금융 보안 정보통신대학원 201378407 양승화 양승화(201378407)
양승화(201378407) 1. 금융시스템 이해 2. 금융 보안프레임워크(현황) 3. 세부 구성기술 소개 3.1. 암호화/서명 3.1.1. 암호 기술 3.1.2. 전자서명 3.1.3. 이중서명 3.1.4. SET(Secure Electronic Transaction) 3.2. 인증/접근제어 3.2.1. 인증 3.2.2. 단일 계정을 통한 Access 체계, SSO 3.2.3. EAM 3.2.4. User Provisioning이 가능한 계정 자동 관리 솔루션, IAM 3.2.5. 계정 관리 솔루션의 진화 3.2.6. 일회성 암호 입력 기술, OTP 3.3. 네트워크보안 3.3.1. Access Control을 통한 Network 보호, NAC 3.3.2. 프로그램의 Up-to-date 관리, PMS 3.3.3. DLP 3.3.4. 망분리 3.4. 컨텐츠/시스템보안 3.4.1. 디지털 컨텐츠의 안전한 사용 환경 조성의 핵심 기술 DRM 3.4.2. 문서수준의 정보보호, ERM(Enterprise Right Management) 3.4.3. 핑거프린트(Fingerprint) 3.4.4. 기업의 통합 보안 관리 시스템, ESM 3.4.5. 정보의 가치 보존, 데이터베이스 보안 3.4.6. Kernel Level의 보안 강화, Secure OS 3.5. 보안기술체계의 구성 4. 금융에서의 보안 주요 포커스 4.1. 기업 업무 연속성 확보, BCP 4.2. Compliance 를 위한 개인정보보호 양승화(201378407)
1. 금융시스템의 이해 양승화(201378407)
2. 금융 보안프레임워크(논리적 레벨 계층형 보안) 양승화(201378407)
3. 세부 구성기술 소개 3.1. 암호기술 3.2. 인증/접근제어 3.3. 네트워크보안 3.4. 컨텐츠/시스템보안 3.5. 보안기술체계의 구성 양승화(201378407)
3.1.1. 암호 기술 가. 암호 기술의 개념 - 정당한 사용자만 데이터를 볼 수 있도록 평문을 암호화하고 복호화 하는 기술 - 메시지의 의미가 파악되지 못하도록 원래 메시지와 다른 형태로 메시지를 코드화 하는 방법 - 메시지의 내용이 불명확하도록 평문(Plain text)를 재구성하여 암호화된 문장(Cipher text)으로 만드는 행위 나. 암호 기술의 목적 1) 기밀성: 허가받지 않은 사람이 부당한 방법으로 획득한 정보를 해독할 수 없음 2) 무결성 : 전송 데이터나 DB의 데이터가 악의적인 목적으로 위조 / 변조 되는 것을 방지 3) 인증 : 데이터의 송/수신자가 상대방의 신원을 확인, 식별하는 기능 4) 부인불가(부인봉쇄) : 데이터의 송/수신자가 송/수신 사실을 추후에 부정하지 못하는 기능 다. 암호화의 원리 원리 상세 내용 대체 (Substitution) - 글자끼리Match 시켜 놓은 표를 이용하여 다른 문자로 대체 - 전통적 방법, 공격에 취약 전치 (Transposition) - 평문의 글자를 규칙에 따라 재배열 - 원문과 키를 갖고 있는 정보를 암호문 전체에 분산 혼합방식(Hybrid) - 대치와 전치 두 방법을 모두 사용 (DES 등) 대수화(Algebraic) - 평문의 각 글자를 숫자로 바꾸어 수학적 처리 양승화(201378407)
1) 암호 알고리즘 : 특별한 보안 목적을 달성하기 위해 사용되는 수학적 함수 라. 암호 알고리즘과 암호 프로토콜 1) 암호 알고리즘 : 특별한 보안 목적을 달성하기 위해 사용되는 수학적 함수 - 대칭키 암호 : 암호화와 복호화에 사용되는 키가 동일 (블록 암호화 / 스트림 암호화) - 공개키 암호 : 공개키(Public Key), 개인키(Private Key)의 2개의 서로 다른키를 사용하여 암호화 및 복호화를 수행 - 전자서명 : 해쉬 함수를 통한 전자적 서명 2) 암호 프로토콜 : 특정한 보안 목적을 달성하기 위해 둘 이상의 개체 사이에서 수행되는 절차(인증, 키 분배, 부인방지) 양승화(201378407)
3.1.2. 전자서명 가. 전자서명의 개념 - 전자문서를 작성한 자의 신원과 전자문서의 변경여부를 확인할 수 있도록 공개키 암호화 방식을 이용하여 전자서명 생성키로 생성한 전자문서에 대한 작성자의 고유 정보 나. 전자서명의 요건 다. 전자서명의 생성 1) 해쉬 함수를 이용하여 발신할 전자문서 (본문)으로부터 추출물 생성 (Message Digest) 2) 서명인의 개인키(비밀키)로 암호화하여 전자서명을 생성 3) 전자문서에 해당 전자서명을 첨부시켜 수신인에게 전송 요건 상세 내용 서명자 인증 (Authentication) - 전자 서명을 생성한 서명인을 검증 가능 부인방지 (Non-Repudiation) - 서명인은 자신이 서명한 사실을 부인 불가 위조불가 (Unforgeable) -서명자의 개인키가 없으면 서명을 위조할수 없음 변경불가 (Unalterable) - 이미 작성된 서명을 변경하는 것은 불가 재사용불가 (Not-Reusable) - 한 문서의 서명을 다른 문서의 서명으로 활용할 수 없음 양승화(201378407)
3) 전자문서를 발신자와 동일한 해쉬 함수로 MD 생성 4) 두 개의 MD 값을 비교하여 동일한지 확인 나. 전자서명의 검증 1) 수신 받은 메시지에서 전자서명 분리 2) 발신자의 공개키로 전자서명 복호화 3) 전자문서를 발신자와 동일한 해쉬 함수로 MD 생성 4) 두 개의 MD 값을 비교하여 동일한지 확인 양승화(201378407)
