『디지털 기업을 위한 경영정보시스템』 홍일유 著 ⓒ 2005 Ilyoo B. Hong. All Rights Reserved 제13장. 정보시스템의 보안과 통제 『디지털 기업을 위한 경영정보시스템』 홍일유 著 ⓒ 2005 Ilyoo B. Hong. All Rights Reserved
Contents 정보시스템 통제 및 보안의 중요성 시스템 장애요인 정보시스템의 보안대책 정보시스템 통제 정보시스템 보안 위협의 개념적 틀 정보시스템 보안의 주요 위협요인 컴퓨터 범죄 정보시스템의 보안대책 4가지 유형 (제도적, 기술적, 물리적, 인적자원) 정보시스템 통제 일반적 통제 애플리케이션 통제 정보시스템 감사 정보시스템의 보안과 통제
정보시스템은 안전한가? 전산조작으로 은행돈 절도 전자우편 폭탄 개인정보 편취사기 (Pishing) 우리은행의 여직원이 자신의 단말기로 허위의 금액을 자신 애인의 계좌로 입금된 것처럼 전산 조작해 은행 돈 18억 3천여 만원을 횡령했다가 검거됨 (매일경제, 2002. 8. 28) 전자우편 폭탄 17세 학생 2명이 전자우편 폭탄(e-mail bomb)을 이용해 컴퓨터 통신업체의 인터넷 메일시스템을 마비시킴 (조선일보, 1997. 8. 23). 개인정보 편취사기 (Pishing) 한 시민이 국내의 한 외국계 은행으로부터 영문 이메일을 받고, 이메일 내의 웹주소를 클릭하자 접속 ID와 비밀번호르 입력하라는 요구를 받음. ‘피싱’이란 금융기관을 사칭하는 이메일을 보내 신용카드번호 등 개인정보를 빼내는 인터넷 사기의 일종임 (조선일보, 2004. 10. 28). 정보시스템의 보안과 통제
정보시스템은 안전한가? - 계속 회사 기술정보 불법 유출 과시욕구에서 바이러스 유포 전산망의 보안시스템 침투 반도체 제조업체의 한 연구원이 5차례에 걸쳐 반도체 웨이퍼 검사장비 운용을 위한 프로그램 330여 개를 회사의 정보시스템으로부터 자신의 홈페이지로 전송한 혐의로 구속 기소됨. 이 연구원은 경쟁업체인 미국 I사로 이 프로그램들을 불법 유출시키려 했으나 사전에 검거돼 다행히 유출은 예방됨 (동아일보, 2004. 10. 25) 과시욕구에서 바이러스 유포 중.고.대학생 4명이 자신들이 직접 제작하거나 기존의 파일을 변형해 만든 컴퓨터 바이러스를 사설 전자게시판을 통해 유포 (중앙일보, 1998. 2. 6) 전산망의 보안시스템 침투 대학생 해커가 하이텔 등의 상용통신망을 해킹하여 1만6천여 명의 접속비밀번호가 저장된 파일을 훔침 (중앙일보, 1997. 8. 27). 정보시스템의 보안과 통제
정보시스템 통제 및 보안의 개념 정보시스템 보안: 다양한 위협요소로부터 데이터 및 정보시스템을 보호하기 위한 방법 혹은 노력 정보시스템 보안: 다양한 위협요소로부터 데이터 및 정보시스템을 보호하기 위한 방법 혹은 노력 정보시스템 통제: 정보시스템 보안을 실행하기 위한 수단/장치 정보시스템 위협요소의 특성: 우연적이든 의도적이든 정보시스템에 치명적일 수 있다. 사람의 의도적인 침입은 빈번하며 그 형태도 매우 다양하다. 정보시스템에의 가해는 유형적 및 무형적 결과로 나타날 수 있다. 정보시스템에 대한 가해 대상은 데이터 뿐 아니라 하드웨어, 소프트웨어, 네트워크 등 다양하다. 정보시스템의 보안과 통제
정보시스템 보안에 대한 위협 결과 위협요소 내 부 외 부 원천 노출 변조 인 간 파괴 비인간 가해자 의도적 비의도적 의도 내 부 외 부 원천 노출 변조 파괴 인 간 비인간 가해자 결과 의도적 비의도적 의도 위협요소 정보시스템의 보안과 통제
정보시스템 위협의 12가지 유형 정보시스템의 보안과 통제
정보시스템 보안의 주요 위협요인 외부환경의 위험 인간의 오류 컴퓨터 범죄 지진, 폭우, 대홍수, 회오리바람, 정전사고, 화재 등의 자연재해 사고 정보시스템 보안사고의 상당수가 인간의 오류에 의해 발생 프로그램 설계, 프로그래밍, 데이터 입력, 프로그램 오작동, 컴퓨터 조작 등 다양한 부분에서 발생 가능 컴퓨터를 주요 수단으로 하여 불법적으로 정보자원을 접속하는 행위 인간의 오류 컴퓨터 범죄 정보시스템의 보안과 통제
