제1장 정보보호 개론

제 1 장 정보보호 개론

도 경 화

[email protected]

Copyright © 2008 도경화 :: [email protected] (ver4)

강의에 들어가기 앞서 ..

계속적으로 변화되는 환경 !지능화되고 고도화되는 침해 !

그에 따른 “ 창과 방패” 를 위한 보안 기술 !

그리고 !!


정보보호 정의

정보보호 정의

의도적이든 비의도적 ( 사고 ) 이든 부당한 정보의 열람 , 유출 , 변조 , 파괴로부터 정보를 보호하고자 하는 것

The protection of information against unauthorized disclosure, transfer, modification, or destruction, whether accidental or intentional [Information Warfare, July 1996]

공개로부터의 보호

변조로부터의 보호

파괴 /지체로부터의 보호

Confidentiality보안성 /비밀성기밀성 /내밀성

Integrity무결성

Availability가용성

책임

추적성


보안은 단위 보안제품으로 존재하는 선택 요소가 아니라 , 업무 프로세스 내 포함되는 필수 요소

• UTM: Unified Threat Management( 통합위협관리 ), VPN: Virtual Private Network( 가상사설망 ), SSL: Secure Socket Layer, IAM: Identity Access Management( 통합인증 )• PKI: Public Key Infrastructure( 공개키 기반구조 ), G/W: Gateway, SSO: Single Sign On, DRM: Digital Right Management

• 단위 보안제품으로 조직의 선택 사항• IT 시스템의 한 분야로써 보안제품이 존재• 제품군별 보안 전문가 필요

침입탐지 /방지 방화벽 무선 보안

VPN/SSL 발신통제 UTM

안티바이러스 안티스파이웨어 PC 방화벽

데이터암호화 키보드보안 이동매체보안

보안

관리

(

감사Au

dit)

어플리케이션

서버

네트워크

사용자단말기(PC/ 노트북 /PDA)

물리적보안

서비스

서버보안

사용자인증(SSO/IAM/PKI) DB 보안

DRM 코드취약점툴

메신저보안

웹서비스보안

출입 G/W CCTV IC 카드

보안관제서비스 재해복구서비스

•통합화 , 융합화 , 정보보호 요소의 프로세스 내재화 - 단위 보안솔루션의 통합화 - 기술적 보안과 물리적 보안의 결합을 통한 융합화 - 컴플라이언스의 등장으로 인한 정보보호 요소의 프로세스

내재화 •기업 비즈니스 연속성을 확보하기 위한 관리 및 통제

개념으로 확대

위험관리 자동화 ( 상호통합 )보안

( 통합화 , 융합화 )업무시스템

( 프로세스 내재화 )

컴플라이언스

• ISO27001/ 정보보호안전진단• 개 인 정 보 보 호 법 /건강정보보호법• 산업기술유출방지법• 전자금융거래법 /자본통합법

고전적 개념 vs. 발전된 개념


패러다임의 변화

• 웹 2.0, 유비쿼터스 등 신기술 패러다임의 등장으로 인해 보안관리의 복잡성 증가

• 정보보호와 관련된 각종 법 , 제도의 재정비로 인한 보안 컴플라이언스 분야의 등장주 1)

• 복잡한 보안관리에 대한 부담 증가로 효율적 운영을 위한 통합 보안운영서비스의 요구 증대- 통합보안관제의 수요증가 예상

주 1) 건강정보보호법 ( 입법추진중 ), 개인정보보호법( 입법추진중 )

위험관리 기술적 보안 통합 관리

개발보안

법 /제도 기반

개인정보 보호

데이터손실사전방지

IT 리스크 관리

컴플라이언스 관리

비즈니스 연속성 관리

취약점 진단

디바이스 추적관리

데스크탑

통합보안관제

사용자 단말기 보안

네트워크 보안

서버 보안

통합보안관제

컴플라이언스 관리

백업 어플리케이션 보안

컨설팅

운영

솔루션

IT 기술의 발전 , 개인정보보호 등 컴플라이언스의 업무통합은 통합보안 서비스에 대한 신규 수요를 창출하면서 정보보호 서비스의 패러다임을 변화시키고 있음

+

재해복구

통합보안컨설팅보안인증

(ISO27001)


정보보호 핵심이슈

내부정보 유출방지 , 개인정보보호 , 개발 보안 , 통합 보안관리 분야가 최근의 정보보호 핵심이슈로 대두 되고 있음

내부정보 ( 산업기술 , 개인정보 등 ) 유출 사고로 인한 비즈니스 위험 증가

국내기업 중 20% 이상이 내부정보 유출 피해 경험

관리해야 하는 보안 솔루션 및 데이터 양의 증가

기업보안의 효율적인 관리 및 운영을 위한 아웃소싱 서비스 수요 확대

공공 및 민간분야를 통합한 개인정보보호법 ( 안 ) 제정 추진 中

정보보호 : 집단적 , 추상적 이슈 개인정보보호 : 개인적 , 구체적

이슈

정보보호 환경변화 , 컴플라이언스의 등장으로 SI 개발방법론에 정보보호

프로세스가 필요

SDLC 단계에 정보보호 요소의 프로세스 내재화를 통한 Secure Product 산출


(1) 내부정보 유출방지

이슈 이슈 내부자 보안 및 협력사 협업 보안다양화된 유출 경로 통제

대응방안대응방안

내부정보의 고의적 유출이나 우발적 데이터 손실을 사전에 방지할 수 있는 DLP

(Data Loss Prevention) 컨설팅 및 솔루션

데이터 자체 보안 , 컨텐츠 필터링 및 차단 기능 , 유출 채널 모니터링 및 차단

등을 수행

조직내 정보를 분류하여 정보를 보안등급에 따라 체계화하고 이에 맞는 정책

수립 후 필요한 솔루션을 구축함 ( 데이터보안 , DRM, 메시지보안 , DB 보안

솔루션 등 )

