SlideShare a Scribd company logo

security framework2.20

Download as PPSX, PDF
skccsocial
skccsocial
1 of 75
개인정보 보호  개인정보보호 아키텍처 구현방안 – 개인정보 분류 및 정의 (OECD 기준 등 참고) – 분류별 접근제어방안 마련(등급/절차/가이드라인) – 시스템 구축 – 개인정보 사전영향 평가제 – 시스템 가동 및 연동  관련 표준 – P3P: 제공자가 요구하는 개인정보보호 수준을 게시하고 사용자가 이에 따라 Access여부를 판단하는 Scheme – OECD: 개인 데이터의 국제유통과 프라이버시 보호에 관한 가이드라인 • 수집제한의 원칙(Collection Limitation Principle): 적법수집, 동의기반 수집, 민감정보 제외 수집 • 정보정확성의 원칙(Data Quality Principle): 이용목적관련성, 필요한 범위 내 정확성 확보 • 목적명시의 원칙(Purpose Specification Principle): 수집목적의 명시, 목적별 적법 이용 • 이용제한의 원칙(Use Limitation Principle): 목적 외 이용 금지 • 안전성확보의 원칙(Security Safeguard Principle): 물리적/기술적/관리적 조치 • 공개의 원칙(Openness Principle): 개인정보 정책 공개, 개인정보 관리자 관련정보에 대한 접근 용이성 • 개인참가의 원칙(Individual Participation Principle): 정보주체의 열람/정정/삭제 청구권 • 책임의 원칙(Accountability Principle): 개인정보 관리자에게 원칙 준수 및 책임부과 – HIPAA (Health Insurance Portability and Accountability Act)  관련 시사점 – 기업에게 금전적, 사회적으로 회복이 어려운 Damage가 가능하므로 신중한 대응 필요 – 기업규모에 맞는 관련 인프라 구축 – U-Privacy대비 필요 – ISMS(KISA), ePrivacy/i-Safe(KAIT), 개인정보 등급인증제(CPO Forum) 등 산재한 인증의 교통정리 필요 -0- ㈜ 인포레버컨설팅 교육사업본부
개인정보 보호-정보통신망법 주요개정 내용(1차)  대상확대 – 정유사, 결혼중개업소 등 14개 업종 22만 업체 추가 (기존 12만 사업자)  암호화 기준 확대 – 기존: 인증 속성(패스워드) – 변경: 인증속성, 민감정보 (금융정보)  법안 위반 시 처벌 강화 – 과태료 과징금: 처벌강화 동의 없는 수집 및 위탁 등 – 형벌과징금/형벌 병과: 3자 제공, 동의 없는 목적에의 이용 – 과태료 상향조치: 파기의무 위반, 각종 통지내역의 미 통지 – 누설된 개인정보의 수령자까지 처벌  주민등록번호를 사용하지 않는 회원가입방법 제공 의무화 – iPIN, GPIN – 공인인증서, 핸드폰 인증 등 -1- ㈜ 인포레버컨설팅 교육사업본부
개인정보 보호-정보통신망법 주요개정 내용(2차)  개인정보 수집 시 제3자 제공․취급위탁에 대한 포괄동의 금지 – 수집, 3자 제공은 비교적 잘 지켜지고 있음 – 향후 취급위탁(ITSM, 운영 아웃소싱 등)에 대해서도 별도의 동의를 받아야 함  개인정보 누출 시 통지 의무 부과 – 누출사실을 이용자와 방통위에 신고의무 부과 – 향후 법적 분쟁으로 이어질 시 기업/기관에 미치는 영향이 클 것으로 예상  불법 광고성정보 전송자 정보 공유 (ISP간 Black List 공유, 성명/연락처 등)  저장정보 보호 – 블로그, 이메일 등 온라인상의 개인자료를 서비스 종료와 함께 이용하지 못하는 경우 대비(네띠앙 케이스) – 서비스 종료 시 30일간 다운허용(보증보험계약 등 체결)  정보검색결과의 조작금지 – 포털 조회어 순위 조작 행위가 전면 금지되며 SP는 이를 위한 관리적/기술적 조치 실시 – 금지의 가이드라인이 애매함  온라인 광고비용을 증가시키는 행위 금지 – 종량제 광고 시 타인광고의 예산한도를 소진시킬 목적으로 행하는 부정클릭 금지  불법정보 유통 방지를 위한 모니터링 의무 부과 – 금칙어, 음란물 등의 게시에 대한 모니터링 의무화 – 다만 비용증가를 고려, 과태료 조항 없음 -2- ㈜ 인포레버컨설팅 교육사업본부
개인정보 보호-개인정보보호법 주요제정 내용  의미 – 정보보호 사각지대 해소 – 감독기관, 사업별 상이한 개인정보 보호수준의 상향 평준화  주요내용 – 의무 적용대상 확대(망법 적용 대상  모두) – 고유식별정보(주민등록번호)의 원칙적 처리 금지(별도동의, 법령근거 시 허용) – 마케팅에 대한 포괄동의 금지 – 공공기관 개인정보 사전영향평가 실시 의무화(대규모 개인정보 등 침해위협이 높은 경우) – 개인정보보호위원회의 상설기구화(국무총리소속: 심의, 의결, 분쟁조정, 일부 집행) – 처벌수준 강화(3년 이하 징역5년 이하 징역)  망법과의 관계 및 쟁점사안 – 정보통신망법에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법에 따름 (기술적 보호조치의 경우는 대부분 망법에 규정된 바에 준용 가능) – 이용자의 개인정보정보주체의 개인정보 (직원의 개인정보는???) -3- ㈜ 인포레버컨설팅 교육사업본부
개인정보 보호-정보통신 망법 관련 개인정보 기술적/관리적 보호조치 기준  정보통신서비스 제공자의 해석범위 – 정보통신서비스 제공자 등 (인터넷으로 연결되는 웹사이트를 개설하면 해당됨) – 정보통신서비스 제공자에게 개인정보를 제공받은 자 – 준용사업자, 운영/관리 수탁자, 타 법률에서의 규정자  개인정보의 삭제 – 개인정보: 완전파괴(물리적 파쇄), 전용소자장비(자화솔루션), 완전포멧3회/완전삭제 솔루션 – 비밀자료: 완전파괴, 전용소자장비  개인정보의 암호화 – 비밀번호, 바이오정보의 일방향 암호화(MD5, SHA-1) – 주민번호, 계좌번호/카드번호 등의 금융정보의 양방향 암호화 실시 – 저장 및 송/수신 시 암호화되어야 함. – PC에 다운로드 시 암호화되어야 함(ZIP파일+비밀번호, 오피스파일 비밀번호도 가능)  개인정보 표시제한 보호조치 -4- ㈜ 인포레버컨설팅 교육사업본부
개인정보 보호-개인정보 사전영향 평가제/PIMS http://www.sw.or.kr/ftp/2008/07/Track_1/T1_4_에이쓰리시큐리티.pdf -5- ㈜ 인포레버컨설팅 교육사업본부
개인정보 보호-개인정보 사전영향 평가제/PIMS -6- ㈜ 인포레버컨설팅 교육사업본부
