“Total system for preventing Information outflow from inside PCT 국제특허 “Total system for preventing Information outflow from inside 통합내부정보유출방지시스템 I WaterWall System PT 자료 2007. 9 WaterWallSystems Co., Ltd
목 차 정보보호 현 실태 및 문제 정보보안의 이해 세대 별 보안의 흐름 기업 정보보호 솔루션 구분 대기업 보안시스템 구축사례 목 차 정보보호 현 실태 및 문제 정보보안의 이해 세대 별 보안의 흐름 기업 정보보호 솔루션 구분 대기업 보안시스템 구축사례 기업 내 단계 별 보안구축 절차 내부 정보보호의 방법 및 절차 내부 보안 솔루션의 이해 WaterWall System 주요기능 WaterWall System 구성도 WaterWall System 운영도 적용사례 및 효과분석
현 실태 문제점 정보보호 현 실태 및 문제점 물리적 ● 감시카메라 및 출입통제 시스템 보편화 ● 업무용 PC의 각종 매체 사용차단 수준 ● 무형적 자산(정보) 유출에 취약 ● 자원활용 곤란 / 생산성 저하 기술적 ● 외부해킹에 대한 시스템 보호기술/방법에 국한 (바이러스월, 방화벽, IDS, VPN 등) ● 개인정보유출이나 금융사기방지 등에 편중 (PKI, 생체인식, 서버/DB 보안 등) ● Application 중심의 문서보안이 새로운 Issue (DRM, WaterMarking 등) ● 데이터 위주의 로그관리 (사용자, 시간, 파일명 등) ● 사용자PC에 대한 장악능력 결여 ● 상용제품의 기술적 차별화 부족 ● 다양한 관리서버에 DRM 적용 곤란 - Application 변화에 종속적 - 시스템 복잡 / 서비스 불편 - 사고 발생시 추적성 결여 - 적용사례 부족 관리적 ● 서버/네트워크 중심의 관리규정 수립 ● 비인가자 접근통제 위주의 관리대책 ● 핵심자료를 개인 PC에 음성적으로 관리 / 활용 ● 자신에게 관대, 타인에게 엄격한 보안의식 만연 ● 고도의 정보유출 수단에 대한 관리대책 결여 ● 지능적 내부유출 행위 증가 ● 내부자(권한획득) 유출행위에 취약 ● 사전예방 보다 사후조치에 중점 ● 사고 발생시 근원지 추적 불가 ● 정보유출과 동시에 인력이탈 수반
균형적 보안수준 각 보안 대책간 유기적 연결/통합 법 제도 교육 기술 정책 정보보안의 이해 물리적 보안 : 입, 출입 통제, X-ray 투시기, 소자기 등 인적 보안 : 보안교육, 상벌제도 등 네트워크 보안 : 방화벽, IDS, IPS, Virus wall, 등 시스템 보안 : PC보안, 프린터보안, 메일보안, 등 관리적 보안 : 사규, 보안규정, 업무규정 등 각 보안 대책 별 균형된 정보보호 수준을 유지하고 유기적인 연결과 통합 운영을 통하여 균형 잡힌 내부정보보안을 수행한다.
세대 별 보안의 흐름 인터넷은 네트워크의 발달과 컴퓨터 내 정보의 가치를 향상 시켰으며, 이는 결국 1세대 물리적 보안의 대책 수준에서 2세대 네트워크 보안으로 발전되는 계기가 되었으며, 나아가 공유시스템에 대한 3세대 서버보안 중요성도 함께 부각시키게 되었다. 하지만 정보유출의 대부분은 내부자의 행위로써 그 중심에는 정보생산자나 취급자(즉 본인)가 절대적 위치를 차지하고 있어 최근에는 아래 그림과 같이 기업 내부정보 유출 유혹에 직접적으로 노출돼 있는 사용자를 대상으로 한 보안의식 향상과 정보의 흐름을 제어할 수 있는 4세대 사용자(정보생산자) 보안이 절실히 강조되고 있다. Zone 4: Physical Group Zone 3: Network Group Zone 2: Server Group Zone 1: User Group 네트웍 보안 사용자 (정보생산자) 보안 공유 시스템(서버) 보안 물리적 보안 4세대 보안 1세대 보안 2세대 보안 3세대 보안