* 국정원 (2007 년 )

’’0303 년 이후 년 이후 107107 건건(405(405 명명 ) ) 적발적발

약 약 170170 조 피해 예상조 피해 예상

내부자가 가장 중대한 보안 위협으로 부각

< 산업 기술 유출 사례 >

• P 社 철강 기술 유출 , 향후 5년간 2조 8 천여억의 손실 예상

• H 社 자동자 제조 핵심 기술 유출 , 22 조 3 천여억원의 손실 예상

< 개인 정보 유출 사례 >

• K은행 3 만 명 고객정보 유출 , 1 인당 10만원 배상판결

• A 社 1,080만 명 개인정보 유출 , 손해배상 소송 진행 중


(2) 개발 보안

이슈이슈정보보호 중기 종합계획 수립 , 개인정보보호법 발의 등의 환경변화 이슈관련법 /제도 /지침 준수 , 보안 프로세스 정비 등의 컴플라이언스 등장응용프로그램 취약점 , 시스템 취약점으로 내부정보 유출 등의 보안사고 발생


SDLC 全 단계 보안성 강화를 위한 보안체계 수립개발 및 구축 측면의 SDLC 全 단계 보안요건 정의 PJT 수행자 관점 , 프로세스 관점의 보안 프레임워크

컴플라이언스 대응을 위한 보안체계개인정보보호 정책 등 컴플라이언스 대응정보보호 정책에서의 법적 의무사항 반영

< 정보시스템의 정보보호 방법 >

• 추가 (Add-on) 방식

• 내장 (Embedded) 방식

• 내장 방식이 추가 방 식보다 10배의 비용 절약됨

* MIT 경제학자 Hoo et al 의 연구(Tangible ROI

through Secure Software Engineering, 2001)

• 개인정보보호법 강화• 정보보호 중기 종합 계획• 개인정보보호법 강화• 정보보호 중기 종합 계획

• 관련 법 /제도 /지침 준수• 보안 프로세스 정비• 관련 법 /제도 /지침 준수• 보안 프로세스 정비

• 응용프로그램 취약점을 이용한 보안사고 증가• 내부자 정보유출 사고 증가

• 응용프로그램 취약점을 이용한 보안사고 증가• 내부자 정보유출 사고 증가

개발 보안 프레임워크의 필요성개발 보안 프레임워크의 필요성


(3) 통합 보안 관리

이슈이슈

개별적인 보안장비 및 보안솔루션들의 통합적 관리

보안 관리의 비용 절약 및 리스크 감소

보안환경을 지속적으로 지원 /운영할 수 보안인력 및 지식


효율적인 통합 보안 관리 및 운영 아웃소싱을 위한 MSS(Managed Security

Services) 서비스

보안 관리를 위한 인력 , 프로세스 , 기술 , 정보 등 제공

침입 탐지를 위한 24 시간 실시간 모니터링 체계 , 취약성 및 위협 방지를 위한

조기경보 서비스 , 실시간 침입 대응 등의 서비스

< 통합 보안 관리의 필요성 >

• 일일 로그데이타 분석량 1 조 이상

• 하루에 발생하는 보안 사고 3,300 건 이상

• 웜 /바이러스로 인한 보안 사고 매달 3000 건 이상씩 증가

• 6,200 개 이상의 장비

* 시만텍 보고서

관리해야 하는 관리해야 하는 데이터 양 증가데이터 양 증가

보안사고 및 보안사고 및 위협 증가위협 증가

관리해야 하는 관리해야 하는 보안장비 증가보안장비 증가

도입된 도입된 보안솔루션 증가보안솔루션 증가

보안인력 및 보안인력 및 지식 부족지식 부족

보안관리의 보안관리의 비용 증가비용 증가


내부자 유출 (25%)내부자 유출 (25%) 외부자 유출 ( 해킹 ) (37.5%)외부자 유출 ( 해킹 ) (37.5%) 임직원 실수 (37.5%)임직원 실수 (37.5%)

내부사용

자

인증 /

권한

개인정보 시스템 접근

Excel 로 저장 후 DVD 로 유출

개인정보 유출로 사회적 이슈 및 소송 중인 8건에 대한 분석 결과 , 내부자 유출 2건 (25%), 외부자 유출 3건 (37.5%), 담당자 /개발자 실수 3건 (37.5%) 으로 실수 및 외부자 유출 사건이 多

개인정보 유출로 사회적 이슈 및 소송 중인 8건에 대한 분석 결과 , 내부자 유출 2건 (25%), 외부자 유출 3건 (37.5%), 담당자 /개발자 실수 3건 (37.5%) 으로 실수 및 외부자 유출 사건이 多

내부 직원에 의해 유출된 G 社 사례

2

1

보조기억매체 통제를 했더라

면 ?

오남용 사용에 대한 탐지 /통

제 ?