Compliance 대응방안  내부통제 시스템이 존재하는 경우 – 솔루션 제공사, 구축사와 협의하여 프로세스 반영 – 현실적으로 가장 확실한 통제력 보유  정보보호 프레임워크가 존재하는 경우 – ISO27001, ISMS 등 – 방법론의 Check List를 Customizing – 프로세스화 되지 않은 인증용 프레임워크의 경우는 통제력이 부족하므로 주의 필요. 실제 Live한 프로세스의 존재여부가 중요함  둘 다 없을 경우 – “(가칭)보안성 검토” 프로세스와 개발보안 가이드 필요 – 개발보안 가이드에 근거를 둔 보안성 검토 체크리스트 개발 필요 – 전산투자가 “보안성 검토”를 받지 않으면 이뤄질 수 없도록 하는 절차적 정당성 확보 필요 – “보안성 검토”를 PMS와 연계하면 더 확실한 성과획득 가능 – 가급적 개인정보를 취급하지 않는 것이 매우 유리함  보안 전담 인력/조직의 필요성 – 정보통신망법 개정방향, 개인정보보호법 신설등 각종 규제의 강화 추세 – 기업이 일상적으로 수용할 수 있는 Risk의 크기를 넘어서고 있음 – 일시적인 점검에 의한 반영으로 보안 Compliance를 해결하기에는 IT 인프라가 너무 복잡함 – 일정규모이상의 기업규모에서는 보안성 검토 및 규제관련 대응을 전담 할 보안인력 필요 -7- ㈜ 인포레버컨설팅 교육사업본부
7-2. Digital Forensic Preview 항목 상세내역 컴퓨터의 디지털 자료, 컴퓨터를 매개로 일어난 행위의 사실관계를 규명/증 개요 명하는 기법 기출여부 78, 83 관련KeyWord 도구, 절차, Anti-Forensic, e-discovery http://forensic-proof.com/archives/363 추천사이트 http://blog.naver.com/PostView.nhn?blogId=tomnjery&logNo=120960924 기술발전 RoadMap 기타 미국과 한국의 법제환경 차이점 인식 필요 -8- ㈜ 인포레버컨설팅 교육사업본부
Digital Forensic  개요 – 컴퓨터의 디지털 자료, 컴퓨터를 매개로 일어난 행위의 사실관계를 규명/증명하는 기법 – 법적 증거, 상거래상 분쟁의 증거, 개인정보 보호 등 늘어난 기업의무  포렌식의 원칙 – 정당성: 자료수집 방식의 적법성 – 재현성: 동일환경에서의 동일결과 재현 – 신속성: 증거멸실 전 수집 – 연계보관성: 획득에서 제출까지 단계적 책임자 명시 – 무결성: 위변조 방지  포렌식 도구 – Replication, Data Exam, Integrity checker, 시스템분석  포렌식 절차 – 수사준비(인력/장비)>증거획득(목록/무결성)>보관/이송(봉인/통제/이중화)> 분석/조사(signature, History, Time line, 복구)>보고서  적용범위 – 컴퓨터 범죄수사, 명예훼손 등의 민사소송, 침해예방/대응  Anti-Forensic 및 대응기술 – 복구기법회피: Data Exam, 자료검사 – 증거자동삭제: 복구도구(고의훼손에 대한 복구) – 데이터은닉: 암호해독  고려사항 – 내부통제를 통한 범죄가능성의 사전차단, 민사소송을 연계하여 발생가능성 차단, 민간 포렌식의 법적 증거 인정 -9- ㈜ 인포레버컨설팅 교육사업본부
7-3. ISO27000 Series Preview 항목 상세내역 개요 정보보호 체계에 관련된 일련의 국제표준 셋 기출여부 69, 77, 86 관련KeyWord 정보통신망법/개인정보보호법, 기술적/관리적 보호조치 기준 추천사이트 기술발전 27001기반 표준확대(쉽지 않음), 개인정보보호 프레임워크와의 결합 RoadMap 기타 - 10 - ㈜ 인포레버컨설팅 교육사업본부
ISO 27000 Series  개요 – 조직 정보보호의 계획/구현/운영/검토/개선의 각종 관리체계 표준 – 프로제스 개선을 통한 보안수준향상 및 대외 이미지 재고 – ISO27000 Series의 변천내역 Code of Conduct Part 1 ISO 17799 ISO 27002 BS 7799 Part 2 ISO 27001 ISO 27001 ISMS Specification  ISO27000 Set – 27001: ISMS 심사/인증규격 – 27002: 실행지침 – 27003: 실행 가이드라인(제정 중) – 27004: 평가매트릭스, 평가방법(제정 중) – 27005: 위험평가(제정 중)  ISO27001 인증 절차 – 준비단계 • 현황평가(인증정의, 현황분석): 인증범위 정의서, 현황분석 보고서 • 위험평가(자산중요도/취약성평가): 자산목록, 위험평가 보고서 • 정보체계 구현(정책/지침수립, 운용현황 문서화): 정책서, 적용성 보고서 • 이행(관리체계 이행/감사): 내부감사 보고서 – 인증/심사 • 산출물/문서 심사예비심사현장심사(본심사)인증서 교부(심사 마지막 날에 배부) - 11 - ㈜ 인포레버컨설팅 교육사업본부
ISO 27000 Series  ISMS (Information Security Management System) – 기업/기관의 체계적 정보보호 체계 – 프로세스 접근모델 (정보보호 프로세스와 시스템의 Design/Implementation/Maintenance) • Plan: ISMS정책/목표/프로세스/단위절차 • Do: Plan내역의 구현 및 운영 • Check: 실행내역의 성과측정/평가 및 보고 • Act: 관련 규정에 의거 수행되는 수정 및 예방활동 – 통제 Domain Domain 관련 내용 정책 정보보안에 대한 경영방침과 지원사항에 대한 통제구조 확인 조직 조직 내에서 보안을 효과적으로 관리하기 위한 보안조직 구성 및 책임과 역할 인적 보안 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못 사용으로 인한 위험 대응방안 물리적 보안 비 인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위한 대응책 의사소통/운영관리 정보처리 설비의 정확하고 안전한 운영을 보장하기 위한 대응방안 접근통제 정보에 대한 접근 통제를 하기 위한 대응방안 자산분류 및 관리 조직의 자산에 대한 분류 및 이에 따른 적절한 보호프로세스 검토 시스템개발 및 유지보수 정보 시스템의 도입에서 폐기에 이르는 전 사이클에 보안이 수립되었음을 보장 사업연속성 사업활동 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호하 기 위한 프로세스 존재 여부 검토 준거성 범죄 및 민사상의 법률, 법규, 규정 또는 계약의무사항 및 보안요구 사항의 불일치를 회피하기 위한 대응책 검토 - 12 - ㈜ 인포레버컨설팅 교육사업본부
ISO 27000 Series – 구축절차 • 정책정의범위정의위험성평가위험관리통제목표/방법 설정보안정책 확립 – ISMS문서화 체계 단계 • Level1: 방침/매뉴얼 • Level2: 관리/실행절차 • Level3: 업무지침서, 점검표 양식 • Level4: 기록(전체) - 13 - ㈜ 인포레버컨설팅 교육사업본부
7-4. e-Discovery Preview 항목 상세내역 개요 기출여부 관련KeyWord Discovery, disclosure, e-Filing, 추천사이트 기술발전 RoadMap 기술사시험 관련되어 Forensic의 일부분으로 초점을 맞춘 자료가 있으 기타 나 법률적 discovery에 이슈가 있음을 명확히 인식 필요 - 14 - ㈜ 인포레버컨설팅 교육사업본부
