정보보안에 관해 알아야할 모든 것 정보보안의 정의 정보보안의 필요성 정보보안의 고려요소들 침해사고 분석 및 대응

Presentation on theme: "정보보안에 관해 알아야할 모든 것 정보보안의 정의 정보보안의 필요성 정보보안의 고려요소들 침해사고 분석 및 대응"— Presentation transcript:

1 정보보안에 관해 알아야할 모든 것 정보보안의 정의 정보보안의 필요성 정보보안의 고려요소들 침해사고 분석 및 대응
국내정보보안 현행법률 정보보호시스템 평가/인증체계 국내/외 정보보안관련기구(참조)

2 정보보안의 정의 정보자산을 공개/노출,변조/파괴,지체/재난등의 위협으로부터 보호하여 정보의 기밀성,무결성,가용성을 확보하는 것[일반적 정의] 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 이를 통해 이루어지는 행위[BS7799] 우연히 혹은 의도적으로 허가 받지 않은 정보의 누출, 전송, 수정, 파괴 등으로부터의 보호[Information Warfare, July 1996]

3 정보보안의 필요성 전자상거래, 전자정부 등 사이버 공간에서의 활동 증가에 따른 안전 신뢰성 해결
글로벌화에 따른 국내 정보 유출 우려 정보화 국가 중요 기반에 대한 보호 필요 조직의 신뢰성 상실 업무처리 무결성 상실 시스템의 가용성 상실 직접적인 자산손실 경쟁력 약화 법규의 위반 사업기회의 상실

4 정보보안의 고려요소들 각 OS의 보안 네트워크 보안 애플리케이션 보안 전자상거래 보안 무선 보안 암호화 전자서명 인증체계
PKI(공개키기반기술) 바이러스 생체인식 보안 프로토콜 방화벽 침입탐지시스템 VPN(가상사설망) ESM(통합보안관제기술) 해킹 기법 및 대책 보안도구 이해 및 활용 보안모델 설계 및 구현 보안관리 프로세스 보안평가 기준 및 제도 기타등등

5 침해사고 분석 ’02.2 국내 해킹사고 현황

6 계속(공격수법별) 구 분 건 수 비 고 사용자 도용 43 개인사용자계정 도용 등 S/W 보안 오류 - 버퍼오버플로우 취약점
- 버퍼오버플로우 취약점 38 snmp, named/bind 등의 취약점 이용 구성·설정 오류 6 사용자 권한 설정 오류 악성 프로그램 58 Nimda 웜, 윈도우즈 트로이목마 등 프로토콜 취약점 서비스 거부 공격 4 서비스 거부 관련 공격 2 스팸메일 관련 공격 취약점 정보수집 173 named/bind, ftpd, rpc 취약점 스캔 사회 공학

7 계속(불법행위별) 구 분 건 수 비 고 침입시도 259 취약점 정보수집 등을 이용한 침입시도 불법침입 55
일반 및 관리자 권한 획득 자료유출 중요자료의 유출 자료 변조·삭제 불법자원사용 7 피해시스템의 자원을 무단 홈페이지 변조 1 시스템 파괴 시스템 오류 서비스 거부 2

8 계속(피해 운영체제별) 운영체제 피해건수 Linux 95 Windows NT/2000 29 HP-UX 2 N/A 100
Solaris 3 CISCO DEC/IRIX AIX Windows 95/98 Digital Unix

9 계속(연도별 침해사고접수 현황) 년도 `96 `97 `98 `99 `00 '02. 2월 전체 건수 147 64 158 572
1,943 913 9,130

10 계속(월별 침해사고접수 현황 ) ’02 국내 해킹사고 현황

11 침해사고 대응 목적 컴퓨터 사고는 매우 현실적인 일이며 적절하지 못한 대응은 반복적인 침입을 발생시킴
보안 사고 및 오작동으로 인한 손해를 최소화하고 보안 사고들을 감시하고 보안 사건들로부터 향후 필요한 정보들을 얻기 위함 컴퓨터 사고는 매우 현실적인 일이며 적절하지 못한 대응은 반복적인 침입을 발생시킴