탐지 /통제

부재2

1

홈페이지 CSRF 취약점을 이용

관리자 권한 획득

개인정보 외부 유출

외부 해킹에 의해 유출된 A 社 사례

2

1

웹취약점이 사전 감지가

됐다면 ?


제 ?

해커

DMZ

WAS/DB

웹서버

1

관리자

3

3

담당자 실수로 개인정보 파일첨부로 전송한 K社 사례

실수 차단 방법은 ?프로세스 +

통제


제 ?

개발자 실수로 홈페이지 프로그램

접속 오류로 유출된 D 社 사례

2

(4) 개인정보보호


개인정보보호법 개정안에 따르면 개인정보 Life Cycle 에 따른 통제 및 보안조치에 대한 내용이 포함되어 있으며 , 개인정보 유출 사고 발생시 양벌규정에 따라 법인도 형사처벌을 받을 수 있음

개인정보보호법 개정안에 따르면 개인정보 Life Cycle 에 따른 통제 및 보안조치에 대한 내용이 포함되어 있으며 , 개인정보 유출 사고 발생시 양벌규정에 따라 법인도 형사처벌을 받을 수 있음

개인정보 Life Cycle

단계별 보호기준

규정

주민번호 등

고유 식별정보의 처리규제

강화

민간 CCTV규제

- 정보 수집 /이용 /제공 목적 /동의 강화- 수집 -> 이용 -> 제공 -> 파기 단계별 보호 수준 차등화- 목적달성 후 파기 규정 강화- 원칙적 처리 금지 . 단 , 법령 또는 별도 동의를 얻는 경우 가능- 웹사이트 회원가입 등 본인확인 필요 시 주민번호 외 방법을 반드시 제공 ( 공포 후 1 년 후 시행 )

- 고유식별정보 처리시 암호화 등 안전성 확보에 필요한 조치- 안내판 설치 및 영상정보 보호조치 의무화

개인정보영향평가

제도

개인정보보호

위원회신설

벌칙 강화

- 영향평가 의무화 ( 공공 , 민간 자율 )

- 개인정보 유출 시 즉시 통지 의무

- 개인정보보호 정책 수립 ,

제도개선 ,

의견제시 등의 심의- 현행 민간 개인정보분쟁조정위원회를 확대 ·개편하여 공공 ·민간 부문을 망라한 권리구제 총괄기구로서의 위상을 제고- 개인정보보호에 대한 상당한 주의와 감독을 게을리 할 경우 법인도 형사처벌 및 과태료 부과

제도적 이슈 - 개인정보보호법 개정안


개인정보 라이프 싸이클에 따른 이슈를 분석한 결과 , 각 단계마다 다른 기준이 적용되고 있으며 , 각 단계에 따른 다음 사항을 고려 해야 함

개인정보 라이프 싸이클에 따른 이슈를 분석한 결과 , 각 단계마다 다른 기준이 적용되고 있으며 , 각 단계에 따른 다음 사항을 고려 해야 함

저장단계 폐기단계

정보주체 동의 없는 개인정보 수집

개인 사생활이나 권리 침해소지가 있는 개인정보 수집

불법 수집

동의의 철회 ·열람 또는 정정요구를 응하지 않거나 , 수집절차보다 어려운 동의의 철회 · 열람 또는 정정의 절차

인가자에 의한 개인정보의 불법유출

불법유출 비인가자에 의한

개인정보의 열람 , 삽입 , 변조 , 파괴

관리소홀

개인정보의 부적절한 관리로 인한 외부 유출

동의가 철회되거나 수집목적이 달성된 개인정보의 불법보유

수집단계

필요 이상의 개인정보 수집

불법보유

이용 /제공단계잘못된 개인정보의 기록

변경된 개인정보가 수정되지 않음

오류

정보전송상의 실수 및 오류로 인한 개인정보의 유출수집 목적 이외의 용도로 개인정보를 활용하는 행위정보주체의 동의를 구하지 않은 채 , 제 3자에게 정보를 제공하거나 판매하는 행위

2차적사용

(제

공 )

기술적 이슈 - 개인정보 Lifecycle 내 고려 사항


3.4.3 핵심이슈 분석 - 기술적 이슈 (2/2)

정보기술 발달에 따라 정보에 대한 유출 경로가 다양해짐에 따라 개인정보의 중요도를 분류하여 사용그룹별 접근관리가 요구 됨정보기술 발달에 따라 정보에 대한 유출 경로가 다양해짐에 따라 개인정보의 중요도를 분류하여 사용그룹별 접근관리가 요구 됨

기술적 이슈 - 인프라 측면

3. 개인정보보호

해커

내부망DMZ

내부사용자

WAS/DB

웹서버 내부 서버

인터넷사용자

인터넷을 통한 스니핑 위험

암호화 전송

웹취약점을 이용한 해킹

보안취약점

제거

대응방안

비인가 사용자 유출

인증 /권한

강화

인가된 관리자로부터 유출

DB 접근통제 /암호화저

장 /감사

보조기억매체

인가된 사용자 유출

보조기억매체

통제

DLP/

DRM

웹방화

벽

인터넷 매체

감사시스

템

프린트

시스템구성

위험요소


정보보안 목표

정보보안 목표 (CIA)

기밀성 (Confidentiality)

무결성 (Integrity)

가용성 (Availability)

기타 사항 인증 (Authentication)

권한관리 (Authorization)

책임추적성 (Accuracy)

보증 (Assurance)

NIST 800-33(Security Objectives)

Integrity

Confidentiality

Availability


정보보호 개념 변화

정보보호 범위

통신보안 (CommSec)

컴퓨터보안 (CompuSec)

네트워크보안 (NetSec)

정보보안 , 정보보호 (InfoSec)

• 개인정보보호의 중요성 !

