슬라이드 0 - NiceILM's Blog :: 블로그 옮깁니다.
Download
Report
Transcript 슬라이드 0 - NiceILM's Blog :: 블로그 옮깁니다.
정보보안
Security Framework
2007. 11. 13
채 승 기([email protected])
정보관리기술사, 정보시스템 수석감리원
[ 채승기 기술사 ([email protected]) ]
-0-
Security Framework
목
차
1. 정보보안 개요
2. 보안 사고 원인
3. 정보 보안 대책
4. 웹 서비스 보안
5. 유무선 네트워크 보안
6. 컴퓨터 포렌식
7. 국제 표준 ISO27001
[ 채승기 기술사 ([email protected]) ]
-1-
Security Framework
1. 정보 보안 개요
기업 자산의 손실
영업 기회 손실
기업 이미지 손상
기업 정보시스템 공개
외부의
악의적
접근
내부자의
악의적
침해
경쟁력 상실
기업중요정보유출
기업 경쟁력 상실
[ 채승기 기술사 ([email protected]) ]
-2-
Security Framework
1. 정보 보안 개요
1. 일반적 정의
– 시스템이나 전자적인 형태의 정보를 처리, 저장, 전송하는 모든 단
계에 걸쳐, 고의적 혹은 실수에 의한 불법적인 노출, 변조, 파괴로부
터 보호하고 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수
있도록 하는 것.
2. 법적 정의
– 정보화 촉진 기본법 제2조. “정보 보안을 정보의 수집, 가공, 저장,
검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한
관리적, 기술적 수단을 강구하는 것”.
3. 학술적 정의
– 정보 시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를
시스템 내, 외부의 각종 위협으로부터 안전하게 보호하여 정보시스
템의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)
을 보장하는 것
[ 채승기 기술사 ([email protected]) ]
-3-
Security Framework
2. 보안 사고 원인
1. 자연 장애
– 지진, 홍수 등 자연의 힘에 의한 장애로써 일반적으로 재해
2. 인적 장애
– 시스템 운영 실수, 단말기 및 디스켓 등의 파괴 및 절취, 해커의 침입,
컴퓨터 바이러스의 피해, 자료 누출 등 인간에 의해 행해지는 장애
3. 기술적 장애
– 운영체제 결함, 응용 프로그램의 결함, 통신 프로토콜의 결함, 통신
소프트웨어의 결함, 하드웨어의 손상 등 컴퓨터 시스템의 H/W와
S/W상의 결함에서 발생하는 장애
– 정전사고, 단수, 설비장애(항온항습, 공기정화시설, 통신시설, 발전
기, 공조기 등), 건물의 손상 등 기반구조에서 발생하는 장애
[ 채승기 기술사 ([email protected]) ]
-4-
Security Framework
2. 보안 사고 원인
• 보안 방침 및 절차 부족
• 보안 교육 및 홍보 부족
• 기술의존적인 관리자의 태도
• 유무선 망의 보안 취약성
• 해킹 기술의 자동화
• 검은 유혹
[ 채승기 기술사 ([email protected]) ]
-5-
Security Framework
2. 보안 사고 원인
• TCP Syn Flooding 공격
-Client의 SYN메세지 요청에 서버의 ACK+SYN응답에 대한 재 응답을 하지 않아서, 서버의 엑세스 자원을 소멸시켜
다른 Client의 요청에 응답을 하지 못하게 하는 공격
[ 채승기 기술사 ([email protected]) ]
-6-
Security Framework
2. 보안 사고 원인
• DDoS(Distributed Denial of Service)
-여러대의 서버에 공격 대상 시스템의 자원을 독점할려고 하는 프로세스에 의해, 공격대상 시스템이 고유의 서비스
를 제공하지 못하게 하는 공격 형태
-공격하는 Agent를 불특정 다수의 서버에 침투시켜 잠정적 활동을 하다가, 특정 시점에 공격대상(victim)에 동시 자
원 할당을 요구하여, 대상서버가 정상적인 기능을 못하게 하는 공격 형태
Master
(Handler)
Agent
Victim
Denial of Service 공격
[ 채승기 기술사 ([email protected]) ]
-7-
Security Framework