12 계속(사고대응) 개인 또는 조직내 정보자산에 많은 해킹이 발생함을 객관적인 자료(공격유형이나 통계자료등)를 가지고 인지시킴 ( 참조) 타부서 또는 대외 관련조직과의 협력을 통해 예방을 최우선으로 함 주기적인 보안교육실시

13 침해사고 대응 단계(1) 보안에 영향을 주는 사고들은 가능한 한 빠른 경로를 통해 보고
조직의 자산 보안에 영향을 줄 수 있는 여러 유형의 사고(보안 위반, 위협, 약점, 오작동)를 보고할 수 있는 절차를 숙지 보안 사고 발생시나 의심이 되는 경우 지정된 연락처로 신속히 연락 ( 보안 사고를 처리하기 위해, 사건이 발생한 후 신속히 증거들을 수집

14 침해사고 대응 단계(2) 주기적인 네트워크/시스템 모니터링 및 사고발생시 대응 피해시스템 분석 사고발생 리포트작성
침입흔적 분석 침입경로 분석 원인 및 취약성 분석 임시보안 조치시행 피해시스템 복구 침입자 추적 보안시스템 적용 재침입감시

15 침해사고 대응 단계(3) 적극적 사고대응 발견시 항의 전화 및 메일발송 침입자 신상공개 법적인 대응조치

16 침해사고 대응팀-IRT IRT(INCIDENT RESPONSE TEAM)의 역할 침해사고 접수 및 처리 침해사고 정보관리
해킹 기법 분석, 시행, 대책 대외업무 내부보안등

17 계속(사고대응팀-IRT) IRT구성방법 중앙집중형 분산형 절충형 중소규묘의 기관에서 하나의 IRT를 통하여 모든 침해사고 처리
비용 효율적이며, 업무의 중복성배제, 업무의 일관성 유지 각 조직의 하부조직에 대한 통제 필요 분산형 대규모 기관에서 하나의 IRT를 통하여 지원하기 힘든 경우 각 하부조직별로 별도의 IRT구성 절충형 중앙에 IRT가 존재하며, 각 하부조직별로 별도의 IRT구성 신속한 대응업무가 가능하며, 중앙 IRT를 통한 업무협조 원할

18 계속(사고대응팀-IRT) IRT현황 국내 CERT협력센타: CERTCC-KR 일반 기업IRT 상용 IRT서비스 기관
각 국가를 대표하는 IRT: CERT-IT, JPCERT… 일반 기업IRT 자사 또는 고객을 위한 IRT서비스제공:보잉, PRUDENTIAL, VISA… 상용 IRT서비스 기관 IRT 유료서비스 제공: ISAC, PARA-CERT… 대학 IRT 미국의 경우 거의 모든 대학교에서 IRT운영 VENDOR IRT SUN, CISCO, MS, HP…

19 국내정보보안 현행법률 정보화촉진기본법 전자서명법 정보통신기반보호법 정보통신망 이용촉진 및 정보보호등에 관한 법률 전자거래기본법

20 1.정보화촉진기본법 목적 정보화의 촉진 정보통신산업기반조성 정보통신기반의 고도화실현 국민생화의 질향상 국민경제의 발전에 이바지

21 2.전자서명법 목적 인터넷등 정보통신망을 통하여 처리되는 전자문서의 안전 및 신뢰성 확보
전자상거래의 활성화, 전자정부구현,전자화폐의 이용 정보화를 촉진하고,국민생활 편익증진

22 3.정보통신기반보호법 목적 전자적 침해행위에 대비하여 주요정보통신기반시설(행정,국방,치안,금융,통신,운송,에너지,의료)의 보호에 관한 대책을 수립,시행함으로써 동 시설을 안정적으로 운용 국가의 안전과 국민생활의 안정을 보장

