정보보안 2012. 05. 04 경기도화성오산교육청 경영지원과(정보화담당)
목차 1 1 2 3 4 5 6 침해사고 현황 재난대응 안전한국훈련 (사이버분야) 침해사고 방지방안 학교 정보보안 기본수칙 실태점검 체크리스트 6 내PC지키미 사용법 1
침해사고 현황 Ⅰ
1. 침해사고 현황 1. 정보보호 정의 미래에 예상되는 사건 및 위험(정보의 훼손, 변조, 유출 등)으로부터 정보시스템 및 데이터를 안정하게 보호하는 각종 예방 및 대응 활동 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단을 강구하는 것 정보자산을 공개/노출, 변조/수정, 지체/재난 등의 위험으로부터 보호하여 정보의 기밀성, 무결성, 가용성을 확보하는 것 [사전적 의미] 정보의 활용(수집·가공·저장·검색·송신·수신) 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단 또는 그러한 수단으로 이루어지는 행위. [정의 해설] 정보보호란 기관이 가지고 있는 정보에 대한 각종 예방 대응 활동을 의미합니다.
1. 침해사고 현황 2. 사이버공격과 침해사고의 정의 사이버공격 침해사고 전자적 수단에 의한 공격 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 방해 등 공격 행위 종류 : 정보통신망을 불법 침입, 교란∙마비, 정보 절취 및 훼손 행위 사이버 공격을 통하여 정보통신시스템에 가해진 비인가된 행위 각급기관의 보안정책에 위반되는 행위 침해사고 결과 - 비인가된 시스템의 사용 - 사용자의 계정 도용 - 악성코드 유입 및 실행 - 정보서비스의 방해 등
1. 침해사고 현황 3. 침해위협 동향 침해사고로 인한 정보유출이 증가 1 악성코드 유포 증가 : 개인정보 이용 금전적 이득 목적 2 조직적 사이버범죄 심화 침해사고로 인한 정보유출이 증가 3 사회적 갈등의 온라인 표출 심화 4 사회 공학적 기법(피싱)의 지능화 5 응용프로그램 보안 취약점 출현 증가 지속 6 무선 보안 취약점 악용 증대
1. 침해사고 현황 4. 언론에 이슈화된 침해사고 네이트 해킹으로 최대 3500만건 개인정보유출 6
1. 침해사고 현황 개발·유지보수 외주용역 관리 소홀 인한 침해사고 5. 침해사고 사례 사고개요 전국 초·중·고 전자도서관(DLS) 시스템 해킹(10.9) 사고내용 학교도서관지원시스템(초·중·고 794개 학교)에 불법모듈(5개) 설치로 학생 의 개인정보 불법 이용 사고원인 - 정보보안 인식 미흡 및 업체 의존적 사업추진으로 유지보수 업체에 대한 관리·감독 소홀 및 비체계적 유지보수 - 시·도별 원격접속 유지보수로 보안에 취약 사고조치 - 대체 프로그램 개발·배포 및 유지보수 체계 개선 - 정보화 사업관리(보안성 검토) 및 용역업체 보안관리 강화 - 국가계약법 시행령 제76조(부정당업자의 입찰참가자격 제한)에 근거 국기기관이 전산망 유지보수 관련 누출금지 정보를 지정하고 계약서에 명시된 정보 누출 시 該 업체를 부정당업자로 등록, 입찰 참가자격 제한 등 제재조치 가능
1. 침해사고 현황 개발·유지보수 외주용역 관리 소홀 인한 침해사고 5. 침해사고 사례 사고개요 12개 기관의 웹방화벽 ID,관리자ID/PWD, 기관담당자 개인정보가 P2P사이트를 통해 인터넷에 유출(11.5월) 사고내용 용역업체 직원이 각급기관의 전산망 유지보수 관련 정보를 개인PC에 보관하다 P2P사이트를 통해 인터넷 노출 사고원인 - 정보보안 인식 미흡 및 업체 의존적 사업추진으로 유지보수 업체에 대한 관리·감독 소홀 및 비체계적 유지보수 - 제공자료에 대한 보안관리 미흡 사고조치 - 노출된 관련 정보 즉각 변경 및 외부로 부터 웹 방화벽 접속 차단 - 보안점검 실시 및 용역업체 보안관리 강화 - 국가계약법 시행령 제76조(부정당업자의 입찰참가자격 제한)에 근거 국기기관이 전산망 유지보수 관련 누출금지 정보를 지정하고 계약서에 명시된 정보 누출 시 該 업체를 부정당업자로 등록, 입찰 참가자격 제한 등 제재조치 가능