정보전 (Information Warfare, IW)

정보보증 (Information Assurance, IA)

변화

정보보호 (Security) 정보보증 (Assurance)

암호기술 및 서비스 중심에서 정보의 가용성을 중시


정보보호 용어

정보기술 보안 주로 기밀성 , 무결성 , 가용성을 정의 . 구현 및 유지보수와 관련된 모든 측면

자산 (assert) : 조직에 가치 있는 모든 것 영향 (Impact) : 예기치 않은 사건으로 인한 결과 위협 (Threat)

발생시 시스템에 손상을 유발시킬 수 있는 사건이나 행동

취약성 (Vulnerability) : 위협에 의해 이용 될 수 있는 자산내의 약점 위험 (Risk) : 자산의 취약성으로 인해 발생되는 기대손실 ( 확률 )

위험분석 (Risk Analysis) : 보안 상태를 분석하는 과정 위험 식별 , 규모 결정 , 대응책이 필요한 분야 식별


위험 관리 (Risk Management)

변화하는 환경에 맞게 1) 과 2) 를 지속적으로 수행하는 프로세스1) 위험 식별 : 정보 자원의 취약점과 위협요소를 파악하는 것2) 대책 마련 : 정보 자원의 가치에 합당한 수준으로 위험을 감소시키는 대책을 마련하는 것

잔류위험 (Residual Risk) : 안전대책이 구 현된 후에도 남아 있는 위험 안전대책 (Safeguard) : 위험을 감소시키는 기법 및 절차 정보기술 보안방침 (IT Security Policy) : 조직이 정보기술 자원을

어떻게 관리 , 보호 및 배포하는 것인지에 대한 규칙 , 지침 및 규약 시스템 보안 방침 (System Security Policy) : 각 시스템 별로 작성

되는 보안방침 보안요구사항 (Security Requirement) : 서비스 , 기능 또는 절차

( 안전대책 ) 의 관점에서 명시된 보안에 관한 필요성


보안의 목표 ( 원칙 )

비밀보장 (Confidentiality)

무결성 (Integrity)

가용성 (Availability)

책임 추적성 (Accuracy, to the individual level)

보증 (Assurance)

접근 제어 (Access Control)

부인봉쇄 (Non-Repudiation)

인증 (Authentication)


보안의 목표 – 비밀성 , 무결성

정보의 비밀성 유지

인증된 사용자만이 접근이 가능하고 제 3자에게 비밀성 있어야함

정보 보호 메커니즘

• 암호화 , 논리 및 물리 접근 통제 , 전송 프로토콜 ,

통제된 트래픽 흐름 등 기밀성 보호의 수단

정보의 무결성 유지

정보의 변경 , 삭제됨을 방지 해야 함

무결성 제어 메커니즘

• 해쉬 함수 H(M), 메시지 인증 코드 (MAC)


보안의 목표 –가용성 , 책임추적성

정보의 가용성 확보

승인된 사용자의 요구하는 정보 , 시스템 및 자원의 접근이

적시에 제공

자료의 백업 , 이중화 , 오류 수용성과 복구 등이 가용성 수단

책임 추적성 (Accuracy, to the individual level)

보안사고 발생시 누구에 의해 어떤 방법으로 발생한 것인지 추측할 수 있어야 함

주체의 신원을 증명하고 그들의 활동을 추적 (trance) 하는 능력

식별 , 인증 , 권한부여 , 접근통제 , 감사가 중요 기본 개념임


보안의 목표 –접근제어

접근 제어 (Access Control)

시스템에서 자원의 사용 가능 여부를 결정하는 과정

• 사용자와 시스템이 다른 시스템 및 자원과 통신하고

상호 작용하는 방법을 제어하는 보안 기능

통신 시스템과 관련된 허가되지 않은 동작들의 위협으로부터 자원을 보호

주체와 객체 , 논리적 접근통제는 식별 -> 인증 ->승인


보안의 목표 – 인증기능 , 부인봉쇄

인증기능제공 (Authentication)

자신의 신분과 행위를 증명 하는 것

패스워드 방식 , 공개키 이용 , 메모리 및 스마트 카드 , 생체 인식도구 등

사용자 인증 , 데이터 인증

부인봉쇄 기능 제공

메시지의 송 , 수신 부인방지 방법

전자서명 , 공개키 인증 기관의 인증서 발행


정보보호 구성요소

Audit &ReportAudit &Report

Respond &Improve

Respond &Improve

PreparePrepare

감시 : 장애 , 침해시도 , 침해사고

감지 : 장애 , 침해시도 , 침해사고

보안네트웍 구축

통합보안관리 시스템 연동

취약성 분석

취약성 제거

Monitoring & DetectMonitoring & Detect

Prevent

Prevent

요구사항 분석

보안정책 수립

보안시스템 설계

운영권고안 수립

시스템 로그 분석

대응 로그 분석

관리상황 보고

개선 요구사항 보고

장애 대응

침해사고 대응

시스템 분석

시스템 개선

InformatioInformationn

SecuritySecurity


정보보안 정책

정책 (Policy) 조직 정보 보호 정책 : 무엇을 어떻게 보호 ?!

