Transcript 위험 관리
정보보안, 어떻게 할 것인가? Contents Security of Network 안철수연구소 백건우 2001-10-09 1 차례 1. 왜 정보보안이 필요한가? 정보보안에 관한 오해 정보보안에 관한 진실 정보보안의 정의 정보보안의 기본 목표 정보보안의 범위 정보보안의 유형 컴퓨터 윤리 10계명 2. 기업 정보보안의 현실 기업 환경의 변화 정보보안의 위험 정보보안 사고의 영향 정보보안 관리 유형 2 차례 3. 정보보안의 이해 정보보안의 Lifecycle 정보보안의 어려움 정보보안의 권고사항 정보보안의 대상 정보보안의 위험 관리 정보보안의 BS7799 지침 정보보안의 일반적인 유형 4. 정보보안의 개선 정보보안 시스템의 개요 정보보안을 개선하기 위한 방법 정보보안에 대한 OECD의 지침 물리적 보안 정보보안의 성공 정책 3 차례 5. 클라이언트 보안의 중요성 클라이언트 보안의 중요성 클라이언트 정보보안의 침해 유형 클라이언트 보안의 취약점 내부자에 의한 클라이언트 정보 유출 클라이언트 보안제품 검토 및 고려 사항 클라이언트 보안 솔루션 종류 6. 무선 인터넷 보안 무선 인터넷 개요 무선 인터넷 서비스 무선 인터넷 보안 7. 보안 통합 관리 보안 통합 관리체제 구축 전문 업체를 활용한 보안 위탁 관리 4 1. 왜 정보보안이 필요한가? 정보보안에 관한 오해 정보보안에 관한 진실 정보보안의 정의 정보보안의 기본 목표 정보보안의 범위 정보보안의 유형 컴퓨터 윤리 10계명 5 6 Win32/Nimda 바이러스의 충격 감염 시스템 : Windows95,98,ME,NT,2000 감염 경로 : E-Mail, 공유 네트워크, IIS 서버 특징 : 자기 복제를 통한 매우 빠른 전파 속도 나비다드, 코드레드보다 40%이상 빠른 속도 피해 상황 : 220만대의 서버와 컴퓨터 감염, 30억 달러 손해 바이러스 백신 기술만으로는 해결할 수 없는 문제 서버, 네트워크, 시스템, 클라이언트를 통합하는 보안 솔루션 위험에 대비하는 보안 정책 7 정보보안에 관한 오해 기술 문제이므로 IT담당부서에서 알아서 진행하면 된다. 담당자가 알아서 하면 충분하다. 전문가 한 두 명을 고용하면 된다. 많은 보안 솔루션 가운데서 적당한 것을 선택하면 된다. 통제 요소가 늘어나 짜증난다. 예기치 못한 일이 많아 골치 아프다. 시스템 및 네트워크 성능이 저하되어 업무 효율이 떨어진다. 관리할 암호 및 보안 요소가 늘어 머리가 아프다. 별다른 권한은 없고 보안 사고가 나면 책임만 무겁다. 열심히 일해도 별로 티가 나지 않는다. 8 정보보안에 관한 진실 사람 및 정책에 관한 관리적 요소가 더 중요하다. 전사적 협조 및 참여가 없으면 무용지물이다. 경영진의 보안 의식이 필요하다.(경영진의 암호는 비서가 다 알 고 있다?) 보안 관련 조직에는 권한을, 담당자에게는 사명감과 책임감을 부여해야 한다. 정보보안 의식 고취에 앞장서서 지속적으로 독려한다. 정보보안에 대한 의식 및 행동이 뒤따라야 한다. 데이터 보안에 대한 중요성을 공감해야 한다. 중요한 정보는 반드시 지켜야 한다. 정기적인 보안 교육과 제도가 필요하다. 9 정보보안의 정의 일반적 정의 정보보안이란 시스템이나 전자적 형태의 정보를 처리, 저장, 전송하는 모든 단계에 걸쳐, 고의적이거나 실수에 의한 불법적 노출, 변조 및 파괴로부터 정 보를 보호하고, 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수 있도 록 하는 것을 말합니다. 법적 정의 정보화촉진기본법 제2조에 정보보안을 “정보의 수집, 가공, 저장, 검색, 송수 신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단을 강구하는 것” 이라고 정의하고 있습니다. 학술적 정의 정보 시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를 시스템 내, 외부의 각종 위협으로부터 안전하게 보호하여 정보 시스템의 기밀성 (Confidentiality), 무결성(Integrity), 가용성(Availability)을 보장하는 것이 라고 정의합니다. 10 정보보안의 정의 넓은 의미 사회의 질서와 안녕을 보호하는 행위 네트워크의 변형된 정의 보안해야 할 가치가 있는 정보(Good Information)가 기밀성/통제성/무 결성/확실성/가용성을 갖도록 유지하는 행위. 11 정보보안의 기본 목표 기밀성(Confidentiality) 정보에 대해서 소유자의 인가를 받은 사람만이 접근할 수 있어야 한다. 인가되지 않은 사람은 정보가 있는 곳에 물리적·논리적으로 접근할 수 없도 록 해야 하며 접근할 수 있었다고 하더라도 정보를 해독할 수 없어야 한다. 무결성(Integrity) 정보의 변경 권한을 가진 사람이 정해진 절차에 따라서만 이를 진행할 수 있 어야 한다. 고의적인 접근에 대처하는 것뿐 아니라 비의도적인 정보손실이나 자연재해 등도 고려해야 한다. 가용성(Availability) 적절한 권한과 방법을 사용해서 접근한 사람은 언제나 정보를 사용할 수 있 어야 한다. 정보를 관리하고 제공하는 방법에 있어 안정성과 안전성을 유지해야 한다. 12 정보보안의 기본 목표 1 기밀성(Confidentiality) 2 무결성(Integrity) 3 가용성(Availability) 4 확실성/인증(Authenticity) 5 통제성(Control) 6 부인봉쇄(Non repudiation) 13 정보보안의 범위 보안 운영 관리/ 평가 기술적 보안 어플리케이션 보안 서버 시스템 보안 클라이언트 보안 네트워크 보안 물리적 보안 14 정보보안의 유형 네트워크 보안 관리적 보안 방화벽 침입탐지 Bandwidth VPN 통합 보안 관리 인적 자원 관리 물리적 장비 관리 물리적 보안 데이터 보안 정보 보안 암호 백신 백업/복구 전자상거래 보안 암호화 PKI SET, SSL 네트워크 전산 장비 재해 예방 시스템 보안 서버, PC보안 SSL OTP 15 컴퓨터 윤리 십계명 컴퓨터를 사용하여 다른 사람들에게 피해를 주지 말 것. 