2. 보안 사고 원인
• Buffer Overflow공격
- 프로그램 코딩시 지정한 버퍼의 크기 보다 더 많은 데이터를 버퍼에 담아 프로그램이 비정상적으로 동작하게 하는
것
Void vstrCopy(char *str)
{
char sbuffer[8];
strcpy(sbuffer,str);
}
Void main()
{
int I;
char stemp[256];
for(i=0;i<256;i++) stemp[i] = ‘X’;
stemp[255] = ‘\0’;
vstrCopy(stemp);
}
[ 채승기 기술사 ([email protected]) ]
호출
-8-
Security Framework
2. 보안 사고 원인
현재는 5세대에서 6세대로 변화하는 과정 중에 있으며, 1) 해킹기법의 다양화(수동→자동), 2) 서비스 가
용성에 대한 위협 증대 3) 유해트래픽 폭증을 주요 특징으로 한 진화가 진행 중
1세대
2세대
Command 조합에 의한 해킹
3세대
4세대
5세대
6세대
Programming에 의한 해킹
Password
수작업 추측
File Permission
(setuid)
Sniffing
Password
자동 추측
Configuration
Error
Spoofing
Environment
Variable Error
DoS
Distributed
DoS
Advanced
Kernel Backdoor
Scanning
Web Attack
DB
Attack
Application
Backdoor
Virus
[ 채승기 기술사 ([email protected]) ]
Buffer
Overflow
Worm
Format
String
Kernel
Backdoor
P2P messenger
Attack
Wireless
Attack
?
Window
Trojan
-9-
Security Framework
3. 보안 보안 대책
People
보안전략/조직
정책/정보분류
보안기술 아키텍쳐
Process
Technology
Data
Application
User
System
Network
Physical
기밀성
Data
Application
User
System
Network
Physical
무결성
가용성
Identification Authentication Authorization Administration
Audit
보안관리 아키텍쳐
모니터링
사고대응
사업연속 인력보안
보안교육
외주보안
Validation/Audit/Measure/Certification
Enterprise Architecture & IT Planning
[ 채승기 기술사 ([email protected]) ]
- 10 -
Security Framework
3. 보안 보안 대책
제품: 서비스= 85%:15%
(c.f. 세계시장 55%:45%))
고성장
-관제: 20%
-컨설팅: 18%
저성장
유지보수: 7.8%
매출비중
유지보수 40%
출처: KISIA 2006 국내 정보보호산업 통계자료
[ 채승기 기술사 ([email protected]) ]
- 11 -
Security Framework
3. 보안 보안 대책
출처: KISIA 2006 국내 정보보호산업 통계자료
[ 채승기 기술사 ([email protected]) ]
- 12 -
Security Framework
4. 유무선 네트워크 보안
FTTH
광대역
무선통신
전화
Convergence
유무선 통합
QoS
Security
IPv6
Open
API
응용서비스
Internet
DMB
음성, 데이터 통합
CATV
통신, 방송 융합
데이터, 음성 및 영상 등의 멀티미디어 정보(웹 컨텐츠의 다양화)
컴퓨터, 통신, 방송의 융합화
차세대 네트워크 컨버전스 (NGcN), 광대역 통합망 (BcN)을 통한 디지털 네트워크 실현 가능
[ 채승기 기술사 ([email protected]) ]
- 13 -
Security Framework
4. 유무선 네트워크 보안
취약점:
Business Logic
SQL Injection
Parameter
Manipulation
Application Server
Authorization
Solutions
Cookie Poisoning
Web Server
Cross-Site Scripting
Host-based
IDS
Operating System
VPN
Firewall
PKI
Network
Networkbased IDS
[ 채승기 기술사 ([email protected]) ]
