Contents 서론 국내 내부 정보 수준 진단 해외 내부 정보 수준 진단 정보보호를 위한 방안 내부 정보보호를 위한 해법

Presentation on theme: "Contents 서론 국내 내부 정보 수준 진단 해외 내부 정보 수준 진단 정보보호를 위한 방안 내부 정보보호를 위한 해법"— Presentation transcript:

1

2 Contents 서론 국내 내부 정보 수준 진단 해외 내부 정보 수준 진단 정보보호를 위한 방안 내부 정보보호를 위한 해법
결론

3 정보의 가치 기업 정보의 보호를 통해 고객 정보를 보호할 수 있는 방안 마련 필수 Information DATA
서론 ㅣ 고객 정보 보호 및 중요 정보 유출 방지를 위한 내부 정보 보호 방안 DATA 분석, 평가, 정리 Information 첨단 정보전쟁의 시대 정보가 기업 생존 가늠 정보의 가치가 점차 증대 기업 정보의 보호를 통해 고객 정보를 보호할 수 있는 방안 마련 필수 악의적인 정보의 유출 가능성 증대

4 * * * 내부 정보 유출 사례 국내 내부 정보 수준 진단 ㅣ 2008 년 대한민국 내부 정보 유출 현 주소
한국인 개인정보 중국 사이트에서 절찬리 판매 중’ 중국으로 개인정보 유출 2008년 반 년 만에 해킹 피해자가 6배 이상 증가 (시사저널 ) * 국정원 직원이 국가정보통신망을 이용, 시민의 신상정보를 외부로 유출한 것으로 밝혀져 지인 부탁 받고 신상정보 빼내… 국정원 뒤늦게 "징계 방침“ (한국일보 ) 개인정보 유출, 살인범의 범죄 대상 될 수 있다, 후유증이 오래가는 심각한 사회 문제 * 과거 지존파 사건에서는 백화점 직원으로부터 고객정보를 빼내어 살인한 사건 (세계일보 )

5 내부 정보 유출 관련 통계 국내 내부 정보 수준 진단
ㅣ 경제적 피해 규모 기하급수적 증가, 내부 정보 유출 방지가 ‘기업 경쟁력’ ㅣ 연도별 산업 기밀 유출 건수와 예방액 ㅣ 산업 기밀 유출 주체 별 현황 전직/현직 직원이 전체 피해의 90%에 이르는 유출 주체 내부 정보 보안 정책 및 관리 방안 필요 => 국정원의 자료에 의하면 기술유출 적발현황을 연도별로 보면 2003년에는 6건에 불과했으나, 2004년 26건, 2005년 29건, 2006년 31건, 2007년 7월 현재 15건으로 매년 지속적 증가 <Source: 국가정보원,「산업스파이 적발사건 현황」 국가정보원 .「 첨단산업기술보호동향 」

6 정보보호 솔루션 구축 실태 국내 내부 정보 수준 진단 ㅣ 내부 보안 중심의 정보시스템 보안 정책이 필요
대부분의 기업에서 단발적인 솔루션이나 물리적인 시스템의 도입을 통해 외부에서의 공격을 차단하는 보안 방안이 주를 이루고 있으며, 기업의 정보가 유출되는 경로는 주로 내부의 주요 데이터를 다루는 직원이나 협력 업체 등을 통해 빈번히 일어나고 있음 기업의 중요 데이터를 근본적으로 보호할 수 있는 방안 마련이 시급히 권고됨 ㅣ 기업의 정보보호 솔루션 도입 현황 <Source: 2006년 정보보호 실태조사, 한국정보보호진흥원>