• 목적 , 범위 , 책임 , 준수 , 경영진의 지원 선언 등

• 정보등 관련 자산들이 어떻게 관리 , 분배 -> 규칙 , 지침 , 규약 사안 별 정보 보호 정책 : 특정 부서 또는 업무에 관한 보호 ?!

• 개인정보보호정책 시스템 정보 보호 정책 : 특정 시스템의 보호를 위한 결정 사항

• 방화벽 정책

지침 (Guidelines) 보안 정책을 따 르게 하기 위한 방법 제공 , 설명

표준 (Standard) : 특정의 보안기술이나 제품 등 규정 규칙 , 방법 , 문서 양식 , 시스템 규격

절차 (Procedure) : 정책 목표를 달성하기 위해 수행하는 단계적방법


보안정책 형태

규제형 (Regulatory)

무엇을 하여야 한다 . 언제 하여야 한다 . 누가하여야 한다

일관성 있고 , 모순 없는 절차 확립 , 기술적으로 미숙한 사람들 대상

예 ) 은행은 인터넷뱅킹을 이용하는 가입자의 정보의 보호 및 금융 사고의 방지를 위해 이중암호화 해야한다 .

권고형 (Advisory)

잘 모르는 사람들에게 가르쳐주며 정책에 따 르게 하는 방법

어떤 기능을 완수하기 위해서는 어떤 조치를 취하여야 한다는 권고형

예 ) 은행은 인터넷뱅킹 사용자에 대하여 공인인증 기반의 사용자 인증을 제공하면 좋다 .


고지형 (Informative)

임직원들에 게 특정 주제에 관련된 정보를 제시하는 정책

어떤 행동을 묵시적으로 기대하거나 벌칙이 없으며 , 특별히 준수되어야 할 필요 없음

예 ) 패스워드는 표준에 따라 변경한다 . 자세한 정보는 부서의 패스워드 정책을 보라 .


보안 솔루션 도입 검토

보안컨설팅 , 솔루션컨설팅 및 구현 , 보안서비스의 End-To-End 보안 서비스를 제공하도록 하여야 함

4. 통합보안 서비스

고객사 전사적 관점의 중장기 정보보안 전략 / 실행계획 수립

인프라 신뢰성 확보를 위한 정보자산 보호체계 마련

통합보안전략 / 취약점 진단 / 인증 / 개발보안 / 취약성 분석 ,평가 및 안전진단 / 법 ,제도 기반 컨설팅 등의 서비스 제공

인프라의 위험 요소를 파악 , 분석 후 최적의 보안아키텍처를 설계

솔루션 선정 / 구현 방안 제시 및 최적 보안솔루션 맞춤형 구축고객 비즈니스 및 정보시스템 환경에 필요한 보안요소들을 전사적 관점에서 도출하여 최적화된 솔루션 통합 제공

고객사 보안 운영 및 관리 분야를 전문적으로 아웃소싱 하는 보안운영 서비스

정보시스템 해킹 / 침해시도를 전문인력이 24*365 실시간 감시 , 예방

문제 발생시 신속한 사고처리 및 피해 확산 최소화를 위한 관제


3 개의 서비스 영역 및 10 개의 세부서비스 영역으로 구성


주 1) SCTM : Secure Content and Threat Management 주 2) SVM : Security and Vulnerability Management 주 3) IAM : Identity and Access Management 주 4) SDLC : S/W Development Life Cycle

통합보안 컨설팅

솔루션 컨설팅

및구현

취약점 진단 컨설팅

인증 컨설팅

개발보안 컨설팅

법 / 제도 기반 컨설팅

컨텐츠 보안 및 위협 관리 (SCTM 주 1))

보안 및 취약성 관리(SVM 주 2))

인증 및 접근 관리 (IAM 주 3))

보안운영

보안관제

솔루션검

보안서비스

보안컨설팅

조직의 보안 관리 체계 전반에 대한 위험 분석 및 마스터 플랜 수립조직의 보안 관리 체계 전반에 대한 위험 분석 및 마스터 플랜 수립

정보시스템에 대한 보안 취약점 진단 및 대책 제공정보시스템에 대한 보안 취약점 진단 및 대책 제공

정보보호 관리체계에 대한 국내외 인증 획득 지원정보보호 관리체계에 대한 국내외 인증 획득 지원

SDLCSDLC 주주 4)4) 기반의 시스템 구축 전 과정 상에서 예상되는 기반의 시스템 구축 전 과정 상에서 예상되는 보안이슈사항 분석보안이슈사항 분석 //검토 및 제거검토 및 제거

정보통신기반보호법 등의 법정보통신기반보호법 등의 법 // 제도에 의해 기반보호시설 취약성 제도에 의해 기반보호시설 취약성 분석분석 , , 평가 및 정보보호 안전진단 수행평가 및 정보보호 안전진단 수행

디지털 컨텐츠 보안 및 인프라 보안을 위한 솔루션 구현디지털 컨텐츠 보안 및 인프라 보안을 위한 솔루션 구현

보안 취약점 분석 및 관리 솔루션 구현보안 취약점 분석 및 관리 솔루션 구현

사용자 인증사용자 인증 , , 계정 및 접근 통제 관리 솔루션 구현계정 및 접근 통제 관리 솔루션 구현

고객사의 보안 운영 및 관리 분야를 전문적으로 아웃소싱 하는 고객사의 보안 운영 및 관리 분야를 전문적으로 아웃소싱 하는 서비스서비스

고객의 정보시스템에 대한 실시간 감시 및 문제 발 생시 즉각적인 고객의 정보시스템에 대한 실시간 감시 및 문제 발 생시 즉각적인 대응을 지원하는 서비스 대응을 지원하는 서비스