1. 침해사고 현황 취약점으로 인한 침해사고 5. 침해사고 사례 사고개요 취약점으로 인한 침해사고 사고개요 OO 지역 총36개 교육기관 홈페이지 해킹(11.2월) 사고내용 홈페이지 개발업체를 해킹하여 각급학교 홈페이지 관리자계정 및 비밀 번호를 획득하고 이를 이용 각급학교 홈페이지 훼손 사고원인 각급학교 홈페이지 관리자 계정 및 비밀번호 관리 소홀 등 - 초기 계정을 변경하지 않음, 유추 가능한 비밀번호 사용 - 홈페이지 내 파라미터변조공격 취약점,쿠키변조 취약점, 파일업로드 취약점 등 다수 취약점 존재 사고조치 - 홈페이지 개발업체에 취약점 보완조치 - 장기적으로 교육청에서 각급학교 홈페이지 서버 위탁 관리 - 국가계약법 시행령 제76조(부정당업자의 입찰참가자격 제한)에 근거 국기기관이 전산망 유지보수 관련 누출금지 정보를 지정하고 계약서에 명시된 정보 누출 시 該 업체를 부정당업자로 등록, 입찰 참가자격 제한 등 제재 조치 가능
1. 침해사고 현황 개인PC관리 소홀로 인한 침해사고 5. 침해사고 사례 사고개요 OO교육청 직원의 USB에 저장한 비밀문서가 악성코드를 통해 유출 사고내용 업무 담당자가 비밀문서를 개인 USB에 보관하다 악성코드에 감염된 PC에 연결하여 USB에 저장된 모든 정보가 유출됨 사고원인 비밀문서 관리 소홀 - 비밀문서를 휴대용 저장장치(일반USB등)에 보관시 정보유출 위험 상존 사고조치 - 비밀문서를 휴대용에 보관 시 비밀USB에 비밀 등급별 저장 및 금고에 보관 - 불용처리 시에는 복구가 불가능하도록 완전삭제를 원칙으로 함 → 정보보안기본지침 제 39조(휴대용 저장매체 보안대책) 비밀문서 보관 시 보안지침에 따른 보안대책 강구
1. 침해사고 현황 개인PC관리 소홀로 인한 침해사고 5. 침해사고 사례 사고개요 OO교육청 업무문서가 P2P(Peer to Peer)사이트를 통해 인터넷 노출 사고내용 업무용 PC에서 P2P 사이트를 접속함으로써 주요자료 유출 - 업무용 문서폴더 전체 P2P 프로그램에 공유 사고원인 업무문서 관리 소홀로 인한 자료 유출 - 대외비, 비밀문서 등은 PC에 저장 금지 및 휴대용에 보관 시 비밀등급별 저장 및 금고에 보관 사고조치 - 업무용 PC에서 P2P 사용 금지 - 보안장비를 이용한 P2P 사이트 접근 차단
1. 침해사고 현황 6. 각급기관 악성코드 근절 대책 각급학교 통합보안장비(UTM)의 위협정보를 탐지 및 분석한 결과 다수 PC가 악성코드에 감염된 상태로 조치되지 않아 신속한 조치 필요 점검개요 조치요구(2회) (10.15, 11.2) 학교에 감염PC 백신이용 신속한 치료를 요구 하였으나 여전함 백신관리시스템 및 패치관리시스템 활용 적절한 대응 조치 필요 조치이유 정보유출 및 분산서비스거부공격(DDoS)에 좀비로 활용될 가능성 상존 조치사항 각급학교는 모든 PC를 백신을 이용하여 신속한 치료 악성코드 감염PC를 지속적으로 모니터링 및 관제 강화 상습적, 지속적 악성코드 감염PC는 인터넷 사용차단 정보보안 의식강화 및 예방교육 실시 악성코드감염PC가 많은 학교에 대해 현장점검(감사) 예정
Ⅱ 재난대응 안전한국훈련 (사이버분야)
2. 재난대응 안전한국훈련 (사이버분야) 1. 개인정보 피싱 훈련 대상 : 본청, 지역교육청, 직속기관 전직원 내용 상황가정 : 경기도교육청 메일 ID/비밀번호 해킹 해킹된 메일을 도용하여 전직원에게 아래 메일 발송 [사전적 의미] 정보의 활용(수집·가공·저장·검색·송신·수신) 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단 또는 그러한 수단으로 이루어지는 행위. [정의 해설] 정보보호란 기관이 가지고 있는 정보에 대한 각종 예방 대응 활동을 의미합니다.