7 일본 정보보호 현황 해외 내부 정보 수준 진단 ㅣ 일본정부, 외국기업에 의한 자국기업의 M&A 통제강화
o 일본 정부는 외국인이 자국기업을 인수할 경우 정부에 신고서를 제출해야 하는 업종을 확대하는 한편, 외국인이 외환거래법 등을 위반해 취득한 의결권을 무효화하는 방안 등을 검토 중인 것으로 알려졌음 o 국가 기술 및 첨단기술 유출을 방지하고, 중국 국유기업들의 일본기업 매수 공세를 차단하기 위해 재무성과 경제산업성이 공동으로 감독하는 외환법을 근거로 현재 외국기업이 자국기업을 인수할 때 정부에 신고해야 하는 업종범위를 확대할 방침 * 일본의 외환법은 국가 안전을 해칠 우려가 있는 대내 직접투자와 관련, 외국 자본에 사업목적이나 규모에 관한 신고서 제출을 의무화, 담당 장관은 심사 결과 계획의 변경이나 중지를 권고 또는 명령할 수 있음 <Source: 일 니혼겐자이 신문( ), 산케이 신문( )에서 발췌> ㅣ 일본 정보보호 솔루션 구축 실태 일본은 2003년 5월 개인정보보호법안을 시행, 보안 솔루션에 대한 인식이 확고하게 자리 잡혀 있으며 제도적으로 정립되어 있음 <Source: 2006년도 일본 정보보호 산업 통계 및 시장조사, 한국정보보호산업협회>

8 프랑스 기업들 산업보안 강화 해외 내부 정보 수준 진단 ㅣ 프랑스 내 기업간 산업스파이 전쟁 심화
 o 프랑스와 유럽내 다국적 기업간 경쟁이 격화됨에 따라 기업간 정보전쟁 심화    - 프랑스는 다국적 기업간 '경제 전쟁'이 현실화되고 있어 기업체 사이에서 '의심의 문화'(Culture de Soupcon)가 만연, 기업들은 외부 적에 대비한 보안시스템 구축에 노력을 경주하고 있음       * 산업보안분야 전문가인 佛 DGSE(해외 정보 방첩국) 정보국장 출신의 Alain Juillet는    “프랑스 기업들도 내부직원들의 '배신'에 대비할 수 있는 시스템을 구축해야 한다”고 강조    -  지난 5년간 산업보안 분야의 전문보안업체 수가 6배 이상 증가, 현재 약 300개 업체가 성업 중으로 이들 업체는 기업체로부터 용역을 받아 고객기업을 위해 고객기업의 묵인 하에 해킹·도청·몰래 카메라 촬영·무단 침입 등 불법적인 활동도 전개하고 있는 것으로 알려지고 있음      【 인도 Mittal- 프랑스 Arcelor 사례 】 철강업계의 다국적 기업인 인도 Mittal은 산업 스파이를 동종업계 라이벌인 프랑스 Arcelor 내부에 침투, 기업정보를 수집 하여 그 정보를 통해 프랑스 Arcelor를 인수 합병하는데 성공하였음 Mittal은 프랑스 Arcelor의 재무정보·기업전략 외에 자사주식 매입 예상가를 정확히 파악, 인수합병 전략 수립  * 인수합병 후 프랑스 정보당국에 의해 스파이가 적발되었는데 스파이는 합병된 기업의 핵심임원으로 승진한 상태였음 <Source: 산업기밀 보호 센터에서 발췌>

9 미국 보안전문가의 내부로부터의 위협 방지책 1 2 3 4 5 미국 보안전문가의「내부로부터의 위협」방지책
해외 내부 정보 수준 진단 ㅣ 내부자에 의한 기업보안위협 방지책  o 미국 월 스트리트 저널(The Wall Street Journal)은「내부로부터의 위험」특집기사에서 기업의 가장 큰 보안 위협 요인을 내부자로 지목, 관련 기밀유출 대응책을 상세히 보도    - 전산망에서 중요한 정보를 변경 또는 외부로 유출할 수 있는 대상을 자사 및 하청업체 직원 등 내부자로 지목 미국 보안전문가의「내부로부터의 위협」방지책 1 2 3 시스템 관리자에 대해서는 특별 관리 방안을 마련할 것 보안규정을 수용할 수 있는 역량이 있는 사람인지 내부자를 파악하라 분류시스템을 갖춰 단계마다 허용 접근 등급과 통제수준을 설정할 것 4 5 중요 정보에 대해 암호화를 수행, 만일의 경우 복호화 할 수 있도록 조치 중요 정보의 외부 전송을 통제하며 누가 특정 문서에 접근하고 통제

