Transcript 정보보안, 정보보호
제1장 정보보호 개론 도경화 [email protected] 강의에 들어가기 앞서.. 계속적으로 변화되는 환경! 지능화되고 고도화되는 침해! 그에 따른 “창과 방패”를 위한 보안 기술! 그리고!! Copyright © 2008 도경화 :: [email protected] (ver4) 정보보호 정의 정보보호 정의 의도적이든 비의도적(사고)이든 부당한 정보의 열람, 유출, 변조, 파괴 로부터 정보를 보호하고자 하는 것 The protection of information against unauthorized disclosure, transfer, modification, or destruction, whether accidental or intentional [Information Warfare, July 1996] 공개로부터의 보호 변조로부터의 보호 Confidentiality 보안성/비밀성 기밀성/내밀성 Integrity 무결성 Availability 가용성 파괴/지체로부터의 보호 Copyright © 2008 도경화 :: [email protected] (ver4) 책 임 추 적 성 고전적 개념 vs. 발전된 개념 보안은 단위 보안제품으로 존재하는 선택 요소가 아니라, 업무 프로 세스 내 포함되는 필수 요소 • 통합화, 융합화, 정보보호 요소의 프로세스 내재화 - 단위 보안솔루션의 통합화 - 기술적 보안과 물리적 보안의 결합을 통한 융합화 - 컴플라이언스의 등장으로 인한 정보보호 요소의 프로세스 내재화 • 기업 비즈니스 연속성을 확보하기 위한 관리 및 통제 개념으 로 확대 • ISO27001/정보보호안전진단 • 단위 보안제품으로 조직의 선택 사항 • IT 시스템의 한 분야로써 보안제품이 존재 • 제품군별 보안 전문가 필요 서비스 어플리케이션 서버 보안관제서비스 재해복구서비스 사용자인증 (SSO/IAM/PKI) DB보안 메신저보안 DRM 코드취약점툴 웹서비스보안 서버보안 무선 보안 VPN/SSL 발신통제 UTM 사용자단말기 (PC/노트북/PDA) 물리적보안 안티바이러스 안티스파이웨어 PC방화벽 데이터암호화 키보드보안 이동매체보안 출입G/W CCTV IC카드 Audit) 방화벽 컴플라이언스 • 개인정보보호법/건강정보보호법 • 산업기술유출방지법 • 전자금융거래법/자본통합법 ( 침입탐지/방지 네트워크 보 안 관 리 감 사 보안 (통합화, 융합화) 위험관리 자동화 (상호통합) 업무시스템 (프로세스 내재화) • UTM: Unified Threat Management(통합위협관리), VPN: Virtual Private Network(가상사설망), SSL: Secure Socket Layer, Access Management(통합인증) • PKI: Public Key Infrastructure(공개키 기반구조), G/W: Gateway, SSO: Single Sign On, DRM: Digital Right Management Copyright © 2008 도경화 :: [email protected] (ver4) IAM: Identity 패러다임의 변화 IT 기술의 발전, 개인정보보호 등 컴플라이언스의 업무통합은 통합 보안 서비스에 대한 신규 수요를 창출하면서 정보보호 서비스의 패러다임을 변화시키고 있음 • 정보보호와 관련된 각종 법,제도의 재정비로 인한 보안 컴플라이언스 분야의 등장주1) • 복잡한 보안관리에 대한 부담 증가로 효율적 운영을 위한 통합 보안운영서비스의 요구 증대 - 통합보안관제의 수요증가 예상 주1) 건강정보보호법(입법추진중), 개인정보보호법(입법 추진중) Copyright © 2008 도경화 :: [email protected] (ver4) 컨 설 팅 기술적 보안 통합 관리 IT 리스크 관리 취약점 진단 통합보안컨설팅 컴플라이언스 관리 개발보안 보안인증 (ISO27001) 법/제도 기반 비즈니스 연속성 관 리 개인정보 보호 + • 웹2.0, 유비쿼터스 등 신기술 패러다임의 등장으로 인해 보안관리의 복잡성 증가 위험관리 데이터손실사전방지 사용자 단말기 보안 솔 루 션 운 영 컴플라이언스 관리 통합보안관제 네트워크 보안 서버 보안 백업 어플리케이션 보안 재해복구 디바이스 추적관리 데스크탑 통합보안관제 정보보호 핵심이슈 내부정보 유출방지, 개인정보보호, 개발 보안, 통합 보안관리 분야가 최근의 정보보호 핵심이슈로 대두 되고 있음 내부정보(산업기술, 개인정보 등) 유출 사고로 인한 비즈니스 위험 증가 국내기업 중 20% 이상이 내부정보 유출 피해 경험 정보보호 환경변화, 컴플라이언스의 