다른 사람들의 컴퓨터 작업을 방해하지 말 것. 다른 사람들의 컴퓨터 파일에 기웃거리지 말 것. 컴퓨터를 사용하여 도둑질하지 말 것. 컴퓨터를 사용하여 거짓된 증언을 하지 말 것. 소유권 있는(proprietary) 소프트웨어를 대가를 지불하지 않고 복사하거나 사 용하지 말 것. 인가나 타당한 보상 없이 다른 사람들의 컴퓨터 자원을 사용하지 말 것. 다른 사람들의 지적 산출물을 도용하지 말 것. 자신이 작성하는 프로그램이나 설계하는 시스템의 사회적 중요성에 대해 생각 할 것. 같은 인간들에 대한 고려와 존중을 보장하는 방향으로 컴퓨터를 사용할 것. 16 2. 기업 정보보안의 현실 기업 환경의 변화 정보보안의 위험 정보보안 사고의 영향 정보보안 관리 유형 17 기업 환경의 변화 인터넷 인구의 폭발적인 증가 2001.6 현재 전 세계 인터넷 사용자는 4억2천900 만 명. (출처:닐슨-넷레이팅스) 2005년에는 10억(15%) 인구가 인터넷을 이용할 것으로 예상함. (출처:IDC, 2001.05.25) 한국의 인터넷 사용 현황 - 인터넷 사용자 수 : 2,100만명(출처:KRNIC. 2001.3) - 초고속 인터넷 가입자 수 : 590만 가구(41%) (출처:정보통신부, 작성:inews24.com, 2001.6.13) 18 기업 환경의 변화 인터넷을 통한 상거래 증가 2000년 3,354억 달러 규모인 인터넷 커머스 비용이 2005년까지 연 평균 70%씩 성장하여 2005년에 이르면 무려 5조 억 달러로 전망. (출처:IDC, 2001.05.25) 웹상에서 인터넷 사용자의 약 5명중 3명은 구입단계까지 함.-한국 (출처:닐슨-넷레이팅스) 인터넷 뱅킹 사용자 수 : 530만 명 (2001년 3월 기준) 19 정보보안의 위험 국내 해킹 동향 해킹 피해 현황-2001년 5월 현재 자료 : 코코넛 20 정보보안의 위험 국내 해킹 동향 해킹 피해 기관 현황-2001년 5월 현재 사고기관 구분 기관 수 비율(%) 대학(ac) 95 14.4 기업(co) 348 52.9 비영리(or) 13 2 연구소(re) 3 0.5 지역 16 2.4 기타 183 27.8 합계 658 100 21 정보보안의 위험 국내 해킹 동향 해킹 피해 기관 현황-2001년 5월 현재 운영체제 Linux 피해건수 140 Solaris 51 Windows 9x 74 Windows NT/2000 85 운영체제별 해킹 현황 21% HP-UX DEC/IRIX 1 CISCO 1 47% 8% AIX N/A 306 Total 664 11% 13% Linux Solaris Windows 9x Windows NT/2000 HP-UX DEC/IRIX CISCO AIX N/A 22 정보보안의 위험 최근 해킹 기법 추세 23 정보보안의 위험 국내 해킹 동향 최근 해킹 기법의 성향 임의화 분산화 에이전트화 해킹 기법 자동화 대규모화 24 정보보안 사고의 영향 직접적인 손실 도난 금품(Money) 거래 정보와 기업 정보(Trade secrets and company information) 컨텐츠(Digital asset) 고객 정보(Consumer information) 프로그램 리소스(Computer resources) 생산성 저하 데이터 오염(Corruption of data) 재원의 전용(Diversion of funds) 작업 지속성 복구(Recovery and continuity expenses) 25 정보보안 사고의 영향 간접적인 손실 2차적인 손실 잠재 고객(판매)의 손실(Loss of potential sales) 유리한 경쟁의 손실(Loss of competitive advantage) 기업(브랜드)의 부정적 이미지(Negative brand impact) 단골 고객 손실(Loss of goodwill) 법적인 문제 계약자와의 문제(Failure to meet contracts) 개인정보 보호 문제(Failure to meet privacy regulations) 불법적인 사용자 활동(Illegal user activity) 26 정보보안 사고의 영향 기업 전산망 장애 기업 대외 신인도 추락 잠재 고객 확보 곤란 STOP 기업의 이윤 감소 주가 하락 보안 사고 발생 기업 비밀 유출/파괴 투자비용 손실 대외 경쟁력 약화 27 정보보안 사고의 영향 경쟁사의 반사 이익 매출 감소및 원가 증가 사업 확장의 걸림돌 STOP 기업의 경쟁력 약화 보안 사고 발생 기존 고객의 이탈 기업의 부정적 이미지 확산 법적 분쟁 발생 28 정보보안 관리 유형 관리적 보안 보안 정책 보안 관리를 위한 관리 방향을 제시하고 정보에 대한 보호를 지원하기 위해서 절대적으로 필요한 요소 보안 지침 보안 정책에 근거하여 각 부서별, 담당자별로 지켜야 할 준수사항 보안정책 보안지침 보안절차 보안조직 보안 절차 보안 지침에 의거한 보안의 적용에 대한 표준화된 순서 보안 조직 보안 정책에 의해서 보안을 관리할 조직 구성하고 보안 사고가 발생할 경우, 신속하게 대응 29 정보보안 관리 유형 물리적 보안 출입 통제 정보처리시설이 위치하는 건물 자체와 건물의 출입구, 출입구 이외의 접근 경로 등을 모두 고려 전원 대책 예기치 못한 정전이나 화재 등으로 전원이 끊겨 일어날 수 있는 네트웍의 마비나 정보의 소실등에 대비 작업 감시 내부자나 출입통제를 통과한 외부인으로부터 시스템 및 정보를 보호 선로 대책 정보의 이동 통로인 네트웍선의 안정성 유지 30 정보보안 관리 유형 기술적 보안 네트웍 보안 비밀성과 무결성이 보장되고 유지되는 가운데 가용성이 극대화되도록 고려 PC 보안 내부자의 의도적 또는 실수로 인한 정보의 유출 및 시스템 손상 방지 서버 보안 정보시스템의 기본이 되는 시스템 소프트웨어의 손상이나 침해 사고 방지 통합 관리 네트웍 시스템의 증가 및 사용자의 증가로 인한 취약점을 고려하여 적절한 보안 대책 수립 31 3. 