임채호 chlim@if.kaist.ac.kr chlim@securitymap.net 한국과학기술원 전자금융거래와 금융정보 보호문제 임채호 chlim@if.kaist.ac.kr chlim@securitymap.net 한국과학기술원

내용 정보보안은 왜 잘 안되나? 정보보안을 어떻게 하여야 하나? 금융상의 대책 결론

정보보안은 왜 잘안되나 15분의 전쟁 – 정말 막을 수 있나 문제점 분석 정보보호는 무엇이 문제인가? 급증하는 취약성에 대비할 수 있나? 새로운 위협에 대비할 수 있나? 대책은 잘되고 있나? 정보보호는 무엇이 문제인가? 정보보안과 정보보호의 변화 상용 정보보안의 필요성

15분의 전쟁 "In the future, everybody will have 15 minutes of fame“, - Andy Warhol “Warhol Worms: The Potential for Very Fast Internet Plagues”, Nicholas C Weaver, nweaver@cs.berkeley.edu http://www.cs.berkeley.edu/~nweaver/warhol.html Code Red/Morris internet worm : 수시간에서 며칠 Hyper-virulent active worms("Warhol Worms“) : 15분 최적화된 Scan Routine, 최초 전파력을 강화하고, 스스로 커버리지를 가질 수 있는 permutation scan 대응하기 전에 최대한의 피해를 줄 수 있음

15분의 전쟁 Morris Worm, 1988 6:00 PM 동작 개시 8:49 PM VAX 8600(University of Utah) 감염 9:09 PM 최초 감염 VAX 가 다른 시스템 공격 개시 9:21 PM 로드가 5까지 상승 보통 9:30PM에는 로드 1 수준, 로드 5 이상은 delay 현상 9:41 PM 로드가 7, 10:01 PM 로드 16, 10:06 PM 프로세스 생성 불능, 사용 불능 10:20 PM 관리자가 Worm 프로세스 Kill 10:41 PM 다시 감염, 로드 27 10:49 PM 관리자가 시스템 shuts down. 다시 부팅 11:21 PM 재감염, 로드 37 하나의 시스템 정지에 90 분 소요, 6,000대이상 정지 인터넷 정지로 인한 피해는 $100,000 - $10,000,000 according to the United States General Accounting Office

15분의 전쟁 Abor Networks, “A Snapshot of Global Internet Worm Activity”, Nov 2001

15분의 전쟁 무엇이 문제인가? 시뮬레이션 앞으로 P2P, Messenger, Exchange, IIS 새로운 취약성 ; Window IIS 버그 앞으로 P2P, Messenger, Exchange, IIS 잘 알려진 port : WWW 80 Ports 널리 쓰이는 OS : MS 윈도우 Permutation Attack : 급증하는 트래픽 Hitlist : 네트워크로 잘 연결된 취약점을 가진 호스트(10000-50000) 목록 시뮬레이션 10000대의 힛트리스트, 힛리스트 처리 1분, 초당 100개 스캔, 하나의 공격에 1초 complete infection : roughly 8 minutes, with 99%

15분의 전쟁 Internet Worm 의 발전 정말 막을 수 없나 은닉성(Stealth), with Kernel Backdoor? 이식성(Platform Defendant) 다형성(Polymorphism), Dynamic Update Special Mission New Targets with new vulnerability 정말 막을 수 없나 Anti-virus, Firewall, IDS, ESM, others? 잘 되고 있는가? 잘 안 된다. 하지만 잘 관리할 수 있다.  피해를 최소화

문제점 분석 증가하는 취약성 매일 3,4건의 새로운 취약성 발표, 증가하는 소프트웨어 사이즈, 복잡성은 취약성을 증가시킴 Securityfocus, BugTraq, BugTraqNT, 증가하는 소프트웨어 사이즈, 복잡성은 취약성을 증가시킴

문제점 분석 복잡성 문제 “Bruce Schneier, 디지탈보안의 비밀과 거짓말” Security Bug 의 증가 복잡한 시스템의 모듈화 복잡한 시스템의 상호연동 이해하기 어려워진다 분석이 어렵다 시험항목의 증가 OS Year # of Lines(만) Win 3.1 1992 300 Win/NT 400 Win95 1995 1500 WinNT4.0 1996 1650 Win98 1998 1800 Win2000 2000 3500-6000(추정)

문제점 분석 ... ... ... ... 증가하는 위협(Threats), 제어가 불가능한 수준으로 발전되고 있음 자동화 automatic attack 에이전트화 agent attack 전파력 worm 광역화 international scope 다형화 polymorphic 범죄화 criminal attack Feedback ... ... ... Attacker ...