- 14 -
Security Framework
5. 웹 서비스 보안
Broker
1. Publish
4. BIND
.Net 기반 서비스 제공자
2. Find(UDDI)
3. Get Service
(UDDI, WSDL)
SAML, XACML Over SOAP(XML Encryption )
XKMS
기구
W3C
OASIS
WS-I
J2EE 기반 서비스 요청자
(XML Signature)
XKMS
Trust Service
작업반
표준
XML Signature WG
XML Signature
XML Encryption WG
XML Encryption
XML Key Management WG
XKMS
Security Service TC
SAML
eXtensible Access Control Markup Language TC
XACML
Web Services Security TC
WS Security
Security Scenarios
Basic Security Profile WG
[ 채승기 기술사 ([email protected]) ]
Basic Security Profile
- 15 -
Security Framework
6. 컴퓨터 포렌식
Ⅰ. 컴퓨터 포렌식(Computer Forensic) 의 개요
가. 컴퓨터 포렌식의 정의
-. 컴퓨터를 매개로 행해지는 범죄행위에 대한 법적 증거자료 확보를 위해 컴퓨터등 에서 수집,
분석, 보존한 디지털 자료가 법적 증거력을 갖도록 하는 절차 및 방법
나. 컴퓨터 포렌식의 기본원칙 (특징)
기본원칙 (특징)
정당성의 원칙
재현의 원칙
신속성의 원칙
내용
-. 획득한 디지털 자료 증거가 적접한 절차를 거쳐 획득
-. 위법한 방법으로 수집된 증거는 법적 효력을 상실
-. 피해 당시와 동일 조건에서 현장 검증 시 동일한 결과 도출
-. 컴퓨터 시스템의 휘발성 정보수집 가능성은 신속한 조치에 의해 결정되므
로
신속히 수행
[ 채승기 기술사 ([email protected]) ]
- 16 -
Security Framework
6. 컴퓨터 포렌식
Ⅱ. 컴퓨터 포렌식 절차 및 요구 사항
가. 컴퓨터 포렌식 절차
수사 준비
-. 수사인력 확보, 포렌식 도구 테스트
-. 수사 참조 라이브러리 준비 : 잘 알려진 파일에 대해 쉽게 식별
증거물 획득
-. 자료 삭제/파괴행위 방지, 시스템목록 작성, 하드디스크 이미징
-. 시스템/네트워크/프로세스 상태 수집, 증거물 무결성 확보
보관 / 이송
-. 증거자료 이중화, 쓰기방지/봉인, 증거물 담당자 목록 기록관리
-. 정전기 방지용 팩, 하드 케이스 등 안전한 포장, 접근통제
분석 / 조사
-. Timeline 분석, Signature 분석, Log 분석, History 분석
-. 파일복구 : 삭제 및 깨진 파일의 복구 => 전문도구 사용
결과 보고서
-. 누구나 쉽게 이해할 수 있도록 쉽고 상세한 설명
-. 6하 원칙에 따른 객관성 유지
[ 채승기 기술사 ([email protected]) ]
- 17 -
Security Framework
6. 컴퓨터 포렌식
나. 컴퓨터 포렌식 요구기능
요구기능
내 용
-. 시스템에 남겨진 기록들을 원본의 손상 없이 유지
증거 보존 기능
-. 원본 디스크에 대해 접속할 때 쓰기 방지 조치
-. 원본 디스크의 이미지를 생성
증거 수집/분석 기능
문자열 검색 기능
[ 채승기 기술사 ([email protected]) ]
-. 컴퓨터 디스크에서 삭제된 내용에 대한 복구 기능
-. 디스크에 저장된 내용에 대한 검색 및 비교 기능
-. 정보유출 또는 불순한 내용의 파일 기록 검색
-. 전산 감사 시 부정사용 내역을 검색
- 18 -
Security Framework
6. 컴퓨터 포렌식
III. 컴퓨터 포렌식의 현황 및 전망
가. 컴퓨터 포렌식의 현황
-. 주요 국가의 수사기관 및 금융, 보험회사 등에서 컴퓨터 포렌식의 중요성 인식
-. 전문가, 다양한 관련 기술의 확보와 디지털 증거 수집절차 및 분석방법 개발에 총력
-. 무결성 확보 도구, 강력한 검색 도구, 디스크 복제 도구, 디스크 쓰기 방지 도구 및 다양한
분석 및 보고서 작성 소프트웨어등이 국내외 컴퓨터 포렌식 시작을 독식
-. 컴퓨터 포렌식을 피해가려는 우회기법들의 등장
나. 컴퓨터 포렌식의 전망
-. 기업들이 문제가 될 디지털 자료를 삭제하는 등 소극적 자세에서 컴퓨터 포렌식 기법을 도입해
내/외부 문제를 해결하는 방향으로 진행
