IT 시스템 보안은 네트워크, 시스템, 애플리케이션 계층에서 암호화, 해킹 방어, 관리 이렇게 세 가지 구성으로 크게 나눈다고 앞서 설명했습니다. 안티바이러스는 그중 시스템 수준에서 해킹 방어를 수행합니다.
앞의 ‘IT 시스템 보안에서 데이터 암호화 위상’처럼 해킹 방어는 세 계층에서 다시 세분화됩니다. 네트워크 계층에서는 네트워크 보안을, 시스템 계층에서는 안티바이러스를, 애플리케이션 계층에서는 웹 보안 등이 해킹 방어에 해당합니다. 해당 시스템이 네트워크 시스템이라면 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)을 사용하여 보호할 수 있고, 웹 시스템이라면 웹 애플리케이션 방화벽(WAF) 기술을 사용하여 보호할 수 있습니다.
데이터 보안을 하는 암호화 역시도 세 계층에서 일관되게 유지되어야 합니다. 여기서 데이터 보안이란 데이터 자산 보호를 의미합니다. 이것에 사용하는 기술로는 데이터 암호화와 데이터 접근 제어 및 감사가 있습니다. 즉, 데이터를 잘 숨기고, 데이터에 접근할 수 있는 권한을 제어하고, 이런 일련의 사항을 로그로 기록하는 것이 데이터 보안입니다. 이 세 가지 기술을 모두 적용해야 데이터 보안을 할 수 있습니다. 데이터 암호화 하나가 데이터 보안을 의미하지는 않습니다. 하지만 데이터 암호화가 나머지 두 기능을 이끌어 가기에 데이터 보안에서 데이터 암호화는 빼놓을 수 없습니다. 또 안전하게 시스템 구성을 하려면 네트워크 계층, 시스템 계층, 애플리케이션 계층에서 모두 암호화를 수행해야 합니다. 즉, 네트워크 계층의 대표적 데이터인 패킷, 시스템 계층의 대표적 데이터인 파일, 애플리케이션 계층에서 인식할 수 있는 실질적인 정보(예를 들어 개인정보나 결제용 카드 번호 같은 금융 정보) 등을 모두 안전하게 암호화해야 하는 것입니다.
안전한 IT 시스템은 세 계층(네트워크, 시스템, 애플리케이션)으로 나누었을 때 각 계층에서 네트워크 보안, 안티바이러스, 웹 보안을 하며, 각 계층에서 공통적으로 데이터를 보안하는 시스템입니다. 지금부터는 사용자에게 IT 서비스를 제공하는 입장(IT 서비스를 하려고 애플리케이션을 만들어 제공하는 주체)에서 무엇이 효율적인 암호화 방식인지 알아봅니다.