7-4. e-discovery (디지털 증거개시제)  개념 및 부각배경 – 개념 • 미국의 민법 소송절차에 필요한 전자형태의 증거에 대한 발견 및 공개 절차(2006.12) – 부각배경 • MS와 모건스탠리의 패소사례에서 주는 경각심 • 국내 전자소송제도(e-Filing) 시행에 따라 관심도 소폭 증가  주요 내용 – 대상 데이터(ESI: Electronic Stored Information) • E-mail, chat, documents, DB, web site… : 기타 소송에서 사용 가능한 포멧의 전자자료 • Raw data: 데이터 안에 숨겨진 증거 발견 목적 (ex: 화면에는 없으나 출력하면 나오는 비밀코드 등) – 증거의 제시 및 활용 • 상대방이 요구한 자료에 대해 제공의무가 있음. • 특이 사유가 없는 공개불가정보를 제외하고는 상대방이 요구하는 정보 제공의무 • 기본적으로 당사자간 이루어지는 프로세스이며 진행이 되지 않을 시 법원 개입 – 포렌식 기법의 적용 • 관련 데이터는 포렌식 기법을 이용하여 추출 및 분석 • 법정에서의 사용을 위해 PDF, TIFF 이미지 포멧으로 변경 - 15 - ㈜ 인포레버컨설팅 교육사업본부
7-4. e-discovery (디지털 증거개시제)  e-discovery 대응방안 – 장비 투자: ESI에 대한 아카이빙시스템, 포렌식 Tool 등 기술적 장치에 대한 투자 필요 – 관리적 방안 확보: 법률적 기준, 전산운영의 기준, 기업운영 기준의 Alignment 필요 – 전문인력 확보: 사용 어플리케이션의 데이터 포멧 이해, 추출 가능한 업체/기술인력 소싱 - 16 - ㈜ 인포레버컨설팅 교육사업본부
7-5. 보안 통제의 종류 Preview 항목 상세내역 개요 기출여부 96 관련KeyWord 예방통제(Preventive Control), 탐지통제(Detective Control) 추천사이트 기술발전 RoadMap 기타 - 17 - ㈜ 인포레버컨설팅 교육사업본부
7-5. 보안 통제의 종류  개념 – 전통적으로 보안통제는 기술적/관리적/물리적 통제로 분류 – 이 세가지 통제는 다른 시각에 의거, 다음 영역으로 재분류 혹은 세분화 될 수 있음.  주요 통제의 분류 Domain 관련 내용 예방통제 (Preventive Control) 정보보안의 침해가 발생하기 이전 바라지 않는 이벤트를 방지하려는 통제 (오류/부정의 방지목적: 프로그래밍 안전 작성 가이드 등) 탐지통제 (Detective Control) 바라지 않은 이벤트 발생 시 이를 조속히 탐지하는 통제 (Anomaly 검출의 목적: IDS 운영 지침, Checksum 등)  주요 통제를 보조하는 통제의 분류 Domain 관련 내용 저지통제(Deterrent Control) 의도적인 보안지침 위배를 가급적 어렵도록 하는 통제방안 (복잡한 패스워드 설정규칙 제정, 인터넷뱅킹 OTP도입, 안면인식 출입통제시스템 등) 교정통제 (Corrective Control) 불법적 침해를 당한 상황을 수정하거나 침해 이전의 상황으로 복귀하는 통제 (현 통제방식에 대한 변화가 수반될 수 있음) 복구통제 (Recovery Control) 침해 당한 컴퓨팅자원이나 과업 수행능력, 금전적 손해를 복구하는 통제 (백업파일의 리스토어 등) 출처: Handbook of Information Security Management, Harold F. Tipton (http://www.cccure.org/Documents/HISM/003-006.html) - 18 - ㈜ 인포레버컨설팅 교육사업본부
Security Threats - 19 - ㈜ 인포레버컨설팅 교육사업본부
8-1. 악성코드 Preview 항목 상세내역 개요 사용자에게 해로운 영향을 미치는 프로그램/코드의 총칭 기출여부 71, 75, 86 관련KeyWord 추천사이트 기술발전 RoadMap 기타 용어/키워드 보다 동작원리 및 해결방안에 초점 - 20 - ㈜ 인포레버컨설팅 교육사업본부
악성코드(Malicious Software)  개념 – 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 스 크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 형태  종류 종류 설명 바이러스(Virus) • 프로그램이나 실행 가능한 부분을 변형해 자신 또는 자신의 변형을 복사하는 프로그램(감염) 매크로바이러스 • 오피스프로그램 등의 매크로언어를 이용하여 감염되는 바이러스 • 인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램 웜(Worm) • 바이러스와 달리 스스로 전파되는 특성 (전파) 트로이 목마 • 악의적인 공격자가 컴퓨터에 침투하여 사용자의 컴퓨터를 조종할 수 있는 프로그램 (Trojan Horse) 혹스(Hoax) • 거짓 정보나 괴담 등을 실어 사용자를 속이는 가짜 컴퓨터 바이러스 악성 자바 코드 • 자바 스크립트나 자바 애플릿을 이용하여 악의적인 기능을 하는 코드 악성 ActiveX • ActiveX를 이용, 악의적인 기능을 수행하게 하는 코드 Vandalware • 금전적 목적을 위해 정보를 훔치는 코드(트로이목마 및 기타 관련 코드들을 통칭하는 개념) Spy/Adware • 광고를 보이거나 광고목적을 위해 사용자 정보를 전송하는 코드  대응방안 – AV 솔루션의 적극적 활용 – PC, Server 의 주기적 보안 업데이트 및 보안가이드라인에 의한 환경설정 – 기업/단체의 경우 AV 중앙관제솔루션 도입 검토 - 21 - ㈜ 인포레버컨설팅 교육사업본부
8-2. OWASP Preview 항목 상세내역 OWASP Foundation에 의해 운영되며 웹보안에 관련된 많은 프로젝트 중 웹 개요 취약성 ToP10에 대한 내용 기출여부 관련KeyWord 추천사이트 http://www.owasp.org/index.php/Top_10_2010-Main 기술발전 RoadMap 기타 2012.2.20 기준, 2011 OWASP Top 10은 아직 release되지 않았음. - 22 - ㈜ 인포레버컨설팅 교육사업본부