등장으로 SI 개발방법론에 정보보호 프로세스가 필요 SDLC 단계에 정보보호 요소의 프로세스 내재화를 통한 Secure Product 산출 Copyright © 2008 도경화 :: [email protected] (ver4) 공공 및 민간분야를 통합한 개인정보보호법(안) 제정 추진 中 정보보호 : 집단적, 추상적 이슈 개인정보보호 : 개인적, 구체적 이슈 관리해야 하는 보안 솔루션 및 데이터 양의 증가 기업보안의 효율적인 관리 및 운영을 위한 아웃소싱 서비스 수요 확대 (1) 내부정보 유출방지 <산업 기술 유출 사례> *국정원(2007년) ’03년 이후 107건 (405명) 적발 • P社 철강 기술 유출, 향후 5년간 2조 8천여억의 손실 예상 • H社 자동자 제조 핵심 기술 유출, 22조 3천여억원의 손실 예상 약 170조 피해 예상 <개인 정보 유출 사례> 내부자가 가장 중대한 보안 위협으로 부각 이슈 • K은행 3만 명 고객정보 유출, 1인당 10만원 배상판결 • A社 1,080만 명 개인정보 유출, 손해배상 소송 진행 중 내부자 보안 및 협력사 협업 보안 다양화된 유출 경로 통제 내부정보의 고의적 유출이나 우발적 데이터 손실을 사전에 방지할 수 있는 DLP (Data Loss Prevention) 컨설팅 및 솔루션 대응방안 데이터 자체 보안, 컨텐츠 필터링 및 차단 기능, 유출 채널 모니터링 및 차단 등을 수행 조직내 정보를 분류하여 정보를 보안등급에 따라 체계화하고 이에 맞는 정책 수립 후 필요한 솔루션을 구축함 (데이터보안, DRM, 메시지보안, DB보안 Copyright © 2008 도경화 :: [email protected] (ver4) (2) 개발 보안 개발 보안 프레임워크의 필요성 <정보시스템의 정보보호 방법> • 추가(Add-on) 방식 • 개인정보보호법 강화 • 정보보호 중기 종합 계획 • 관련 법/제도/지침 준수 • 내장(Embedded) 방식 • 보안 프로세스 정비 • 내장 방식이 추가 방식보다 10배의 비용 절약됨 • 응용프로그램 취약점을 이용한 보안사고 증가 • 내부자 정보유출 사고 증가 이슈 * MIT 경제학자 Hoo et al의 연구(Tangible ROI through Secure Software Engineering, 2001) 정보보호 중기 종합계획 수립, 개인정보보호법 발의 등의 환경변화 이슈 관련법/제도/지침 준수, 보안 프로세스 정비 등의 컴플라이언스 등장 응용프로그램 취약점, 시스템 취약점으로 내부정보 유출 등의 보안사고 발생 SDLC 全 단계 보안성 강화를 위한 보안체계 수립 개발 및 구축 측면의 SDLC 全 단계 보안요건 정의 대응방안 PJT 수행자 관점, 프로세스 관점의 보안 프레임워크 컴플라이언스 대응을 위한 보안체계 개인정보보호 정책 등 컴플라이언스 대응 정보보호 정책에서의 법적 의무사항 반영 Copyright © 2008 도경화 :: [email protected] (ver4) (3) 통합 보안 관리 <통합 보안 관리의 필요성> • 일일 로그데이타 분석량 1조 이상 관리해야 하는 보안장비 증가 도입된 보안솔루션 증가 관리해야 하는 데이터 양 증가 보안사고 및 위협 증가 • 하루에 발생하는 보안 사고 3,300건 이상 • 웜/바이러스로 인한 보안 사고 매달 3000건 이상씩 증가 • 6,200개 이상의 장비 보안인력 및 지식 부족 보안관리의 비용 증가 *시만텍 보고서 개별적인 보안장비 및 보안솔루션들의 통합적 관리 이슈 보안 관리의 비용 절약 및 리스크 감소 보안환경을 지속적으로 지원/운영할 수 보안인력 및 지식 효율적인 통합 보안 관리 및 운영 아웃소싱을 위한 MSS(Managed Security Services) 서비스 대응방안 보안 관리를 위한 인력, 프로세스, 기술, 정보 등 제공 침입 탐지를 위한 24시간 실시간 모니터링 체계, 취약성 및 위협 방지를 위한 조기경보 서비스, 실시간 침입 대응 등의 서비스 Copyright © 2008 도경화 :: [email protected] (ver4) (4) 개인정보보호 개인정보 유출로 사회적 이슈 및 소송 중인 8건에 대한 분석 결과, 내부자 유출 2건(25%), 외 부자 유출 3건(37.5%), 담당자/개발자 실수 3건(37.5%)으로 실수 및 외부자 유출 사건이 多 내부자 유출 (25%) 외부자 유출(해킹) (37.5%) 임직원 실수 (37.5%) 내부 직원에 의해 유출된 G社 사례 외부 해킹에 의해 유출된 A社 사례 담당자 실수로 개인정보 파일 첨부로 전송한 K社 사례 1 개인정보 시스템 접근 2 Excel로 저장 후 DVD로 유출 보조기억매체 통제를 1 홈페이지 CSRF 취약점을 이용 2 관리자 권한 획득 3 개인정보 외부 유출 했더라면? 