23 4.정보통신망 이용촉진 및 정보보호등에 관한 법률
목적 정보통신망의 이용을 촉진 정보통신서비스를 이용하는 자의 개인정보를 보호 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성 국민생활의 향상과 공공복리의 증진에 이바지

24 5.전자거래기본법 목적 전자문서에 의하여 이루어지는 거래의 법적 효력을 명확히 하여 그 안전성과 신뢰성의 확보
거래의 공정을 기함 건전한 거래질서를 확립 전자거래를 촉진 국민경제의 발전에 이바지

25 정보보호시스템 평가/인증체계 평가/인증 제도의 필요성 정보통신 기술의 발달로 정보시스템 사용증가
인터넷 등 정보통신망을 통한 취약성 및 외부위협 가중 정보보호시스템 자체 취약점 노출시 위험 상존 안전/신뢰성있는 정보보호시스템 사용을 통한 역기능 방지

26 계속 평가/인증의 효과 체계적인 정보보호 인프라 구축을 통한 정보화 역기능 제거
보호수준에 적합한 적정 등급의 정보보호시스템 운용으로 비용절감 다양한 정보보호시스템 시장 창출로 정보보호 관련산업 육성

27 국제정보보안 공통평가기준(CC) 정보보호시스템의 보안성에 대한 안전·신뢰성을 입증하기 위한 평가기준
 정보보호시스템의 보안성에 대한 안전·신뢰성을 입증하기 위한 평가기준 모든 정보보호시스템 유형을 포괄할 수 있는 보안요구사항을 제시한 평가기준 국제공통평가기준(CC, Common Criteria)이 ISO/IEC에서 국제표준(ISO 15408)으로 제정 *참조:

28 국외 정보보호시스템 평가체계 북미 유럽 미국의 평가체계 캐나다의 평가체계 영국의 평가체계 독일의 평가체계 프랑스의 평가체계
네델란드의 평가체계 호주의 평가체계

29 평가체계(미국)-I 평가기준 : TCSEC, TNI, TDI, FC
평가등급 : C1, C2, B1, B2, B3, A1 (D급은 부적절) TPEP : TCSEC에 의거한 평가절차 TCSEC의 B2등급 이상, CC의 EAL5 이상 평가 TTAP : 민간 평가기관의 평가절차 현재 Arca System 등 5개기관 선정 TCSEC의 B1급까지 평가 Rainbow 시리즈 발간 Any of several series of technical manuals Distinguished by cover color 정형화 검증시스템, 형상관리, 보안모델링 지침 평가기관 : NSA 산하 NCSC (TPEP), 5개 민간평가기관 (TTAP) 인증기관 : NSA(TPEP), TTAP 감독위원회(TTAP)

30 평가체계(미국)-Ⅱ TCSEC Trusted Computer System Evaluation Criteria
Defined in “The Orange Book” 안전한 컴퓨터시스템의 구축 및 평가등에 관한 지속적인 연구 결과로 1983년에 소위 "Orange Book"으로 불리우는 안전한 컴퓨터시스템 평가기준인 TCSEC 초안이 제정되었고 1985년에 미 국방부 표준(DoD STD)으로 채택

31 평가체계(미국)-Ⅲ Security Level D level : 보안이 전혀 고려되어 있지 않은 시스템(Windows)
C1 level : 사용자 단위의 접근제어, 그룹별 접근 관리 (일반적인 UNIX) C2 level : C1을 강화, 보안에 관계된 것을 기록, 감시 (Windows NT, shadow password를 가지는 UNIX) B1 level : 모든 데이터가 보안등급 유지. 데이터마다 다른 접근 권한 B2 level : 보다 체계적인 보안등급. 모든 데이터에 접근하는 방법을 결정가능. S/W, H/W를 같이 사용 B3 level : 시스템 운영에 관한 보안 분석과 테스트가 가능 A1 level : B3와 같으나 보안성이 수학적으로 증명. 시스템 보안에 대한 완전한 보안 모델이 존재