3.1.3. 전자서명의 이중 보안, 이중서명 가. 이중서명의 개념 - SET(Secure Electronic Transaction)에 도입된 기술로, 구매정보와 결제(지불)정보에 대한 해시(Hash)값을 자신의 비밀 키로 암호화 하는 방식으로, 구매정보와 결제정보는 각각 다른 키로 암호화 되며, 판매자는 구매정보만, 금융기관은 결 제정보만 알 수 있도록 하는 방식의 서명 방법. 나. 이중서명의 주요특징 - 암호화 기술 : 비밀키 암호화 기법, 공개키 암호화 기법, 해시함수(Hash), 메시지 다이제스트 - 전자서명 : 사용자의 신원확인을 목적으로 비대칭 암호화 기법을 이용하여 생성한 전자적 서명 - 전자봉투 : 송신자가 송신내용을 암호화하기 위해 사용한 비밀키(Secret Key)를 수진자만 볼 수 있도록, 수신자의 공 개키(Public Key)로 암호화 시킨 암호문 - 이중 보안성 : 서명에 사용된 비밀키를 수신자의 공개키로 암호화 하여 전송하기 때문에 중간개입자는 알수 없음 - 개별 보안성 : 판매자는 구매내용만, 금융기관(PG사)은 구매정보만 알 수 있음 - 동시 보안성 : 암호화된 키와 암호화된 메시지의 두 가지 전송을 통해 기밀성과 전자서명을 동시에 충족 다. 이중서명의 개념도 양승화(201378407)
3.1.4. SET(Secure Electronic Transaction) 가. 정의 - 안전한 신용 카드결재 위해 Master/VISA에서 만든 프로토콜(X.509 V3 기반) 나. 특징 - 신용카드 거래 기반 : 기존 금융시스템과의 연동 용이 - 이중서명 : 쇼핑몰은 카드정보를 은행은 거래정보를 알 수 없음 다. 구성 - 카드소지자 프로그램 : 카드정보와 거래정보 암호화, 쇼핑몰에 전달 - 상점용 프로그램 : 소비자 트랜잭션 중 거래정보만 저장, 지불정보 PG에 전달 - 지불변환 프로그램 : 쇼핑몰, 은행간 트랜잭션 처리위한 GW - 인증기관 : 소비자, 쇼핑몰, PG에 대한 인증기능 수행 - 매입사 : 쇼핑몰 거래은행, 지불정보 확인, 허가정보 전달 - 카드발급사 ; 소비자 지불정보 적합여부를 판단 양승화(201378407)
3.2.1. 인증 가. 인증 (Authentication)의 개념 - 정보에 접근하는 주체의 능력이나 자격을 검증하여 식별된 사용자를 증명하는 과정 - 시스템이 본인임을 주장하는 사용자나 그 본인이 맞음을 인정해 주는 것 - 인증 방법에 따라 인증 강도가 상이 (“Something You Are”가 가장 높은 인증강도) - 인증 방법은 필요에 따라 하나 이상을 혼합해서 사용 가능 인증 방법 사례 장점 단점 지식 / 기억 Something You Know ID / Password PIN - 단순한 인증 매커니즘 - 기존 시스템에 널리 사 용하여 친숙 - 노출에 대한 공격 취약 - 기억으로 인한 분실 소유 Something You Have 스마트카드 신분증 전자서명 - 강한 인증 매커니즘으로 높은 안전성 제공 - 원격 신원확인 취약 - 복잡한 구현 매커니즘 - 추가장비, 인프라 필요 신체 Something You Are 지문, 동공, 홍채, 목소리, DNA 등 - 위조가 매우 어려움 - 물리적 보안에서 접근통 제를 위한 신원확인에 적 합 - 정보 분실에 대한 대책 미흡 -오류율로 인해 보안신 뢰성이 낮음 양승화(201378407)
3.2.2. 단일 계정을 통한 Access 체계, SSO 가. SSO (Single Sign On)의 개념 - 기업 정보 시스템 다양화에 따른 관리 효율성 향상 요구 - 중앙 집중적인 사용자 관리를 통한 보안 기능의 증대 다. SSO의 요구 기능 1)생산성 : 운영체제, 네트워크, 데이터베이스 등 접속 환경에 관계없이 접근 가능 2)보안성 : Log-in 정보가 Cache 되거나 사용자 PC에 저장되어선 안됨 3)확장성 : Application에 관계 없이 Log-in이 필요한 곳에 확장 가능 라. SSO의 구성 및 동작 양승화(201378407)
- 각 시스템의 인증 정보를 한 곳에 모아두고 시스템 접근 시, 인증 대행 -ID / Password 집중화로 인한 유출우려 마. SSO의 구축유형 구축 유형 상세 설명 인증 대행 (Delegation) - 각 시스템의 인증 정보를 한 곳에 모아두고 시스템 접근 시, 인증 대행 -ID / Password 집중화로 인한 유출우려 - C/S 프로그램, 패키지 소프트웨어도 SSO 통합 가능 인증정보 전달 (Propagation) - 각 시스템 접근 시 미리 인증된 인증 토큰의 유효성 검사 -별도SSO Agent가 인증 토큰만 검사 -쿠키 등을 활용하여 웹시스템 SSO 구축시 주로 활용 혼합형 (Hybrid) - 두 가지 유형의 종합 양승화(201378407)
- 한 번의 해킹으로 모든 Application에 대한 접근 권한 획득 가능 바. SSO의 한계점 1) 보안 측면 - 한 번의 해킹으로 모든 Application에 대한 접근 권한 획득 가능 - Log-in 정보가 사용자의 Client에 저장되는 경우 보안 취약성 발생 2) 접근 제어 측면 - 인증된 사용자가 할당된 기능만 사용할 수 있는 별도의 정책 구현 필요 - 중앙에서 사용자별 접근권한에 대한 통제불가 - 이러한 SSO의 한계점에 대한 핵결 방법으로 EAM (Enterprise Access Management) 구축 증대 (EAM = SSO + 권한관리 + 자원관리 + 보안 정책 관리) 양승화(201378407)