컴퓨터 범죄 데이터 조작 불법적인 접속/사용: 적절한 권한이 없이 정보를 접속하거나 유출시키는 행위 (예: 스파이에 의한 적국 국방기밀의 유출) 불법적인 변조: 적절한 권한이 없이 정보를 변조시키는 행위 (예: 은행 계좌정보의 불법 변조를 통해 자금 횡령) 불법적인 삭제: 적절한 권한이 없이 정보를 삭제시키는 행위 (예: 회사에 재정적 피해를 입히기 위해 고객데이터를 삭제) 정보시스템의 보안과 통제
컴퓨터 범죄 - 계속 프로그램 방식 바이러스: 응용프로그램이나 데이터 파일에 첨부되어 사용자의 일상 작업 도중 은연 중에 실행되는 프로그램 워엄: 파일을 변조하거나 삭제하지는 않지만, 시스템 내에서 관련 파일들을 계속 복제시켜 시스템을 마비시키는 프로그램 트로이 목마: 다른 프로그램 내에 숨어 있다가 사용자가 특정 작업을 하는 순간 시스템 장애를 일으키는 프로그램 함정문: 프로그램에 침입하여 일부 명령을 프로그램 내에 추가시키는 프로그램. 사용자가 변조된 프로그램을 실행할 때 예상치 않은 상황 발생 가능 정보시스템의 보안과 통제
바이러스의 감염 경로 정보시스템의 보안과 통제 저장매체 통해 이동 악의에 의해 제3자의 컴퓨터에 바이러스 생성 바이러스 감염 통신네트워크 따라 이동 (예: 파일전송) 정보시스템의 보안과 통제
정보시스템의 보안대책 제도적 보안대책 기술적 보안대책 물리적 보안대책 인적자원의 보안대책 사규, 규정 등의 제도적 장치를 통해 정보시스템 보호책을 마련하는 대책 시스템 운영을 위한 조직 및 역할 분담, 문서의 관리, 건물 관리 등 기술적 보안대책 정보시스템의 기술적 환경에 대한 보호책을 마련하는 대책 하드웨어/소프트웨어, 데이터, 네트워크 보안으로 세분화됨 (예: 방화벽) 물리적 보안대책 정보시스템에 대한 접근을 통제함으로써 물리적인 피해를 막는 대책 전산센터의 시설물 설치 및 관리, 천재지변이나 화재 등 자연재해 예방대책 등 인적자원의 보안대책 시스템 운영자나 사용자 자신들의 보안의식 강화를 통해 시스템을 보호하는 대책 컴퓨터 범죄의 80% 이상이 조직 내부자의 소행으로 나타나고 있어 인적자원의 보안대책 수립이 점차 중요해짐 정보시스템의 보안과 통제
방화벽의 개념도 (네트워크 보안) STOP 정보시스템의 보안과 통제 기업 LAN/WAN 네트웍 서버 인터넷 (50,000여 네트워크) 방화벽 STOP 방화벽 이외에는 접속이 전혀 불가능함 정보시스템의 보안과 통제
정보시스템 통제 일반적 통제 애플리케이션 통제 물리적 통제: 컴퓨터 시설 및 자원 보호 접근 통제: 사용자가 불법적으로 컴퓨터 시스템에 접근하는 것을 제한 데이터 보안 통제: 불법적인 유출, 변조, 파괴 혹은 자연재해로부터 데이터 보호 통신 통제: 통신 네트워크상에서의 데이터 보호 (예: 암호코딩) 관리 통제: 정보시스템의 보안기능을 강화하기 위해 필요 애플리케이션 통제 입력 통제: 데이터의 입력시 데이터가 정확성, 완전성, 일관성을 유지하게 하도록 필요 처리 통제: 데이터의 처리시 데이터의 정확성, 완전성, 일관성을 확인하고 프로그램이 제대로 실행되었는지 확인하기 위해 필요 출력 통제: 애플리케이션 프로그램의 처리결과에 대해 정확성, 유효성, 완전성, 일관성을 확인하기 위해 필요 정보시스템의 보안과 통제
정보시스템 감사 정보시스템 감사 정보시스템 감사의 주요 질문항목: 감사방식의 유형 시스템 통제에 대한 전반적인 점검 기능 시스템에 충분한 통제가 설치되어 있는가? 어느 영역이 통제에 의해 보호되지 못하는가? 불필요한 통제는 없는가? 통제가 적절히 구현되고 있는가? 통제가 시스템의 출력물을 확인하는가? 통제가 제대로 이행되고 있는지 확인할 수 있는 절차가 있는가? 통제가 이행되지 않을 경우 필요한 시정조치가 준비되어 있는가? 감사방식의 유형 컴퓨터 주변의 감사 (auditing around the computer) 컴퓨터 자체의 감사 (auditing through the computer) 컴퓨터에 의한 감사 (auditing with the computer) 정보시스템의 보안과 통제