웹취약점이 사전 감지가 오남용 사용에 대한 됐다면? 탐지/통제? 오남용 사용에 대한 개발자 실수로 홈페이지 프로그 램 접속 오류로 유출된 D社 사례 탐지/통제? WAS /DB 웹서버 인증/권한 1 방법은?프로세스+통제 1 오남용 사용에 대한 DMZ 탐지/통제 부재 2 내부사용 3 해커 자 Copyright © 2008 도경화 :: [email protected] (ver4) 실수 차단 탐지/통제? 2 관리 자 제도적 이슈 - 개인정보보호법 개정안 개인정보보호법 개정안에 따르면 개인정보Life Cycle에 따른 통제 및 보안조치에 대한 내용이 포함되어 있으며, 개인정보 유출 사고 발생시 양벌규정에 따라 법인도 형사처벌을 받을 수 있음 개인정보 Life Cycle 단계별 보 호기준 규정 주민번호 등 고유 식별 정보의 처 리규제 강 화 - 정보 수집/이용/제공 목적/동의 강 화 - 수집->이용->제공->파기 단계별 보호 개인정보 영향평가 제도 수준 차등화 - 원칙적 처리 금지. 단, 법령 또는 별 - 목적달성 후 파기 규정 강화 도 동의를 얻는 경우 가능 - 웹사이트 회원가입 등 본인확인 필 요 시 주민번호 외 방법을 반드시 제 개인정보 보호 위원 회 신설 - 현행 민간 개인정보분쟁조정위원 회를 확대·개편하여 공공·민간 부문을 위상을 제고 (공포 후 1년 후 시행) 의무화 의견제시 등의 심의 망라한 권리구제 총괄기구로서의 공 조치보호조치 - 안전성 안내판확보에 설치 및필요한 영상정보 - 개인정보 유출 시 즉시 통지 의무 - 개인정보보호 정책 수립, 제도개선, - 고유식별정보 처리시 암호화 등 민간 CCTV 규제 - 영향평가 의무화(공공, 민간 자율) - 개인정보보호에 대한 상당한 주의 벌칙 강화 와 감독을 게을리 할 경우 법인도 형사처벌 및 과태료 부과 Copyright © 2008 도경화 :: [email protected] (ver4) 기술적 이슈 - 개인정보 Lifecycle 내 고려 사항 개인정보 라이프 싸이클에 따른 이슈를 분석한 결과, 각 단계마다 다른 기준이 적용되고 있으며, 각 단계에 따른 다음 사항을 고려 해야 함 수집단계 저장단계 폐기단계 이용/제공단 계 정보주체 동의 없는 개인정보 수집 필요 이상의 개인정보 수집 불법 수집 개인 사생활이나 권리 침해소지가 있는 개인정보 수집 동의의 철회·열람 또는 정정요구를 응하지 않거나, 수집절차보다 어려운 동의의 철회·열람 또는 정정의 절차 불법 유출 관리 소홀 잘못된 개인정보의 기록 인가자에 의한 개인정보의 불법유출 비인가자에 의한 개인정보의 열람, 삽입, 변조, 파괴 오류 개인정보의 부적절한 관리로 인한 외부 유출 Copyright © 2008 도경화 :: [email protected] (ver4) 2차 적 사용 (제공) 변경된 개인정보가 수정되지 않음 정보전송상의 실수 및 오류로 인한 개인정보의 유출 수집 목적 이외의 용도로 개인정보를 활용하는 행위 정보주체의 동의를 구하지 않은 채, 제3자에게 정보를 제공하거나 판매하는 행위 불법 보유 동의가 철회되거나 수집목적이 달성된 개인정보의 불법보유 3.4.3 핵심이슈 분석 - 기술적 이슈(2/2) 3. 개인정보보호 기술적 이슈 - 인프라 측면 정보기술 발달에 따라 정보에 대한 유출 경로가 다양해짐에 따라 개인정보의 중요도를 분류하여 사용그룹별 접근관리가 요구 됨 위 험 요 소 인터넷을 통한 스니핑 위 험 인가된 관리자로부터 유 출 웹취약점을 이용한 해킹 비인가 사용자 유출 웹서버 시 스 템 구 성 인가된 사용자 유출 WAS/D B 인터넷 매체 내부 서버 인터넷 사용자 DMZ 내부망 내부 사용 자 보조 기억 매체 프린 트 해커 대 응 방 안 웹방화 보안취약점 벽 제거 DLP/DR 인증/권한 강화 DB 암호화 전송 접근통제/암호화저장/감사 Copyright © 2008 도경화 :: [email protected] (ver4) M 보조기억매체 감사시스 통제 템 정보보안 목표 정보보안 목표 (CIA) 기밀성(Confidentiality) 무결성 (Integrity) Confidentiality 가용성(Availability) 기타 사항 인증(Authentication) 권한관리(Authorization) 책임추적성(Accuracy) 보증(Assurance) NIST 800-33(Security Objectives) Copyright © 2008 도경화 :: [email protected] (ver4) Integrity Availability 정보보호 개념 변화 정보보호 범위 통신보안 (CommSec) 컴퓨터보안 (CompuSec) 네트워크보안 (NetSec) 정보보안, 정보보호 (InfoSec) • 개인정보보호의 중요성! 