통합PC보안,메일, 프린터, 이동매체, 사용자통제 등 차별화 기능 기업 정보보호 솔루션 구분 구분 보안 항목 개발사 비고 네트워크 보안 Firewall 퓨쳐시스템, 시큐아이닷컴 Port제어 및 공유제어 IPS/IDS 워치가드, 퓨쳐시스템 SSL VPN 퓨처시스템 정보유출방지 워터월시스템즈, 세이퍼존, 소만사 Management 보안 ESM 세이퍼존, KT, 하우리 포렌식 유넷시스템 백업/복구 한국마이크로소프트 취약점진단솔루션 시큐아이닷컴 Server 보안 서버보안 한국기술비젼, 하우리 DB보안 웨어밸리, 소만사, 하우리 PMS 소프트런, 잉카인터넷 Application 보안 웹파이어월/웹스캐너 시큐아이닷컴, 잉카인터넷 DRM 소프트캠프, 마크애니, 파수닷컴 어플리케이션 보안 포티파이 문서출력 보안 캐논코리아 End-point 보안 통합PC 보안 잉카, 하우리, 뉴테크웨이브 통합PC보안,메일, 프린터, 이동매체, 사용자통제 등 차별화 기능 키보드 보안 소프트캠프, 잉카인터넷, 하우리 워터월(지키미) 워터월시스템즈 보안 USB 잉카인터넷, 하우리, 세이퍼존 이메일/메세징시스템보안 세이퍼존, 소만사 바이러스 백선 V3, 하우리, 뉴테크웨이브 IP/MAC 자원관리 시큐어넷 IP-SCAN
대기업 보안 시스템 구축사례 보안영역/대기업 L 전자 S 전자 비고 전사 표준보안 매체보안 솔루션 매체보안 + 자원관리 솔루션 워터월/인캅스 연구소단위 보안 DRM 솔루션 마크애니/파수닷컴 메일보안 워터월+ I SMS+메일보안 솔루션 메일보안 솔루션+자원관리 워터월/메일아이 이동매체보안 워터월 물리적, 관리적 보안+봉인스티커 물리적 보안 펜스+감시카메라+시건 장치 관리적 보안 보안규정+보안각서 보안진단/불시점검 인적 보안 보안교육+상벌제도+인사고가 보안교육 상벌제도+인사고가 예) 메일 LGE를 제외한 곳으로의 메일에 대해 상급자 승인을 득해야만 1회에 한해 메일을 보낼 수 있다 2~5M의 용량제한을 통해 메일발송을 제한하며, 메일보안 솔루션을 이용한 로그관리에 중점 예) 로컬HDD 입/출입 시 검색장비, 인력을 통한 물리적 검색 입/출입 시 검색장비, 인력, 봉인스티커를 통한 물리적 검색 검색장비/보안요원 (HDD 암호화의 문제점.doc 참조)
기업 내 단계 별 보안구축 절차 단계/구축보안 보안 항목 구축 보안 비고 1 단계 네트워크 보안 기업 내 단계 별 보안구축 절차 단계/구축보안 보안 항목 구축 보안 비고 1 단계 네트워크 보안 UTM (Firewall/VPN/IDS/IPS) 구축되어 있음 2 단계 End-point 보안 통합 PC보안시스템(WaterWall) 3 단계 Server, Application 보안 DB보안,Web Firewall, Spam Mail 차단 4 단계 Management 보안 통합관제시스템(ESM) 각 네트웍/ 보안 장비등 통합관리시스템
내부 정보보호의 방법 및 절차 목 표 절차 ● 기업과 구성원 간 공방/대립 해소 => 기업은 모든 구성원이 회사의 자산이며, 상응하는 복지/처우에 최선 => 구성원은 내가 취급하는 정보는 회사의 자산이며, 이에 따른 기업의 보호행위를 인정 ● 관련규정 제정 및 손질 => 주기적인 교육/감사 강화, 적절한 상/벌 제도 운영 목 표 서로를 인정하며, 공동운명체 의식 함양 기업 정보보호 행위에 대한 내부 공감대 형성 외부로부터의 유혹에 기업방어 자부심 형성 절차
내부 보안솔루션 이해 매체단위 제어 솔루션 내부보안의 목적 파일단위 제어 솔루션 통합 내부정보 유출방지 솔루션 DRM PC보안 솔루션 프린터 제어 솔루션 메일보안 솔루션 통합 내부정보 유출방지 솔루션 매체단위 제어 솔루션 장점: 1. 어플리케이션의 종류 및 버전과 무관 2. 정보생산자도(사용자) 보안의 범위에 포함 3. 관리, 운영이 용이(웹리포트) 4. 대규모 사이트 운영에 적합(전사표준) 단점: 1. 신규매체에 대한 대응속도 2. 관리적, 인적, 물리적 보안과 병행 내부보안의 목적 조직 내부의 중요정보에 대해 활용도를 높이면서 외부 유출의 용이성을 줄이고 유출 및 유통된 정보에 대한 Logging을 통해 내부보안 강화 DRM (Digital Right Management) 파일단위 제어 솔루션 장점: 1. 외부 유통 및 유출된 파일의 보안성 유지 2. 조직 내 중요파일에 대한 grading 단점: 1. 관리자 권한 + 사용자 권한 2. Windows Vista: Local disk 원천 암호화 지원 3. 보안의 적시성 부재 4. 모든 파일 포맷 및 버전에 대한 지원불가