문제점 분석 Threats Client Backdoor Kernel Backdoor Social Engineering Worm Virus DDoS Attacks, Malicious Agents Cyber War Arms Attacks to Security Products

문제점 분석

문제점 분석

문제점 분석

문제점분석 Safeguard : 대책의 한계 제대로 개발되지 않고 검증이 안된 정보보호 제품 Firewall : Firewall을 공격하는 50가지 방법 http://all.net/journal/50/firewall.html IDS : Misuse Detection 오류 신종 기법에 무기력 제대로 관리하고 운영되지 못하는 정보보안제품 보안기능이 제대로 갖추어지지 않은 응용SW

문제점 분석 Awareness/Secure Admin & Operation 필수 Information Source Monitoring & Patch  최근 웜공격과 웜바이러스를 보라 Audit Analysis and Response Intelligence 요구, 사고대응, 복구 등 Technology/Products VS Management “기술이 보안문제를 해결할 수 있다고 믿는 사람은 문제도 기술도 이해하지 못하고 있는 것이다” “A computer is secure if you can depend on it and its software to behave as you expect” “보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다” “100% 완전한 보안이란 존재하지 않는다”

문제점 분석 Real Time Scan Detector The Small Agent Program Scan Attack 탐지 자사 이용 혹은/및 침입시도 정보 공유

문제점 분석 RTSD 스캔공격 탐지 통계 (1999. 12 - 2001.5)

문제점 분석 [INCIDENTS] What the hell is with Korea? 한국인들은 영어도 읽을 줄 모르거나 아니면 보안에 전혀 신경을 쓰지 않거나 둘 중에 하나다. Korea에 있는 시스템들이 손쉬운 목표가 되는 것은 확실히 문제이다. 그들이 답장을 하지 않을지 모르지만 그들의 network에 관한 문제의 심각성을 알릴 필요가 있다. 한국 특히 교육기관이 전세계의 cracker들에게 사실상 열려져 있다.

문제점 분석

정보보호의 필요성 History 변화 CommSec(통신보안) CompuSec(컴퓨터보안) NetSec(네트워크보안) InfoSec(정보보안, 정보보호) Information Warfare(IW, 정보전) Information Assurance(IA, 정보보증) 변화 정보보호(Security)  정보보증(Assurance) 암호기술 및 서비스중심에서 가용성을 중시하는 방향 Confidential, Integrity, Authentication  Availability “Need to Know”  Unclassified But Sensitive(UBS)

정보보호의 필요성 정보보안의 목표 정보보안의 정의 Confidentiality ; 기밀성 Integrity ; 무결성 의도적이든 비의도적(사고)이든 부당한 정보의 열람, 유출, 변조, 파괴로부터 정보를 보호하고자 하는 것 The protection of information against unauthorized disclosure, transfer, modification, or destruction, whether accidental or intentional. [Information Warfare, July 1996] 정보보안의 목표 Confidentiality ; 기밀성 Integrity ; 무결성 Availability ; 가용성 Asset Threats Vulnerability Safeguard

정보보호의 필요성 Information Assurance INTEGRITY Condition existing when data is unchanged from its source and has not been accidentally or maliciously modified, altered, or destroyed. AVAILABILITY Timely, reliable access to data and information services for authorized users. Integrity Availability INFORMATION NON-REPUDIATION Assurance the sender of data is provided with proof of delivery and the recipient is provided with proof of origin, so neither can later deny having processed the data. Non-repudiation Authentication AUTHENTICATION Security measure designed to establish the validity of a transmission, message, user, or system or a means of verifying an individual's authorization to receive specific categories of information. Confidentiality CONFIDENTIALITY Assurance that information is not disclosed to unauthorized persons, processes, or devices.

정보보호의 필요성 http://www.counterpane.com

정보보호의 필요성 http://www.counterpane.com

정보보안을 어떻게 하여야 하나? 정보보호 모델? 정보전 정보보호모델 일반적인 모델 우리들의 모델

정보보호 모델 “Security is the process, not products” “Secrets & Lies, Digital Security in a Networked World”, Bruce Schneier(“Applied Cryptography”) Key Words “Security is the process, not products”

정보전 모델 Information Assurance and Security, Dorothy E. Denning Offense Defense Increase availability prevent availability decrease integrity ensure integrity decrease availability ensure availability Offensive and defensive Information warfare

Decrease availability Decrease integrity Increase availability Tempering Penetration fabrication Physical theft Sabotage censorship Intel/espionage Piracy Penetration Superimp.fraud Identity theft Physical theft Perception Mgt Offense Money Bag Defense Authentication Access control Monitoring Plug holes backup Hiding Authentication Access control Monitoring Plug holes Authentication Access control Monitoring Plug holes backup Money Bag : Information Resource Ensure availability Ensure integrity Offensive and defensive Information warfare Prevent availability