(1) 보안컨설팅

회사 內 조직 및 모든 정보자산에 발생할 수 있는 보안 위험을 분석하여 이에 대한 종합적인 대책을 수립하고 이를 실 현할 수 있도록 지원


정보자산에 대한 기업의 정보보호 활동에 대해 정책 , 표준 , 지침 , 절차를 정의하고 이를 실행 , 감독하는 활동 (보안업무 관련 표준 업무 절차 , 정책 , 지침 등 )

정보자산이 위치한 시설에 대해 허가되지 않은 접근 또는 사용을 차단하고 모니터링 하기 위한 활동 ( 시설에 대한 출입통제 , 감시 , 시설환경 등 )

정보시스템 내 취약점 제거 및 내 /외부 보안 위협 차단을 위해 정보보호 시스템을 구축 , 운영하는 활동 ( 서버 , 네트워크 , DB, 어플리케이션 , PC 등 )

통합 보안 컨설팅통합 보안 컨설팅통합 보안 컨설팅통합 보안 컨설팅

인증 컨설팅인증 컨설팅인증 컨설팅인증 컨설팅

법법 // 제도 기반 컨설팅제도 기반 컨설팅법법 // 제도 기반 컨설팅제도 기반 컨설팅

취약점 진단 컨설팅취약점 진단 컨설팅취약점 진단 컨설팅취약점 진단 컨설팅

개발보안 컨설팅개발보안 컨설팅개발보안 컨설팅개발보안 컨설팅


(1-1) 관리적 보안

관리적 위협으로부터 정보자산을 보호하기 위해 기존 정책 및 지침 , 법률적 환경적 요구 등을 고려하여 명확하고 일관성이 있는 보안 정책 , 지침 , 절차 등 관리보안 대책을 수립

정보보호 사고• 정보보호 담당자 비상연락망 보유• 시스템 장애처리 요원 연계• 사고일지 기록• 정보보호 사고 지연 시 처리• 사고내용 보안교육 관련자료 반영• 정보보호 사고 관련 등급 평가• 사고 관련자의 처리• 보안 관련 사고의 문서화 규정• 침입자 발견 시 조치• 서버 및 데이터베이스의 가용성 확보를 위한 백업 및 복구

• 주요 업무 데이터의 변조• 응용프로그램 및 시스템 파일의 무결성 위반• 바이러스의 침입• 하드웨어의 파괴• 비 인가된 사용자의 침입• 네트워크의 침입으로 인한

비정상적인 서비스• 비상사태에 의한 자산 손실

비상대책

• 보안교육• 비상대응훈련

• 보안 문서 관리• 보안 문서 수 , 발신 관리 / 문서 폐기 관리

• 비상 보안사태 예방 및 방지• 보안사고 대응 관리 / 사후복구 대응 관리

침해사고 대응책

보안문서

교육 및 훈련• 채용 및 퇴직관리• 전출입 관리• 협력업체관리• 보안서약관리

• 자산분류 및 관리 • 위험분석 관리 / 보안성 검토

• 정보보호 조직운영• 외주계약

보안조직

자산분류 및 통제

인적보안


보안컨설팅 - 통합보안 컨설팅

조직의 보안 관리 체계 전반에 대한 위험 분석 및 마스터플랜 수립 컨설팅조직의 보안 관리 체계 전반에 대한 위험 분석 및 마스터플랜 수립 컨설팅정의정의

주요 정보자산에 대한 관리적주요 정보자산에 대한 관리적 // 기술적기술적 // 물리적 취약점을 파악하고 위험분석을 통해 체계적인 물리적 취약점을 파악하고 위험분석을 통해 체계적인 보안 마스터플랜을 수립함보안 마스터플랜을 수립함주요 기능주요 기능


보안컨설팅 - 취약점 진단 컨설팅

정보시스템에 대한 보안 취약점 진단 및 대책을 제공하는 컨설팅정보시스템에 대한 보안 취약점 진단 및 대책을 제공하는 컨설팅정의정의

모의해킹모의해킹※※과 함께 대상의 기술적인 진단 및 실증적 해킹 가능성 점검 후 그에 따른 대응책을 과 함께 대상의 기술적인 진단 및 실증적 해킹 가능성 점검 후 그에 따른 대응책을 수립함수립함주요 기능주요 기능

※모의해킹 :

사전에 아무 정보 없이 외부 웹 상에서 실제 해커들이 사용하는 방법을 이용하여 시스템에 접근하는 외부 모의해킹과 내부 IP 를 할당 받아 비인가 내부자로 인한 시스템 접근 가능성 , 권한 상승 가능성 등을 파악하는 내부 모의해킹으로 구분됨


보안컨설팅 - 인증 컨설팅

정보보호 관리체계에 대한 국내외 인증정보보호 관리체계에 대한 국내외 인증※※ 획득을 지원하는 컨설팅획득을 지원하는 컨설팅정의정의

정보보호관리체계 국제 표준인 정보보호관리체계 국제 표준인 ISO27001 ISO27001 또는 정보통신부의 정보보호관리체계 또는 정보통신부의 정보보호관리체계 KISA ISMS KISA ISMS 인증 획득을 지원함인증 획득을 지원함주요 기능주요 기능

