『디지털 경제시대의 경영정보시스템』 김효석 · 홍일유 공저 ⓒ 2000, 법문사 제19장. 정보시스템의 통제와 보안 『디지털 경제시대의 경영정보시스템』 김효석 · 홍일유 공저 ⓒ 2000, 법문사

Contents 정보시스템 보안의 개념 정보시스템 보안 위협의 개념적 틀 정보시스템 위협의 12가지 유형 정보시스템 보안의 주요 위협요인 컴퓨터 범죄 정보시스템의 보안대책 정보시스템 통제 정보시스템 감사 정보시스템의 통제와 보안

정보시스템은 안전한가? 전산조작으로 은행돈 절도 전자우편 폭탄 PC통신상의 컴퓨터 사기 은행의 컴퓨터 결제담당 대리가 다른 은행에 자신의 계좌를 개설한 뒤 온라인 입금된 것처럼 전산 조작해 은행돈 2억 5천만원 횡령한 후 잠적 (중앙일보, 1996. 5. 30) 전자우편 폭탄 17세 학생 2명이 전자우편 폭탄(e-mail bomb)을 이용해 컴퓨터 통신업체의 인터넷 메일시스템을 마비시킴 (조선일보, 1997. 8. 23). PC통신상의 컴퓨터 사기 대학생이 컴퓨터 해킹으로 다른 사람의 통장 비밀번호를 알아낸 뒤 홈뱅킹 서비스를 이용, 남의 돈을 횡령 (조선일보, 1996. 9. 24). 정보시스템의 통제와 보안

정보시스템은 안전한가? - 계속 과시욕구에서 바이러스 유포 전산망의 보안시스템 침투 중.고.대학생 4명이 자신들이 직접 제작하거나 기존의 파일을 변형해 만든 컴퓨터 바이러스를 사설 전자게시판을 통해 유포 (중앙일보, 1998. 2. 6) 전산망의 보안시스템 침투 대학생 해커가 하이텔 등의 상용통신망을 해킹하여 1만6천여 명의 접속비밀번호가 저장된 파일을 훔침 (중앙일보, 1997. 8. 27). 정보시스템의 통제와 보안

정보시스템 보안의 개념 정보시스템 보안: 다양한 위협요소로부터 데이터 및 정보시스템을 보호하기 위한 방법 혹은 노력 정보시스템 통제: 정보시스템 보안을 실행하기 위한 수단/장치 정보시스템 위협요소의 특성: 우연적이든 의도적이든 정보시스템에 치명적일 수 있다. 사람의 의도적인 침입은 빈번하며 그 형태도 매우 다양하다. 정보시스템에의 가해는 유형적 및 무형적 결과로 나타날 수 있다. 정보시스템에 대한 가해 대상은 데이터 뿐 아니라 하드웨어, 소프트웨어, 네트워크 등 다양하다. 정보시스템의 통제와 보안

정보시스템 보안에 대한 위협 내부 외부 노출 변조 인간 파괴 비인간 결과 의도적 비의도적 위협요소 내 부 외 부 원천 노출 내 부 외 부 원천 노출 변조 파괴 노출 변조 파괴 인간 비인간 인 간 비인간 가해자 의도적 비의도적 결과 의도적 비의도적 의도 위협요소 정보시스템의 통제와 보안

정보시스템 위협의 12가지 유형 정보시스템의 통제와 보안

정보시스템 보안의 주요 위협요인 외부환경의 위험 인간의 오류 컴퓨터 범죄 정보시스템의 통제와 보안 지진, 폭우, 대홍수, 회오리바람, 정전사고, 화재 등의 자연재해 사고 정보시스템 보안사고의 상당수가 인간의 오류에 의해 발생 프로그램 설계, 프로그래밍, 데이터 입력, 프로그램 오작동, 컴퓨터 조작 등 다양한 부분에서 발생 가능 컴퓨터를 주요 수단으로 하여 불법적으로 정보자원을 접속하는 행위 인간의 오류 컴퓨터 범죄 정보시스템의 통제와 보안

컴퓨터 범죄 데이터 조작 불법적인 접속/사용: 적절한 권한이 없이 정보를 접속하거나 유출시키는 행위 (예: 스파이에 의한 적국 국방기밀의 유출) 불법적인 변조: 적절한 권한이 없이 정보를 변조시키는 행위 (예: 은행 계좌정보의 불법 변조를 통해 자금 횡령) 불법적인 삭제: 적절한 권한이 없이 정보를 삭제시키는 행위 (예: 회사에 재정적 피해를 입히기 위해 고객데이터를 삭제) 정보시스템의 통제와 보안

