고객정보 및 내부정보 유출 대응 체계 인포섹㈜ 신수정 상무 (sjs1234@skinfosec.co.kr)

Slides:



Advertisements
Similar presentations
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
Advertisements

1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
I I II III IV 목 차 I I 1. 인터넷의 어제와 오늘 Pre-Web 시대 Web 시대 Mobile & Social Internet 시대.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
OK-BANK CMS 대표전화 : 서울시 강남구 대치동 금융솔루션개발 OK-BANK 신안정보통신 자동이체 제안서.
한림대학교. 경영지원 직무 인사 (HRM) 교육 (HRD) 노무 (ER) HR 총무홍보법무기획 재경.
정보보안 담당자 교육 자료 일시 : (금) 장소 : 광주교육정보원 대강당 발표자 : 백창범.
2008년도 하반기 대졸 신입 공채 ▣ 모집대상 년도 2월 졸업자 ~ 2009년도 2월 졸업예정자 (4년제 정규대학 및 대학원) ▣ 모집분야 직군 직무 직무 세부 내용 기술 웹개발 Web Development 웹 페이지 및 웹 스크립트 개발 어플리케이션 개발.
구축사례 ( 농협 ) 구축기간 구축목적 특이사항 2001년3월 ( 지속적인 증설 진행중 )
Secure Coding 이학성.
[새문안교회 정보화 사역 계획(안)] 2007년도 영상선교부
MS SQL Server 학기, 소프트웨어 설계 및 실험 ( Ⅰ )
제안 배경 (1/2) 물리적 USB 포트 보안의 필요성 #1 USB 편리성 vs. 보안 취약점
뇌를 자극하는 Windows Server 2012 R2
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
온라인국민참여포탈 클러스터 시스템 구성 제안
MS-Access의 개요 1강 MOS Access 2003 CORE 학습내용 액세스 응용 프로그램은 유용한 데이터를
ORAS 온라인 채용대행 솔루션 제안서 (Online Recruiting Application Service)
할 수 있다! 네트워크 구축 + 활용 네트워크 구성도.
Windows Server 장. Windows Server 2008 개요.
데이터베이스 및 설계 금오공과대학교 컴퓨터공학부 이 이섭.
SysmanagerOne 네트웍 구성도 ㈜시스원 IDC사업부.
5장 Mysql 데이터베이스 한빛미디어(주).
디지털 컨버전스 시대의 기업전략 三 星 電 子.
해킹기법 시연과 대응전략 (XSS Backdoor)
공 영 주 차 팀공 영 주 차 팀 C ustomer S atisfaction Q uality I ndex.
FTP 프로그램 채계화 박재은 박수민.
정보화 사회와 컴퓨터 보안.
NJM Messenger 박상원 박연호.
뇌를 자극하는 Windows Server 장. Windows Server 2008 개요.
서강대학교 현리인성교육원 네트워크 구성 계획서.
5장 Mysql 데이터베이스 한빛미디어(주).
『디지털 기업을 위한 경영정보시스템』 홍일유 著 ⓒ 2005 Ilyoo B. Hong. All Rights Reserved
“식자재 구매카드” 서비스 제안내용 에/듀/빌 1. 제안 개요
DSU Nanumi FTP - Network Programming 염대영
2장. 데이터베이스 관리 시스템 데이터베이스 관리 시스템의 등장 배경 데이터베이스 관리 시스템의 정의
Smart Workplace 개발자 가이드
Wi-Fi 취약점 분석 본 프로젝트는 Wi-Fi 환경에서의 취약점 분석을 위한 프로젝트로 다양한 공격방법을 테스트
Global Research 일반현황 경영 이념 회사 개요 및 일반현황 글로벌리서치 주요연혁.
USN(Ubiquitous Sensor Network)
Windows XP 서비스 팩2를 설치하는 10가지 이유
04. DBMS 개요 명지대학교 ICT 융합대학 김정호.
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
VTalk Solution 소개자료
차량 번호판 영상인식을 이용한 주차장 출입통제 시스템
(DDOS & Massive SQL Injection)
데이터 베이스 DB2 관계형 데이터 모델 권준영.
건설정보관리 전혜빈 정다영.
SSL, Secure Socket Layer
2. 고객(시장)의 요구변화 및 이슈-(3) 정보유출위협에 대한 대응
경영정보시스템(MIS) management information system.
소프트웨어 중심에 존재하는 복잡성 에 도전장을 내밀다
홈 네트워크 시스템 Home Network System.
Commercialization of the Internet
공학설계입문 블로그 제작 목차 전기공학과 정지용.
16장 보안테스트 및 평가 신수정.
웹 애플리케이션 보안 Trend 인포섹㈜ 신수정 상무
(Wed) Hyun Woong Nam.
Ⅳ. User Interface 1. User Interface (UI) 정의 2. UI 환경 3. K ILC UI 구성.
멀티미디어시스템 제 4 장. 멀티미디어 데이터베이스 정보환경 IT응용시스템공학과 김 형 진 교수.
멀티미디어시스템 제 5 장. 멀티미디어 데이터베이스 개념 IT응용시스템공학과 김 형 진 교수.
ER-관계 사상에 의한 관계데이터베이스 설계 충북대학교 구조시스템공학과 시스템공학연구실
방승욱 여은수 민세훈 해킹.
CHAP 15. 데이터 스토리지.
Windows XP 서비스 팩2를 설치하는 10가지 이유
CDMA / LTE LoRa /CAT.m/NbIoT LTE 기지국 STA 모드 WiFi / 유선 네트워크 SKT
프로젝트 결과 발표 네트워크정보통신과 강동성 이현미.
1. PortBlock 이란 RJ-45 물리 블록킹 개념 RJ-45 블록킹 Site별 전용 Key
지원사업 신청서 (신청사 CI 50kb 이하) ㈜ 제이제이게임즈 대표이사 귀하 기 업 명 (인)
홈 네트워크 시스템 Home Network System.
Presentation transcript:

