정보시스템의 보안과 통제
Download
Report
Transcript 정보시스템의 보안과 통제
제13장. 정보시스템의 보안과 통제
『디지털 기업을 위한 경영정보시스템』
홍일유 著
ⓒ 2005 Ilyoo B. Hong. All Rights Reserved
Contents
●
정보시스템 통제 및 보안의 중요성
●
시스템 장애요인
●
-
정보시스템 보안 위협의 개념적 틀
-
정보시스템 보안의 주요 위협요인
-
컴퓨터 범죄
정보시스템의 보안대책
-
●
4가지 유형 (제도적, 기술적, 물리적, 인적자원)
정보시스템 통제
-
일반적 통제
-
애플리케이션 통제
-
정보시스템 감사
정보시스템의 보안과 통제
No. 1
정보시스템은 안전한가?
●
전산조작으로 은행돈 절도
-
우리은행의 여직원이 자신의 단말기로 허위의 금액을 자신 애인의 계좌로 입금된 것처럼
전산 조작해 은행 돈 18억 3천여 만원을 횡령했다가 검거됨 (매일경제, 2002. 8. 28)
●
전자우편 폭탄
-
17세 학생 2명이 전자우편 폭탄(e-mail bomb)을 이용해 컴퓨터 통신업체의 인터넷
메일시스템을 마비시킴 (조선일보, 1997. 8. 23).
●
개인정보 편취사기 (Pishing)
-
한 시민이 국내의 한 외국계 은행으로부터 영문 이메일을 받고, 이메일 내의 웹주소를
클릭하자 접속 ID와 비밀번호르 입력하라는 요구를 받음. ‘피싱’이란 금융기관을
사칭하는 이메일을 보내 신용카드번호 등 개인정보를 빼내는 인터넷 사기의 일종임
(조선일보, 2004. 10. 28).
정보시스템의 보안과 통제
No. 2
정보시스템은 안전한가? - 계속
●
회사 기술정보 불법 유출
-
반도체 제조업체의 한 연구원이 5차례에 걸쳐 반도체 웨이퍼 검사장비 운용을 위한
프로그램 330여 개를 회사의 정보시스템으로부터 자신의 홈페이지로 전송한 혐의로
구속 기소됨. 이 연구원은 경쟁업체인 미국 I사로 이 프로그램들을 불법 유출시키려
했으나 사전에 검거돼 다행히 유출은 예방됨 (동아일보, 2004. 10. 25)
●
과시욕구에서 바이러스 유포
-
중.고.대학생 4명이 자신들이 직접 제작하거나 기존의 파일을 변형해 만든 컴퓨터
바이러스를 사설 전자게시판을 통해 유포 (중앙일보, 1998. 2. 6)
●
전산망의 보안시스템 침투
-
대학생 해커가 하이텔 등의 상용통신망을 해킹하여 1만6천여 명의 접속비밀번호가
저장된 파일을 훔침 (중앙일보, 1997. 8. 27).
정보시스템의 보안과 통제
No. 3
정보시스템 통제 및 보안의 개념
●
정보시스템 보안: 다양한 위협요소로부터 데이터 및 정보시스템을 보호하기 위한
방법 혹은 노력
●
정보시스템 통제: 정보시스템 보안을 실행하기 위한 수단/장치
●
정보시스템 위협요소의 특성:
-
우연적이든 의도적이든 정보시스템에 치명적일 수 있다.
-
사람의 의도적인 침입은 빈번하며 그 형태도 매우 다양하다.
-
정보시스템에의 가해는 유형적 및 무형적 결과로 나타날 수 있다.
-
정보시스템에 대한 가해 대상은 데이터 뿐 아니라 하드웨어, 소프트웨어, 네트워크 등
다양하다.