-. 국내 시스템 개발 업체들이 컴퓨터 포렌식에 필요한 각종 도구의 개발에 집중 예상
-. 민관합동으로 컴퓨터 포렌식의 전문기술의 연구 및 전문가 양성에 적극 참여
-. 개발 된 제품들에 대한 인증을 위한 전문 교육/인증 기관의 설립
-. 증가하는 포렌식 우회기법들에 대한 대응 기법의 적극적 개발이 요구
[ 채승기 기술사 ([email protected]) ]
- 19 -
Security Framework
참고. 사이버 테러 대응 전략
사이버 테러 대응 체계
사이버 정보군 양성 및
예산 확보
사고 대응 체계 대응을 위해
유기적인 대응체계
(민/관/정부)
정보 보호
국가 안전 확보
사고관련 정보 교류를 위한
채널 활성화
(System, N/W 관리자)
사이버 공격 현황
정보 수집 및 분석 강화
컴퓨팅 윤리 의식 필요성, 강화
법,제도 제정
총괄기구 구축
정부(국가정보원)
정보통신 보호법
테러방지법
예방, 대응 능력
배양
진단, 복구지침
기술지원
정보 공유 협력 체계 구축
대응방법
민간(정보통신부)
[ 채승기 기술사 ([email protected]) ]
국가 안전 대응
기술 지원, 양성
군(국방부, 검찰, 경찰)
- 20 -
Security Framework
7. 국제 표준 ISO 27001
가. ISO 27001
1) ISO 27001의 내용
-. 정보기술, 정보보호 경영에 대한 실행 지침
-. 조직이 정보보호시스템을 수행할 수 있도록 Best Practice 지침을 제공
-. 10개의 주요분야로 나누어진 127개의 통제항목으로 구성
-. 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록 제공
-. 심사 및 인증의 목적으로는 사용할 수 없으며 BS 7799-2의 참조 문서로 사용 가능
2) ISO 27001의 구성
주요분야
1. 보호정책
(Security Policy)
2. 보안조직
(Security Organization)
3. 자산분류/등급 및 통제
(Assets Classification and Control)
4. 인적 보안
(Personnel Security)
[ 채승기 기술사 ([email protected]) ]
주요 통제 항목
정보보안 정책 문서
정보보안 책임 배정, IT시설 승인 절차 등
자산목록, 분류 지침, 분류 표시
정보보안 교육 및 훈련, 보안 사고 보고, 보안 취약성 보고, 비밀 준
수 서약 등
- 21 -
Security Framework
7. 국제 표준 ISO 27001
주요분야
주요 통제 항목
5. 물리적/환경적 보호
(Physical and Environmental
Security)
물리적 보안경계, 장비 설치와 보호, 장비의 안전한 폐기, 물품 반출 등
6. 의사소통/운영 관리
(Communications and
Operations Management)
바이러스 통제, 문서화된 운영절차, 사고관리 절차, 직무분리,
개발과 운영 시설 분리, 용량 계획, 데이터 백업 등
7. 시스템접근통제
(System Access Control)
8. 시스템 개발과 유지보수
(System Development and
Maintenance)
9. 비즈니스 연속성 계획
(Business Continuity
Planning)
10. 준거성
(Complicnce)
[ 채승기 기술사 ([email protected]) ]
문서화된 접근 통제 정책, 패스워드 사용, 권한 관리,
시스템사용 감시 등
데이터 암호화, 메시지 인증, 변경관리 절차,
소프트웨어 패키지 변경 제한 등
업무 지속성 계획 절차, 업무 지속성 계획 시험 및 계획 갱신
소프트웨어 복제 통제, 조직 기록의 보호, 데이터 보호,
보안 정책 준수 등
- 22 -
Security Framework
7. 국제 표준 ISO 27001
ISO 27001 적용 해 보자
주체
관리체계
제도
경영진
~의 정보보호
비젼
정보보호
투자
~의 정보보호
규정/준칙/지침
주기적
보안진단
관리자
정보보호
조직
역할과
책임
프로
세스
정보보호
감사
정보보호
파트너십
(외부포함)
정보보호 인식 및
교육체계
직원
경영/IT환경
[ 채승기 기술사 ([email protected]) ]
내
부
체
계
법규/규제
- 23 -
Security Framework
Thank you
[ 채승기 기술사 ([email protected]) ]
- 24 -
Security Framework