2. 재난대응 안전한국훈련 (사이버분야) 2. 해킹메일 열람 여부 훈련 대상 : 본청 전직원 내용 : 출처가 불분명한 메일 수신 시 열람 여부 확인 발신도구 : 네이버 메일을 이용한 발송 발신자 메일 제목 재테크카페 공무원 급여 인상 개정안 추진 감사원 감사원 감사 일정표 알림 경기지방경찰청 경기지방경찰청 사이버수사대(참고인 출석요구서) 총무과 회의실 증설 및 사용 일정 알림 교육과학기술부 학교폭력사건 유형을 분석한 자료 국무총리실 공직자 및 공공기관 종사자 대상 특별감찰 활동 안내 공무원카페 공직자 봉급 매년 인상 추진 계획 중앙일보 공직자를 위한 휴양지 안내 부동산투자카페 보금자리주택 공무원 특별분양 안내 [사전적 의미] 정보의 활용(수집·가공·저장·검색·송신·수신) 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단 또는 그러한 수단으로 이루어지는 행위. [정의 해설] 정보보호란 기관이 가지고 있는 정보에 대한 각종 예방 대응 활동을 의미합니다.
Ⅲ 침해사고 방지방안
3. 침해사고 방지방안 PC보호 10 계명 준수 1. 개인PC 보호 1. 부팅 패스워드 및 개인사용자 로그인 패스워드 사용 철저..!! 2. 개인 PC 사용 중지 시 반드시 전원 Off (그린오피스 환경)..!! 3. 바이러스 백신 사용 철저 및 우회프로그램 사용 금지..!! 4. 자동 보안패치 설정하기(최신 보안상태로 패치)..!! 5. 불필요한 공유 폴더 사용 금지..!! 공유폴더 6. 출처가 불분명한 메일 바로 삭제(메일 미리보기 기능 제거)..!! 7. 불필요한 사이트 가입 자제(개인정보노출 제한에 따른 유출 방지)..!! 8. 게임방, 터미널 등 공용 PC 사용 자제..!! 9. 다운로드 파일 바이러스 검사(감염에 대한 사전점검) 10. 웹 프로그램 서명확인(신뢰기관의 서명이 있는 경우만 설치)
3. 침해사고 방지방안 메신저『 피싱』방지 5계명 2. 메신저 보안 메신저『 피싱』방지 5계명 1. 메신저로 금전을 요구하는 경우 반드시 전화를 통해 확인하기..!! 2. 메신저를 통해 개인정보를 알려주지 않기..!! 3. 정기적으로 메신저 비밀번호를 변경, 관리하기..!! 4. 공공장소에서는 메신저 사용을 자제하기..!! 5. 메신저 자체보안 설정 및 보안 프로그램을 최신 버전으로 업데이트 하기..!!