정보보안의 이해 정보보안의 Lifecycle 정보보안의 어려움 정보보안의 권고사항 정보보안의 대상 정보보안의 위험 관리 정보보안의 BS7799 지침 정보보안의 일반적인 유형 32 정보보안의 Life Cycle 보안 사고를 예방하고, 사고로 인한 피해를 최소화하기 위해서는 위험을 분석, 대책 마련 및 적용, 지속적인 유지관리, 감사의 과정을 통하여 보완되어야 합니다. 중요 정보 자산의 안전한 관리 기밀성 정보 보안 무결성 저장된 정보 자산에 대한 신뢰성 확보 가용성 정보자원에 대한 내/외부 인가자 원활한 접근 33 정보보안의 어려움 보안 솔루션의 복잡성 기본적인 보안 지식 및 시스템별 상세 지식이 필요함. 지속적인 보안 관련 취약점이 나타남. 지속적인 소프트웨어 버그가 발생함. 다양하고 지능적인 해킹에 대응하기 위해 솔루션이 복잡해짐. 솔루션간 상호 연관 관계 이해가 필요함. 솔루션의 표준화 수준이 미비함. 34 정보보안의 어려움 최고 경영자 의지 부족 정보 보안은 최고 경영자의 강력한 의지로부터 시작됨. (Top-Down) 최고 경영자의 보안 마인드 부족 사고 발생 후, 대응 방안에 대한 지시 보안 전담 인력/조직 체계 미흡 보안 책임을 맡는 담당 임원이 없음. 담당자는 지속적이고 집중적인 보안 업무 수행이 어려움. 보안 관련 의사 결정, 정책 결정 및 감사를 전담하는 조직이 없음. 35 정보보안 권고사항(ITSEC) 보증 (Assurance) 확인/인증 (Identification/Authentication) 책임 추적성 (Accountability/Audit Trail) 접근통제 (Access Control) 객체 재사용 (Object Reuse) 정확성 (Accuracy) 서비스 신뢰성 (Reliability of Service) 36 정보보안의 대상 보안이란 재해, 불법행위 등 각종 위험요소로부터 보안 대상을 안전하게 보호하 기 위하여 물리적, 관리적 보안 뿐만 아니라 시스템보안, 어플리케이션 보안, 네 트워크 보안 등 기술적 보안 요소를 포함합니다. 어플리케이션 보안 물 리 적 보 안 기밀성 정보 자산 가용성 무결성 시스템/PC 보안 네 트 워 크 보 안 기 술 적 보 안 보 안 운 영 관 리 / 평 가 위 험 분 석 자산 위협 및 관 리 취약성 37 정보보안의 위험관리 위험 분석은 정보 자산의 분류, 위협요소의 도출, 취약성 식별의 조합을 통해 위험을 도출하는 과정이며, 도출된 위험에 따라 보안 대책을 수집하고 감수할 수 있는 수준 으로 위험을 유지하는 것이 위험 관리 입니다. 자산 분석 보안대책 수립 위협 요소 위험 도출 물리적 관리적 기술적 취약성 식별 상호보완적 관계 위험 분석 보안 대책의 수립하기 위한 기초적인 정보 제공 위험 관리 보안 대책을 수립 및 유지 관리 38 정보보안의 위험관리 exploit 위협 Protect against increase reduce 통제 met by 취약성 increase expose 위험 indicate 보안요구사항 자산 increase have 자산가치 Potential Impact on Business 39 정보보안의 통신 및 운영 관리(BS7799) 통신 및 운영 관리 대책 통신 및 운영 관리 대책 운영 절차와 책임 정보처리 시설의 정확하고 안전한 작동 시스템 계획 수립 및 수용 시스템 장애 최소화 유해 소프트웨어 대응 소프트웨어와 정보의 안전 보장 백업 및 복구 정보처리와 통신 서비스의 무결성과 유용성 네트워크 관리 네트워크의 정보 및 지원 인프라 보존 미디어 취급 및 보안 자산 피해 및 비즈니스 활동 방해 방지 정보 및 소프트웨어의 교환 조직 간에 교환되는 정보의 손실/변형/오용 방지 40 정보보안의 접근 관리(BS7799) 접근 통제 접근 통제 접근 제어 정책 및 규칙 비즈니스 필요 요건에 의한 접근 관리 사용자 접근 관리 비인가 접근 방지 사용자 책임 범위 패스워드 사용과 사용자 장치 보안에 대한 숙지로 비인가 사용자 접근 제어 네트워크 접근 통제 네트워크 서비스 보호 운영 시스템 접근 통제 운영시스템의 접근자 식별을 통한 접근 제한 응용 프로그램 접근 통제 비 인가된 접근으로부터 응용시스템 보호 접근 및 사용 모니터링 비 인가된 행위에 대한 탐지 이동 컴퓨터 및 텔레워킹 특수한 작업 환경에서 발생 가능한 위험 최소화 41 정보보안의 시스템 개발 및 유지(BS7799) 시스템 개발 및 유지 보수대책 시스템 개발 및 유지 보수대책 보안 요건 분석 및 정의 통제의 필요성 규정 응용 시스템 내의 보안 응용 시스템의 손실/변경/오용 방지 암호 기법 통제 기밀성, 인증, 무결성 보장 시스템 파일 보안 IT 프로젝트와 자원 활동에 대한 보증 개발 및 지원 절차 상의 보안 응용 소프트웨어 보안 유지 및 개발 지원 환경 보안 42 정보보안의 Wooden Tub Model 조직의 보안은 각 분야의 유기적인 협조와 노력에 의해 지켜질 수 있으며, 한 분야의 취약점은 조직 전체의 보안 수준을 저하시킬 수 있습니다. 8 9 10 보안준수 업무 복구 계획 시스템 개발 및 유지보수 시스템 접근 제어 전사 보안 수준 1 보안정책 7 2 보안조직 3 4 정보자산 인사보안 분류 및 통제 6 컴퓨터 및 네트워크 관리 Level 4: 좋은 것이 있다/잘 되고 있다 Level3: 일단은 있다/되고있는 편이다 5 Level 2: 불충분하다/조금은 되고있다 Level 1: 거의 없는 것과 마찬가지다/ 거의 안되고 있다 1 10 9 7 8 Level 0: 없다/전혀 안되고 있다 2 6 3 4 5 Wooden Tub Model 43 정보보안의 일반적인 유형 DMZ 악의를 가진 사용자 보안 관리자 필요 침입탐지 시스템 DNS Web Mail 보안 관리자 필요 서버보안제품 서버보안제품 서버보안제품 보안 관리자 필요 보안 관리자 필요 기업 내부 네트웍 인터넷 라우터 ACLs 침입탐지 시스템 방화벽 서버보안제품 DB 보안 관리자 필요 보안 관리자 필요 서버보안제품 보안 관리자 필요 MIS 보안 관리자 필요 바이러스 백신제품 보안 관리자 필요 PC 44 정보보안의 일반적인 유형 보안 관리 업무가 제대로 수행되지 않는 경우 방화벽, IDS, Application Server 관리자, Virus 등 솔루션이 복잡함 보안 솔루션별로 보안 관리 담당자가 필요하며, 담당자의 기술 수준 낮음. 