전자정부 보안을 위한 필수전략 2006. 5 . 16 조시행
목 차 사이버테러 동향 정보보호 이슈 및 보안기술 대국민 서비스의 보안현황 개인정보보호 침해유형 향후 발전 방향
사이버테러 동향
공격기법의 변화 Virus,Worm
공격기법의 동향 과거 현재 미래 목표 기술 동기 Specific, ubiquitous Specific, mainframe 과거 현재 미래 Specific, ubiquitous 목표 Specific, mainframe Broadcast, PC A few people within an organization 기술 Hacking Virus, Worm, Spyware Combined social engineering, Zero Day attack 동기 Notoriety-motivated Financially-motivated, more organized
2005년 보안 사고의 특징(1/2) 메신저 웜의 증가 통합된 신종 웜(Win32/Mytob.worm)의 등장과 피해 증가 온라인 게임의 사용자 계정을 탈취하는 악성코드 변형 증가 uPnP 취약점(MS05-039)과 악성코드(Zotob.worm) 확산 홈페이지 변조를 통한 트로이목마 유포->트로이목마의 발 역할 다양한 유형의 트로이 목마 증가 산업스파이가 백도어를 이용해 정보 유출 은폐형 악성코드 8.15 중국해커 공격설 제로데이 공격(0-day), WMF 취약점 전세계 악성코드 증가, 한국은 감소->지역적 특성, 타겟별 공격 특성
2005년 보안 사고의 특징(2/2) 법정 다툼에 오른 스파이웨어 논쟁 애드웨어와 악성코드의 결합 가짜 안티스파이웨어 기승 Sony DRM 스파이웨어 논쟁 100개가 넘는 모바일 악성코드 등장 MMS를 이용하여 전파되는 휴대폰 악성코드 보고 휴대용 게임기 악성코드의 등장 인터넷 뱅킹 보안 문제 인터넷 공문서 위, 변조 위험 논란
사이버 테러 유형 전자정부 시스템 마비 시도 바이러스 국가 주요정보 유출 기도 개인정보유출 해 킹 개인정보 유출 전자정부통신망의 무력화를 통한 정보유통의 단절 전자정부시스템 주요정보에 대한 위∙변조 바이러스 국가 주요정보 유출 기도 정부 특정업무 주요 시스템에 침투 특정부서의 DB에 접근하여 정보획득 시도 해 킹 개인정보유출 개인정보 유출 개인 PC 에서 Key Logger 를 이용해 비밀번호 획득 시도 관리자 PC 를 통해 서버 비밀번호 획득 시도
정보보호 이슈 및 보안기술
전자정부의 정보 보호 이슈
보안의 필요성 보안은 보험이다. 보안은 보호할 IT 자산만큼의 가치가 있다. 다들 하니까 무언가 불안해서 보안 위협이 생길 가능성이 있어서 보안은 보호할 IT 자산만큼의 가치가 있다. 정보, 데이터베이스, 문서 컴퓨터 - 반도체 공장의 산업용 PC 네트워크 - ISP 보안이 가장 약한 곳의 수준이 그 기업의 보안 수준이다. 인사관리, 급여관리 시스템? 테스트용 PC, 옛날 PC, 노트북등 보안없는 연결은 재앙이다 사업, 서비스의 설계 때부터 보안을 고려해야 한다.
5대 정보보호 기술 네트워크 보안 기술 유비쿼터스 보안 기술 핵심 보안침셋 기술 바이오 보안 기술 개인정보보호 기술 BcN Security 전자정부 적용 분야 유비쿼터스 정부 인프라 전자정부통합망 - IPv6 구축 - 광대역무선망 - VoIP etc 유비쿼터스 보안 기술 RFID/USN Security 핵심 보안침셋 기술 Security IP/SoC for Mobile 전자주민증 선원신분증명서 전자여권 지문감식시스템 공항출입통제시스템 공무원재택근무 전자 행정 서비스 etc 바이오 보안 기술 Bio Recognition & Sensing Security 개인정보보호 기술 U3P Security Service
대국민 서비스의 보안현황
대국민 서비스 시스템의 주요 취약점 개선방안 취약점 파급효과 정보 노출/조작 SQL Injection 파일 다운로드 설정 오류 입력 값 조작을 통하여 시스템, 관리자 권한 및 개인 정보 획득 가능 정보 노출/조작 개인정보의 노출 전자민원서류의 조작 가능 민원/행정 업무 시스템의 관리자 권한 획득 사이버 유언비어 확산 가능 입력 값 조작으로 DB 명령어 실행이 가능하여 개인정보와 데이터베이스 획득 가능 SQL Injection 입력 값을 조작하여 시스템 주요 파일을 다운로드 하여 시스템 권한 획득 가능 파일 다운로드 웹 어플리케이션 취약점 수정 버전 개발 웹 보안 솔루션 도입 어플리케이션 개발 프로세스에서 보안 감사 강화 개선방안 시스템과 애플리케이션 설정 오류로 인해 시스템 접근 및 권한 획득 가능 설정 오류