OWASP(Open Web Application Security Project)  개념 – 비영리기관인 OWASP Foundation에 의해 운영되며 웹보안에 관련된 많은 프로젝트 진행 – 매년 웹에 대한 공격리스트 Top 10을 발표하고 있으며 이는 전세계 보안관계자들에게 중요한 의사결정 근거자료가 되고 있음  OWASP Top 10 -2010 구분 내용 Injection SQL, OS, LDAP 인젝션과 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령어나 질의 어의 일부분으로써 인터프리터에 보내질 때 발생. Cross Site XSS는 공격자가 피해자의 브라우저 내에서 스크립트를 실행하게 유도, 사용자의 세션 Scripting (XSS) 을 탈취하거나, 악의적인 사이트로 사용자를 Redirect 할 수 있음. Broken 패스워드, 키, 세션토큰체계 등 인증체계의 취약점을 이용, 공격자가 다른 사용자의 Authentication & Identity로 가장 할 수 있도록 하는 것 Session Management Insecure Direct URL에 의한 파일, 디렉토리에 대한 직접 접근 등 접근통제 장치 없이 내부 구현객체에 Object References 접근을 허용하는 방식을 의미함. Cross-Site 특정 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하게 하 Request Forgery 는 기법. 사용자를 통해 공격이 이루어지므로 공격자 IP 추적에 어려움 존재(예: 싸이월 (CSRF) 드 방문자 추적기) Security OS, 어플리케이션 구성값을 잘못 설정한 경우나 업데이트가 되어 있지 않은 경우 Misconfiguration - 23 - ㈜ 인포레버컨설팅 교육사업본부
OWASP(Open Web Application Security Project) 구분 내용 Insecure 암호나 금융정보를 평문 등 불안전한 기법으로 저장하는 취약점 Cryptographic Storage Failure to Restrict URL 접근권한을 제대로 설정하지 않아 직접 접근이 가능한 취약점 URL Access Insufficient 결재, 개인정보 입력 등 인증 혹은 암호화가 필요한 주요 트래픽에 대해 제대로 된 보호 Transport Layer 수단을 제공하지 못하는 취약점(SSL 미 적용 등) Protection Unvalidated 리다이렉트 구현 시 승인되지 않은 파라메터 등을 이용하여 피싱사이트 등으로 리다이 Redirects and 렉트 되도록 허용하는 취약점 Forwards  고려사항 – 많이 알려진 공격방법이나 현재 가장 많이 일어나고 있는 웹관련 사고유형을 정리한 자료이므로 Top 10 에 대해서 지속적 모니터링 및 자사 사이트의 대처상태 확인 필요 – 단순한 점검에 머물 것이 아니라 대응지침화를 시도하여 웹개발 가이드 등 공식문서화 필요 – 단순 문서화가 아닌 구체적 Action으로 이어지도록 프로세스 정비 필요 (RFP요구사항 포함, 개발방법론 포함, 검수기준 포함 등) - 24 - ㈜ 인포레버컨설팅 교육사업본부
8-3. Web hacking Preview 항목 상세내역 개요 Web 프로토콜 및 관련 서비스/제품에 대해 이뤄지는 해킹의 총칭 기출여부 관련KeyWord WAF, DB, Web Server/Application Server 추천사이트 기술발전 RoadMap 기타 - 25 - ㈜ 인포레버컨설팅 교육사업본부
Web Hacking  개념 – 웹 서버, WAS, DB등HTTP서비스와 관련된 소프트웨어, 프로토콜을 대상으로 이루어지는Application Level해킹의 총칭 – 웹 인프라의 일반화에 따른 해킹피해 증가와 정형화된 해킹방식, 높지 않은 난이도로 피해 심각  특징 – 개방포트(TCP 80 등)를 통해 공격이 이루어지므로 방화벽제약이 적음 – 웹과 데이터 연동이 일반화됨에 따라 DB해킹으로 이어지는 경우가 대부분임(개인정보 유출과 밀접) – Application의 개발 및 인력skill과 관련되어 있어 취약점통제가 힘듬  종류 - 26 - ㈜ 인포레버컨설팅 교육사업본부
Web Hacking  대응방안 – 단기적 대응: 웹 어플리케이션방화벽(WAF)의 설치 – 근본적 대응: 해당소스의 1:1 수정(취약점스캐너 (웹 스캐너)를 이용할 수 있음)  대응방안 – 단기적 대응: 웹 어플리케이션방화벽(WAF)의 설치 – 근본적 대응: 해당소스의1:1 수정 (취약점스캐너(웹 스캐너)를 이용할 수 있음)  웹 해킹 대응의 핵심 고려사항 - 27 - ㈜ 인포레버컨설팅 교육사업본부
8-4. SQL Injection Preview 항목 상세내역 개요 임의의 Query, Command를 조합, DB인증을 우회/접속하는 해킹기법 기출여부 92 관련KeyWord DB논리구조 추천사이트 기술발전 SQL Injection  Stored Procedure Injection RoadMap 기타 - 28 - ㈜ 인포레버컨설팅 교육사업본부
SQL Injection  개념 – 임의의 Query, Command를 조합, DB인증을 우회/접속하는 해킹기법 – DB연동 증가에 따른 사고 빈발, 보안을 무시한 코딩습관이 가장 큰 원인  동작원리 ID/Password Web Always True Hacker DB + Injection Code Svr. 조건문 전달  절차 – DB확인: Vender별 구현방식이 다르므로 데이터베이스 종류파악이 선행되어야 함. – 컬럼확인: Order by등으로 에러를 유발하여 확인 – 구문작성: 항상 참인 조건의 구문을 작성 – 실행: 성공 시 Web admin획득(System admin이 아님)  구문 예 Where username= ‘ OR username like ‘%’ and Password= ‘ OR username like ‘%’ - 29 - ㈜ 인포레버컨설팅 교육사업본부
SQL Injection  대응방안 – PM/품질: 프로그래밍 표준안 마련, AOP 등 집중관리 방안 강구 – 운영자: 웹 방화벽 도입 검토 – 프로그래머: Validity Check, Stored Procedure, Custom Error Page 등 가용수단 동원 – DBA: DB접근계정 제한, 세션 암호화 - 30 - ㈜ 인포레버컨설팅 교육사업본부
8-5. XSS Preview 항목 상세내역 개요 게시판, 메일 등을 통해 사용자의 오용을 유도하는 해킹방식 기출여부 관련KeyWord Bot, 저장/반사 http://beat0108.tistory.com/32 추천사이트 http://blog.naver.com/PostView.nhn?blogId=99jack&logNo=130076974097 기술발전 RoadMap 기타 - 31 - ㈜ 인포레버컨설팅 교육사업본부
XSS(Cross Site Scripting)  개념 – 스크립트가 실행될 수 있게 허용된 브라우저에서 사용자 세션을 가로채거나 기타 다양한 공격을 할 수 있게 되는 공격방식  심각성 – Bot의 확보수단으로 지속적 활용 중 – 가장 대중적인 인터넷이용방법인 브라우징과 관련이 있어 피해범위가 크고 피해자가 내용을 모르는 경 우가 많은 것이 특징임  XSS 동작개념도 – E-mail은 스크립트 삽입이 허용된 게시판이나 웹페이지로 대체 가능함 – Vulnerable web site로 redirect된 후 일반적으 로 DDoS agent를 사용자 PC에 설치하는 케 이스가 가장 많음 - 32 - ㈜ 인포레버컨설팅 교육사업본부