3.2.3. EAM 가. EAM (Enterprise Access Management)의 개념 - 통합 인증과 권한 부여, 조직 내 자원관리, 보안정책 수립을 단일한 메커니즘으로 제공하는 솔루션 - EAM = 통합 인증(Authentication) + 권한부여(Authorization) + 자원관리 및 보안정책 수립 나. EAM 의 등장 배경 - 독립시스템들의 구축증가 후 관리적 문제로 통합인증 및 권한관리 요구증가 - 다양한 사용자 층을 지원할 수 있는 메커니즘 필요성 증대 - SSO 의 기능뿐 만이 아닌 권한 및 자원관리 기능이 중요한 해결과제로 인식 양승화(201378407)
- 통합인증 DB 상의 사용자 계정과는 별도로 Application상에서 유지되는 사용자 정보 존재 다. 주요기능 라.EAM의 한계점 - 통합인증 DB 상의 사용자 계정과는 별도로 Application상에서 유지되는 사용자 정보 존재 - 관리자의 계정관리 및 권한관리 어려움 - EAM에 연동되지 않는 인증정보 및 권한 정책을 따로 개발 해야 함 - 이러한 한계점을 극복하기 위한 방안으로 사용자와 사용자 계정의 Lifecycle을 동기화하고 계정 관리의 자동화를 통 한 실시간성, 저비용을 실현하는 IAM이 등장 주요기능 상세 내용 인증 (Authentication) - 시스템에 접근하는 사용자의 확인 - 주로 ID/Password 방식, 보안성 강화를 위해 암호화, PKI 활용 SSO - 통합 인증된 사용자가 개별 애플리케이션에 추가적인 인증 요구 없이 자유롭게 사용 가능 인가-접근제어 (Authorization) - 개별 애플리케이션의 각 자원 및 서비스에 대한 권한 관리 - 설정 정보의 애플리케이션 Mapping 개인화 (Personalization) - 통합 인증된 사용자가 개발 애플리케이션에 접근할 때, 사용자의 Identity와 사용자의 정보를확인 관리 (Administration) - 통합 인증을 위한 사용자 계정, 개별 애플리케이션의 인가 및 접근 제어, 개인화를 위한 정보 제공의 범위, 감사 등의 관리 기능 감사 (Auditing) - 전체 시스템에 접근해 통합 인증을 받고 SSO로 개별 애플리케이션에 접근, 인가-접근제어 하는 과정의 기록 양승화(201378407)
3.2.4. User Provisioning이 가능한 계정 자동 관리 솔루션, IAM 가. IAM (Identity and Access Management)의 개념 - 기업의 모든 시스템에 부여된 계정(ID)을 통합하여 사용자를 인증하고, 사용자정책(권한)에 따라 시스템 자원에 대한 접근을 통합 관리하는 통합 보안솔루션 - 조직이 필요로 하는 보안 정책을 수립하고 정책에 따라 자동으로 사용자 계정 및 권한 관리 양승화(201378407)
나. IAM의 구성 양승화(201378407)
- 계정의 소유자인 사용자가 소속되는 기업의 정규조직 혹은 임의의 그룹에 대한 관리 다. IAM의 주요기능 주요기능 상세 내용 조직관리 - 계정의 소유자인 사용자가 소속되는 기업의 정규조직 혹은 임의의 그룹에 대한 관리 - 조직의 부서 혹은 그룹 단위로 권한부여 및 정책 부여 계정관리 - 사용자와 IT자원 사이의 매개체로서의 중요한 관리의 대상 - 인증, 인가 행위의 대상, 권한 할당의 주체로써의 관리 대상 권한관리 - 사용자 혹은 사용자가 소속된 조직(그룹)에 권한을 할당하고 한 기 업의 모든 권한 형태를 수용하여 관리 정책관리 - 주체(계정, 조직)에 권한을 할당하는 Rule과 Role을 설정하고 승인 등과 같은 기업의 고유 정책을 관리 프로비저닝 - 계정과 권한이 흩어져 있는 환경에서 중앙에서 통제 및 관제하기 위한 중요한 기능 감사/모니터링 - 기능의 수행에 대한 감사와 로그 관리 기능 - 진행상황과 남겨진 감사 로그에 대한 모니터링 양승화(201378407)
3.2.5. 계정 관리 솔루션의 진화 양승화(201378407)
3.2.6. 일회성 암호 입력 기술, OTP 가. OTP (One Time Password)의 개념 - OTP 생성 매체에 의하여 필요한 시점에 발생되고 매번 다른 번호로 생성 되는높은 보안수준을 가진 사용자 인증용 동적(Dynamic) 비밀번호 - 개인정보 보호 및 안전한 금융거래를 위한 일회용 비밀번호로 한 번 사용된 비밀번호는 다시 사용할 수 없으며 같은 비밀번호가 다시 생성되지 않는 인증수단 나. OTP 등장 배경 - 정적인 비밀번호 사용에 따른 불안감 해소(분실,도난 노출) - 개인정보 유출에 따른 사용자 인증 강화 목적 - 전자금융거래 보안 강화 수단, 사용자 인증 악용 방비 다. OTP의 특성 1) 이중요소 인증수단 - OTP를 사용하기 위해 OTP 생성매체가 추가로 필요 - 전자금융서비스 이용자는 사용자 ID / PWD 입력 후 OTP 생성매체에 의해 생성된 비밀번호 (두 번째 인증요소)로 사용자 인증을 수행하여 높은 보안 수준 실현 2) 동적 비밀번호 - OTP 생성매체에 의해 필요한 시점에 발생되고 매번 다른 번호로 생성되는 동적 비밀번호 - 생성 방식에 따라 사용자나 은행이 OTP 생성 Application을 관리해야 하는 부담 라. OTP 구현 방식 1) 비동기화 방식의 OTP - 사용자의 OTP 생성매체와 은행의 OTP 인증서버 사이에 동기화되는 기준 값이 없으며 사용자가 직접 임의의 난수 (질의 값)을 OTP 생성매체에 입력하여 OTP 생성 양승화(201378407)