방화벽의 통제 정책 관리 미비 주기적인 룰 감사가 미비 방화벽 로그의 주기적 점검 미비 적절한 보안 패치 미비 침입탐지시스템의 실시간 모니터링 정책 미비 24*365 실시간 모니터링 미비 새로운 해킹 유형 업 데이트 미비 IDS 알람/로그의 전문성 부족 적절한 보안 패치 미비 사내 바이러스 현황 파악 불가 보안 사고 시 전문적인 대응 방안 미비 주기적인 보안 감`사(최소한의 취약점 점검) 부족 45 4. 정보보안의 개선 정보보안 시스템의 개요 정보보안을 개선하기 위한 방법 정보보안-아래에서 위로 접근 정보보안-위에서 아래로 접근 정보보안에 대한 OECD의 지침 물리적 보안 정보보안의 성공 정책 46 침입차단시스템(Firewall) Firewall System 안전하지 않은 인터넷으로부터 내부 네트워크 보호 내/외부 서비스를 중계하는 게이트웨이 트래픽을 차단하는 필터링 게이트웨이가 있는 중간지역(DMZ) 정보보안의 기본 솔루션 해킹 툴에 비교적 허약한 방어 시스템 침입차단 시스템 불법접근 내부 네트워크 Internet 침입시도 웹 서버 47 침입탐지시스템(IDS) 침입탐지시스템(IDS) 침입차단시스템(Firewall System)보다 향상된 성능 정보보안의 기본 솔루션 해킹 툴에 노출될 수 있는 가능성 침입탐지 시스템 네트워크 모니터링 침입차단 시스템 내부 네트워크 Internet 웹 서버 48 가상사설망(VPN) Virtual Private Network Secure Channel through the Unsecure Internet/Intranet 비교적 안전한 데이터 전송 방법 사용자 및 장비 인증 내부서버 내부 네트워크 통신구간 128Bit 블록 암호 알고리즘 사용 TCP/IP망 사용자 및 장비 인증 내부 네트워크 VPN Client 49 정보보안을 개선하기 위한 방법 단순하게 한다. 보안이 너무 복잡하면 효과적이지도 않고 비용만 많이 든다. 일관성을 유지한다. 어떤 시스템은 아주 많이 보호되고 나머지는 모두 열려있는 것보다는 최 소한의 일관된 보안수준을 유지하는 것이 더 낫다. 가능한 한 표준을 지킨다. (e.g. BSI, ITSEC, TCSEC), 그것이 시스템을 쉽게 선택하고 평가할 수 있 게 해주며 기업간 표준을 제정하는 일도 더 쉬워진다. 보안 내용을 판단한다. 어떤 데이터와 프로세스를 보호해야 하는지 식별한다. 피해 수준을 판단한다. 위협을 인식하고 위협이 미칠 수 있는 영향을 판단한다. 위험을 산정하고 어떤 위험은 받아들일 수 있는 지 결정한다. 위험을 수용 가능한 수준으로 끌어내리기 위한 전략을 세우고, 구현하고, 테스트 한 후 조정한다. 50 정보보안-아래에서 위로 접근 현재 상황을 확인한다. 현재 어떤 정책, 네트웍 토폴로지, 운영절차 및 사용자 업무가 사용되고 있 는지 파악한다. 취약점을 발견한다. 시스템을 직접 공격해서 서버, 네트워크, 클라이언트의 헛점을 발견한다. 보안 목록을 작성한다. 위의 두 단계에서 나온 약점들을 요약하고, 어떤 약점과 미래의 위협에 대 해 방어할 것인지 짧은 목록을 만든다. 정보 정책을 정의한다 정보 정책이 없다면 정보를 분류한다. 어떤 정보가 가장 중요한지를 판단 한다. 정책을 배포하고 사용자들을 교육한다. 사용자 정책을 만들어 배포하고 교육한다. 기술적 지침을 만든다. 서버, 네트워크, 클라이언트의 취약지점 확인과 안전한 설치, 유지보수를 위한 기술적 지침을 만든다. 민감한 시스템들에 대해 정기적으로 감사를 실 시한다. 51 정보보안-위에서 아래로 접근 자산을 분석한다. 무엇이 보호되어야 하는가? 중요한 자산은 무엇인가? 현재의 보안 정책을 분석한다. 보안 규칙, 보안 정책, 보안 관례 등을 분석한다. 보안 목표를 설정한다. 가용성, 기밀성, 무결성 등 보안 정책에 따른 목표 설정. 위협 분석 어떤 시스템을 어떤 위협으로부터 보호할 것인지 분석한다. 영향 분석 하나의 위협, 또는 여러 복합적인 위협들이 실현되었을 때 그 영향 또는 결과 (사업에 미치는 손해)는 무엇인가? 52 정보보안-위에서 아래로 접근 위험 수준을 수치로 산정한다. 위험 = 영향 * 가능성 위험은 최소값 0(위험 없음)부터 최대값 25(극히 위험) 제약 조건 분석 기업의 통제 밖에 있는 요구 사항들을 조사한다(국가 및 국제법, 기업의 요구사항, 기업문화, 계약조건, 예산 등). 대응 전략을 결정한다. 보안의 목적을 정의한다. 대응 수단을 정의한다.(정책, 역할, 프로세스, 책임, 공정) 이 전략으로 위험을 수용 가능한 수준까지 끌어내릴 수 있는가? 비용이 너무 많이 드는가? 나머지 위험들에 대해서는 적은 비용으로 지킬 수 있는가? 그렇지 않다면 전략을 다시 짠다. 53 정보보안-위에서 아래로 접근 정보 보안 구현 정보 분류 시스템과 함께 정책과 지침을 개발한다. 보안 조직을 정의하거나 현재 조직을 수정한다. 사용자, 시스템 관리자 및 관리자들의 역할과 책임이 명확하게 정의되고 당사자들에게 인지되어야 한다. 파일럿 테스트를 진행한다. 정책과 프로세스, 조직을 결과에 따라 조정한 다. 그 후 광범위하게 시스템들에 대해 보안을 적용한다. 보증 위험과 보안전략을 정기적으로 재평가한다(예 : 6개월에 한 번씩). 54 정보시스템 보호에 대한 OECD의 지침서 의무(Accountability) 정보 시스템의 소유자, 공급자, 사용자 및 기타 관련자들의 책임과 책임추 적성은 명확해야 한다. 인식(Awareness) 시스템 소유자, 공급자, 사용자 및 기타 관련자들은 정보 시스템에 일괄된 보호 수준을 유지할 수 있도록 정보 시스템에 대한 지식을 쌓고 위협의 존 재와 이에 대한 대책을 파악할 수 있어야만 한다. 