[참조] XSS(Cross Site Scripting) 공격방식 http://www.ibm.com/developerworks/kr/library/s-csscript/#figure1 - 33 - ㈜ 인포레버컨설팅 교육사업본부
XSS(Cross Site Scripting)  XSS 유형 – 저장: 악성스크립트를 폼 필드 등을 이용, 서버에 저장시키고 사용자가 이를 클릭하도록 유도 – 반사: 사용자 클릭을 유도는 동일하나 클라이언트에서 악성스크립트를 포함한 Request를 서버에 보내 도록 유도하는 차이점 존재 – DOM Injection: 자바스크립트 코드, 변수 조작  XSS에 대한 대응방안 – 사용자 입력값 유효성 확인(반드시 Server Side로 작성) – .NET의 경우 MS Anti-XSS Library – OWASP PHP Anti-XSS Library 사용 – 취약점 스캐너 활용 저장 반사 - 34 - ㈜ 인포레버컨설팅 교육사업본부
8-6. CSRF Preview 항목 상세내역 웹사이트가 신뢰하는 사용자를 통해 불법명령을 웹사이트로 전송하도록 하 개요 는 공격기법 기출여부 관련KeyWord XSS, 신뢰받는 사용자 추천사이트 http://www.securityplus.or.kr/xe/?document_srl=20993&mid=textyle&vid=bangrip1 기술발전 RoadMap 기타 실제 사고사례 언급 필요 - 35 - ㈜ 인포레버컨설팅 교육사업본부
CSRF  개념 – 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청 하게 하는 공격 (A 경매사이트 개인정보 탈취 시 사용) – 웹사이트가 신뢰하는 사용자를 통해 불법명령을 웹사이트로 전송하도록 하는 공격기법 (XSS: 사용자가 웹사이트를 신뢰)  동작개념도 – 전반적인 프로세스는 XSS와 동일함 – 하지만 웹시스템 관리자와 같이 시스템이 신 뢰하는 사용자의 PC를 노린다는 점에서 차이 발생(전체 고객데이터 등 좀 더 고급정보 획득 시 사용)  대응방안 – 웹방화벽 등으로는 스크립트 설정 금지 등 제 한적 대응 밖에 하지 못함 – 주요 Action에 대해서는 쿠키 외 일회성인증이 가능한 인증형태 도입(캡차, 공인인증서, 보안 카드, OTP 등) – XSS 스크립트가 실행되지 않도록 환경설정 – 관리자 등 주요 사용자에 대한 교육 강화 - 36 - ㈜ 인포레버컨설팅 교육사업본부
[참조] SCRF 공격 일부 예 http://blog.naver.com/PostView.nhn?blogId=llove94&logNo=50114504379&categoryNo=41&viewDate=&currentPage=1&listtype=0 - 37 - ㈜ 인포레버컨설팅 교육사업본부
8-7. Buffer overflow Preview 항목 상세내역 메모리 관리의 취약점을 이용, 해커가 원하는 권한을 확보하게 해 주는 해킹 개요 기법 기출여부 관련Key Word Stack, Heap 추천사이트 기술발전 RoadMap 기타 - 38 - ㈜ 인포레버컨설팅 교육사업본부
Buffer Overflow  개념 – 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조 작, 궁극적으로 해커가 원하는 코드를 실행 가능하게 되는 취약점 – 리모트 혹은 로컬에서 인증절차 없이 권한 획득  종류 – Stack Buffer Overflow • 스택 버퍼 오버플로우 공격은 입력 값을 확인하지 않는 입력 함수에 정상적인 크기보다 더 큰 입력 값을 대입하여 RET값을 덮어쓰기 함으로써 임의의 코드를 실행 • 스택의 적당한 곳에 해커가 원하는 코드를 집어 넣은 다음 리턴 어드레스를 그 삽입한 코드를 실행 – Heap Overflow • 힙에 저장되는 데이터를 변조하거나, 함수에 대한 포인터 값을 변조함으로써 임의의 코드를 실행  대응방안 – 컴파일 보조 툴 이용방안 (OS별 보조 툴) – 시스템커널 업그레이드, 최신패치 적용 – 프로그래밍 시 버퍼의 경계값 검사 실시 - 39 - ㈜ 인포레버컨설팅 교육사업본부
8-8. Spoofing Preview 항목 상세내역 사람이나 프로그램이 다른 사람/프로그램으로 위장하여 불법적 이익을 얻는 개요 행위 기출여부 관련Key Word Spoofing 종류 추천사이트 기술발전 네트워크 기반 Spoofing어플리케이션 기반 spoofing RoadMap 기타 Spoofing자체보다 다른 해킹기법과의 연계에 초점 - 40 - ㈜ 인포레버컨설팅 교육사업본부
Spoofing  개념 – 사람이나 프로그램이 다른 사람/프로그램으로 위장하여 불법적 이익을 얻는 행위 – 공격자는 신원위장의 필요성이 존재하므로 대부분의 공격에 기본적으로 쓰이는 기법임  심각성 – 기존 네트워크 기반 spoofing에서 어플리케이션 spoofing 증가에 따른 금전적 손해 발생 빈출 – 네트워크 기반 spoofing의 난이도 하락에 따른 망 생존성 위협 증가  종류 및 대응책 구분 내용 대책 IP Spoofing Man In The Middle Attack: 중간 메시지 변조 MAC변조방지 솔루션 DoS: UDP spoofing이 주로 쓰임 필터링 라우터 네트워크 모니터링 DNS Spoofing ARP spoofing실시, DNS Query 시 위조된 address MAC변조방지 솔루션 를 리턴시킴 AV 사용 URL Spoofing 유사 URL로 유도 브라우저 보안패치, AV생활화 Phishing: 브라우저 취약점을 이용하기도 함 URL확인 E-mail Spoofing E-mail 헤더변경 (수신인 변경이 일반적) 스팸방지 솔루션 도입, SPF 사회공학방식의 공격메일 주의 메일헤더 확인, 전자서명 메일 VoIP spoofing VoIP Caller ID Spoofing Signaling암호화, 패스워드 인증강화 - 41 - ㈜ 인포레버컨설팅 교육사업본부
8-9. Sniffing Preview 항목 상세내역 개요 스니퍼 프로그램을 이용하여 네트워크상의 데이터를 몰래 도청하는 행위 기출여부 관련Key Word promiscuous mode 추천사이트 기술발전 RoadMap 기타 - 42 - ㈜ 인포레버컨설팅 교육사업본부
Sniffing  개념 – Sniffing란 스니퍼 프로그램을 이용하여 네트워크상의 데이터를 몰래 도청하는 행위  동작원리 – Ethernet 네트워크에서의 ARP 프로토콜의 트래픽 공유 취약성 이용 – 로컬 네트워크에서 같은 선(Wire)공유 – promiscuous mode로 LAN adapter를 설정하면 공유된 트래픽을 모두 볼 수 있음. 192.168. 0. 1 192.168. 0. 2 – 로컬 네트워크 내 모든 호스트에 동일하게 트 래픽이 분배되므로 sniffing이 매우 쉽게 이루 Packet목적지 192. 168. 0. 3 어짐 192.168. 0. 3 192.168. 0. 4  대응방안 – Dummy Hub 대신 가급적 Switching Hub 사용 (스위칭허브 공격 방식도 있으나 상대적으로 안전) – Anti-Sniff 등 promiscuous mode 탐지 솔루션의 적극적 활용 – ARP 감시를 통해 평소에 자주 등장하지 않던 ARP 집중 감시 – IP address 관리 철저 - 43 - ㈜ 인포레버컨설팅 교육사업본부