32 평가체계(캐나다) 평가기준 : CTCPEC 평가등급 : T1, T2, T3, T4, T5, T6, T7 (T0급은 부적절)
TPEP : 미국과 공동 운영 CSE (Communications Security Establishment) 평가기관 : 4개의 민간 평가기관

33 평가체계(영국) 평가기준 : ITSEC 평가등급 : E1, E2, E3, E4, E5, E6 (E0급은 부적절) ITSEM
5개의 민간평가기관 (CLEF) CB 상무부 (DTI)와 CESG 공동 구성 UKAS 평가기관을 포함한 모든 시험소의 자격과 업무수행 능력평가 및 승인

34 평가체계(독일) 평가기준 : ITSEC 평가등급 : E1, E2, E3, E4, E5, E6 (E0급은 부적절) ITSEM
7개의 민간평가기관 (ITSEF) BSI 3개의 민간 평가기관 (TUV IT, TUV PS, debis IT Security Service)

35 평가체계(프랑스) 평가기준 : ITSEC 평가등급 : E1, E2, E3, E4, E5, E6 (E0급은 부적절) ITSEM
AQL 등 4개의 ITSEF 정보시스템 보안센터 (SCSSI) 관리위원회: 평가기관 인정등 제반 평가정책 수행 의장 : DSSI의 장, 위원 : 산업부?국방부 담당자, SCSSI 장

36 평가체계(네덜란드) 평가기준 : ITSEC 평가등급 : E1, E2, E3, E4, E5, E6 (E0급은 부적절) ITSEM
NL-NCSA (국가통신보안국) 현재 국가보안용 암호장비에 대한 보안성 평가 수 정보보호시스템 전반적인 평가 미실시 국제공통평가기준(CC)에 의한 평가 준비

37 평가체계(호주) 평가기준 평가지침서:CEM (Common Evaluation Methodology) 평가기관
CC (Common Criteria) 평가등급 : EAL1-EAL7(EAL0은 부적합) 평가지침서:CEM (Common Evaluation Methodology) 평가기관 정부기관 DSD(Defence Signals Directorate) 민간기  Admiral CSC (Computer Sciences Corporation) 인증기관 : DSD(Defence Signals Directorate)

38 국내 정보보호시스템 평가체계도 한국정보보호센터 정보통신부 국가정보원 평가신청인 사용자 개발자 평가제도 및 체계협의 기준준수권고
인증결과서 및 인증서 교부 평가제출물 지원 평가제출물 보완 평가제품 사용권고 인증제품 대장제공 운영지원 평가관련정책수립 평가보고서 정보보호 기술지원 평가신청 평가제출물

39 국내 정보보호시스템 평가체계(1) 평가제도의 목적 평가기준 ITSEC 사용국가 : 스웨덴, 오스트리아, 이태리, 호주
정보시스템의 안전 운영에 필요한 보안요구 수준에 상응하고 신뢰성있는 정보보호시스템 보급 확대 정보보호시스템의 성능과 신뢰도에 대한 평가기준을 제공하여 이용자의 인지도 및 선택상의 편익향상 평가기준 정보화촉진기본법에 의거한 국내 유일의 평가기준 세계적으로 7번째 기준 제정국 미국 : TCSEC('83), TNI('87), TDI('91), FC('92) 영국, 독일, 프랑스, 네덜란드 : ITSEC V1.0('90) ,ITSEC V1.2('91) 캐나다 : CTCPEC('93) ITSEC 사용국가 : 스웨덴, 오스트리아, 이태리, 호주 CC개발국가 : 미국, 영국, 캐나다, 독일, 프랑스, 네덜란드 국제공통평가기준 : CC V2.0('97) 국제공통평가기준 : CC V2.0 FCD('98) 국제공통평가기준 : CC V2.1(1999년)