윤리(Ethics) 정보 시스템과 정보 시스템의 보호는 모든 사람들의 권리를 기본적으로 존 중하여야 한다. 다양한 규율(Multidisciplinary) 정보 시스템 보호에 대한 대책, 관행 및 절차는 모든 상반되는 고려사항, 관 점 등을 제기하고 고려해야 한다. 비례(Proportionality) 보호 수준, 비용, 대책, 관행과 절차는 정보 시스템에 대한 의존도 및 가치 와 잠재적인 위협의 심각성 및 발생가능성 등에 비례하여 균형 있게 제공되 어야 한다. 55 정보시스템 보호에 대한 OECD의 지침서 통합(Integration) 정보 시스템의 보호를 위한 대책, 관행 절차는 완벽한 정보시스템 보호를 위하여 상호 통합되어야 되며 조직의 다른 대책, 관행, 절차와도 통합되어야 한다. 시기 적절성(Timeliness) 국가적, 국제적 차원에서 공공 부분과 민간 부분은 정보시스템 침해 사고를 사전에 방지하며 침해 사고 발생시 체계적으로 대응하기 위하여 상호 협조하 에 시기 적절하게 대처하여야 한다. 재평가(Reassessment) 정보 시스템의 보호수준은 시간이 지남에 따라 정보 시스템과 요구사항이 변하므로 정기적으로 재평가되어야 한다. 정보 시스템과 그것의 보안에 대한 요구사항이 시간이 흐름에 따라 변하는 것에 따라 주기적으로 재평가 되어야 한다. 민주주의(Democracy) 정보시스템의 보호는 민주주의 사회에서 데이터 및 정보의 흐름과 합법적 인 사용에 있어 그리고 양립할 수 있어야 한다. 56 물리적 보안 건물 구역을 정의한다, 예를 들어: 구역 1: 일반인에게 개방된 지역 구역 2: 일반인에게는 개방되지 않고, 직원들에게 개방된 지역 구역 3: 보호되는 지역. 신원확인을 통해서만 접근 가능하고, 접근은 엄격히 통제된다. 외부인들은 동행이 없이 접근할 수 없도록 한다. 건물은, 업무시간 중 접수 구역을 통한 접근을 위한 것 이외에는 항상 잠겨 있어야 한다. 공개된 지역에는, 방화벽을 통하지 않고는, 내부 네트웍에 접속되는 컴퓨터 가 없어야 한다. 서버실은 반드시 잠겨져 있어야 하며, 가능하다면 전자 카드에 의한 접근을 이용한다.(감사목록). 민감한 컴퓨터들에 대해 Van Eck 방사선으로부터의 보호를 고려한다. 전자기적 파동으로부터의 시스템 보호를 고려한다. 서버실은 반드시 잠겨져 있어야 하며, 가능하다면 전자 카드에 의한 접근을 이용한다.(감사목록). 아주 소수의 사람들만 접근할 수 있도록 한다. 건물은 보안 인력에 의해 24 시간 x 7일 감시되어야 한다. 서버실에의 접근은 비디오로 녹화되도록 한다. 전원차단, 절도, 홍수, 폭발,지진(필요한 경우) 등의 사건에 대비하기 위한 비상계획이 있어야 한다. 57 물리적 보안 데이터의 운반 정보의(서류, 디스켓, 테이프, 컴퓨터..) 운반과 관련 대중,개인,회사 운송수 단 사용에 대한 회사의 정책은 무엇인가? 디스크 플로피 및 이동 착탈식 디스크들은 종종 바이러스와 불법 소프트웨어의 원 천이 된다. 이들은 또한 기밀데이터를 불법적으로 복사하는 데 사용될 수도 있다. 사용자들이 신뢰할 수 있는 네트웍 프린터, 파일서버 및 이메일을 사용할 수 있는 경우 플로피 드라이브는 거의 쓰이지 않는다. 플로피 디스크로의 데이터 복사는 피하도록 한다. 기밀 데이터는 암호화되어야 한다. 58 물리적 보안 랩탑/휴대형 컴퓨터 랩탑 하드 디스크나 개별 파일/디렉토리들을 보호(암호화)한다(표준 소프 트웨어가 정의되어야 한다). 프린터 기밀 정보의 인쇄는 중역 사무실이나 접근이 제한된 방에 있는 프린터에서 만 해야 한다. 컴퓨터 PC 및 워크스테이션에서는 EPROM 패스워드를 사용해야 한다. 15분 동안 사용되지 않은 화면은 자동적으로 화면잠금으로 전환되게 하고 패스워드로 보호한다. 컴퓨터 케이스는 가능하면 잠가 놓아야 한다. 컴퓨터 매일 저녁 직원이 작업공간을 떠날 때 "책상 정리" 원칙은 많은 기업에서 시행하고 있다. 이것은 기밀 데이터를 (예를 들어) 청소용역원 등이 손에 넣 을 수 없게 하고 개인 작업공간의 꼼꼼하게 관리되도록 한다. 기밀 정보는 항 상 시건장치로 보호 되어야 한다. 이것은 그러나 개발부서에서는 때때로, 창조적인 사람들의 마음가짐으로 인해, 구현하기 힘든 정책이다. 59 정보보안의 성공 정책 보안 목표와 활동은 사업의 목표 및 요구사항에 기반을 두어 야 하고, 경영진에 의해 이끌어져야 한다. 최고 경영자로부터 가시적인 지원과 약속이 있어야 한다. 회사의 자산에 대한 보안 위험(위협과 취약성) 및 조직내의 보안 수준에 대해 올바른 이해가 있어야 한다. 보안은 모든 관리자와 직원들에게 효과적으로 알려야 한다. 모든 직원과 계약직원에게 보안 정책 및 표준에 대한 포괄적 인 지침이 배포되어야 한다. 60 정보보안의 성공 정책 개념 모든 주요 정보 자산에는 소유주가 있어야 한다. 소유주는 법적 규제, 비용, 회사 정책 및 사업적 요구에 따라 민감성 등급 중의 하나로 정보를 분류해야 한다. 소유주는 이 정보를 보호할 책임이 있다. 소유주는 이 데이터에 누가 접근할 수 있는지 선언해야 한다. 소유주는 이 데이터에 대해 책임이 있고 민감성에 따라 이를 직접 보호하거나 보호되도록 해야 한다. 정보의 분류 공개/미분류 정보 공개할 수 있는 데이터, 무결성과 관계 없는 데이터, 악의적인 공격에 대한 서 비스 손실을 감수 할 수 있는 데이터. 내부 정보 외부 접근은 금지, 내부에서는 비교적 자유롭게 열람할 수 있는 데이터. 기밀 정보 외부는 물론, 내부에서도 인가된 사람만 접근할 수 있는 데이터. 극비 정보 극소수만 접근하는 중요 데이터. 회사에 치명적인 영향을 끼칠 수 있는 데이터. 61 정보보안의 성공 정책 직원 보안 정책 윤리 직원들이 해서는 안 되는 일에 대해 명확하게 규정하고 문서화하는 작업이 필 요하다. 패스워드 정책 허용되는 패스워드 내용을 규정하고 기간, 강제 변경 등을 시행한다. 