3. 침해사고 방지방안 개인정보 오남용 피해 예방 10계명 3. 개인정보 오남용 자제 1. 회원가입 시 개인정보취급방침을 꼼꼼히 읽어보기..!! 2. 메일,전화를 이용한 개인정보 요구에 대응하지 않기..!! 3. 과도한 개인정보를 요구하지 않는지 확인하기..!! 4. 개인정보보호책임자가 누구인지 확인하기..!! 5. 주요 검색사이트에서 자기 정보 노출여부 확인하기..!! 6. 탈퇴하면 개인정보를 파기하는지 확인하기..!! 7. 자신의 아이디와 비밀번호를 주의해서 관리하기..!! 8. 미니홈피, 블로그 등에 자신, 가족의 개인정보 게시하지 않기..!! 9. 개인정보취급방침이 없는 사이트, 정체불명 사이트 가입하지 않기..!! 10. 정보가 유출되었다고 의심되면 신고하기..!!(개인정보침해신고센터 : 국번없이 1336, www.1336.or.kr)
Ⅳ 학교 정보보안 기본수칙
4. 학교 정보보안 기본수칙 『경기도교육청 정보보안 기본지침 』(2011.09.19) 준수 교직원용 컴퓨터와 학생용 컴퓨터는 정보보호시스템에서부터 분리하여 학생들이 교직원용 컴퓨터에 접근하는 것을 방지 각 정보시스템의 IP 설정 시 서버용, 교직원용, 학생용의 IP범위를 달리하여 지정하고, NAT기능을 이용한 사설IP 사용 예) 교직원용(172.31.100.0 ~172.31.100.255),학생용(192.168.100.0 ~192.168.100.255) DHCP(유동IP) 사용 금지 홈페이지 등 대외 서비스용 서버는 서버용(DMZ) 구간에 설치. (단, 상벌점시스템, 메신저 등 내부용 서버는 교사망에 설치) 학교 홈페이지는 교육청에 위탁 운영 권고
4. 학교 정보보안 기본수칙 서버에 반드시 백신(V3 등)을 설치하고 항상 최신 상태 유지 업무적으로 무선랜 사용 금지(부득이한 경우 국가정보원의 보안성검토 통과 후 사용) 서버 및 통신장비는 정보통신실에 설치하며 경기도교육청 정보보안 기본지침 제21조(정보통신시설 보안)에 의거 정보통신실의 보안대책을 강구하고, 관리책임자 및 자료·장비별 취급자를 지정하여 운영 기본적으로 원격 작업 금지(부득이한 경우 제한적 허용) 경기교육사이버안전센터 침해의심 관련 통보 시 즉시 처리 ※ 비집선 학교에서는 유해사이트 차단 등『경기도교육청 정보보안 기본지침』에 의거 자체 보안대책 강구
Ⅴ 실태점검 체크리스트
5. 실태점검 체크리스트 정보보호 기반조성 개인PC 보안관리 정보보안업무 세부추진계획 수립 자체 정보보안 교육계획 수립․시행 및 교육실시 「사이버보안 진단의 날」지정․운영 개인PC 보안관리 최신 보안패치 및 백신 업데이트 적용 주2회 이상 백신 점검 수행 PC부팅 패스워드 설정 패스워드는 숫자․문자․특수문자를 포함한 9자리 이상으로 설정 USB 반입 시 악성코드 감염여부 검사 USB 자동 실행기능 차단
5. 실태점검 체크리스트 서버․ 네트워크 보안관리 용역업체 무선인터넷 기타 학교UTM 아래 교사망․학생망․서버망 구성 운영 학생망에서 교사망 접근 금지 설정 BTL학교는 BTL사업자 업무․관리용 별도 회선 사용 시스템별 보안관리 책임자 지정․운영 유지보수를 위한 외부업체 원격관리 금지 패스워드는 숫자․문자․특수문자를 포함한 9자리 이상으로 설정 분기별 패스워드 변경 IP․서비스․사용자별 접근통제 대책 강구 OS 패치와 백신은 항상 최신 버전으로 유지 용역업체 전산장비 반입시마다 악성코드 감염여부 점검 용역업체에 자료 제공시 보안조치 실시 최신 백신 프로그램 설치 무선인터넷 업무용 컴퓨터 무선인터넷 접근 차단 기타 경기교육사이버안전센터 침해의심 관련 통보 시 즉시 처리