프로그램 방식 바이러스: 응용프로그램이나 데이터 파일에 첨부되어 사용자의 일상 작업 도중 은연 중에 실행되는 프로그램 워엄: 파일을 변조하거나 삭제하지는 않지만, 시스템 내에서 관련 파일들을 계속 복제시켜 시스템을 마비시키는 프로그램 트로이 목마: 다른 프로그램 내에 숨어 있다가 사용자가 특정 작업을 하는 순간 시스템 장애를 일으키는 프로그램 함정문: 프로그램에 침입하여 일부 명령을 프로그램 내에 추가시키는 프로그램. 사용자가 변조된 프로그램을 실행할 때 예상치 않은 상황 발생 가능 정보시스템의 통제와 보안

바이러스의 감염 경로 정보시스템의 통제와 보안 악의에 의해 바이러스 생성 저장매체 통해 이동 제3자의 컴퓨터에 바이러스 감염 통신네트워크 따라 이동 (예: 파일전송) 정보시스템의 통제와 보안

정보시스템의 보안대책 제도적 보안대책 기술적 보안대책 물리적 보안대책 인적자원의 보안대책 사규, 규정 등의 제도적 장치를 통해 정보시스템 보호책을 마련하는 대책 시스템 운영을 위한 조직 및 역할 분담, 문서의 관리, 건물 관리 등 기술적 보안대책 정보시스템의 기술적 환경에 대한 보호책을 마련하는 대책 하드웨어/소프트웨어, 데이터, 네트워크 보안으로 세분화됨 (예: 방화벽) 물리적 보안대책 정보시스템에 대한 접근을 통제함으로써 물리적인 피해를 막는 대책 전산센터의 시설물 설치 및 관리, 천재지변이나 화재 등 자연재해 예방대책 등 인적자원의 보안대책 시스템 운영자나 사용자 자신들의 보안의식 강화를 통해 시스템을 보호하는 대책 컴퓨터 범죄의 80% 이상이 조직 내부자의 소행으로 나타나고 있어 인적자원의 보안대책 수립이 점차 중요해짐 정보시스템의 통제와 보안

방화벽의 개념도 (네트워크 보안) STOP 정보시스템의 통제와 보안 기업 LAN/WAN 네트웍 서버 인터넷 (40,000여 네트워크) 방화벽 STOP 방화벽 이외에는 접속이 전혀 불가능함 정보시스템의 통제와 보안

정보시스템 통제 일반적 통제 애플리케이션 통제 물리적 통제: 컴퓨터 시설 및 자원 보호 접근 통제: 사용자가 불법적으로 컴퓨터 시스템에 접근하는 것을 제한 데이터 보안 통제: 불법적인 유출, 변조, 파괴 혹은 자연재해로부터 데이터 보호 통신 통제: 통신 네트워크상에서의 데이터 보호 (예: 암호코딩) 관리 통제: 정보시스템의 보안기능을 강화하기 위해 필요 애플리케이션 통제 입력 통제: 데이터의 입력시 데이터가 정확성, 완전성, 일관성을 유지하게 하도록 필요 처리 통제: 데이터의 처리시 데이터의 정확성, 완전성, 일관성을 확인하고 프로그램이 제대로 실행되었는지 확인하기 위해 필요 출력 통제: 애플리케이션 프로그램의 처리결과에 대해 정확성, 유효성, 완전성, 일관성을 확인하기 위해 필요 정보시스템의 통제와 보안

정보시스템 감사 정보시스템 감사 정보시스템 감사의 주요 질문항목: 감사방식의 유형 시스템 통제에 대한 전반적인 점검 기능 시스템에 충분한 통제가 설치되어 있는가? 어느 영역이 통제에 의해 보호되지 못하는가? 불필요한 통제는 없는가? 통제가 적절히 구현되고 있는가? 통제가 시스템의 출력물을 확인하는가? 통제가 제대로 이행되고 있는지 확인할 수 있는 절차가 있는가? 통제가 이행되지 않을 경우 필요한 시정조치가 준비되어 있는가? 감사방식의 유형 컴퓨터 주변의 감사 (auditing around the computer) 컴퓨터 자체의 감사 (auditing through the computer) 컴퓨터에 의한 감사 (auditing with the computer) 정보시스템의 통제와 보안