일반적인 소프트웨어 정책 소프트웨어 사용에 관한 소유와 책임을 분명히 하고 라이센스를 받지 않은 소 프트웨어를 사용해서는 안 된다. 네트워크 보안기준에 따라 네트워크에 접근하는 사용자 레벨을 규정하고 업무 이외의 모뎀, 이메일 사용에 제한을 둔다. 인터넷 인터넷으로 나가는 모든 접근은, 회사 보안 정책을 준수하는 것으로 인증되고 승인된 회사 게이트웨이를 통해 나가야 한다. 랩탑 및 휴대용 컴퓨터 랩탑의 소유 및 관리 책임을 분명히 하고, 강력한 부트 패스워드와 암호화 제 품을 사용한다. 62 정보보안의 성공 정책 컴퓨터 및 네트워크 정책 시스템 관리 정책 시스템 관리자는 물리적 보안, 접근 통제, 로그온 정책, 보증, 책임추적성과 감 사, 서비스 신뢰도 등을 규정하고 규칙과 방법을 확인해야 한다. 네트워크 정책 식별,인증, 책임과 감사, 접근통제, 정확성, 데이터 교환, 서비스의 신뢰성, 가 용성을 고려한 세부 규칙과 실행 내용을 명시해야 한다. 인터넷 방화벽 신원확인 및 인증, 책임추적성과 감사, 접근 통제, 정확성, 데이터 교환, 서비 스의 신뢰성 등을 규정하고 세부 규칙과 실행 내용을 명시해야 한다. 사고 대응 절차 응급 대응팀 결성, 사고 탐지, 즉각적인 조치, 홍보/언론, 자세한 상황 분석, 데 이터 및 시스템 복구, 확인 사업 연속성 계획 재난 계획과 정보 분류를 통해 중요한 업무 프로세스의 연속성 보장 전산화된 정보의 가용성 보안 위기, 재난에 대비 예방과 복구 조치에 대한 점검 및 확인 63 5. 클라이언트 보안의 중요성 클라이언트 보안의 중요성 클라이언트 정보보안의 침해 유형 클라이언트 보안의 취약점 내부자에 의한 클라이언트 정보 유출 클라이언트 보안제품 검토 및 고려 사항 클라이언트 보안 솔루션 종류 64 클라이언트 보안의 중요성 인터넷 사용 인구 급증 각종 사이버 거래의 활성화 클라이언트 작업 규모 확장 중요 데이터의 클라이언트 보관 증가 바이러스 피해 증가 클라이언트 취약성 증가 65 클라이언트 보안의 정보 침해 유형 바이러스 감염 데이터 파괴 트로이목마 암호 획득 비밀 열람 온라인 거래 악용 서버 권한도용으로 내부전산망 침입 PC원격제어를 통한 자료 위변조 물리적 침입 하드디스크 유출 프린터, 디스켓 등 주변 장치에 의한 자료 유출 66 공격의 유형 단 위:% 20 25 18 20 17 13 14 14 재산성정보의 정보의 도난 도난 사보타지 7 통신감청 9 14 11 25 23 20 시스템 침입 60 내부자의 net 남용 68 11 79 77 14 14 12 금융사기 11 통신사기 40 17 16 60 laptop(노트북) 도난 27 서비스거부 공격 24 0 71 55 27 1 2 1 3 도청 44 20 2000 1999 1998 1997 85 90 83 82 바이러스 내부자의 허가받지 않은 접근 97 58 64 69 31 31 40 60 80 100 120 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 21 page 참조 ) 67 가능한 공격자들 단 위:% 100 87 89 86 90 80 7372 7477 70 60 5148 50 40 30 20 10 22 21 2121 23 81 1997 1998 1999 2000 53 44 293026 0 외국정부 외국경쟁사 해커들 미 국내 경쟁사 불만스러운 종업원 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 23 page 참조 ) 68 재정적인 손해 단위 : 백만 달러 2000 도청 5 통신 감청 0.9 7 시스템 침입 사보타지 27 서비스 거부 서비스거부 8 내부자 네트워크 남용 28 노트북 도난 10 바이러스 29 금융사기 56 통신사기 4 재산성 정보 도난 정보자산의 도난 67 비인가 내부자 접근 23 0 10 20 30 40 50 60 70 80 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 23 page 참조 ) 69 사용하는 보안 기술 단 위:% 92 93 89 접근 통제 8 9 6 생체 인식 암호화된 file 50 62 61 100 98 96 바이러스퇴치용 소프트웨어 54 61 53 재생가능한 암호 78 81 방화벽 암호화된 login 2000 1999 1998 91 50 46 36 90 91 89 물리적 보안 PCMCIA 34 침입탐지 전자ID 20 0 20 39 39 35 36 34 40 42 50 60 80 100 120 출처 : CSI/FBI 2000 Computer Crime and Security Survey ( 책자 20,21 page 참조 ) 70 정보보호 상품별 시장 점유율 전망 1998 1999 2000 2001 2002 2003 변화량 컴퓨터 바이러스 가상 공개키 보안 보안 백신 방화벽 사설망 인증 암호 기반 보안관리 IC카드 시스템 39 20 4 14 8 5 7 2 1 36 20 5 12 8 7 8 3 1 34 20 8 11 7 9 9 3 1 31 19 7 9 7 11 11 3 1 30 18 7 8 6 13 12 4 2 28 17 7 7 8 14 13 6 2 -11 -3 -3 -7 0 9 6 4 1 출처 : 한국전자통신연구원 (ETRI/99.8) 단위 : % ( 책자 21,22 page 참조 ) 45 40 35 30 25 20 15 10 5 0 1998 1999 2000 2001 2002 2003 컴퓨터 바이러스 백신 방화벽 가상 사설망 인증 암호 공개키 기반 보안관리 보안 IC카드 보안 시스템 71 클라이언트 보안의 취약점 구 분 PC 보안 현 상태 현행 PC 보안의 취약점 윈도 제공 아이디/패스워드 인증 플로피/Dos 부팅으로 자료 유출 가능 화면 보호기 아이디/패스워드 인증 플로피/Dos 부팅 /Reset 접근 가능 하드디스크 보호 하드 디스크 잠금 장치 하드 디스크 도난시 자료 유출 사용자 계정 관리 사용자 계정 분류 없는 상태 사용자 구분없이 중요 자료 접근 가능 파일 보호 읽기/쓰기/숨김 파일 기능 이용 복사 / 재저장 등으로 자료 접근 가능 디렉터리 보호 보호 정책 없음 전체 디렉터리의 파괴 / 유출이 가능 접근 제어 주변 장치 제어 플로피디스크 드라이브, 프린터 사용 플로피디스크 드라이브, 프린터 이용 자료 제한 없음 유출 가능 사용자 감시 사용자 감시 정책 없음 비인가자 불법행위 추적 불가능 파괴 문서 관리 파일 삭제 때 휴지통에 파일 있음 파괴 자료의 복구 및 유출 가능 72 내부자에 의한 클라이언트 정보 유출 물리적 침입 하드디스크 유출 노트북 도난 비인가 지역에서 사용 데스크탑(하드 디스크) 노트북 수리시 자료 유출 디스켓 등 주변 장치에 의한 자료 유출 73 클라이언트 보안 제품 검토 및 고려 사항 설치가 쉬운가? 