- 질의 – 응답 방식 (Challenge – Response 방식) 구분 상세 내용 종류 - 질의 – 응답 방식 (Challenge – Response 방식) OTP 입력 값 - 은행에서 잔달 받은 질의 값 (임의의 난수), 사용자가 직접 입력 장점 - 간단한 구조, OTP 생성 매체와 인증서버 간 동기화 불필요 단점 - 질의 값 입력으로 불편, 동일한 질의 값 생성 회피 위한 인증서버 관리 양승화(201378407)
2) 동기화 방식의 OTP - 사용자의 OTP 생성매체와 은행의 OTP 인증서버 사이에 동기화된 기준 값에 따라 생성 구분 시간 동기화 방식 이벤트 동기화 방식 OTP 입력 값 - 시간 값, 자동으로 내장 - 인증 횟수, 자동으로 내장 장점 - 질의 값 입력 단계 생략으로 편리 - 높은 호환성 보장 - 시간 동기화에 비해 동기화되는 기준 값을 수동으로 조작할 필요 없어 간편 단점 - OTP 생성 매체와 인증 서버의 시 간 정보 동기화 방식으로 일정 시 간 이상 인증 불이행 시 새로운 비 밀번호 생성 시간 소요 - OTP 생성 매체와 인증 서버의 인증 횟 수가 지속적으로 동기화 양승화(201378407)
- 보안성 : 생성매체에 대한 물리적인 해킹, 암호화 알고리즘의 안정성 마. OTP 도입시의 고려사항 - 보안성 : 생성매체에 대한 물리적인 해킹, 암호화 알고리즘의 안정성 - 휴대성 및 편리성 : 사용하기 편하고 휴대하기 간편한 생성매체의 선택 - 성능 : 다양한 공격에 대비한 방어기능과 Burst traffic에 대한 인증서버의 안정성 - 다양성 : mobile, smartcard type, 음성인식 등 다양한 유형의 OTP 생성매체의 선택 양승화(201378407)
3.3.1. Access Control을 통한 Network 보호, NAC 가. NAC (Network Access Control)의 개념 - 사용자(Client) 단말(PC, Smart Phone, Notebook 등)이 네트워크에 접근 시도 시 사용자가 정당한 사용자인지, 사용 자 단말을 사전에 정의해 놓은 보안 정책을 준수하는지 여부를 검사해 네트워크 접속을 통제하는 통합 보안관리 기법 - 사용자의 인증, 접근 제어, 사용자 단말의 보안솔루션 설치 및 업데이트 여부 등 네트워크 접속에 필요한 요건을 충족 하는 지 검사한 후 필요한 후속 조치 수행 나. NAC의 등장 배경 - 노트북, PDA, Smart Phone 등 고성능 모바일 단말 기기의 이용 증가와 무선 네트워크의 발전 등으로 인해 내부 네트 워크의 인터넷 경계가 모호 - 외부에서 들어오는 유선 네트워크 통제만으로는 내부 네트워크 안정성 보장 한계 - 사용자 단말의 컴퓨팅 파워 증가, P2P 네트워크 증가 등으로 악성코드에 감염된 사용자 단말의 피해를 네트워크 사 전 접속 단계에서 차단 필요 다. NAC의 구성 요소 1) 사용자 PC Agent : 사용자 및 PC 보안 정보를 수집, 정책관리 서버에 전송 2) 정책 관리 서버 : 사용자 인증 및 PC 무결성 검사 (방화벽 설치, OS, 백신 등의 업데이트 등)결과에 따른 네트워크접 근정책결정 3) 정책 실행 장비 : 접근 정책 결정에 따라 사용자 단말의 내부 네트워크 접근 차단, 허용,격리 등의 정책 시행(Router, Switch, Firewall, IPS, OS 등의 장비 유형) 양승화(201378407)
1) 사용자 및 시스템 인증 : 사용자의 네트워크 접속을 위한 인증 절차 라. NAC의 동작 범위 1) 사용자 및 시스템 인증 : 사용자의 네트워크 접속을 위한 인증 절차 - 네트워크에 접속하는 단말 사용자가 신원이 확실한 사용자인지 확인(인증)하고, 사용자단말의 보안상태가 적합한지, 위험을 방어할 수 있는 보안 솔루션이 적합한지 점검 2) 정책 점검 및 적용 : 사용자 단말의 보안상태 점검 결과에 따라 내부 네트워크에 접속 하도록 허용하거나 차단, 격리 하는 정책 적용 마. NAC의 한계점 - 네트워크 접속 전에 감염된 사용자 단말의 봇, 루트킷, 백도어 등의 점검 미흡 - 조직의 S/W 정책에 위반되는 불법 S/W 사용자 차단 - 악의적 사용자의 불법 행위를 실시간 탐지 및 차단, DoS / DDoS 공격, MAC Address Spoofing 등 네트워크 기반의 공격 방어 기능은 갖추지 못하고 있음 바. NAC 구축시 고려사항 - 정책 수립: 사용자의 그룹 별, 시스템 별 접근제어 정책을 사전에 수립 - 접근통제 대상 : 유선, 무선 LAN 접근, SSL VPN, 원격 연결 등 보호 대상 분류 - 기존 인프라 연동 : 다른 보안솔루션과의 통합방안제시, 인증DB와의 연동 - 구축 및 운영 용이성 : 네트워크 인프라 변경 최소화, 확장에 강한 유연성 제시 - 사용자 편의성 강화 : 격리 후 치료 및 비격리 치료 등 효율적 옵션 제공 사. NAC 구축시 기대효과 1)보안성 강화 - 단말에 대한 보안 Compliance 관리, 사전 위협관리 체계 구축 - 통합 사용자 인증, 안전환 네트워크 환경 구현, 무선 보호 강화 2)생산성 : 네트워크 다운타임 최소화, 접속 편의성 증대, 효율적 운영관리 3)비즈니스 영속성 : 사내/사외 End Point 관점 보안성 강화로 사고 미연 방지 4)무결성 확보 : 인가된 사용자만 정보 및 자원에 접근 양승화(201378407)