※인증제도 :

정보보호의 목적인 정보자산의 기밀성 , 무결성 , 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립ㆍ문서화 하고 지속적으로 관리ㆍ운영하는 시스템 즉 조직에 적합한 정보보호를 위해 정책 및 조직 수립 , 위험관리 , 대책구 현 , 사후관리 등의 정보보호관리과정을 통해 구현된 여러 정보보호대책들이 유기적으로 통합된 체계 (“ 정보보호관리체계” ) 에 대하여 제 3 자의 인증기관이 객관적이고 독립적으로 평가하여 기준에 대한 적합 여부를 보증해주는 제도


SDLCSDLC※※ 기반의 시스템 구축 전 과정 상에서 예상되는 보안 이슈사항을 분석기반의 시스템 구축 전 과정 상에서 예상되는 보안 이슈사항을 분석 //검토 및 검토 및 제거하기 위한 컨설팅 제거하기 위한 컨설팅 정의정의

보안컨설팅 - 개발보안 컨설팅

기업 애플리케이션 개발 단계에서부터 계획기업 애플리케이션 개발 단계에서부터 계획 , , 분석분석 , , 설계설계 , , 구축구축 , , 테스트테스트 , , 운영의 단계마다 운영의 단계마다 보안을 고려하여 발생 가능한 취약점을 분석보안을 고려하여 발생 가능한 취약점을 분석 // 제거 및 방안을 제시함으로써 기업 전반의 제거 및 방안을 제시함으로써 기업 전반의 보안을 강화함보안을 강화함

주요 기능주요 기능

※SDLC : S/W Development Life Cycle


정보통신기반보호법에 의한 기반보호시설 취약성 분석정보통신기반보호법에 의한 기반보호시설 취약성 분석 //평가 컨설팅 및 정보통신망 평가 컨설팅 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의한 정보보호 안전진단 수행 컨설팅이용촉진 및 정보보호 등에 관한 법률에 의한 정보보호 안전진단 수행 컨설팅정의정의

보안컨설팅 - 법 /제도 기반 컨설팅

주요정보통신기반시설 취약점 점검 서비스 주요정보통신기반시설 취약점 점검 서비스 : : 금융감독위원회금융감독위원회 // 정보통신부 취약점 분석정보통신부 취약점 분석 //평가 기준을 반영한 보호대책을 수립함 평가 기준을 반영한 보호대책을 수립함 (( 연연 11회회 ))

주요 기능주요 기능정보보호 안전진단 정보보호 안전진단 : : 관리적관리적 // 기술적기술적 // 물리적 보호조치에 대한 세부조치사항 중 대상별로 물리적 보호조치에 대한 세부조치사항 중 대상별로 차별화된 항목 점검을 통해 필증을 부여함 차별화된 항목 점검을 통해 필증을 부여함 (( 연연 11회회 ))


※ 물리적 보안 대책은 안전한 정보 자산 관리를 위한 가이드를 제시함

물리적 보안통제 지침 ,

프로세스 점검

물리적 보안통제 지침 ,

프로세스 점검보안 담당자 교육 및

관련자의 보안 정책 협조

보안 담당자 교육 및관련자의 보안 정책 협조물리적 보안 체크리스트 ,

등급별 지정

물리적 보안 체크리스트 , 등급별 지정

보안구역• 물리적 보안구역 설정 및 통제• 전산 장비 반출입을 위한 별도 구역 지정

자산보호• 물리적 요인으로 장비 훼손이나 파괴로 인한

시스템 작동 불능이나 성능 저하 방지를 위한 정책

• 화재 , 홍수 등 재난에 대비한 자동 경보장치 및 소화설비 필요

• 방재시설 , 자산보관 , 장비도입 및 폐기절차• 장비 잠금장치 , 덮개 활용

일반통제• 내부시설 보안 및 PC 보안• 내외부사용자 모두 출입시 보안 통제• 카메라 등 촬영 금지

보안 장비• 사각지대 관리 , 운동감지 보안 센서• 적외선 감지기 , 펜스 감지기 등의 보안

장비

(1-2) 물리적 보안

주요시설의 보안구역에 대한 위협과 자연재해로부터 보호하기 위해 국제적 기준의 물리 및 환경 보안 기준을 적용하여 물리적 접근통제에 대한 분석 및 통합적 보호대책을 수립