고객정보 및 내부정보 유출 대응 체계 인포섹㈜ 신수정 상무 (sjs1234@skinfosec.co.kr)

목 차 배경 정보유출 위협 진단 또 하나의 문제 대응체계 결론

Application/Contents 1. 배경 Infra 대응 Application/Contents 대응 단일대응 (방화벽 등) 복합대응 (Business 프로세스 +IT인프라+App+client) 기업의 정보자산 영역 고객의 정보자산의 영역 (End-to-End) 해킹 및 웜대응 복합위협대응 정보유출 대응 특정 규제 대응/ 국내기준 대응 법적 대응/ 국외기준 대응 정보보안은 특정 IT문제 정보보안은 Business 문제

2. 정보유출 위협 유출자 관점 분석 정보 2. 대상 및 프로세스 관점 분석 위협 내부자로 부터의 위협 위협 위협 위협 생성 폐기 전송 사용 저장 유출자 관점 분석 외부자로부터의 On-line 위협 위협 정보 2. 대상 및 프로세스 관점 분석 외부자로부터의 Off-line 위협 위협 위협

3. 진단-유출자의 관점 정보유출대응 아키텍쳐 내부자에 의한 On-Line 정보유출 외부자에 의한 On-Line 정보유출 1 고객정보 업무정보 Soft Copy Hard Copy E-Mail Media 정보 내부자에 의한 On-Line 정보유출 2 외부자에 의한 On-Line 정보유출 3 3 내부자에 의한 Off-Line 정보유출 외부자에 의한 Off-Line 정보유출