3.3.2. 프로그램의 Up-to-date 관리, PMS - SW에서 발견되는 오류와 보안 취약점을 보완하기 위해 SW 벤더들이 제공하는 수정용 SW(패치)를 불특정 다수의 수 많은 다른 환경을 가진 대상 컴퓨터에 반영시키는 일종의 자동화 시스템 나. PMS 주요 기능 1) 고도의 지식기반 검증시스템 기술(운영체제를 패치하기 위해 특정 환경의 컴퓨터 상황을 감지한 후 유효 적절한 수 정용 SW를 차례로 결정짓고, 반영 ) 2) 일반 SW의 수정용 SW를 반영시킬 수 있도록 사용자 컴퓨터에 패치설치 능력을 부여하고, 신속·안정적으로 배포하 는 기능 3) 오작동 패치를 제거하는 롤백 기술 다. PMS사용 현황 - SW자체의 자동패치 기능보다 강한 관리능력과 효율적인 운용, 패치 설치 현황 등을 파악하고,이에 대한 정보활용, 신 뢰성과 안전성 보장하는 광범위한 운영체제 패치 관리에 필요 - 설치 및 업데이트, 자산현황관리 등 네트워크 컴퓨팅에서 일어나는 SW의 총체적 관리부터 단위 네트워크의 보안정 책의 효율적인 확장응용 관리에 이르기까지 넓은 범위에 사용됨 라. PMS의 구성요소 구성 요소 상세 내용 Patch Distribution Server -패치관리 대상클라이언트와 패치배포를 위해 정의된 제어흐름 및 자료 흐름의 통신 규약으로, 의사소통 주체이며, Patch DB로부터 정보 참조 Patch Manager - Patch DB와 Patch Distribution Server를 관장, 관리자의 콘솔 역할을 위 한 인터페이스가 포함 Patch Agent - Patch Management Part: 패치관리서버와 의사소통 - User Interface Part: End User에게 패치관련 정보 및 서버로부터의 공지 표현, 패치관련 경고 등 표시 Patch Detection & System Scanning - 패치적용현황과 취약점 형태 분석, SW설치 목록 수집으로 최적의 패치방안 판단 및 결정 Patch Test Center - Patch DB의 신뢰성있는 정보유지목적, 반자동화된 구조적 시스템 Security Policy Enforcement System - 패치배포와 설치에 관한 보완정책의 적극적 수행을 위한 사용자피드백 관리 시스템 Patch DB - 패치정보와 특성을 구조적으로 체계화된 스키마형태로 세부정보 저장 양승화(201378407)
3.3.3. DLP 가. DLP(Data Loss Prevention, 또는 Data Leakage Prevention)의 정의 - 기업 구성원, 프로세스, 기술의 결합을 통해 고객 또는 직원 기록 등의 개인 신원확인 정보(PII),재무제표, 마케팅 계획 과 같은 기업 정보, 제품 계획, 소스 코드와 같은 지적 재산(IP)을 포함하는 기밀 정보 등이 기업 밖으로 유출되는 것을 방지하는 솔루션 나. DLP의 구요기능 주요 기능 상세 내용 접근 제어 - 시스템 접근제어 : 기업 내 인사 관리 DB와 연결하여 RBAC 수행 - 물리적 접근제어 : 특정 시스템에 대한 USB, CD 등 보조기억매체의 접근을 인가된 내부자만 수행할 수 있도록 제어 암호화 - 자체적으로 암호화 기능을 제공하기 보다는 DRM 등과 연계 필터링 - 내부에서 외부로 반출되는 트래픽, 정보 등에 대해 일정 규칙에 따른 검사 후 이를제어 - 트래픽 제어, 콘텐츠 제어로 구분 활동 감시 - 정보 유출에 대한 분석 및 추적을 수행하기 위해 내부에서 진행되는 유 출 가능성 있는 모든 프로세스 감시 및 이력 관리를 통한 정보 유출 탐지 업무를 수행 - 회사의 내부 규정 및 법규를 기반으로 보안정책을 관리, 외부에 송신되는 정보는 아카이빙 기반으로 모두 로깅되어 사후 분석에 활용 양승화(201378407)
양승화(201378407)
3.3.4. 망분리 가. 망분리의 목적 - 외부 인터넷 망과 내부 인터넷 망을 분리하여 외부로부터 해킹 및 공격, 데이터 유출 최소화 하기 위함 나. 망분리의 유형 1) 논리적 망분리 - 1개의 컴퓨터에서 내부망, 외부망을 사용, 보안성은 가상화 기술로 보완하는 방식 - 가상화 기술을 사용하는 VDI 방식(개인이 사용하는 부분을 가상화함), PC운영체체 분리하는 OS커널 분리방식(업무 용과 개인용을 따로 생성) 2) 물리적 망분리 양승화(201378407)
3.4.1. 디지털 컨텐츠의 안전한 사용 환경 조성의 핵심 기술 DRM - 불법복제로부터 디지털콘텐츠에 대한 지적재산권을 지속적으로 보호해주는 사용권한 제어기술 - 디지털콘텐츠의 암호화를 수행하는 패키징 기술과 허가된 사용자만이 허가된 권한으로 콘텐츠를 이용할 수 있도록 권리를 부여하는 라이센스 관리기술, 그리고 이렇게 부여된 권한이 지속적으로 보호되는 환경에서 콘텐츠의 이용이 이루어질 수 있도록 하는 권한통제기술 나. DRM의 구성 구성요소 상세 내용 콘텐트 제공자(Contents Provider) - 콘텐츠를 제공하는 저작권자 콘텐트 분배자 (Contents Distributor) 쇼핑몰 등으로써 암호화된 콘텐츠 제공 - 소비자에게 분배(비즈니스 모델에 따라 웹서버, 스트리밍 서버, DVD등 매체이용) 패키저(Packager) - 콘텐츠를 메타데이터와 함께 배포 가능한 단위로 묶음 - 디지털 콘텐츠 암호화 과정 보안 컨테이너 - 원본을 안전하게 유통하기 위한 전자적 보안장치 DRM 컨트롤러 - 배포된 콘텐츠의 이용 권한을 통제 클리어링 하우스(Clearing House) - 키관리 및 라이센스 발급 관리 ,권리와 비용에 대한 정산 처리 양승화(201378407)