정보전 (Information Warfare, IW) 정보보증 (Information Assurance, IA) 변화 정보보호(Security) 정보보증(Assurance) 암호기술 및 서비스 중심에서 정보의 가용성을 중시 Copyright © 2008 도경화 :: [email protected] (ver4) 정보보호 용어 정보기술 보안 주로 기밀성, 무결성, 가용성을 정의. 구현 및 유지보수와 관련된 모든 측면 자산(assert) : 조직에 가치 있는 모든 것 영향(Impact) : 예기치 않은 사건으로 인한 결과 위협(Threat) 발생시 시스템에 손상을 유발시킬 수 있는 사건이나 행동 취약성(Vulnerability) : 위협에 의해 이용 될 수 있는 자산내의 약점 위험(Risk) : 자산의 취약성으로 인해 발생되는 기대손실(확률) 위험분석(Risk Analysis) : 보안 상태를 분석하는 과정 위험 식별, 규모 결정, 대응책이 필요한 분야 식별 Copyright © 2008 도경화 :: [email protected] (ver4) 위험 관리 (Risk Management) 변화하는 환경에 맞게 1)과 2)를 지속적으로 수행하는 프로세스 1) 위험 식별: 정보 자원의 취약점과 위협요소를 파악하는 것 2) 대책 마련: 정보 자원의 가치에 합당한 수준으로 위험을 감소시키는 대책을 마 련하는 것 잔류위험(Residual Risk) : 안전대책이 구현된 후에도 남아 있는 위험 안전대책(Safeguard) : 위험을 감소시키는 기법 및 절차 정보기술 보안방침(IT Security Policy) : 조직이 정보기술 자원을 어떻게 관 리, 보호 및 배포하는 것인지에 대한 규칙, 지침 및 규약 시스템 보안 방침(System Security Policy) : 각 시스템 별로 작성 되는 보안 방침 보안요구사항(Security Requirement) : 서비스, 기능 또는 절차 (안전대책) 의 관점에서 명시된 보안에 관한 필요성 Copyright © 2008 도경화 :: [email protected] (ver4) 보안의 목표(원칙) 비밀보장(Confidentiality) 무결성(Integrity) 가용성(Availability) 책임 추적성(Accuracy, to the individual level) 보증(Assurance) 접근 제어(Access Control) 부인봉쇄(Non-Repudiation) 인증(Authentication) Copyright © 2008 도경화 :: [email protected] (ver4) 보안의 목표 – 비밀성, 무결성 정보의 비밀성 유지 인증된 사용자만이 접근이 가능하고 제3자에게 비밀성 있어야함 정보 보호 메커니즘 • 암호화, 논리 및 물리 접근 통제, 전송 프로토콜, 통제된 트래픽 흐름 등 기밀성 보호의 수단 정보의 무결성 유지 정보의 변경, 삭제됨을 방지 해야 함 무결성 제어 메커니즘 • 해쉬 함수H(M), 메시지 인증 코드(MAC) Copyright © 2008 도경화 :: [email protected] (ver4) 보안의 목표 –가용성, 책임추적성 정보의 가용성 확보 승인된 사용자의 요구하는 정보, 시스템 및 자원의 접근이 적시에 제공 자료의 백업, 이중화, 오류 수용성과 복구 등이 가용성 수단 책임 추적성(Accuracy, to the individual level) 보안사고 발생시 누구에 의해 어떤 방법으로 발생한 것인지 추측할 수 있어야 함 주체의 신원을 증명하고 그들의 활동을 추적(trance)하는 능력 식별, 인증, 권한부여, 접근통제, 감사가 중요 기본 개념임 Copyright © 2008 도경화 :: [email protected] (ver4) 보안의 목표 –접근제어 접근 제어(Access Control) 시스템에서 자원의 사용 가능 여부를 결정하는 과정 • 사용자와 시스템이 다른 시스템 및 자원과 통신하고 상호 작용하는 방법을 제어하는 보안 기능 통신 시스템과 관련된 허가되지 않은 동작들의 위협으로부터 자원을 보호 주체와 객체, 논리적 접근통제는 식별->인증->승인 Copyright © 2008 도경화 :: [email protected] (ver4) 보안의 목표 – 인증기능, 부인봉쇄 인증기능제공(Authentication) 자신의 신분과 행위를 증명 하는 것 