다수 사용자들이 쉽게 사용할 수 있어야 한다. 사용이 편리한가? 사용이 용이하면서 보안성을 갖추어야 한다. 주변 기기 호환성 주변기기 변경 때 확장 적용될 수 있어야 한다. 도입 비용 설치비, 용역비 등의 추가 비용을 고려하여야 한다. 업그레이드 하드웨어, 소프트웨어의 업그레이드가 쉬워야 한다. 자료 유출 가능성 유출 가능성이 낮고 유출 시 데이터를 보호할 수 있어야 한다. 노트북 적용성 데스크탑 뿐만 아니라 노트북에도 적용할 수 있어야 한다. 알고리즘 확장성 암호화 알고리즘 변경 때 즉시 적용할 수 있어야 한다. PKI 지원공개키 기반구조를 지원하지 않으면 매우 불편하다. 74 클라이언트 보안 솔루션 종류 안티 바이러스 프로그램 파일 암/복호화 프로그램 PC 접근 차단 솔루션 PC용 방화벽(Firewall)(침입탐지, 해킹 차단) 백업, 복구 프로그램 유해 정보 차단 프로그램 E-Mail 암호화 프로그램 75 6. 무선 인터넷보안 무선 인터넷 개요 무선 인터넷 서비스 무선 인터넷 보안 76 무선 인터넷 개요 개념 휴대 단말기를 이용하여 인터넷에 접속하여 인터넷 서비스를 이용하는 환경 특성 네트워크 : 유무선 통합 네트워크 환경 무선 구간 접속 방법: Low Bandwidth, High Error Rate 프로토콜 스택 단말 : 휴대 이동 단말을 이용 사용자 특성 : 웹 네비게이션 보다는 단문 메시지 사용 디스플레이 크기 : 컨텐트 표현 방법의 수정이 필요 처리 능력, 전지 수명을 고려한 서비스 기획 77 무선 인터넷 개요 무선 인터넷 환경 무선 인터넷 사업자 영역 IS-95B VMS VLR HLR/AC 전자화폐서비스 BTS A DELT Cyber society BSC IWF Email Server Weather MSC WAP g/w Internet TCP/IP Traffic BSC 기업 Web server MSC IWF WML server 은행 Web server 은행 기업 VMS VLR HLR/AC MC Wireless Network 금융망 Wired Network 78 무선 인터넷 개요 무선 인터넷 솔루션 WAP ME(Mobile Explorer) I-Mode •Nokia •Ericsson •Phone.com •Microsoft •Qualcomm •NTT Docomo 주요 기술 •WML/WSP/WTP/WDP •Gateway Model •HTML/HTTP/TCP/IP •E2E communication •C-HTML/HTTP/TCP/IP •E2E communication 시장 현황 •600여 회원사 •90% 이상의 단말 시장 확보 •1억 이상의 가입자 •Stinger로 upgrade될 전망 •WAP 규격 수용 •1월 현재 1800만 가입자 • 사실상의 산업체 표준 • SKT, STI, LGIC • 규격 재정립 시도(WAP2) • KTF, KT M.com • 미국 시장 진입 시도 개발주도업체 특징 79 무선 인터넷 개요 WAP 모델 80 무선 인터넷 개요 Mobile Explorer 모델 81 무선 인터넷 서비스 무선 인터넷 서비스의 형태 구분 B2C B2B 상품 쇼핑 밴딩 거래 조달 거래 서비스 정보 게임 도박 예매 전자화폐 뱅킹 유료 정보 광고 82 무선 인터넷 서비스 무선 포털 서비스 (Personalized Portal) Contents Portal Services ••• •• Personal Communications PDA Voice dialling Wireless Portal Location Based Services Personal directory Unified Messaging PC E-commerce Personal schedule Advertising Mobile Banking Electronic Bill Payment Handset 83 무선 인터넷 서비스 무선 증권 서비스 종합주가지수 종목현재가 매도/매수 무선 전자 인증 결재현황 잔액조회 잔액조회 암호화 가상증권 서비스 투자 정보 및 시황정보 제공 모듈 종합 현재가 주가지수 기업 세부 정보 매도/매수 주문 처리 모듈 매도/매수 취소 매도/매수 주문 사용자 정보 조회 모듈 출금가능 계좌잔고 수익률 금액 조회 평가 종목 현재가 조회 정보 메시지 처리 매도/매수정보 메시지 처리 조회 정보 메시지 처리 무선 보안 / 인증 84 무선 인터넷 서비스 무선 뱅킹 서비스 계좌 이체 계좌 조회 이체 확인 무선 전자 인증 계좌 정보 암호화 무선뱅킹 서비스 계좌 정보 보유 계좌 계좌 정보 계좌 조회 모듈 예금 계좌별 계좌별/ 일정기간 잔액 무통장 내역 거래 내역 계좌 이체 모듈 당/타행 계좌이체 이체 결과 조회 무선 보안 / 인증 85 무선 인터넷 서비스 무선 예약/발권 서비스 영화/연극 공연 비행기 무선 전자 인증 기차 버스 암호화 예약/발권 서비스 예약/발권 리스트 조회 모듈 예약/발권 조회 모듈 가격 조회 시간표 조회 사용자 정보 제공 모듈 예약, 취소 모듈 예약 가능한 전체 리스트 View 예약 확인 조회 모듈 예약 취소 FreeSeat 정보 무선 보안 / 인증 86 무선 인터넷 보안 무선 PKI 구성 인증서버 (ME용 X509 CA) RA ME단말기 Web Server 인증서버 (WAP용 X509 CA) WAP G/W 인증서버 RA (WAP용 WTLS CA) WAP단말기 WAP G/W 사용자 무선사업자 은행 증권회사 등 Web Server 컨텐츠 사업자 Directory 공인인증기관 87 무선 인터넷 보안 WAP/ME 사용자 인증서 발급 사용자 공인인증기관 무선사업자, 은행, 증권회사 등 6. 