10 영국 고객정보 보호 관련 법제도 강화 해외 내부 정보 수준 진단
ㅣ 중요한 고객정보가 담긴 노트북을 분실한 기업에 대한 벌금부과  o 영국의 금융서비스 제공회사인 Nationwide Building Society는 중요한 고객정보들이 담긴 노트북 분실에 대해 190만불(한화 약 18억 원)의 벌금을 징수 당함 - 벌금을 부과한 Financial Services Authority (FSA, 영국 금융감독청)는 Nationwide社가 정보보호 위협에 대한 효과적인 통제와 시스템을 갖추지 못하였으며 중요한 고객정보의 유출 사실에 대한 인지와 조사가 늦었다고 함 - 감독청의 Margaret Cole 감독관은 이번 부과 조치가 모든 회사 담당자에게 정보보호의 중요성을 명확하고 강력하게 보여주는 사례가 된 것이라고 밝혔음 - Nat i onwi de社는 관련 보안규정들이 있으나 사고가 발생한 것에 대해 사과, 관련 규정의 보완 예정 <Source: 금융 보안 연구원에서 발췌>

11 정보보호 시스템 흐름 정보보호를 위한 방안 ㅣ 보안 위협에 따른 정보보호 시스템의 흐름

12 CSO의 5가지 주요 이슈 1 2 3 4 5 정보보호를 위한 방안 ㅣ 가트너그룹이 조사한 CSO의 5가지 주요 이슈
정보보안 조직에 대한 이슈 2 정보보안 거버넌스에 대한 이슈 3 적절한 수준의 정보보안 예산 측정 4 정보보안 핵심 아키텍처의 구성 방안 5 SOX, BAZEL-II 등 상위기관 관련 규정준수 ▶ 기업이 제공하는 각종 비즈니스에 대한 정보보안의 우선순위가 높아졌다는 사실을 뒷받침

13 성공적인 정보 보안 관리를 위한 핵심 요소 정보보호를 위한 방안 구 분 점검 항목 공동의 보안목표 설정
􄤎 임직원이 동참하는 정기적인 보안교육 마련 􄤎 보안 프로세스 수립 및 사용자 교육 실시 위험관리 및 대응체계 구축 􄤎 보안 컨설팅을 통한 위험 관리 􄤎 컨설팅 결과의 지속적인 관리를 통한 대응 체계 유지 정보보호 솔루션 투자, 활용 􄤎 운영의 효율이 높고 보안성이 강한 검증된 솔루션 도입 􄤎 보안담당자에 대한 투자 내부자 정보유출 방지 􄤎 주요 정보 암호화 􄤎 외부로의 불법적인 데이터 전송 차단 􄤎 사용자 계정 관리 및 보안 정책 관리 􄤎 이동식 저장매체 사용 제어 􄤎 출력물 이력 관리 및 제어

14 내부 정보유출방지 전략 수립 정보보호를 위한 방안 ㅣ 주요 위협 요소와 정보보호 대책 공격대상 위 협 요 인 보호 대 책
USER PC - 부팅, 윈도우 패스워드 부실 - 트로이 목마 바이러스의 침투 - 암호화 되지 않은 비밀문서 - 윈도우즈 OS의 취약점 - 강력한 패스워드 정책의 적용 - 백신 및 OS의 상시 업데이트 - 문서보안시스템(DRM)의 채택 - PC 보안정책의 상시 모니터링 SERVER - 관리자/타인의 계정 도용 - 서버 OS 취약점의 공격 - 로그 관리의 부실 - 사용자/권한별 접근제어 - 서버 OS에 대한 상시 패치 관리 - 서버 취약점의 상시 모니터링 NETWORK - 스니핑 등 네트워크 도청 - 네트워크 장비의 OS 취약점 - 네트워크 패킷의 암호화 - 네트워크 장비 취약점 상시 패치 관리 DB - DBA 권한 도용 - 다른 사용자 권한의 도용 - DB 컨텐츠의 무단복사, 변조 - DB 사용로그 관리의 부실 - DB 콘텐츠 접근 권한의 세분화 - DB 컨텐츠 암호화 - DB 사용 이력의 관리, 모니터링 INTRANET - 사용자 ID의 도용 - 사용자별 권한 남용 - 사용자 ID와 권한의 통합관리 - 사용기록에 대한 보관, 모니터링