패스워드 방식, 공개키 이용, 메모리 및 스마트 카드, 생체 인식도구 등 사용자 인증, 데이터 인증 부인봉쇄 기능 제공 메시지의 송, 수신 부인방지 방법 전자서명, 공개키 인증 기관의 인증서 발행 Copyright © 2008 도경화 :: [email protected] (ver4) 정보보호 구성요소 시스템 로그 분석 요구사항 분석 대응 로그 분석 보안정책 수립 관리상황 보고 보안시스템 설계 Prepare 운영권고안 수립 Audit & Report Information Security Prevent Respond & Improve Monitoring & Detect 보안네트웍 구축 개선 요구사항 보고 장애 대응 침해사고 대응 시스템 분석 시스템 개선 통합보안관리 시스템 연동 취약성 분석 감시 : 장애, 침해시도, 침해사고 취약성 제거 감지 : 장애, 침해시도, 침해사고 Copyright © 2008 도경화 :: [email protected] (ver4) 정보보안 정책 정책(Policy) 조직 정보 보호 정책 : 무엇을 어떻게 보호?! • 목적, 범위, 책임, 준수, 경영진의 지원 선언 등 • 정보등 관련 자산들이 어떻게 관리,분배 -> 규칙, 지침, 규약 사안 별 정보 보호 정책 : 특정 부서 또는 업무에 관한 보호?! • 개인정보보호정책 시스템 정보 보호 정책 : 특정 시스템의 보호를 위한 결정 사항 • 방화벽 정책 지침(Guidelines) 보안 정책을 따르게 하기 위한 방법 제공, 설명 표준(Standard) : 특정의 보안기술이나 제품 등 규정 규칙, 방법, 문서 양식, 시스템 규격 절차(Procedure) : 정책 목표를 달성하기 위해 수행하는 단계적방법 Copyright © 2008 도경화 :: [email protected] (ver4) 보안정책 형태 규제형(Regulatory) 무엇을 하여야 한다. 언제 하여야 한다. 누가하여야 한다 일관성 있고, 모순 없는 절차 확립, 기술적으로 미숙한 사람들 대상 예) 은행은 인터넷뱅킹을 이용하는 가입자의 정보의 보호 및 금융 사고의 방지를 위해 이중암호화 해야한다. 권고형(Advisory) 잘 모르는 사람들에게 가르쳐주며 정책에 따르게 하는 방법 어떤 기능을 완수하기 위해서는 어떤 조치를 취하여야 한다는 권고형 예) 은행은 인터넷뱅킹 사용자에 대하여 공인인증 기반의 사용자 제공하면 좋다. Copyright © 2008 도경화 :: [email protected] (ver4) 인증을 고지형(Informative) 임직원들에게 특정 주제에 관련된 정보를 제시하는 정책 어떤 행동을 묵시적으로 기대하거나 벌칙이 없으며, 특별히 준수되어야 할 필요 없음 예) 패스워드는 표준에 따라 변경한다. 자세한 정보는 부서의 패스워드 정책을 보라. Copyright © 2008 도경화 :: [email protected] (ver4) 보안 솔루션 도입 검토 4. 통합보안 서비스 보안컨설팅, 솔루션컨설팅 및 구현, 보안서비스의 End-To-End 보안 서비스를 제공하도록 하여야 함 고객사 전사적 관점의 중장기 정보보안 전략/실행계획 수립 인프라 신뢰성 확보를 위한 정보자산 보호체계 마련 통합보안전략 / 취약점 진단 / 인증 / 개발보안 / 취약성 분석, 평가 및 안전진단 / 법,제도 기반 컨설팅 등의 서비스 제공 인프라의 위험 요소를 파악, 분석 후 최적의 보안아키텍처 를 설계 고객사 보안 운영 및 관리 분야를 전문적 으로 아웃소싱 하는 보안운영 서비스 솔루션 선정/구현 방안 제시 및 최적 보안솔루션 맞춤형 구축 고객 비즈니스 및 정보시스템 환 경에 필요한 보안요소들을 전사 적 관점에서 도출하여 최적화된 솔루션 통합 제공 Copyright © 2008 도경화 :: [email protected] (ver4) 정보시스템 해킹/침해시도를 전문인력이 24*365 실시간 감시,예방 문제 발생시 신속한 사고처리 및 피해 확 산 최소화를 위한 관제 4. 