3. 진단-유출자의 관점 Application 및 DB 사용자 네트워크 S1. 인증 정보 유출 시나리오 S3. PC 취약점을 통한 정보 유출 시나리오 S4. 피싱 메일을 통한 정보 유출 시나리오 S5. 스니핑을 통한 정보 유출 시나리오 S6. 무선 네트워크를 통한 정보 유출 시나리오 내부자의 공격을 통한 유출 - 내부 타 시스템 공격을 통한 유출 - 내부 타 PC를 공격을 통한 유출 - 타 메일 등 공격

3. 진단-유출자의 관점 S1. 사내 Mail을 통한 정보 유출 시나리오 S2. Web Site를 통한 정보 유출 시나리오 S3. Messenger를 통한 정보 유출 시나리오 S4. P2P를 통한 정보 유출 시나리오 S5. FTP 및 Telnet을 통한 정보 유출 시나리오 S6. 저장매체를 통한 정보 유출 시나리오

3. 진단-유출자의 관점 공개 System 홈페이지 거래 구매 그룹웨어 외부해커 그룹웨어 공개 System 공격을 통한 정보유출 - 관리자 권한 획득 - 홈페이지 변조 - 업무정보 유출 기타 기타 기타

3. 진단-유출자의 관점 1. 문서 방치 2. 노트북 관리 3. 저장매체 관리 4. 반출입 관리 외부자의 물리적 무단 침입 가능성 - 출입 통제 및 탐지 현황, 관리적 방법(Social engineering) 사용 가능체크 내/외부자의 물리적 내부정보 유출 가능성 - 부서별 시건상태, 문서방치, PC관리, 게이트 통제, Social engineering 사용 가능 체크 5. 공간의 물리적 침투

3. 진단-대상 및 프로세스의 관점 ? 대상 부서별 취급 정보 파악 정보 취급 개요 파악 정보 취급자 현황 취급자수 취급 활동 R&D 정보 대외 공개 정보 대상 부서별 취급 정보 파악 고객 정보 인사 정보 재무/회계 정보 경영/기획 정보 ? 정보 취급자 현황 취급자수 취급 활동 정보 취급자 정보 취급 개요 파악 정보 System 현황 System 명 System 정보 관련 Application 생성 폐기 전송 사용 저장

3. 진단-대상 및 프로세스의 관점 생성 및 식별 사용 전송 보존 폐기 정보 Flow Diagram 취약성 및 위험 분석 정보식별 접근 조회 수정 내부망 전송 외부 전송 PC보관 데이터베이스 보관 매체 보관 문서 보관 문서폐기 매체폐기 데이터폐기 정보 Flow Diagram 취약성 및 위험 분석 기술대안 관리대안(Process 개선)

4. 또 하나의 문제 1 정보 2 전화 mail /게시판 등 고객정보 업무정보 Soft Copy Hard Copy E-Mail Media 정보

5. 대응 체계 Application 공 통 관 리 Life-Cycle 조직 체계 정책 체계 보안 체계 기술 체계 STATUS 관리적 기술적 물리적 TECHONLOGY PEOPLE PROCESS 공 통 관 리 Life-Cycle Application 목표 조직 체계 정책 체계 보안 체계 기술 체계 PEOPLE PROCESS ENVIRON -MENT TECH -NOLOGY STATUS To-Be 체계 수준도

5. 대응 체계 보안자료

5. 대응 체계 개념적 평가 설계 평가 System Development Lifecycle PIA Work Project Work Streams Project Phases: Conceptual Design Build Test Implement Evaluate PIA Work 평가 End-to-End 평가 보안영향평가 Phases: Data System Development Lifecycle 개념적 평가 설계 평가

6. 결론 완벽한 정보유출 대응은 불가능할 뿐 더러 바람직하지도 않음 가장 Impact가 큰 법적 준수와 고객정보, 내부 핵심정보 우선 사람의 실수를 통한 유출을 최소화하기 위한 체계 우선 의도적 유출대응을 위해서는 완벽한 예방보다는 증거확보체계 정비, 끊임없는 관리적 대응활동 필요

Q&A