15 내부 정보유출방지 전략 수립 1 2 3 4 금융기관 특성 고려 정보유출방지를 위해 4단계 전략을 토대로 설계
정보보호를 위한 방안 보호할 대상을 명확히 하라 ! (대상의 구체화 : 보호해야 할 정보의 분류) 1 금융기관 특성 고려 정보유출방지를 위해 4단계 전략을 토대로 설계 업무를 파악하라 ! (보호방안 현실화: 보호대상정보 라이프 사이클 파악 ) 2 사람이 우선이다 ! (임직원 변화관리: 적절한 사용자에 관한 인적 통제) 3 예방, 추적뿐 아니라 예측이 가능 하여야 한다 ! (유출 대응: 중요 정보의 기록과 감사) 4

16 내부 정보보호를 위한 방법 내부 정보보호를 위한 해법 ㅣ 내부 정보보호를 위한 솔루션 적용 내부 외부 관리적 보안 물리적 보안
DB 보안 솔루션 협력업체 보안관리 솔루션 연계 DB 웹 보안 Secure OS 전자메일 보안 솔루션 WEB 중요 정보 시스템 네트워크를 통한 전자문서 유통 비 인가된 외부사용자 문서보안 매체제어 솔루션 이동 장치를 통한 전자문서 유통 인적 보안 인적 보안 인쇄물 보안 시스템 인가된 외부사용자 프린터 출력물 PC 보안/ 문서보안 관리적 보안 물리적 보안

17 내부 정보보호를 위한 방법 내부 정보보호를 위한 해법 ㅣ 내부 정보보호 솔루션 기능 정리 시스템 솔루션 기능 서버
Secure OS 사용자의 역할에 따른 시스템의 제어권한 제한, 커널에서 정보보안 결정 통제, 프로그램의 정보 접근 영역 통제, 프로세스에 부여된 최소한의 권한 수행 통제 WEB 웹 보안 소스보기방지, 인쇄방지, Copy & Paste 방지, 캡쳐방지, 캐시 보안 DB DB보안 솔루션 사용자 인증, 접근통제, 모니터링, 기록, 감사, 데이터 암/복호화 PC PC보안 솔루션 시스템 보호 및 복원, 중앙 집중식 소프트웨어 배포 설치/삭제, 프로그램 실행 제한, 사용자 관리 및 자산관리, 원격지에서의 통제 및 관리, 불법 소프트웨어 설치 방지 문서보안 솔루션 내부 문서의 암/복호화, 문서 사용권한 제어, 문서의 편집 권한 제어, 화면 캡처 방지, 문서 로그 관리, 보안 정책 적용, 중요 시스템 내 다운로드 시 자동 암호화 및 권한 제어, 웹 페이지 조회 시 암호화 및 권한제어 유출 전자메일 보안 솔루션 외부로의 안전한 문서 공유를 위한 문서 암호화 및 사용권한 설정 매체제어 솔루션 이동저장장치 및 프린터의 사용 통제, 개인/그룹별 네트워크 통신 사용 권한 제어(IP/Port 별) 인쇄물 보안 솔루션 출력물에 출력 정보(출력자 정보, 출력시간 등), 프린터마킹 삽입 및 모든 인쇄 기록 저장 협력사 협력사용 감시 솔루션 내부 문서 및 출력물에 대한 유출 경로 차단 및 추적, 감사 로그 기능, 키로그 생성 기능, 서버 로그 수집 기능, 로그 검색 기능, 프로그램 관리 기능

18 내부 정보보호를 위한 방법 내부 정보보호를 위한 해법 ㅣ 문서보안
내부자의 악의적 또는 오용에 의해 기업 내 정보(문서)가 침해되고 유출되는 것을 방지함으로써 안전한 업무 환경을 제공하는 내부 정보보호 시스템 전자문서 사용제어 전자문서 생성 전자문서 사용 전자문서 폐기 문서의 생성부터 유통까지 전 과정에 대한 조직과 사용자 권한에 대한 통합 정책 관리 이동 장치를 통한 전자문서 유통 전자문서 유통제어 네트워크를 통한 전자문서 유통 프린터 출력물

19 내부 정보보호를 위한 방법 내부 정보보호를 위한 해법 ㅣ 매체제어를 통한 보안 ㅣ 외부 협력업체 보안 중요 정보 관리
이동 저장장치 사용 Write 작업 가능 권한 부여 인가된 사용자 로그 전송 사용자 권한 및 PC 권한 반영 이동 저장장치 통제 Write 작업 통제 비 인가된 사용자 ㅣ 외부 협력업체 보안 중요 정보 관리 감사/관리 /통제 관리자 사용자 사용자 인증 권한에 따른 정보 사용 사용 로그 전송 사용자 로그 분석 및 추적성 참조 사용자 작업 내역 조사