통합보안 서비스 3개의 서비스 영역 및 10개의 세부서비스 영역으로 구성 통합보안 컨설팅 보안 컨설팅 솔 루 션 검 솔루션 컨설팅 및 구현 보안 서비스 조직의 보안 관리 체계 전반에 대한 위험 분석 및 마스터 플랜 수립 취약점 진단 컨설팅 정보시스템에 대한 보안 취약점 진단 및 대책 제공 인증 컨설팅 정보보호 관리체계에 대한 국내외 인증 획득 지원 개발보안 컨설팅 SDLC주4) 기반의 시스템 구축 전 과정 상에서 예상되는 보안이슈사항 분석/검토 및 제거 법/제도 기반 컨설팅 정보통신기반보호법 등의 법/제도에 의해 기반보호시설 취약성 분석, 평가 및 정보보호 안전진단 수행 컨텐츠 보안 및 위협 관리 (SCTM주1)) 디지털 컨텐츠 보안 및 인프라 보안을 위한 솔루션 구현 보안 및 취약성 관리 (SVM주2)) 보안 취약점 분석 및 관리 솔루션 구현 인증 및 접근 관리 (IAM주3)) 사용자 인증, 계정 및 접근 통제 관리 솔루션 구현 보안운영 고객사의 보안 운영 및 관리 분야를 전문적으로 아웃소싱 하는 서비스 보안관제 고객의 정보시스템에 대한 실시간 감시 및 문제 발생시 즉각적인 대응을 지원하는 서비스 주1) SCTM : Secure Content and Threat Management 주3) IAM : Identity and Access Management 주2) SVM : Security and Vulnerability Management 주4) SDLC : S/W Development Life Cycle Copyright © 2008 도경화 :: [email protected] (ver4) (1) 보안컨설팅 4. 통합보안 서비스 회사 內 조직 및 모든 정보자산에 발생할 수 있는 보안 위험을 분석하 여 이에 대한 종합적인 대책을 수립하고 이를 실현할 수 있도록 지원 통합 보안 컨설팅 정보자산에 대한 기업의 정보보호 활동에 대해 정책, 표준, 지침, 절차를 정의하고 이를 실행, 감독하는 활동 (보안업무 관련 표준 업무 절차, 정책, 지침 등) 정보자산이 위치한 시설에 대해 허가되지 않은 접근 또는 사용을 차단하고 모니터링 하기 위한 활동 (시설에 대한 출입통제, 감시, 시설환경 등) 정보시스템 내 취약점 제거 및 내/외부 보안 위협 차단을 위해 정보보호 시스템을 구축, 운영하는 활동 (서버, 네트워크, DB, 어플리케이션, PC 등) Copyright © 2008 도경화 :: [email protected] (ver4) 인증 컨설팅 법/제도 기반 컨설팅 취약점 진단 컨설팅 개발보안 컨설팅 (1-1) 관리적 보안 관리적 위협으로부터 정보자산을 보호하기 위해 기존 정책 및 지침, 법률적 환경적 요구 등 을 고려하여 명확하고 일관성이 있는 보안 정책, 지침, 절차 등 관리보안 대책을 수립 보안조직 침해사고 대응책 • 정보보호 조직운영 • 외주계약 • 비상 보안사태 예방 및 방지 • 보안사고 대응 관리 / 사후복구 대응 관리 자산분류 및 통제 보안문서 • 자산분류 및 관리 • 위험분석 관리 / 보안성 검토 • 보안 문서 관리 • 보안 문서 수,발신 관리 / 문서 폐기 관리 • 채용 및 퇴직관리 • 전출입 관리 • 협력업체관리 • 보안서약관리 • 보안교육 • 비상대응훈련 인적보안 정보보호 사고 • • • • • • 주요 업무 데이터의 변조 응용프로그램 및 시스템 파일의 무결성 위반 바이러스의 침입 하드웨어의 파괴 비 인가된 사용자의 침입 네트워크의 침입으로 인한 비정상적인 서비스 • 비상사태에 의한 자산 손실 Copyright © 2008 도경화 :: [email protected] (ver4) 교육 및 훈련 비상대책 • • • • • • • • • • 정보보호 담당자 비상연락망 보유 시스템 장애처리 요원 연계 사고일지 기록 정보보호 사고 지연 시 처리 사고내용 보안교육 관련자료 반영 정보보호 사고 관련 등급 평가 사고 관련자의 처리 보안 관련 사고의 문서화 규정 침입자 발견 시 조치 서버 및 데이터베이스의 가용성 확보를 위한 백업 및 복구 보안컨설팅 - 통합보안 컨설팅 정의 주요 기능 조직의 보안 관리 체계 전반에 대한 위험 분석 및 마스터플랜 수립 컨설팅 주요 정보자산에 대한 관리적/기술적/물리적 취약점을 파악하고 위험분석을 통해 체계적인 보안 마스터플랜을 수립함 Copyright © 2008 도경화 :: [email protected] (ver4) 보안컨설팅 - 취약점 진단 컨설팅 정의 주요 기능 정보시스템에 대한 보안 취약점 진단 및 대책을 제공하는 컨설팅 모의해킹※과 함께 대상의 기술적인 진단 및 실증적 해킹 가능성 점검 후 그에 따른 대응책을 수립함 ※모의해킹 : 사전에 아무 정보 없이 외부 웹 상에서 실제 해커들이 사용하는 방법을 이용하여 시스템에 접근하는 외부 모의해킹과 내부 IP를 할당 받아 비인가 내부자로 인한 시스템 접근 가능성, 권한 상승 가능성 등을 파악하는 내부 모의해킹으로 구분됨 Copyright © 2008 도경화 :: [email protected] (ver4) 보안컨설팅 - 인증 컨설팅 정의 주요 기능 정보보호 관리체계에 대한 국내외 인증※ 획득을 지원하는 컨설팅 정보보호관리체계 국제 표준인 ISO27001 또는 정보통신부의 정보보호관리체계 KISA ISMS 