3 2 1 대응 방안 장기대책 중기대책 단기대책 개발 단계에서 사전 보안 검토 규졍화 보안전문업체를 통한 정기적 보안감사 정부기관간 보안정보 공유체계 확립 중기대책 보안성 웹 프로그래밍 보안강화 수정 보안관제센터를 통한 모니터링 보안전문업체를 통한 보안정기점검 3 단기대책 2 웹 보안시스템 도입 대표적 웹어플리케이션 취약점에 긴급 수정 조치 OS별 시스템 긴급패치 적용 1 Time
개인정보보호 침해유형
일본의 개인정보보호법 발효 후 변화 직원의 고객 정보 및 산업 기밀 정보 유출 시, 경영자에게 까지 법률적 책임이 있음 일본 개인정보보호법은 본인의 동의 없이 어떤 경우에도 다른 사람에게 개인 정보를 제공할 수 없음 병원에서 진찰 대기자 이름을 부를 수 없음 사내에 노트북·CD와 같은 개인 정보저장장치를 일절 갖고 들어오지 못하도록 막는 곳이 늘어나고 있음 새 휴대전화를 사면서 반납한 휴대전화는 거기에 든 신상정보가 유출되지 않도록 고객이 보는 앞에서 분쇄시킨다
개인 정보보호 침해 유형 개인정보 침해유형 현행 유비쿼터스 컴퓨팅 환경 부적절한 접근과 수집 정보주체의 동의없는 개인정보의 수집 정보주체가 인식할 수 없는 상황에서 정보주체가 완전한 자기정보 통제권을 상실할 가능성이 큼 부적절한 분석 부적절하게 수집된 정보의 분석, 동의없는 사적 정보의 분석 부적절하게 수집된 정보의 분석을 통해 개인 지배 또는 개인에 대한 통제행위가 심화될 가능성 큼 부적절한 모니터링 동의없는 개인의 인터넷 활동을 모니터링 부적절한 모니터링을 통한 개인의 라이프스타일 등 개인의 생활 전반이 노출될 가능성이 큼 부적절한 개인정보유통 개인정보를 제3자에게 양도하는 등 불법적 거래 개인정보를 제3자에게 양도하는 등 다양한 유형의 개인정보가 불법적으로 거래되거나 유통될 가능성 원하지 않은 영업행위 동의없는 상품광, 광고성 정보전송행위 개개인의 특성에 정확하게 조응하는 광고성 구체적 상품광고가 동의없이 무차별적으로 유통될 수 있음 부적절한 저장 정보수집 목적 달성 후 개인정보를 파기하지 않는 행위 한번 수집된 정보는 파기되지 않고 수차례의 분석을 통해 다양한 용도로 재활용될 가능성 큼
개인 정보보호 침해 시나리오 및 대응방안 전자정부의 발생가능 시나리오 현행 문제점 대응방안 온라인 행정문서 발급 서비스 기술적 문제점에 의한 행정문서 정보 불법 유출 가능성 웹보안시스템 도입 웹어플리케이션 보안강화 수정 보안전문업체를 통한 정기적 감사 개발단계의 보안 검수 표준화 보안관제센터 활성화 개인정보 DB 개인정보 DB의 보안사고에 의한 비인가 유출 타기관 정보 연동 시스템 오류로 인한 비인가 유출 비인가자의 개인정보 DB 접근 DB보안 솔루션 도입 DB 아키텍처 보안강화 수정 서비스 개발시 보안감사 표준화 DB접근권한에 대한 보안통제 강화 공무원의 개인정보 DB 불법 사용에 대한 처벌규정 강화 ID카드(전자주민증, 여권, 각증 증명서) 비인가자의 도용/오용/도난 불법 정보 유출의 수단 제공 RFID 및 생체인식, SoC 기술을 도입한 ID카드의 도용/오용/인증 체계 강화 중요시설 물리적 접근 절차 보안강화
향후 발전 방향
2006년 이후 악성코드(1/2) BotNet의 피해… 스파이웨어/애드웨어의 피해 지속 Mobile 위협-스마트 폰, PDA… 더욱 많은 변형 증가 예상, 더욱 복잡하게 발전할 것임 공격목적에 따라 국지적 피해 예상 : 특정 IP대역 스파이웨어/애드웨어의 피해 지속 금전적 이익 기술적 발전, 다양한 배포방법, 조직적/체계적 Mobile 위협-스마트 폰, PDA… 다양한 보안 문제에 대응 필요 무선인터넷 사용자증가 다양한 모바일 디바이스의 보급 모바일 플랫폼 표준 및 망 개방등 한국의 피해 발생은 시기가 문제일 뿐…
2006년 이후 악성코드(2/2) 온라인 게임과 관련한 악성코드 및 해킹 취약점 노린 Zero-Day공격 현실화 2005년 급속한 증가로 심각한 수준에 다다름 게임 아이템 거래로 인한 금전적인 목적으로 지속될 전망 취약점 노린 Zero-Day공격 현실화 취약점 보안패치까지는 시간이 소요 보통, 취약점 발표와 동시에 보안 패치가 이루어지나… 개인 정보 유출 문제 검색 엔진 강화 : PC자체 정보 검색 정보의 과잉 노출 역기능 수반 백도어, 키로거, 원격제어, 피싱, P2P, 스파이웨어 등 유비쿼터스 환경의 보안 보안 대상의 증가 서비스에 특화된 보안 필요
향후 발전 방향 Information Super-Highway 실생활에서 혜택을 느낄 수 있는 찾아가는 정부서비스 구현 부처간 정보공유 기반마련 서비스 시스템 보안감사체계 표준화 개인정보 보안통제 체계 강화 유비쿼터스 정보보호제도 도입 정보보호체계 수립 CERT/GISAC 정보화 인력 강화 및 국가 정책적 차원의 과감한 투자 개인정보보호 강화 및 정보공유체계 확립 Information Super-Highway (전자정부 고도화 & 유/무선 통합서비스 기반 & 유비쿼터스 기술)
안전에 필요한 최소한의 노력과 투자가 필요