3.4.2. 문서수준의 정보보호, ERM(Enterprise Right Management) - 문서작성자가 영구적인 파일수준의 문서권한을 지정하는 정보보호 기술 나.특징 1) 외부 유출시에도 보호 2) 작성자가 자율적 권한 설정 3) 권한제어 옵션 다양 다. 원리 1) 작성자가 RMS에 접속, 인증서 수신 2) IRM 지원 APP 활용 파일작성, 권한부여 3) 대칭키로 파일 암호화, 공개키도 재암호화 4) 배포 5) IRM 지원 APP, 브라우저 이용 조회 6) 사용 라이선스 요청(공개키, 대칭키) 7) 수신자인증, 라이선스 생성 8) 라이선스 배포 9) 허가된 권한 행사 양승화(201378407)
사례) 양승화(201378407)
3.4.3. 핑거프린트(Fingerprint) 가. Fingerprint의 개념 - 디지털 컨텐츠를 추적과 보호를 위하여 디지털 컨텐츠에 구매자 정보를 삽입하여 발생 가능한 컨텐츠 불법 복제를 추 적 가능한 저작권 보호 기술 - 디지털 컨텐츠 불법 유통시에 구매자정보를 활용하여 역 추적가능 - Watermarking은 판매되는 모든 컨텐츠에 삽입되는 정보가 동일한 반면, Fingerprint은 구매자마다 모두 다른 정보가 삽입됨 - Fingerprinting을 제거하려는 공모공격(Collusion attack)에 강인하도록 개발 필요 나.Fingerprint의 특징 1) 워터마킹: 소유권의 명확화 기능은 있으나 불법행위자 추출은 불가 2) 핑거프린팅: 컨텐츠 내에 소유자 정보와 구매자 정보를 함께 포함하는 핑거프린팅 정보 삽입,불법으로 배포된 컨텐 츠로부터 배포자의 역추적 지원하는 기술 3) 불법복제에 대한 검출과 증명과 정통한 수동적인 불법복제 억제기술 4) 비가시성 (삽입된 컨텐츠가 감지되지 않음), 견고성 (컨텐츠 변환, 재 샘플링, 압축 등과 같은 변경에도 영향 받지 않 음), 공모 공격 대응 (다수의 구매자가 모여 비교를 통해 삽입 정보를 찾을 수 없음) 다. Fingerprint와 Watermarking의 비교 구분 Watermarking Fingerprinting 주목적 -원저작자식별 -구매자의불법유통추적 삽입 정보 -원저작자정보 - 원 저작자 및 구매자 정보 요소 기술 - 암호화 / 저작권 정보 삽입 - Dual Watermarking, 공모 보안코드 양승화(201378407)
3.4.4. 기업의 통합 보안 관리 시스템, ESM 가. ESM (Enterprise Security Management)의 개념 - 방화벽, IDS, VPN 등 기업의 다양한 보안 솔루션의 통합 보안 관리 시스템 - 기능별, 제품별 모듈화된 보안 관리 기능을 통합하여 일관되고 직관적인 관리자 및 사용자인터페이스를 제공하기 위 한 솔루션 나. ESM의 필요성 - 효율적이고 정책 지향적인 체계화된 보안 관리 시스템의 구축 - 표준 정책 기반 하에서 모든 시스템의 통합 보안 능력 평가 및 보안 관제 효율성 향상 - 다양한 보안 관리시스템 도입에 따른 전체 보안관리 및 정책관리의 어려움 증가 - 다수의 보안 시스템의 개별적 관리 비용의 지속적인 증가 양승화(201378407)
- 규칙에 의거 수집된 Event 정보를 Manager에게 전달 - 수집되는 Event 정보에 대한 사전 Filtering 다. ESM의 구성 구성 요소 상세 내용 Agent - 보안장비 및 시스템, 네트워크 장비에 탑재 - 규칙에 의거 수집된 Event 정보를 Manager에게 전달 - 수집되는 Event 정보에 대한 사전 Filtering EMS Manager - 수집된 정보를 정의된 규칙에 의거 분석 및 저장 - 해킹감지등 이상발생시 EMS Console로Alert 경보발생 - 관리 목적의 각종 보안 정책 적용 및 Reporting 기능 수행 EMS Console - 각종 보안 툴에 대한 설정, 지휘, 통제 기능을 수행 - EMS Manager로부터 각종 분석 지표에 대한 Dashboard 역할 수행 양승화(201378407)
3.4.5. 정보의 가치 보존, 데이터베이스 보안 가. 데이터베이스 보안의 개념 - 데이터베이스에 대해 권한이 없는 사용자를 제어하여 정보의 불법 접근, 고의적 파괴 및 변경 또는 우발적 사고로부 터 데이터를 보호하기 위한 제반 활동 나. 데이터베이스 보안 단계 - 데이터베이스 보안을 위해서는 위와 같이 여러 단계의 보안 적용이 필수 다. 데이터베이스 보안기법 보안 기법 상세 내용 임의적 보안기법 - 특정 데이터 파일, 레코드, 필드에 접근할 수 있는 권한을 사용자에게 부여할때 읽기, 쓰기수정 등의 지정형태로부여 강제적 보안기법 - 데이터와 사용자들을 보안 등급으로 분류 - 해당 조직에서 적합한 보안 정책을 적용하여 다단계 보안 시행 역할기반 보안기법 - 보안관리자가 역할(Role)을 만들어 데이터 객체에 대한 권한을 부 여하고 사용자에게 적당한 역할을 부여함으로써 보안 관리 양승화(201378407)