WaterWall™ System 대 고객 가치 내부직원(본인)이 조직의 중요정보(자료)를 언제, 어느 상황에서, 유출할 수 있는 동기가 발생해도 보안시스템이 제공하는 심리적 정보유출 억제력을 통해 1년 365일 능동적 보안마인드를 제공 표준 플랫폼 설계 WaterWall System은 기업에서 업무용으로 가장 많이 사용하고 있는 컴퓨터 운영체제인 MS사의 Windows Base하에 Server/Console/Client의 3Tier 구조로 설계 On-Line을 통한 파일 유출 방지 기능 SMTP/Web-Mail, 게시판 FTP, Messenger, P2P, Web-HDD, Off-Line을 통한 파일 유출 방지 기능 HDD, FD, MO, ZIP, JAZZ, etc CD-R , CD-RW USB/1394 Storage Device 프린터 인쇄 모니터링 기능 그룹(공유 폴더) 접근 제어 기능 불법 통신 프로그램 사용 차단 기능 노트북 PC에 대한 보안관리 기능 실시간 모니터링 기능 정보유출 방지기능 PC 보안기능 PC 접근 제어 기능 다중 사용자 지원 기능 중요 파일 보호 기능 보안 화면 보호기 보안 관리기능 사이버 슬래킹 방지 기능 자원 관리 기능(H/W, S/W, IP, etc) 불법 소프트웨어 방지 기능 보안 정책에 따른 정보 제어 기능 인사이동, 출장/복귀 관리 기능 원격 관리 기능(제거) Smart update 기능 로그분석 및 보고서 기능`
WaterWall system 구성도 Local Network 보안그룹 A 보안그룹 B Internet Firewall - 출장자 보안그룹 - 서버/네트웍 장애 IDS/IPS 보안그룹 A 보안그룹 B Router FTP/KMS/ EDMS/DW/ etc On/Offline 반출허용 및 차단 On/Offline 반출허용 및 차단 On/Offline 반출허용 On/Offline 반출허용 Printer CDRW 원본파일/ 출력문서/ 반출사유/ etc WWsvr Web Mail/etc 원본파일/ 출력문서/ 반출사유 전송 차단/허용 차단/허용 보안정책적용/ 정보유출추적 WWcon 원본파일/출력문서/ 반출사유/로컬 보관
WaterWall system 운영도 구 분 운영 환경 및 정책 흐름 역 할 사용자 보안그룹 전산보안부 보안감사부 사내 보안정책에 의거 WWcon 관리자는 내부 보안정책을 수립/적용 1 2 내부 보안정책 수행 3 반출 파일 / 로그 서버로 자동 전송 2 사용자 보안 그룹은 보안정책을 수행 3 WWc에 저장된 반출로그는 WWsvr 네트워크 스케줄링에 의해 WWsvr로 자동 전송 WWSv 주/월 단위 DB 백업 내부 보안정책 수립 / 적용 4 4 WWsvr의 DB를 주 / 월 단위로 백업 1 시스템 관리자는 안정된 시스템의 사용을 위해 장애 발생 시 지원대책을 강구/수립 5 전산관리부 전산보안부 시스템 관리, 장애 발생 시 지원 및 대책수립 6 네트워크의 안정적인 운영을 지원 주간/월간 리포트 작성 및 보고 5 8 7 보안 관리자는 WWcon 을 운영/관리 8 정기적으로 리포트를 작성하여 감사부 제출 6 네트워크 관리 9 * 정기적 리포트를 이용한 감사 수행 * 감사 결과를 통한 내부 보안정책 수정/변경 백업된 DB를 별도 관리하여 보안사고 발생에 따른 추적자료로 이용 7 WWCon 운영/관리 보안감사부 감사를 통한 보안정책 수정, 백업 DB 보존 / 상벌 제도 시행 9
D 월 D+1 월 D+2 월 D+3 월 D+4 월 D+5 월 D+6 월 적용사례 및 효과분석 군기관내 보안 그룹별 통계(A그룹-34Users, B그룹-107Users, C그룹-232Users, D그룹-49Users) 반출추세분석 영향요소 : 전자자료방지체계에 대한 인식, 업무특성, 업무시기 D 월 D+1 월 D+2 월 D+3 월 D+4 월 D+5 월 D+6 월 반출빈도 20 40 60 80 100 150 200 250 300 350 400 450 500 134 86 47 45 41 28 10 680 408 374 348 260 190 145 181 177 175 161 121 117 76 587 550 600 531 524 212 210 165 B 그룹 D 그룹 C 그룹 A 그룹