사용자 등록 4. 인증서 요청(ID/PW) 7. 인증서 요청 10. 인증서 요청응답(URL) 9. 인증서 요청응답(URL) CA RA 8. 인증서 발급 & 게시 5. ID/PW 확인 1. 가입시 신원확인 및 등록 3. 정보전달 무선 사업자 가입자정보 DB 사용자 2. Onetime passwd, ID 부여 단말기 대리점 Directory 88 무선 인터넷 보안 전자서명 기술 : 부인봉쇄 서비스 WMLScript Crypto library Signedstring = Crypto.signText(stringTosign,option,keyIDtype,keyID) 클라이언트 웹서버 부인봉쇄 WMLScript Function (Crypto.signText) Signed data (PKCS#7 포맷) 구매신청서 전자서명된 문서 (WAP signedcontent) 서명용 비밀키 WAP 게이트웨이 서명검증 WIM -비밀키 보관 - 서명 계산 89 7. 보안 통합 관리 보안 통합 관리체제 구축 전문 업체를 활용한 보안 위탁 관리 90 보안 통합 관리체계 구축 보안 통합 관리 개념도 Diary IDS Engineering Site Info Intelligence Router 통합관제 Server Knowledge Management Firewall Pager Phone 운영/관리자 Security Analysts Email Server Log Server Customer Service Agreement 통합 판단 분석 통보 91 보안 통합 관리체계 구축 보안 통합 관리 시스템 구성 요소 구성 요소별 기능 설명 통합 보안 관제 센터 Console 통합 관제 메인 서버 통합 로그 서버 Event 통합 관리 메인 및 사이트 서버의 Control 정보 반영 보안장비의 Log file 백업 및 분석 보안 로그 분석 결과에 대한 저장 통합 로그 서버 각종 보안장비, 서버, 네트웍 장비에 설치 설정된 로그 정보를 실시간 전송 Web Browser DBMS Other Viewers 통합 로그 서버 (Log 분석 엔진) 통합 관제 사이트 서버 Agent 고객 사이트 메인 및 사이트 서버 Agent가 보낸 정보를 수집, 분석 및 처리함. Agent를 모니터링, 분석 및 통제함. 다양한 콘솔 제공 및 분석 리포트를 제공함. Agent Servers Agent Scanner Agent Router Agent Firewall Agent IDS 메인 및 사이트 서버는 동일한 서버이며, 시스템 구 성상의 위치에 따른 구분임. 92 보안 통합 관리체계 구축 보안 통합 운영의 장점 동일 형태의 정기적인 레포트 제공 보안 관리 비용 절감 보안 통합 운영 보안 사고 대응 능력 향상 운영 인력 감소 93 전문 업체를 활용한 보안 위탁 관리 보안 관리 범위 인원 및 조직 정책, 가이드, 절차 필요 핵심 역량 Process 통합관리 환경 보안 운영 Infra 관리적 보안 데이타 설비 소프트웨어 기술적 보안 물리적 보안 네트워크 하드웨어(Platform & OS) 보안 전문 인력/조직 보안 운영 노하우 보안 전문 지식/기술 94 전문 업체를 활용한 보안 위탁 관리 보안 위탁 관리의 필요성과 기대 효과 보안 운영 인력 부족 보안 전문 지식 부족 전략적 효과 기업 인프라의 안정성 확보 E-Biz 경쟁력 확보 핵심 역량에 경영 자원의 집중 경제적 효과 조직적 효과 기술 전문인력의 선발 및 육성 부담 해소 보안 기술 인력의 탄력적 활용 고급 기술 인력의 유인 및 관리 용이 기술적 효과 보안 기술 발전에 대한 빠른 대응과 적용 전문업체의 폭 넓은 인적자원과 노하우 확보 기술적 위험의 통제와 관리 품질, 시간적 효과 합의된 조건에 의한 서비스 품질 보증 서비스 품질의 지속적 개선 관리에 투입되는 시간/인력의 절약 체계화된 운영 절차 미비 보안 관리 통합 Infra 미비 지속적인 보안 관리 부족 보안 사고의 증대 보안 침해 기술의 발전 고정 비용의 변동비화 보안관련 비용의 예측 및 통제가 용이 보안 관리 비용의 절감 보안 침해사고 감소로 보안 비용 절감 95 전문 업체를 활용한 보안 위탁 관리 보안 위탁 관리의 유형 일괄 아웃소싱 보안 지원 하나의 아웃소싱 사업자 보안 지원 아웃소싱 사업자A 보 안 전 략 계 획 보안 관리 보안 시스템 운영 보안 서비스 교 육 훈 련 / 교 육 훈 련 / 보 안 전 략 계 획 보 안 진 단 보안 감사 선택적 아웃소싱 보 안 진 단 자체운영 보안 감사 보안 관리 보안 시스템 운영 보안 서비스 보안 관리 보안 관리 장 점 책임소재의 명확성 친밀감 형성 낮은 관리비용 아웃소싱 사업자B 단 점 선택범위의 감소 자기만족에 의한 안일 가격 경쟁 부재 단 양질의 서비스 선택 장 경쟁에 의한 나태함 방지 점 점 경쟁에 의한 낮은 비용 책임 소재의 불명확성 Vendor들의 고객요구 파 악 미비 많은 Vendor에 따른 높은 관리 비용 96 전문 업체를 활용한 보안 위탁 관리 선택적 위탁 관리의 예 24x7x265 감시 Managed Firewall Service 실시간 해킹대응 Managed Intrusion Detection Service 정기적인 점검 주기적인 레포트 제공 Managed VPN Service 전담 인력 운영 통합 관제 활용 Managed Vulnerability Scanning Service 정기 세미나 실시 Managed Anti-virus Service 97 전문 업체를 활용한 보안 위탁 관리 보안 위탁관리 추진 단계 98 Q&A 감사합니다. 99