인증 획득을 지원함 ※인증제도 : 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ 운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 통해 구현 된 여러 정보보호대책들이 유기적으로 통합된 체계(“정보보호관리체계”)에 대하여 제3자의 인증기관이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도 Copyright © 2008 도경화 :: [email protected] (ver4) 보안컨설팅 - 개발보안 컨설팅 정의 SDLC※ 기반의 시스템 구축 전 과정 상에서 예상되는 보안 이슈사항을 분석/검토 및 제거하기 위한 컨설팅 주요 기능 기업 애플리케이션 개발 단계에서부터 계획, 분석, 설계, 구축, 테스트, 운영의 단계마다 보안을 고려하여 발생 가능한 취약점을 분석/제거 및 방안을 제시함으로써 기업 전반의 보안을 강화함 ※SDLC : S/W Development Life Cycle Copyright © 2008 도경화 :: [email protected] (ver4) 보안컨설팅 - 법/제도 기반 컨설팅 정의 정보통신기반보호법에 의한 기반보호시설 취약성 분석/평가 컨설팅 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의한 정보보호 안전진단 수행 컨설팅 주요정보통신기반시설 취약점 점검 서비스 : 금융감독위원회/정보통신부 취약점 분석/평가 기준을 반영한 보호대책을 수립함 (연1회) 주요 기능 정보보호 안전진단 : 관리적/기술적/물리적 보호조치에 대한 세부조치사항 중 대상별로 차별화된 항목 점검을 통해 필증을 부여함 (연1회) Copyright © 2008 도경화 :: [email protected] (ver4) 4. 통합보안 서비스 (1-2) 물리적 보안 주요시설의 보안구역에 대한 위협과 자연재해로부터 보호하기 위해 국제적 기준의 물리 및 환경 보안 기준을 적용하여 물리적 접근통제에 대한 분석 및 통합적 보호대책을 수립 자산보호 보안 장비 • 물리적 요인으로 장비 훼손이나 파괴로 인한 시스템 작동 불능이나 성능 저하 방지를 위한 정책 • 화재, 홍수 등 재난에 대비한 자동 경보장치 및 소화설비 필요 • 방재시설, 자산보관, 장비도입 및 폐기절차 • 장비 잠금장치, 덮개 활용 • 사각지대 관리, 운동감지 보안센서 • 적외선 감지기, 펜스 감지기 등의 보안 장비 출입통제 • CCTV, 출입기록, 출입동선, 장비 반/ 출입 • 외부인에 대한 신원 파악 • 외부인 작업 시 동행 일반통제 • 내부시설 보안 및 PC 보안 • 내외부사용자 모두 출입시 보안 통제 • 카메라 등 촬영 금지 물리적 보안통제 지침, 프로세스 점검 보안구역 • 물리적 보안구역 설정 및 통제 • 전산 장비 반출입을 위한 별도 구역 지정 물리적 보안 체크리스트, 등급별 지정 ※ 물리적 보안 대책은 안전한 정보 자산 관리를 위한 가이드를 제시함 Copyright © 2008 도경화 :: [email protected] (ver4) 보안 담당자 교육 및 관련자의 보안 정책 협조 (1-3) 기술적 보안 4. 통합보안 서비스 각종 하드웨어와 소프트웨어에 대한 기술적 요소들을 보안상의 위협으로부터 안전하게 보 호하기 위해 새로운 시스템 환경에 맞도록 네트워크 보안, 서버 보안, PC보안, 응용시스템 보안 등 취약점을 진단하고 통합적 대책을 수립함 • 비인가자 접근 • 바이러스 침투 • 자료노출,파괴, 변조,유출 • OS 취약점 공격 • 불법장비 부착 • 장비 도난 • 과전압 • 유지보수 중 유출 • • • • • • PC 보안/매체보안 • • • • • • • 암호화 사용자 식별 개인자료 관리 자료 등급 바이러스 전자서명 기억매체관리 네트워크 모니터링 자료 변조 트래픽 폭주공격 서비스 부인공격 스니핑(Sniffing) 장비의 파손 • 시스템 관리자의 공격 • 비인가자의 접근 • 패스워드 노출 • 서버 파괴, 도난, 수리, 복구 시 노출 • OS 취약점 공격 • 불법장비 부착 서버 보안 네트워크 보안 • • • • • 암호화 라우터 필터링 방화벽 로그 기록 Copyright © 2008 도경화 :: [email protected] (ver4) • • • • • • 데몬 보호 로그 확보 사용자 관리 전자서명/암호화 저장매체 보호 용량 한정 • 비인가자 접근 • 자료 복사, 파괴, 변조 • 트로이 목마 • 사용자의 실수 응용프로그램 보안 • 사용자 식별 • 사용자 등급별 접근통제 • 화면통제 • DB 관리자 