Protected Information resource 정보전 모델 Protected Information resource detect respond attack contain, recover, harden Indications & warnings prevent new laws deter Investigate, notify, sue, prosecute, in-kind attack, war Elements of defensive information warfare and information assurance

정보전 모델 취약점 관리, Vulnerability Monitoring 안전한 시스템, Building It Secure 보안 교육, Security Awareness and Training BCP, Avoiding Single Points of Failure 위험관리, Risk Management 침해사고 대응, Incident Handling 문제점, Obstacles Some of the methods and challenges of building and operating secure systems (technical and human factors)

취약점 관리 Finding Computer and Network Security Flaws Monitoring Installation of Software Monitoring Ongoing Process (update, reconfigure, etc) Using Analysis Tools (COPS, SATAN, etc) Red Teaming (Penetration Test) Monitoring Security Publications Security Advisories - CERT, SANS, etc Hacker Publications and Web Sites Security Mailing Lists - Bugtraq Monitoring Security Publications Stay on top of the latest vulnerabilities, fixes, and threats

안전한 시스템 평가방법, Evaluation Criteria 직접 평가, Evaluation ICSA Certification The Orange Book (TCSEC) ITSEC and CC(Common Criteria) COFC, E-COFC - Commercial Criteria 직접 평가, Evaluation ICSA Certification Accreditation CMM(The Capability Maturity Model)

보안 교육 사람, 가장 중요한 취약점 Security Awareness and Training Program 보안 정책을 알려야 한다. 위험과 잠재적인 능력에 따라 직원을 분류 보안실천 및 기술을 습득 하도록 교육훈련 Employees can be made Aware of social engineering tactics and how to detect and avoid them System Administrators can be Trained in information security so that they can properly configure and monitor systems They and Other staff members can be Instructed in their responsibilities regarding information security practices and incidents

BCP Business Continuity Planning “Don’t put all your eggs in one basket” Backup DOS 공격의 위험으로부터 회피 사고, 자연재해, 사보타지 등으로부터 보호 backup approaches hot site cold site redundant site reciprocal agreements hybrid and combine Don’t put all your eggs in one basket -> Two Person Control Hot Site – building equipped with the facilities and services needed to take over operations Cold Site – one that can be easily adapted for use Redundant Site – one that is fully equipped and configured exactly like the primary site Reciprocal agreements – one in which two organizations back each other up Reciprocal : 상호간의

위험관리 위험평가 및 자산 평가(Risk Assessment and Asset Valuation) 비용 효과적인 대책을 강구하기 위한 절차 어떠한 공격에 대하여 자산의 값어치를 어떻게 할것인지? Guidelines for Information Valuation (ISSA, 1993) Information Value on Delphi Methodology Quantitative Risk Assessment (BDSS Tool) Cost losses in multiple categories mixed reviews from information security experts Risk Assessment - safeguard 가 threats 로부터 information resources 를 보호하기에 적당한지 조사하는 프로세스 - identifying assets to be protected, threats to those assets and the likelihood of their occurrence, vulnerabilities that could be exploited, losses that could result from an attack, and safeguards that are or could be installed Type of cost (Delphi) - replacements costs : 정보가 파괴되거나 물리적으로 도난 당했을 때, 구매가를 포함한 시장 가격 - unavailability costs : 시간 간격 동안 정보 자원이 unavailable 할 때 생기는 비용, staff overtime, attrition, training; idles staff, facilities, and resources; inability to pay bills, pay clients, or deliver products and services.. Etc - disclosure costs : breaches of confidentiality, lost market share, competitive advantage, blackmail, lega, regulatory, civil, and criminal penalties,…

위험관리 보험 정책, Insurance Policies 벤치마킹, Benchmarking 관리와 책임 Process of developing and using statistical 관리와 책임 조직은 정보시스템의 오용에 대하여 책임이 있다 대표나, 책임자는 사기, 도둑 등의 문제점을 알아야 하고 책임

침해사고대응 Investigation and Assessment Containment and Recovery Improving Security Notification In-Kind Response Regal and Civil Remedies Economic and Military Response Emergency Preparedness

문제점 Obstacles to achieving adequate levels of security Budget constraints Employee training Lack of end-user awareness Technical complexity Unclear responsibilities Lack of senior-management awareness Lack of senior-management support Lack of good security tools Security weaknesses in products Lack of internal policies and standards Etc 1997, Infosecurity News’ Survey Etc - lack of centralized authority - lack of competent infosecurity personnel - lack of industry standards - privacy and ethics issues - legal, legislative, or regulatory issues - and others