20 내부 정보보호를 위한 방법 내부 정보보호를 위한 해법 ㅣ 전자메일 보안 ㅣ PC 보안 관리자 클라이언트 일반문서 사용가능
보안문서 사용가능 전자 메일 전송 인가된 사용자 사용자 일반문서 사용가능 보안문서 사용불가 비 인가된 사용자 ㅣ PC 보안 관리자 클라이언트 client 환경 복원(시스템 보호 및 복구) PC 및 특정 프로그램 허용 및 차단 사용자 관리 원격 관리 업데이트 자산관리 소프트웨어 배포 설치

21 내부 정보보호를 위한 방법 내부 정보보호를 위한 해법 ㅣ 인쇄물 보안 ㅣ 웹 보안 편집 제어 캡쳐 차단 로그 저장
프린트 마킹 삽입으로 사용자 추적성 제공 프린트마킹 삽입 [ 프린트마킹 문구 ] ㅣ 웹 보안 편집 제어 캡쳐 차단 Paste 메뉴 비활성화 보안문서 Prt Sc 또는 상용 캡쳐 툴 사용 캡쳐 차단 프로세서 감지 보안문서 Copy or Cut 일반문서

22 내부 정보보호에 따른 기대효과 중요 정보의 보호를 통해 고객 정보를 보호할 수 있는 방안 마련 내부 정보보호를 위한 해법
ㅣ 인적 보안과 정보보호 솔루션 도입을 통한 효과 중요 정보 유출 차단 중요 정보 관리 인적 보안 확립 주요 정보의 생성에서 폐기까지 전 과정에 대한 중앙 집중 관리 중요 정보의 유통 현황 파악 및 관리 전사적인 보안 체계 수립 권한이 없거나 인가되지 않은 사용자에 대한 주요 정보 접근 및 사용 제어 중요 정보의 사용자별 문서별 권한관리 내부 직원 및 외부 용역업체 등 사용자 보안의식 강화 비 권한자의 이동형 저장장치를 통한 중요 정보 유출 차단 유출된 정보에 대한 사후 감사 사용자의 실수 또는 유해한 사용에 대한 경계 의식 제고 비 권한자의 출력 권한 제한 인쇄물에 프린터마킹 삽입 로그를 통한 사용자의 중요 정보에 대한 사용 및 관련 유통에 대한 현황 파악 PC, Notebook 무단 반출 시 사용 불가 중요 정보의 보호를 통해 고객 정보를 보호할 수 있는 방안 마련

23 결론 결론 ㅣ 내부 정보유출 방지 구축의 의미 ㅣ 정보유출 방지 전략 수립 ㅣ 정보유출 방지시스템 관리
정보유출 방지시스템을 구축한다고 해서 모든 유출사고를 대응하진 못하지만 내부 정보유출 방지를 위해 가능한 한 모든 노력을 기울여야 합니다. 그것은 관리되는 유출과 관리되지 않는 유출은 분명한 차이가 있음을 알고 있기 때문이며, 정보의 유출은 더 이상 선택이 아닌 조직의 생존을 위한 필수사항이라는 것을 알고 있기 때문입니다. ㅣ 정보유출 방지 전략 수립 보호를 하는 주체는 시스템이 아닌 사람임을 바탕에 두고 시스템을 설계하여야 하며 예방과 추적은 사전과 사후의 관계가 아닌 상호 보완적 관계입니다. 고객의 정보보호를 위해 정보 유출 방지 전략을 통해 명확한 보호의 대상과 방법을 설정해야 합니다. ㅣ 정보유출 방지시스템 관리 정보유출 방지를 위하여 관리한다는 것은 임직원에게 민감한 사항입니다. 또한 일반적인 기업조직에서 IT부서만이 할 수 있는 업무가 아닙니다. 정보유출 관련 보안솔루션은 그 특성상 일반 임직원의 업무에 영향을 미칠 수 밖에 없으며, 따라서 이에 대한 적절한 교육 및 보안에 대한 동기유발 등이 필요할 것입니다

24 Q&A