40 국내 정보보호시스템 평가체계(2) 국내의 정보보호 시스템 평가 및 인증 침입차단시스템평가시행(’98.2)
평가: 한국정보보호진흥원(KISA) 인증: 국정원(NIS) 침입차단시스템평가시행(’98.2) 침입탐지시스템평가시행(’00.7) 정보보호 표준화 및 정보보호 평가체계에 대한 참조(

41 국내 침입차단시스템 평가체계 평가기준 평가지침서: 침입차단시스템 평가기준 평가기관 정보통신망 침입차단시스템
평가등급 : K1, K2, K3, K4, K5, K6, K7 (K0급은 부적절) 평가지침서: 침입차단시스템 평가기준 평가기관 국가정보원(공공기관용 보안기능 요구사항) * 국정원은 공공기관용 제품 평가후 인증서 발급

42 국내 침입탐지시스템 평가체계 평가기준 평가지침서: 정보통신망침입탐지시스템 평가기관 등급별 보안기능요구사항 및 보증요구사항
평가등급 : K1, K2, K3, K4, K5, K6, K7 (K0급은 부적절) 평가지침서: 정보통신망침입탐지시스템 평가기관 국가정보원(공공기관용 보안기능 요구사항) * 국정원은 공공기관용 제품 평가후 인증서 발급 한국정보보호진흥원

43 각국의 평가체계 요소별 비교

44 ISO/IEC JTC1/SC27그룹 국제 표준기구인 ISO/IEC JTC1에서 정보보안관리 지침 표준화는 SC27(정보보안기술 표준화 분과위원회) WG1에서 작업 국제적인 정보보호 관련 표준화 기구중 가장 대표적인 그룹 ISO와 IEC의 표준화 활동으로인한 중복투자를 감소시키고 보다 나은 결과를 도출하기 위해 연합으로 조직 안전성 평가 및 감사 기술 분야를 포함하여 정보 보안 기술 전반에 대한 표준화를 수행

45 계속 현재 3개 작업그룹(WG ; Working Group)운영 정보보호관리기준 표준화는 WG1에서 진행
ISO/IEC JTC1/SC27 WG1에서는 다음의 두 가지 문서를 중심으로 표준화 추진 ISO/IEC TR 13355 Guidelines for the management of IT Security ISO/IEC DIS 17799 Code of practices for information security management

46 국제정보보호 관리기준 ISO/IEC13335 BS7799/ISO17799

47 ISO/IEC13335 구성 TR (Part 1) Concepts and Models of IT Security ( TR) TR (Part 2) Managing and Planning IT Security ( TR) TR (Part 3) Techniques for the Management of IT Security ( TR) TR (Part 4) Selection of Safeguards (DTR) TR (Part 5) Management Guidance on Network Security (PDTR)

48 계속 PART1/PART2 PART3 PART4 PART5
보안관리의 개념, 과정모델 및 위험관리와 기획 프로세스에 대한 내용들을 포함 PART3 보안관리 과정에서의 구체적인 기법들을 제시 PART4 보안요구사항과 조직의 특정환경에 따라 보안대책을 어떻게 선정하는 과정을 기술 적절한 보호수준을 달성하기 위한 방법과 기본적 보안대책 적용예시 PART5 인터넷과 같은 외부 네트워크와 연결된 상황에서의 보안대책을 선정방법을 기술

49 BS7799/ISO17799 개념 정보보안관리 시스템 요구사항 10개의 보안관리항목 36개의 관리목표 127개의 관리방안

50 계속 ISMS(Information Security Management System)정보,보안관리 문제가 지구촌 정보화시대에 있어서 기업 경영의 한 축으로서 대두 체계적으로 접근하기 위한 정보,보안관리 시스템 인증의 필요성이 요구 인증제도에 대한 절차는 ISO9001등의 기존 인증절차와 대동소이한 절차를 따르며, 예비심사(선택사항), 초기방문, 인증 본심사, 사후관리심사 등의 주요단계로 이루어짐 영국에서 제정되었으나 이미 많은 국가에서 국가 표준으로 채택 적용