일반적인 모델

우리들의 모델 PMA Model Security Goals Prevent : Assessment and Configuration Maintain : Monitor, Detect, Response, Change, Reassessment Audit : Decision Making Security Goals Identification & Authen(I&A) : PAM, SSO, Agent, VPN, FW Access Control (AC) : SecureOS, FW, SDB Audit (A) : Audit Agent(Central), HIDS, NIDS Confidentiality (C) : SFS, SMIME, PGP,SDB Integrity (I) : VPN, IC, SDB Availability (A) : Monitoring Agent, Backup Trust (T) : PSM, PKI

우리들의 모델 How to implement security policy ? Minimizing Risk 취약점/위협을 실시간 관리

Managing Threat and Vulnerability RISK exploit Threat Vulnerability Protect against increase increase expose reduce Control Risk Asset increase have met by indicate Requirement Value Managing Threat and Vulnerability

Security Management Vulnerability and Threats 취약점은 잘 파악되고 관리되어야 한다 위협은 잘 파악되고 예견 가능하여야 한다. 자산은 중요도에 따라 관리되어야 한다.  “Threat Management” Security Policy Management Automatic Risk Management Automatic Intelligence and Control Decision Making

Real Time / Predictable Response Security Management [ Protection ] Problem : Don’t Know What to protect Result : 3,734 attacks [ Detection ] Problem : Don’t Know What to Detect Result : 9,859 attacks [ Security Management] Problem : Don’t Know What to Monitor, After fact Response Result : 15,167 attacks Intrusion Detection Security Management Firewalls [ Feedback ] [ Feedback ] [ Feedback ] Real Time / Predictable Response Know What to protect Know What to Detect Information Collection & Intelligence Infrastructure Service : IAM, SVM, HoneyNet(Overall Threat Mgt. Service)

국내 보안 공동체에 공헌하면서 공동의 이익 추구 Securitymap.net 정보보호의 지도(MAP) 제공 일반 시스템/네트워크 관리자 유인 정보보호 정보 공유 보안 관리자로 양성 보안 전문가 및 인터넷 자원의 네트워크 구성 SecurityMap Network 구축 RFC 1281, Guidelines for the Secure Operation of the Internet 인터넷은 협력적인 벤처이다. 보안문제에 있어서 다른 사이트/네트워크간에 서로 도와주는 것이 인터넷의 문화와 관행이다. 각 각의 사이트는 다른 사이트에서의 공격을 탐지했을 때 이를 해당 사이트에 알려주어야 한다. 그리고 모든 사이트는 공격자 추적, 법 집행기관의 조사 등 보안사고에 대응하기 위한 일에 대해서 서로 도와주어야 한다. 국내 보안 공동체에 공헌하면서 공동의 이익 추구

Securitymap.net Relationship Site Contents Many volunteer security experts in Korea APSIRC(Asian Pacific Security Incident Response Coordination) Member ? Cooperation with SECOMJ Relationship Site Contents Intelligence Attack Map Project Honeynet Project Security Vulnerability Database Security Documents Security Tools

Internet Attack Map

Vulnerability Management System 취약성 관리 시스템 데이타베이스 자산입력 1 3 취약성 분석 시스템 위험도 및 해당 자산 리스트 통보 2 취약성 입력 새로운 취약성 발생

금융상의 대책 금융상의 위협과 사례 내부자 : 불만직원, 파렴치한 컨설턴트, 외부계약자, 대외직원, 보안담당 및 청소원 등 패스워드, Software 방어막을 알고 있다 금융상의 도둑의 90%가 (전직)내부직원 보안 체크리스트 운영, 청소원/청경에 대한 제어 적절한 운영자(네트워크 보안 감시 및 관리), 물리적 보안 및 직원 감시 체계, CERT 운영, 패스워드 제어, Best Practice 공유 컴퓨터 바이러스 및 웜, Trojan and Logic Bomb 컴퓨터 운영 방해 협박, DDOS 공격, Break-in

Vulnerability Control Threat ATTACK Vulnerability Creates Exploits Results In Deterrent Control Reduces Likelihood Of Impact Protects Discovers Reduces Decreases Detective Control Preventative Control Corrective Control Triggers http://www.security-risk-analysis.com/introduction.htm

결론 Threat Management System Security Policy Management System 자산의 취약점을 실시간으로 관리하고 회사에 대한 위협을 실시간으로 파악하여 회사의 위험을 실시간으로 관리하자 Security Policy Management System 회사의 보안상태와 위험도를 자동으로 관리