8-10. Hijacking Preview 항목 상세내역 개요 기존의 통신을 가로채서 못 쓰게 하거나 불법적으로 활용하는 일체의 행위 기출여부 관련Key Word 3 way handshake취약점, HTTP Session 추천사이트 기술발전 RoadMap 기타 - 44 - ㈜ 인포레버컨설팅 교육사업본부
Hijacking  개념 – 기존의 통신을 ‘가로채서’ 못 쓰게 하거나 불법적으로 활용하는 일체의 행위 – Spoofing과 동시에 사용, Man In The Middle Attack과 동일한 유형의 공격  Hijacking의 종류 – 보안 분야에서 공식적으로 분류하고 있지는 않으나 아래와 같이 유형분류 가능 구분 내용 대책 Network 동일 네트워크 상에서 TCP/IP의 3 way handshake취약점을 이용한 IP, MAC관리 철저 IP Hijacking (호스트간 신뢰관계 필요) Router에서 Source기준 필터링 MAC spoofing을 통한 Hijacking (용이성으로 인해 더 많이 쓰임) Anti sniff 등 감시 Tool 운영 HTTP HTTP Session ID 를 추출하는 Hijacking유형 Session ID암호화, 터널 암호화 Session -평문 session ID, 짧은 길이, 무한만료 등 추측불가능 ID설정, ID Timeout - Sniffing, 게시판 등의 XSS, Hidden Field 검색을 통해 입수 로그인 후 주요서비스는 재인증 Call VoIP 통화내용인 Bearer Traffic Hijacking sRTP 등을 이용, 통화 인증/암호화 – Victim에 대한 DoS공격으로 응답하지 못하게 Victim Attacker Server 하고 서버에 대신 연결 요청 1. SYN – Victim의 SYN Sequence No. 를 추측하여 통신 연결 2. SYN/ACK 3. RST 4.SYN (Spoofed) IP Hijacking의 징후 5.SYN/ACK – ACK Storm탐지 6.ACK – 패킷 유실 및 재전송 증가 – 기대치 않은 접속 Reset <Network IP Hijacking> - 45 - ㈜ 인포레버컨설팅 교육사업본부
8-11. Social Engineering Preview 항목 상세내역 인간 상호 작용의 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리 개요 고 정보를 얻는 비기술적 침입 수단 기출여부 관련KeyWord 추천사이트 기술발전 RoadMap 기타 - 46 - ㈜ 인포레버컨설팅 교육사업본부
Social Engineering  개념 – 인간 상호 작용의 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻는 비기술적 침 입 수단  사회공학에 취약한 조직의 특성 – 조직원 수가 많은 조직 – 조직의 구성체가 여러 곳에 분산되어 있는 조직 – 조직원의 개인정보가 노출된 조직 – 적절한 보안 교육이 부재한 조직 – 정보가 적절히 분류되어 관리되지 않는 조직  사회공학 공격대상 – 정보의 가치를 잘 모르는 사람 – 특별한 권한을 가진 사람 – 제조사, 벤더 – 해당 조직에 새로 들어온 사람 cris.joongbu.ac.kr/course/2011-1/iis/ch12_사회공학.ppt - 47 - ㈜ 인포레버컨설팅 교육사업본부
Social Engineering  사회공학 기법 구분 기법 인간기반 직접적인 접근 고위층 위장 정보획득, 동정심에 호소하기, 가장된 인간관계 이용 도청 도청 장치 설치, 유선 전화 Tapping 유리나 벽의 진동을 레이저로 탐지 어깨너머로 훔쳐보기 작업자 엿보기 휴지통 뒤지기 조직도, 매뉴얼, 일정, 중간단계 산출물 등 주요정보 다수 존재 컴퓨터기반 시스템 분석 컴퓨터 휴지통 뒤지기, 중고노트북 구매 악성코드 전송 정상 소프트웨어로 위장, 바이러스 USB건네기 인터넷 이용 구글링 Phishing 메일, 이벤트사이트 등을 통한 개인정보 탈취 Pharming 도메인 만료기간을 이용한 도메인 탈취  사회공학 대응책 – 조직 구성원에 대한 보안 관련 교육 강화 – 외부인에 대한 경계심을 강화 – 관련 내용을 사규/지침에 반영 - 48 - ㈜ 인포레버컨설팅 교육사업본부
8-12. Pharming Preview 항목 상세내역 사용자를 불법사이트로 유인, 각종 정보를 탈취하거나 위해를 가하는 해킹 개요 기법 기출여부 관련KeyWord DNS 추천사이트 기술발전 RoadMap 기타 - 49 - ㈜ 인포레버컨설팅 교육사업본부
Pharming  개념 – 사용자를 불법사이트로 유인, 각종 정보를 탈취하거나 위해를 가하는 해킹기법 – 합법소유 도메인의 탈취, DNS Faking 등 이용  주요 기법 – DNS 해킹: DNS cache poisioning – 도메인 탈취: 등록기간이 경과된 DNS의 탈취 – PC Host file조작: Spyware, Domain Cracker, Virus 등에서 광범위하게 이용됨  개념도 Hacker 브라우저 위조사이트 X Forged DNS 실제사이트 • PC Host File • ISP/Corporate DNS  대응책 – 개인: AV/A-Spy, 취약점 Update – 기업/ISP: DNS Patch, 도메인 유효기간 확인 – 솔루션업체: Reputation System 개발(Phishing에도 적용) - 50 - ㈜ 인포레버컨설팅 교육사업본부
8-13. Zero day attack Preview 항목 상세내역 취약점 발견 후 패치 등 가용한 대응수단이 마련되기 전 해당 취약점을 이용 개요 하여 행하여 지는 공격 기출여부 관련KeyWord Patch 추천사이트 기술발전 RoadMap 기타 - 51 - ㈜ 인포레버컨설팅 교육사업본부
Zero Day Attack  개념 – 취약점 발견 후 패치 등 가용한 대응수단이 마련되기 전 해당 취약점을 이용하여 행하여 지는 공격 – 피해범위가 클 경우 대응책이 없으므로 운영자/사용자들이 혼란상황에 빠질 수 있음.  Zero day attack의 기반기술 – Spreading Engine: Worm확산 알고리즘 및 구현 엔진 – Worm/Virus: Host침투, 피해 유발 모듈 – 취약점 Adaptor: Exploit code 조립 Adaptor SW제작사 취약점 패치제작 패치 Release 발견 공격 공격 Hacker 해킹Tool 제작  대응방안 – 개인: 환경취약점(패스워드 등) 대응 철저, 자동패치 설정 – 기업: Anomaly Detection설정, 목적없는 전산자원 분리/폐기/격리 – 국가/ISP: Black Hole/Sink Hole. 통합관제 Center, CERT 운영 - 52 - ㈜ 인포레버컨설팅 교육사업본부