51 계속 정보보안 경영을 위한 영국의 표준 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 관리할 수 있는 의도된 방법제시 2개의 PART로 구성 Part1은 실행지침 성격이며 10개의 Section으로 구성 Part2는 인증규격으로 적용되는 10개의 요구사항으로 구성

52 BS7799/ISO17799-PART1 목적 정보보안관리에 대한 실행지침
보안방침 : 정보보안 경영에 대한 방침과 지원 사항을 제공 보안조직 : 조직 내에서 보안을 효과적으로 관리하기 위해서는 보안에 대한 책임을 설정 자산분류 및 관리 : 조직의 자산에 대한 적절한 보안책을 유지 직원의 보안 : 사람에 의한 실수, 절도, 부정 수단이나 설비의 잘못 사용으로 인한 위험의 감소 물리적 및 주변환경에 대한 보안 : 비 인가된 접근, 손상과 사업장 및 정보에 대한 영향을 방지

53 계속 의사소통 및 운영관리 : 정보처리 설비의 정확하고 안전한 운영을 보장 접근통제 : 정보에 대한 접근통제
시스템개발 및 유지 : 정보 시스템 내에 보안이 수립되었음을 보장 사업 지속성 관리 : 사업활동에 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호 부합성 : 범죄 및 민사상의 법률,법규, 규정 또는 계약 의무사항 및 보안 요구사항의 불일치를 회피

54 BS7799/ISO17799-PART2 목적 정보보안관리시스템에 대한 명세 BS7799:1999에 기초 정보보안관리시스템(ISMS)를 수립,구현,문서화,문서통제, 기록하는데 필요한 요건을 규정 각각의 조직의 요구에 따라 구현되어지는 요건을 규정

55 BS7799 전체구조 정책수립 Information Security Management System (ISMS) 수립
Risk Assessment Risk 관리방안 통제선택 실행계획 Information Security Management System (ISMS) 기록

56 BS7799 인증과정 Establish a Framework : 인증을 받고자 하는 기관은 BS 7799:Part 2 에 따라 ISMS를 구축 Estimate : BSI에서 심사에 필요한 기간 및 비용을 계산 Submit an Application : 인증심사 요청서 및 계약서 작성 및 제출 Undertake a Review : 인증기관에 의한 서면검토 실시 On-Site Review : 인증기관에 의한 현장심사 실시 및 개선권고사항 제시 Completion : 심사종료 및 인증서 발행

57 계속(인증 절차1) 우선 규격에 따라 시스템을 수립
시스템 수립 후 인증기관에 인증을 신청하면, 인증기관에서는 수립된 품질시스템에 대한 문서검토(Document Review)를 실시 문서검토 사항을 중심으로 초회방문(Initial Visit)을 실시 회사의 규모에 따라 문서검토와 초회방문이 동시에 이루어지는 경우도 발생 다음으로 본심사(Initial Audit)로서 구성원과 인터뷰를 통해서 시스템에 대한 구성원의 이해 및 실행상태를 파악 및 실행에 대한 기록들을 점검

58 계속(인증 절차2) 요건에 대한 문제점이 발견되면 부적합 보고서를 발행하고 이에 대한 적절한 시정조치가 확인되면 3년간 유효기간이 명시된 인증서가 발행 3년 동안 계약서에 명시된 주기에 의해 정기 사후관리심사(Periodical Audit)가 통상 6개월 또는 일년 주기로 실시 인증서 만료에 앞서 갱신심사(Recertification Audit)로 인증서의 유효기간은 연장

59 수고하셨습니다! Subject: Jane Doe Issuer: CA1 Subject’s Public key:
Not Before: 6/18/99 Not After: 6/18/06 Signed: Serial Number: Subject’s Public key: public Secure Client Authentication Issuer: CA1 Key 수고하셨습니다!