1) 임의적 보안모델 (DAC : Discretionary Access Control) 라. 데이터베이스 보안 모델의 유형 1) 임의적 보안모델 (DAC : Discretionary Access Control) 2) 강제적 보안모델 (MAC : Mandatory Access Control) 구분 상세 내용 개념 - 사용자 계정 또는 계정이 속한 그룹의 신원에 근거하여 객체에 대한 접근을 제한 - 객체의 소유자가 직접 접근여부 결정 특징 - 현재 대부분의 데이터베이스 관리 시스템에 널리 활용 - 객체 소유자가 다른 사용자에게 객체 접근 여부를 결정 유형 - 추적감사 (Audit Trail) : 보안 목적의 DB 로그, 사용자가 수행한 변경 정보와DB에 대한모든변화기록, 부정갱신추적활용 - Grant / Revoke : SQL 제어의 권한 부여 명령 이용 문제점 - 계정 기반의 접근제어 관리로 계정 도용 위협에 취약 - 데이터베이스 소유권에 대한 문제가 권한부여와 보안 정책을 기본으로 하기 때문에 보안 정책 실행에 어려움 존재 - 트로이 목마 등의 공격에 무방비 구분 상세 내용 개념 - 각 객체에 부여된 보안 등급과 사용자 계정에 부여된 보안 등급을 사 전에 정한 규칙에 비교하여 그 규칙을 만족하는 사용자 계정만 객체에 접근할 수 있도록 하는 모델 특징 - 모든 객체는 정보의 비밀성에 근거하여 보안 등급 부여 - 모든 사용자 계정은 사용자의 권한에 근거하여 인가 등급 부여 - 계정의 인가 등급이 보안 등급과 같거나 높은 경우만 접근 허용 유형 - Bell-LaPadula 모델 : 군대의 보안 레벨과 같이 그 정보의 기밀성에 따 라 상하 관계가 구분된 정보를 보호하기 위해 사용 - Biba 모델 : 기밀성보다는 정보의 무결성을 높이는 데 목적 문제점 - 보안 등급이 필요 이상으로 엄격 - 구현이 어려워 주로 군사용 등 보안이 중요한 분야에서만 활용 양승화(201378407)
3) 역할기반 보안모델 (RBAC : Role Based Access Control) 구분 상세 내용 개념 - 보안 관리자가 역할(Role)을 만들어 데이터 객체에 대한 권한을 부여 하고 사용자에게 적당한 역할을 부여함으로써 보안 관리 특징 - 다른 보안 모델보다 훨씬 복잡한 접근제어 정책 구현 가능 - 복잡한 접근권한 관리상의 에러 감소 및 비용 절감 구성요소 - Users : 데이터베이스 사용자 또는 사용자 그룹 - Objects : 보호관리의 대상이 되는 데이터베이스 객체 -Operations : Users가Objects에 대해 할 수 있는 작업 (Read / Write / Update / Delete 등) - Permissions : Objects에 대한 허용내역 - Roles : Users와 Objects 사이에서 권한을 연결시켜주는 역할 구현 양승화(201378407)
-허가받지 않은 사용자가 데이터를 불법적으로 취득해도 실제 내용을 확인할 수 없음 - 운영서버에 부하 발생 마. 데이터베이스 보안 솔루션 구분 개념도 장점 단점 데이터베이스 암호화 솔루션 -허가받지 않은 사용자가 데이터를 불법적으로 취득해도 실제 내용을 확인할 수 없음 - 운영서버에 부하 발생 - DB 단위 접근 제어불가 - SQL Logging 어려움 감사 솔루션 - 스니핑 서버의 다운 에도 업무 지장 없음 - 운영 서버 부담이 낮 음 - 패킷 손실이 발생 할수있음 - 접근 제어에 의한 통제 불가 접근제어 솔루션 - 독립된 서버 구성으로 다중 인스턴스에 대한 통제 지원 - DB 단위의 접근제어 가능 - 독립 서버로 이중화구성이 필요 -Telnet에 의한 SQL 명령 통제 어려움 양승화(201378407)
3.4.6. Kernel Level의 보안 강화, Secure OS - 컴퓨터 사용자에 대한 식별 및 인증, 강제적 접근통제, 임의적 접근통제, 재사용 방지, 침입 탐지 등의 보안 기능 제공 나. Secure OS의 등장 배경 1) 인터넷 환경의 급속한 변화 - 단순정보제공->트랜잭션 플랫폼으로 진화 - 통신망의 발달로 내/외부 경계가 모호 - 3rd party Application의 보안 취약점 노출 2) Firewall / IDS / IPS 등 외부 네트워크 방어기술의 한계 3) OS 자체의 취약성 보호 - Root 계정 탈취 시 시스템 전체가 위협에 노출 - OS의 Bug, 취약점에 대한 Patch에 시간 소요, Zero Day Attack 대응 미흡 주요기능 상세내용 사용자 인증 - 시스템 사용자를 인식 및 인증, 사용자 신분 유일성 보증 MAC / DAC - MAC는 자신의 보안 등급을 임의로 설정할 수 엇음 - DAC는 파일에 대한 접근권한을 사용자가 설정 자원 재사용 제한 - 프로세스가 사용한 자원에 대한 다른 프로세스 접근 전 초기화 완전한 중재 - 모든 접근에 대한 보안 검사 수행 보장된 경로 - 암호 설정과 같은 중요한 Operation에 대해 신뢰할 수 있는 경로 제공 감사 기록/침입 탐지 - 보안 관련 이벤트 발생 시 각 이벤트의 내용, 사용자 기록 - 침입이 발생한 경우 해당 침입을 탐지하고 그에 따른 대응책 수행 양승화(201378407)