8-14. Cyber Attack Preview 항목 상세내역 개요 인터넷상에서 행해지는 전자적 침해활동 및 그 징후의 총칭 기출여부 관련KeyWord 추천사이트 기술발전 RoadMap 기타 개별 주제보다는 cyber attack의 전체적인 그림에 초점 - 53 - ㈜ 인포레버컨설팅 교육사업본부
Cyber Attack  개념 – 인터넷상에서 행해지는 전자적 침해활동 및 그 징후의 총칭 – 심각성: 기법고급화, 기술자동화, 네트워크의 사회 인프라화  종류 종류 내용 파장 발생빈도 IWF 국가간 정보전 (大) Cyber Crime 전자적 범죄행위 Hactivism 정치적 시위/공격 Vandalism 공공시설 공격 Experimental 호기심, 실험 (大)  대응전략 – 법적 대응: 규정강화, 양형기준 현실화 – 물리적 대응: 주요시설 보안강화 – 기술적 대응: 국가대응 보안기술 개발, 정보공유체계 구축 – 인적 대응: 해커부대 양성, 전문가 양성, 보안 전문인력 Pool 운영 - 54 - ㈜ 인포레버컨설팅 교육사업본부
8-15. APT attack Preview 항목 상세내역 정부 또는 조직의 특정 목적에 의해 조직적이고 지속적으로 이루어지는 해 개요 킹 기출여부 관련KeyWord IWF 추천사이트 기술발전 RoadMap 기타 - 55 - ㈜ 인포레버컨설팅 교육사업본부
APT Attack(Advanced Persistent Threat)  개념 – 정부 또는 조직의 특정 목적에 의해 조직적이고 지속적으로 이루어지는 해킹 – 새로운 기법이 있는 것은 아님. 수행주체와 목적의 심각성에 주목 – 예: Stuxnet Worm  APT의 요건 요건 내용 Advanced 광범위하고 다양한 기술을 사용 (Phone tapping부터 위성통신 감청까지) Persistent 목적달성까지 체계적이고 지속적인 공격계획 수립 및 실행 (목적에 따라서는 Long-term과 비용까지 감수하면서 공격 실시) Threat 목적성을 가지고 사람이 실행하거나 코디네이션에 개입하는 공격  APT의 타겟 (출처: ahnlab) – 정부기관: 정부/군사 기밀문서 – 사회 기간 산업: 사회 인프라 마비를 통한 혼란 유발 (통신 등) – 주요 기업: 지적자산, 영업비밀 탈취 – 금융 기업: 자산정보 탈취, 사회금융시스템 마비 - 56 - ㈜ 인포레버컨설팅 교육사업본부
APT Attack(Advanced Persistent Threat)  APT 대응방안 – Layered Security-Depense in Depth – 대응 조직의 공식화/체계화 – 도메인 지식과 결합된 보안전문가 확보 - 57 - ㈜ 인포레버컨설팅 교육사업본부
8-16. DDoS Preview 항목 상세내역 개요 분산된 컴퓨팅자원을 동원하여 DoS공격을 실행시키는 공격기법 기출여부 84, 91, 93 관련KeyWord Bot, XSS, IPS, 행동기반/Signature기반, Sink Hole 추천사이트 기술발전 IPS방어DDoS전용장비 방어DDoS 대피소 방어 RoadMap 기타 - 58 - ㈜ 인포레버컨설팅 교육사업본부
DDoS-동향 보안위협 패러다임 변화 DDoS 트래픽량 증가  인터넷 보안위협의 패러다임 변화  DDoS 공격 트래픽량의 지속적 증가 Risk RANSOM DDoS 악성 BOT 웜(Worm) 단순 해킹 / 바이러스 1980 - 1998 1999 - 2003 2004 - 2006 2007~08년  인터넷 속도향상(FTTH)및 고사양PC에 의한 악성코드 감염PC당 발생하는 공격 트래픽량의  악성 BOT은 2004년 이후 지속적인 보안위협 폭발적 증가  2007년 이후 중국 해커에 의한 RANSOM DDoS에 의한 인터넷 보안위협이 지속 증가 추세  최근 DDoS 공격 IP 평균 수 : 200 ~ 1000여대  09년에도 악성 BOT, DDoS 공격 보안위협 증가 예상 (10Gbps ~ 100Gbps 트래픽 발생 가능)  08년 DDoS 공격 트래픽량 58G 발생(11월) - 59 - ㈜ 인포레버컨설팅 교육사업본부
DDoS-동향 Methods of Propagation  Drive by download : DbD)  피싱(Phishing)  SQL 인젝션  크로스 사이트 스크립팅(XSS)  SPIM (SPam + Instant Messenger)  스파이웨어  스팸, E-메일  Vulnerable Applications 등 Drive-by download From Wikipedia - Any download that happens without knowledge of the user. - Download of spyware, a computer virus or any kind of malware that happens without knowledge of the user. Drive-by downloads may happen by visiting a website, viewing an e-mail message or by clicking on a deceptive popup window... - 60 - ㈜ 인포레버컨설팅 교육사업본부
DDoS-동향  방어체계를 극복하기 위해 지속적으로 지능화된 Botnet으로 발전 2007년 상반기 – 3322.org 등 2007년 하반기 – C&C Changer Attacker C&C Web C&C Changer 2008년 1분기 – 2중 Changer 2008년 2분기 – FastFlux DDNS, TTL=60 DDNS, C&C TTL=60 C&C Changer (CMD) C&C : DST We b - 61 - ㈜ 인포레버컨설팅 교육사업본부
DDoS-대책 IPS의 Anomaly Detection을 활용  Learning을 통한 Traffic학습기능 이용 – 평상시 Traffic통계를 학습한 후 학습을 초과하는 이상 트래픽 발현 시 대응 – 시간별(일/요일/시간 등), Destination별, Source별, Port별 등 다양한 기준(솔루션별 상이) – 장비사 별 고유의 알고리즘 보유  False Positive의 문제 – 정상 Traffic의 차단이 빈번하게 발생 – 이벤트, 각종 이슈의 발생 케이스 때문에 웹사이트에 적용하기 힘듬(실무에서 거의 사용 안함)  사이트 규모와 공격규모에 따라 재난상황 대응용으로 활용 가능 – DDoS Traffic은 일반 Event규모를 초과함 – IPS는 대용량 DDoS처리에 부족한 부분이 많아 DDoS From Radware 전문 장비와 시장이 갈림 - 62 - ㈜ 인포레버컨설팅 교육사업본부