정보시스템의 보안과 통제
No. 4
정보시스템 보안에 대한 위협
원천
가해자
의도
내 부
외 부
노출
인 간
변조
비인간
파괴
의도적
비의도적
결과
위협요소
정보시스템의 보안과 통제
No. 5
정보시스템 위협의 12가지 유형
원
내
천
부
가해자
인
인
외
간
간
부
비인간
정보시스템의 보안과 통제
의
도
위 협 요 소
비의도적
실수로 인한 불량 데이터 입력
의도적
의도적인 불량 데이터 입력
비의도적
실수로 인한 데이터의 파괴
의도적
의도적인 데이터의 파괴
비의도적
매체에 대한 부적절한 통제
의도적
조직원들의 승인되지 않은 데이터 및 시스템 접근
비의도적
입,출력물에 대한 미약한 통제
의도적
해커들에 의한 침입
의도적
경쟁 업체들에 의한 침입
비의도적
컴퓨터 바이러스에 의한 침입
비의도적
부적절한 물리적 통제
비의도적
자연 재해
No. 6
정보시스템 보안의 주요 위협요인
외부환경의
위험
지진, 폭우, 대홍수, 회오리바람,
정전사고, 화재 등의 자연재해
사고
정보시스템 보안사고의 상당수
가 인간의 오류에 의해 발생
프로그램 설계, 프로그래밍, 데
이터 입력, 프로그램 오작동, 컴
퓨터 조작 등 다양한 부분에서
발생 가능
인간의 오류
정보시스템의 보안과 통제
컴퓨터를 주요 수단으로 하여
불법적으로 정보자원을 접속하는
행위
컴퓨터 범죄
No. 7
컴퓨터 범죄
●
데이터 조작
불법적인 접속/사용: 적절한 권한이 없이 정보를 접속하거나 유출시키는 행위 (예:
스파이에 의한 적국 국방기밀의 유출)
불법적인 변조: 적절한 권한이 없이 정보를 변조시키는 행위 (예: 은행 계좌정보의
불법 변조를 통해 자금 횡령)
불법적인 삭제: 적절한 권한이 없이 정보를 삭제시키는 행위 (예: 회사에 재정적
피해를 입히기 위해 고객데이터를 삭제)
정보시스템의 보안과 통제
No. 8
컴퓨터 범죄 - 계속
●
프로그램 방식
바이러스: 응용프로그램이나 데이터 파일에 첨부되어 사용자의 일상 작업 도중 은연
중에 실행되는 프로그램
워엄: 파일을 변조하거나 삭제하지는 않지만, 시스템 내에서 관련 파일들을 계속
복제시켜 시스템을 마비시키는 프로그램
트로이 목마: 다른 프로그램 내에 숨어 있다가 사용자가 특정 작업을 하는 순간 시스템
장애를 일으키는 프로그램
함정문: 프로그램에 침입하여 일부 명령을 프로그램 내에 추가시키는 프로그램.
사용자가 변조된 프로그램을 실행할 때 예상치 않은 상황 발생 가능
정보시스템의 보안과 통제
No. 9
바이러스의 감염 경로
저장매체
통해 이동
악의에 의해
제3자의 컴퓨터에
바이러스 생성
바이러스 감염
통신네트워크 따라 이동
(예: 파일전송)
정보시스템의 보안과 통제
No. 10
정보시스템의 보안대책
●
제도적 보안대책
-
●
사규, 규정 등의 제도적 장치를 통해
물리적 보안대책
-
정보시스템 보호책을 마련하는 대책
-
물리적인 피해를 막는 대책
시스템 운영을 위한 조직 및 역할 분담,
-
문서의 관리, 건물 관리 등
●
정보시스템의 기술적 환경에 대한
보호책을 마련하는 대책
-
전산센터의 시설물 설치 및 관리,
천재지변이나 화재 등 자연재해 예방대책
등
기술적 보안대책
-
정보시스템에 대한 접근을 통제함으로써
●
인적자원의 보안대책
-
시스템 운영자나 사용자 자신들의
하드웨어/소프트웨어, 데이터, 네트워크
보안의식 강화를 통해 시스템을 보호하는
보안으로 세분화됨 (예: 방화벽)
대책
-
컴퓨터 범죄의 80% 이상이 조직 내부자의
소행으로 나타나고 있어 인적자원의
보안대책 수립이 점차 중요해짐
정보시스템의 보안과 통제
No. 11
방화벽의 개념도 (네트워크 보안)
기업 LAN/WAN
네트웍
서버
인터넷
(50,000여 네트워크)
방화벽
STOP
방화벽 이외에는 접속이 전혀 불가능함
정보시스템의 보안과 통제
No. 12
정보시스템 통제
●
●
일반적 통제
-
물리적 통제: 컴퓨터 시설 및 자원 보호
-
접근 통제: 사용자가 불법적으로 컴퓨터 시스템에 접근하는 것을 제한
-
데이터 보안 통제: 불법적인 유출, 변조, 파괴 혹은 자연재해로부터 데이터 보호
-
통신 통제: 통신 네트워크상에서의 데이터 보호 (예: 암호코딩)
-
관리 통제: 정보시스템의 보안기능을 강화하기 위해 필요
애플리케이션 통제
-
입력 통제: 데이터의 입력시 데이터가 정확성, 완전성, 일관성을 유지하게 하도록 필요
-
처리 통제: 데이터의 처리시 데이터의 정확성, 완전성, 일관성을 확인하고 프로그램이
제대로 실행되었는지 확인하기 위해 필요
-
출력 통제: 애플리케이션 프로그램의 처리결과에 대해 정확성, 유효성, 완전성,
일관성을 확인하기 위해 필요
정보시스템의 보안과 통제
No. 13
정보시스템 감사
●
정보시스템 감사
-
시스템 통제에 대한 전반적인 점검 기능
●
감사방식의 유형
-
컴퓨터 주변의 감사 (auditing around the
computer)
●
정보시스템 감사의 주요 질문항목:
-
시스템에 충분한 통제가 설치되어 있는가?
-
어느 영역이 통제에 의해 보호되지
못하는가?
-
불필요한 통제는 없는가?
-
통제가 적절히 구현되고 있는가?
-
통제가 시스템의 출력물을 확인하는가?
-
통제가 제대로 이행되고 있는지 확인할 수
컴퓨터 자체의 감사 (auditing through the
computer)
-
컴퓨터에 의한 감사 (auditing with the
computer)
있는 절차가 있는가?
-
통제가 이행되지 않을 경우 필요한
시정조치가 준비되어 있는가?
정보시스템의 보안과 통제
No. 14