한 읽기 및 쓰기 접근을 방지하여 변조 및 무단 접근에 대해 매우 강력한 보호 기능을 제공한다.[3]

참조

[1] 서적 Data and databases Nelson Australia Pty Limited
[2] 웹사이트 Knowing Your Data to Protect Your Data https://www.itbusine[...] 2022-11-03
[3] 논문 Strong authentication with mobile phone as security token
[4] 뉴스 Why the World is Moving to Hardware-Based Security https://www.fortanix[...] 2022-09-30
[5] 논문 Silencing Hardware Backdoors https://www.cs.colum[...]
[6] 웹사이트 Back-ups https://www.staysmar[...]
[7] 웹사이트 Data Masking Definition http://mask-me.net/d[...] 2016-03-01
[8] 웹사이트 data masking http://searchsecurit[...] 2016-07-29
[9] 논문 Q115346857 2022-11-22
[10] 웹사이트 data protection act https://ico.org.uk/f[...] 2016-07-29
[11] 웹사이트 Celebrating data privacy http://googleblog.bl[...] Google Blog 2011-08-12
[12] 웹사이트 GDPR Penalties https://www.itgovern[...]
[13] 웹사이트 Detect and Protect for Digital Transformation https://www.informat[...] 2018-04-27
[14] 웹사이트 ISO/IEC 27001:2013 https://www.iso.org/[...] 2022-11-03
[15] 웹사이트 ISO/IEC 27002:2013 https://www.iso.org/[...] 2022-11-03
[16] 웹사이트 PCI DSS Definition https://www.pcmag.co[...] 2016-03-01
[17] 논문 Data security
[18] 서적 Data and databases Nelson Australia Pty Limited
[19] 웹사이트 Knowing Your Data to Protect Your Data https://www.itbusine[...] 2022-11-03


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com