공격 • DB 변조, 파손, 유출 • 로그 삭제 • 자료의 위치 변경 DB 보안 • DB 암호화 • 백업 및 복구 시 암호화 상태 유지 • 로그 확보 (2) 솔루션컨설팅 및 구현 정보 인프라의 위험 요소를 파악, 분석하여 해당 인프라에 가장 적합한 보안 아키텍처 를 설계하고, 솔루션 선정 및 구현 방안을 제시하여 최적의 보안 솔루션을 구축 컨텐츠 보안 및 위협 관리 (SCTM) hacker 외부사용자 Virus/spyware 인증 및 접근 관리 (IAM) 컨텐츠 보안 및 위협 관리 (SCTM) : 외부로부터 들어오는 공격 및 바이러스와 내부로부터 나가는 정보를 차단함 보안 및 취약성 관리 (SVM) 내부사용자 Copyright © 2008 도경화 :: [email protected] (ver4) 보안 및 취약성 관리 (SVM) : 조직에 대한 전반적 보안 수준 파악 및 관리를 통해 위험에 대처함 인증 및 접근 관리 (IAM) : 조직 내 산재한 사용자 아이디와 자원 사용 권한에 대해 관리함 (4) 보안서비스 4. 통합보안 서비스 hacker 외부사용자 보안운영 Virus/spyware 고객사 시스템 운영 원격접속관리 보안관제 내부사용자 Copyright © 2008 도경화 :: [email protected] (ver4) 통합 보안관제센터 정보보안실행과정 1단계 IT 보안목적, 전략, 방침 정의 2단계 IT 보안요구사항 및 범위 결정 위험분석 -자산 - 취약성 - 영향 - 위험 6단계 보고서 작성 보안감사 및 사후관리 구현 인식과 교육 Copyright © 2008 도경화 :: [email protected] (ver4) 4단계 위험관리 3단계 위험 평가 5단계 IT 보안계획 : 통제 목적 및 구현될 통제 선정 BS7799 국제보안표준 BS7799 도입배경 –ISMS(정보보호관리시스템) 품질표준(ISO 9000) , 환경표준(ISO 14000)에 이어 대두되는 보안 국제 표준 Security Round(ISO/IEC JTC1 SC27)에서 국제 표준화 작업 2000년 10월, BS7799 Part1이 ISO 17799 Part1으로 이전됨. 2002년 7월 31일, 산업자원부에서 KS-X ISO/IEC 17799로 표준화 완료 2006년 2006년 BS7799 Part2도 ISO 27001로 이전 예정임. (현재 국제표준화 최종단계) BS7799 의 장점 BS7799 체계 정보보안 대상의 범위 정의 GAP 분석 위험평가의 수행 (모의해킹, 스캐닝, 위험분석) 정보보안을 10개의 영역, 127개 통제 항목으로 구분하여 제시함 조직의 정보보안 관리 체계(Information Security Management System) 의 수립과 실행에 대한 가이드를 제시함 BS7799 인증 後 대외적인 신뢰도와 경쟁력을 확보할 수 있음 BS7799 를 표준으로 채택한 국가 영국, 일본, 호주, 뉴질랜드, 스웨덴, 브라질, 덴마크, 태국, 아일랜드, 네덜란드, 노르웨이, 남아프리카공화국 등에서 표준으로 채택하였으며, 미국과 유럽의 대부분의 국가에서 사용되고 있다. 2000년 12월, 일본 통산성은 BS7799 를 국가표준으로 채택하여 일본 공업 규격화 하고 정보보안 관리체계(ISMS) 인증 제도를 시행하고 있음 Copyright © 2008 도경화 :: [email protected] (ver4) 관리할 위험 영역의 도출 BS7799 통제항목의 선택 및 수행과제 선정 보안 문서 및 절차, 정책의 작성 BS7799 감사 및 인증 지속적인 관리 수행 및 점검 표준 규격- BS7799 항 제목 내용 1 보안 방침 정보보안에 대한 경영방침과 지원사항을 제공 2 보안 조직 조직내 보안을 효과적으로 관리하기 위한 보안에 대한 책임 배정 3 자산분류 및 관리 조직에 대한 적절한 보호책 유지 4 직원의 보안 사람에 의한 실수, 절대, 부정수단이나 설비의 잘못된 사용으로 인한 위험 감소 5 물리적 및 주변환경에 대한 보안 비인가된 접근, 손상과 사업장과 정보에 대한 영향 방지 6 의사소통 및 운영관리 정보처리 설비의 정확하고 안전한 운영을 보장 7 접근 통제 정보에 대한 접근통제 8 시스템 개발 및 유지 정보 시스템 내에 보안이 수립되었음을 보장 9 사업 지속성 관리 사업활동에 대한 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호 10 부합성 범죄 및 민사상의 범률, 법규, 규정 또는 계약 의무사항 및 보안 요구사항의 일치 Copyright © 2008 도경화 :: [email protected] (ver4)