[include(틀:컴퓨터공학)]
[include(틀:수학)]

[목차]
== 개요 ==
'''정보보호'''([[情]][[報]][[保]][[護]], Information Security)란, 정보를 보호하고 보안을 유지하는 것을 말한다. 정보보안과 동의어로 쓰이고는 한다.[* 엄밀히 따지면 정보보호는 정보처리정책인 반면 정보보안은 접근제어정책에 가깝다는 의견이 많다. 그래서 그런지 KISA 등의 정부기관이나 관련 업체들의 인사말 등을 보아도 정보보안이라는 말은 찾아보기 힘들다.][* CISSP CBK로 살펴본 정보보호와 정보보안 - [[https://www.boannews.com/media/view.asp?idx=50125]]] 정보의 흐름 전체의 보호를 망라하는 개념이다. 범주로 나누어 물리적 보호, 기술적 보호, 관리적 보호로 나눌 수 있다.

== 정의 ==
대개 정보보호라고 하면 ISACA:2008의 정의를 많이 채용한다. 그 정의는 아래와 같다.
>'''인가된 사용자만(기밀성), 완전하고 정확한 정보에(무결성), 필요로 할 때마다 접근할 수 있도록 하는 것(가용성)'''

"정보보호"를 정의하려면 당연히 "정보"와 그 가치의 정의가 선행되어야 한다. 그래서 그런지 문서에 따라 엄청나게 많은 정의가 존재한다. 또한 "보호"라는 용어는 위험관리 측면에서 정의해야 하므로, 가볍게 정의할 수 있는 것은 아니라고 한다.

대부분의 문서에서 인정하는 필수적인 성질은 기밀성, 무결성, 가용성이다. 볼 자격이 없으면 안 보여주고, 틀린 정보는 취급하지 않으며, 볼 자격이 있는 사람이 보여달라고 하면 보여주는 것이다. 이 개념 자체는 고대 로마에도 있었다. 하지만 이런 정의로는 정보 유출에 대한 책임 등을 회피할 수 있다는 등의 많은 단점이 있다.

이외에도 '[[암호학]]', 컴퓨터 시스템([[운영체제]])를 보호하는 '시스템 보안', 소프트웨어 단위를 보호하는 '[[애플리케이션]] 보안', '[[웹]] 보안', [[인터넷]], [[통신]]망을 보호하는 '네트워크 보안', 실제 물리적인 보안에 대비하는 [[보안|물리보안]] 등으로 분류할 수 있다.

사실상 [[해킹]], [[크래킹]]과 반대 개념이며 해킹, 크래킹을 '사이버 침해', '사이버 침투' 등의 용어로도 사용한다. 물론 정보보호를 전문적으로 공부하려면 해킹 기술에 대해 어느정도 이해가 필요하다. 또한 모의해킹 등의 업무도 중요해지고 있다.
== 위험관리 ==
정보보호학에서 위험은 일반적으로 자산, 위협, 취약점의 세 가지 요소로 구성된다.[* 문서 또는 논문에 따라 위험 관리를 위한 정보보호대책이 추가 구성 요소로 포함되기도 한다.] 간단하게 설명하면 자산은 가치를 갖는 모든 것이고, 위협은 자산에 부정적 영향을 주는 직/간접적인 요인이며, 취약점은 위협이 발생할 수 있는 결함 혹은 상황이라고 볼 수 있다. 그리고 종합적으로 취약점을 통해 자산에 위협이 발생할 가능성이 위험으로 정의된다.

정보는 자산이고, 따라서 그에 걸맞는 위험관리를 해주어야 한다. 위험을 감당할 수 없는 자산의 소유가 독이 되어 그냥 처분해 버리는 등 다양한 위험 처리가 가능하다. 
== 기술적 보호 ==
[[해커]]들의 주무대. [[사이버 전쟁|사이버 공격]]에 대한 방어를 주제로 한다.

수준에 따른 분류로 데이터, 응용프로그램, 호스트, 네트워크로 나눌 수 있다.

 * 데이터 보호
  * [[암호학]]

 * [[하드웨어]] 보안
  * [[부채널 분석]]
  * [[펌웨어]] 보안

 * 응용프로그램 보호
  * 클라이언트 보안
  * 서버 보안
  * [[드라이버#s-2]] 

 * 호스트 보호
  * [[운영체제]] 보안

 * 네트워크 보호
  * [[모바일 보안|보안 네트워크 모델]]
  * 기반 구조 모델
  * 보안 프로토콜
  * 프로토콜 보안
   * [[FTP]]
  * 군 [[통신보안]]

 * 침해대응
   * [[악성코드]] 탐지 및 방어
  
== 주요 기관 ==
아래는 국내 주요 기관, 협단체이며, 단순히 정보를 보호하는 기술 및 개념에서 최근에는 [[국방]](국가보안) 개념까지 확대되는 듯 하다.

 * [[국가정보원]], 국가보안연구소(NSR)
 * [[대한민국 경찰청|경찰청]]([[사이버수사대]] 및 보안과)
 * [[대한민국 국방부|국방부]] [[사이버작전사령부]]
 * [[한국인터넷진흥원]](KISA)
 * [[금융보안원]](FSI)
 * 한국정보보호산업협회(KISIA)
 * 한국침해사고대응팀협의회(CONCERT) 
 * 한국암호포럼, 한국정보보호학회(KIISC)


== 논란 ==
정보보호관리평가는 정보의 정의에 따라 정보의 자산가치를 평가하고 그에 어울리는 관리 및 절차가 적용되고 있는지를 평가하는 것이다. 하지만 기업 입장에서는 침해를 입어도 손해 볼 종류가 아닌 위협에 대해서는 보호할 필요가 없다. 자산가치의 평가는 '담당자와의 인터뷰를 통해 결정하는 것'이 기본 원칙으로, 윤리적인 요소가 개입할 여지가 없다.

== 관련 문서 ==
 * [[개인정보]]
 * [[암호학]]
 * [[컴퓨터과학]]
[[분류:정보 보안]][[분류:컴퓨터 공학]]