- 프로그램의 최소 권한 할당, 의도적인 공격에 의한 손상 최소화 나. Secure OS의 설계 원칙 원칙 상세 내용 최소 권한 - 프로그램의 최소 권한 할당, 의도적인 공격에 의한 손상 최소화 경제성 - 충분한 분석 및 검증이 가능하고 작고 단순한 보안 매커니즘 개방형 설계 보안 매커니즘의 공개로 다방면 검증 수행 완전한 중재 - 직접적 혹은 우회적인 모든 접근에 대한 중재, 조정, 감사 허용 기반/권한 분리 - 객체에 대한 접근 허용되는 Operation에 기반 (White List) - 객체에 대한 접근은 하나 이상의 조건에 의해 결정 최소 공통 매커니즘 - 공유객체의 최소화 사용 용이성 - 보안 매커니즘의 높은 사용 용이성, 낮은 우회 가능성 양승화(201378407)
3.5. 보안기술체계의 구성 양승화(201378407)
4.1. 기업 업무 연속성 확보, BCP 가. BCP (Business Continuity Planning)의 정의 - 각종 재해나 재난 발생에 대비하여 핵심 업무 기능 수행의 연속성을 유지하여 고객 서비스의 지속성 보장과 신뢰도 를 높이는 신속한 절차와 체계를 구축해 기업 가치를 최대화하는 방법론 - 재해나 재난 발생에 대한 업무영향분석(BIA)를 수행하여 시스템의 회복을 위한 범위 및 필요 조건을 결정하여 재해복 구서비스(DRS)을 구축하고 예방 및 복구활동을 포함하는 계획 나. BCP의 이해 구분 상세내용 재해복구 (DR) - Disaster Recovery, 재해로 인해 중단된 서비스를 재개 재해복구계획 (DRP) - Disaster Recovery Planning, 정보기술 서비스 기반에 대해 재해가 발생 하는 경우를 대비, 빠른 복구를 통해 업무 영향 최소화 위한 제반 계획 재해복구시스템 (DRS) - Disaster Recovery System, 재해복구계획의 원활한 수행을 지원하기 위 해 평상시에 확보하여 두는 인적/물적 자원 및 자원관리체계 복구목표시간 (RTO) - Recovery Time Objective, 재해 시 서비스 복구 최대 허용시간 복구목표시점 (RPO) - Recovery Point Objective, 재해 시 유실 감내 가능한 데이터 손실 시점 양승화(201378407)
1) 사고관리계획(비상사태시 대응절차,지침), 2) 재해복구계획(데이터센터복구계획) 다. 구성요소 1) 사고관리계획(비상사태시 대응절차,지침), 2) 재해복구계획(데이터센터복구계획) 3) 업무복구계획(영업,인사,재무...), 4) 교육훈련계획(BCP모의훈련,유지보수 교육) 라. 접근방법 - 프로세스 : 프로세스 자동화 BPM, ISO27000 인증획득 - 인프라스트럭처 : HA, Mirroring, RAID, Hot Spare, 네트워크(내부 10G, 외부 1G, ISP 이중화로 NW 우회체계 마련), 데이터 관리기술(Backup Library, VTL, De-Dup, CDP)) - 인력관리체계(조직구성, R&R, 모의훈련 수행 및 미비점 도출 후 보완) 마. BCP 추진절차 - 기업환경분석->BIA평가->취약점분석->복구전략개발->BCP지속관리 바. BIA 수행절차 1) 주요 업무 프로세스 식별 : 업무 프로세스 사이의 연관성(선후 관계, 참조 관계) 고려 2) 재해 유형별 발생 가능성 3) 업무 프로세스 중단 손실 평가 : 재해 시 업무 프로세스 중단에 따른 손실 평가 4) 업무 우선순위 : 업무별정성적/ 정량적 분석결과에 따라 복구업무우선순위 5) 복구 목표 시간 결정 : 업무 복구 목표 시간(RTO) 산정/업무 복구 목표 시점(RPO) 산정 6) 주요 자원 선별 : 업무의 RTO, RPO 에 필요한 자원 선정 (IT 자원, 인력, 업무 환경) 7) 문서화, 결과 보고: BIA 결과문서화, 경영진보고 양승화(201378407)
사례) BCP 구성체계 양승화(201378407)
사. 재해복구 시스템(DRS) 복구 수준별 유형 상세 내용 Mirror Site - 주 센터와 동일한 수준의 정보기술자원을 원격지에 구축하여 두고 주 센터 와 재해복구센터 모두 Active-Active로 실시간 동시 서비스 (RPO = 0) - 초기 투자 및 유지보수에 높은 비용 소요 - 웹 Application 서비스 등 업데이트 빈도가 낮을 때 유용 Hot - 주 센터와 동일한 수준의 정보기술자원을 대기상태(Standby)로 원격지 사이 트에 보유하면서 실시간 미러링(Mirroring)을 통해 데이터를 최신 상태로 유지 하며, 재해 발생 시 정보시스템을 Active로 전환하여 서비스 제공 - 재해 발생 시 복구까지의 소요시간(RTO)은 수시간 이내 Warm - 중요성이 높은 정보기술자원만 부분적으로 재해복구센터에 보유 - 데이터 백업 주기는 수시간 ~ 1일 (RPO는 약 수시간 ~ 1일) - 재해 발생 시 복구까지의 소요시간(RTO)은 수일 ~ 수주 - 구축 및 유지비용 저렴, 초기 복구수준이 불안, 복구 시간이 다소 소요 Cold - 데이터만 원격지에 보관하고, 정보자원은 확보하지 않거나 장소 등 최소한만 확보한 후 재해 발생 시 필요한 정보자원을 조달하여 정보시스템을 복구 - RTO는 수주 ~ 수개월, 복구소요시간이 길고, 복구의 신뢰성이 낮음 양승화(201378407)
4.2. Compliance 를 위한 개인정보보호 가. 금융 시스템의 보안체계 구축 목표 양승화(201378407)
나. 개인정보보호 프레임워크 수립 - 개인정보보호를 위한 보안체계의 구성확립 나. 개인정보보호 프레임워크 수립 - 개인정보보호를 위한 보안체계의 구성확립 양승화(201378407)
참고문헌 - 사내자료 - 기술사 커뮤니티(인포레버, KPC) 양승화(201378407)
감사합니다 양승화(201378407)