출입통제• CCTV, 출입기록 , 출입동선 , 장비

반 / 출입• 외부인에 대한 신원 파악• 외부인 작업 시 동행


• 비인가자 접근• 바이러스 침투• 자료노출 , 파괴 , 변

조 , 유출• OS 취약점 공격• 불법장비 부착• 장비 도난• 과전압• 유지보수 중 유출

PC 보안 /매체보안

네트워크 보안 서버 보안 응용프로그램 보안 DB 보안

• 네트워크 모니터링• 자료 변조• 트래픽 폭주공격• 서비스 부인공격• 스니핑 (Sniffing)• 장비의 파손

• 시스템 관리자의 공격

• 비인가자의 접근• 패스워드 노출• 서버 파괴 , 도난 ,

수리 , 복구 시 노출• OS 취약점 공격• 불법장비 부착

• 비인가자 접근• 자료 복사 , 파괴 ,

변조• 트로이 목마• 사용자의 실수

• DB 관리자 공격• DB 변조 , 파손 ,

유출• 로그 삭제• 자료의 위치 변경

• DB 암호화• 백업 및 복구 시

암호화 상태 유지• 로그 확보

• 사용자 식별• 사용자 등급별 접근통제

• 화면통제

• 데몬 보호• 로그 확보• 사용자 관리• 전자서명 / 암호화• 저장매체 보호• 용량 한정

• 암호화• 라우터• 필터링• 방화벽• 로그 기록

• 암호화• 사용자 식별• 개인자료 관리• 자료 등급• 바이러스• 전자서명• 기억매체관리

(1-3) 기술적 보안

각종 하드웨어와 소프트웨어에 대한 기술적 요소들을 보안상의 위협으로부터 안전하게 보호하기 위해 새로운 시스템 환경에 맞도록 네트워크 보안 , 서버 보안 , PC보안 , 응용시스템 보안 등 취약점을 진단하고 통합적 대책을 수립함



(2) 솔루션컨설팅 및 구현

내부사용자

외부사용자

컨텐츠 보안 및 위협 관리 (SCTM) :

외부로부터 들어오는 공격 및 바이러스와 내부로부터 나가는 정보를 차단함

보안 및 취약성 관리 (SVM) : 조직에 대한 전반적 보안 수준 파악 및 관리를 통해 위험에 대처함

인증 및 접근 관리 (IAM) : 조직 내 산재한 사용자 아이디와 자원 사용 권한에 대해 관리함

hacker

Virus/spyware

정보 인프라의 위험 요소를 파악 , 분석하여 해당 인프라에 가장 적합한 보안 아키텍처를 설계하고 , 솔루션 선정 및 구현 방안을 제시하여 최적의 보안 솔루션을 구축

컨텐츠 보안 및 위협 관리 (SCTM)

보안 및 취약성 관리(SVM)

인증 및 접근 관리(IAM)


보안운영

고객사 시스템 운영

(4) 보안서비스

내부사용자

외부사용자

통합 보안관제센터

hacker

Virus/spyware

원격접속관리


보안관제


정보보안실행과정

IT 보안목적 , 전략 , 방침 정의

IT 보안요구사항및 범위 결정

위험분석- 자산

- 취약성 - 영향- 위험

위험 평가

IT 보안계획 :통제 목적 및 구현될 통제 선정

구현

인식과 교육

보안감사 및사후관리

위험관리

1 단계

2 단계 3 단계

4 단계

5 단계

6 단계보고서 작성


BS7799 국제보안표준 –ISMS( 정보보호관리시스템 )

BS7799 체계

지속적인 관리 수행 및 점검

BS7799 감사 및 인증

보안 문서 및 절차 , 정책의 작성

BS7799 통제항목의 선택 및 수행과제 선정

관리할 위험 영역의 도출

위험평가의 수행( 모의해킹 , 스캐닝 ,

위험분석 )

GAP 분석

정보보안 대상의 범위 정의

BS7799 를 표준으로 채택한 국가 영국 , 일본 , 호주 , 뉴질랜드 , 스웨덴 , 브라질 , 덴마크 , 태국 , 아일랜드 , 네덜란드 , 노르웨이 , 남아프리카공화국 등에서 표준으로 채택하였으며 , 미국과 유럽의 대부분의 국가에서 사용되고 있다 . 2000 년 12월 , 일본 통산성은 BS7799 를 국가표준으로 채택하여 일본 공업

규격화 하고 정보보안 관리체계 (ISMS) 인증 제도를 시행하고 있음

BS7799 의 장점 정보보안을 10 개의 영역 , 127 개 통제 항목으로 구분하여 제시함 조직의 정보보안 관리 체계 (Information Security Management System) 의 수립과 실행에 대한 가이드를 제시함 BS7799 인증 後 대외적인 신뢰도와 경쟁력을 확보할 수 있음

BS7799 도입배경 품질표준 (ISO 9000) , 환경표준 (ISO 14000) 에 이어 대두되는 보안 국제 표준 Security Round(ISO/IEC JTC1 SC27) 에서 국제 표준화 작업 2000 년 10월 , BS7799 Part1 이 ISO 17799 Part1 으로 이전됨 .2002 년 7 월 31일 , 산업자원부에서 KS-X ISO/IEC 17799 로 표준화 완료 2006 년 2006 년 BS7799 Part2 도 ISO 27001 로 이전 예정임 . (현재 국제표준화 최종단계 )


표준 규격 - BS7799

항

1

2

6

7

8

제목

보안 방침

보안 조직

의사소통 및 운영관리

접근 통제

시스템 개발 및 유지

내 용

정보보안에 대한 경영방침과 지원사항을 제공

조직내 보안을 효과적으로 관리하기 위한 보안에 대한 책임 배정

3 자산분류 및 관리 조직에 대한 적절한 보호책 유지

4 직원의 보안 사람에 의한 실수 , 절대 , 부정수단이나 설비의 잘못된 사용으로 인한 위험 감소

5 물리적 및 주변환경에 대한 보안 비인가된 접근 , 손상과 사업장과 정보에 대한 영향 방지

정보처리 설비의 정확하고 안전한 운영을 보장

정보에 대한 접근통제

정보 시스템 내에 보안이 수립되었음을 보장

9 사업 지속성 관리 사업활동에 대한 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호

10 부합성 범죄 및 민사상의 범률 , 법규 , 규정 또는 계약 의무사항 및 보안 요구사항의 일치

Documents

제1장 정보보호 개론