DDoS-대책 DDoS방어 전용장비 활용  최근 3년간 구축사례 급격히 증가 – Ransom DDoS 출현과 궤를 같이 함 – 기존의 IPS기능에 관련기능 대폭 보강 – In-Line형, Routing연동형 등 구현 방식 상이  사용기술 From CISCO – 행동기반 탐지방어 • Black List • Statistics Analysis • Rate Limit – Signature기반 탐지방어 • Known Signature에 대해서만 가능  재난상황 대응용으로 충분히 활용가능 – 서버는 보호가능하나 비즈니스의 근간인 네트워크 재난을 피하기 힘듬 – Ransom대상인 주요서비스 제공 사이트의 경우 비용 대비 효과측면에서 의문점 - 63 - ㈜ 인포레버컨설팅 교육사업본부
DDoS-대책 ISP상품이용 or 협력체계 구축  네트워크 대역 고갈에 대한 유일한 해결방안 – On-Line의 가용성이 매우 중요한 경우 필요 – 온라인게임, 주요포털 등 Detection  ISP 대응체계 Sink Hole처리 – Sink Hole 처리 (특정 IP로 향하는 Traffic 전수 수집) • 대응 시간 (5~10분) 지연의 문제 • 봇넷의 지속적 업그레이드로 차단시간 단축이 어려움 – Sink Hole처리 인프라와 DDoS대응장비의 연동 Traffic Cleansing • Detection은 고객 Side에서 1차, ISP 2차 (병렬 DDoS방어장비 이용) • Portection은 ISP 1차, 고객 Side 2차  재난상황 대응용으로 최적 정상 Traffic만 소통 – 단순한 DDoS 장비 임대는 의미 없음 – 기존 ISP 대응체계에 대한 사전 점검 필요 - 64 - ㈜ 인포레버컨설팅 교육사업본부
Certification & Security Consulting - 65 - ㈜ 인포레버컨설팅 교육사업본부
9-1. CC Preview 항목 상세내역 개요 국제적인 컴퓨터제품의 보안성 검증 제도 기출여부 69 관련KeyWord PP, ST, EAL, TOE, CCRA 추천사이트 http://ettrends.etri.re.kr/PDFData/17-5_089_101.pdf 기술발전 RoadMap 기타 - 66 - ㈜ 인포레버컨설팅 교육사업본부
CC (Common Criteria)  개요 – 컴퓨터제품이 시스템보안기능 요구사항과 보안보증사항을 만족시키는지를 평가하여 결과의 상호인증 까지 모든 지침 및 프로세스를 제정한 국제기준 – 무역장벽철폐, 인증체계 통합 효과  CC의 구조 – Part1: CC소개, 일반모델 – Part2: 보안기능 요구사항(Class~PP/ST) – Part3: 보안보증 요구사항(Class~보증등급)  보안기능 요구사항의 구조 – 패키지: 기능보증사항의 집합, 재사용가능, PP/ST의 기초 – PP (Protection Profile): 공통 심사기준 – ST (Security Target): 특정제품/시스템 의존기능 및 요구 – EAL (Evaluation Assurance Level): PP/ST의 등급(0~7등급) – TOE (Target Of Evaluation): 심사 대상 객체 P Class Family Component Package P Component S Component 추가요구사항 T - 67 - ㈜ 인포레버컨설팅 교육사업본부
CC (Common Criteria)  CCRA (CC Recognition Arrangement) – CC의 적용 및 수용에 동의하는 협정국의 모임 – 가입유형 • CAP (Certificate Authorizing Participants): 인증서 발행국 • CCP (Certificate Consuming Participants): 인증서 수용국  인증 절차 – 인증상담산출물시범작성산출물적합성평가계약지속적 보완인증사후관리  최근 이슈 – 민간 CC평가기관의 확대: 민간으로의 전가 논란 – 국내 전용 PP  CC 3.1 – 배경: 단순/명료/일과성 부여, 중복성 제거/개발자 사용편리성, 합성제품 대비 – 주요내용: • EAL/요구사항 간소화 • PP선언 2중화(Restricted/Demonstrable) • 보안기능 요구사항과 보안보증 요구사항의 종속성 제거 • 업무량 간소화 - 68 - ㈜ 인포레버컨설팅 교육사업본부
[참조] TCSEC (The Trusted Computer System Evaluation Criteria)  개요 – 미 국방부의 정보보호 제품인증 제도, 흔히 Orange Book이라고 부름, 1995년 공식화  등급 – A1(Verified Design): 수학적으로 완벽한 시스템 – B3(Security Domains) • 운영체제에서 보안에 불필요한 부분을 모두 제거하며, 모듈에 따른 분석 및 테스트가 가능. • 시스템 파일 및 디렉토리에 대한 접근 방식을 지정하고, 위험 동작을 하는 사용자의 활동에 대해 자동백업. – B2(Structured Protection) • 시스템에 정형화된 보안 정책이 존재하며 B1 등급의 기능을 모두 포함. – B1(Labeled Security) • 시스템내의 보안 정책을 적용할 수 있으며 각 데이터에 대해 보안 레벨 설정이 가능. • 시스템 파일이나 시스템에 대한 권한을 설정 – C2(Controlled Access Protection) • 각 계정별 로그인이 가능하며 그룹 ID에 따라 통제가 가능한 시스템. • 보안 감사가 가능하며 특정 사용자의 접근을 거부할 수 있음. – C1(Discretionary Security Protection) • 일반적인 로그인 과정이 존재하는 시스템. • 사용자간 침범이 차단되어 있고 모든 사용자가 자신이 생성한 파일에 대해 권한을 설정할 수 있음. – D(Minimal Protection): 보안설정이 이루어지지 않은 단계 - 69 - ㈜ 인포레버컨설팅 교육사업본부
[참조] TCSEC (The Trusted Computer System Evaluation Criteria) - 70 - ㈜ 인포레버컨설팅 교육사업본부
[참조] ITSEC(The Information Technology Security Evaluation Criteria)  개요 – 1991년 5월 유럽 국가들이 발표한 공동 보안 지침서 – 프랑스, 영국, 독일, 네델란드 4개국이 국가별 기준을 공동제정으로 방향선회 – 제품에 대한 보증만으로 평가 수행  ITSEC의 등급 – E1(최저), E2, E3, E4, E5 및 E6(최고) – E0 등급 : 부적합 판정 – 기술된 효용성 보증을 하나라도 만족시키지 못하면 E0등급 판정 - 71 - ㈜ 인포레버컨설팅 교육사업본부
[참조] 인증간 관계 CC(Common Criteria) 미국 TCSEC 유럽 ITSEC 한국 EAL0 부적절한 보증 K0 D 최소한의 보호 E0 부적절한 보증 EAL1 기능 시험 K1 EAL2 구조 시험 C1 임의적 보호 E1 비정형적 기본 설계 K2 EAL3 방법론적 시험과 점검 C2 통제적 접근 보호 E2 비정형적 기본 설계 K3 소스 코드와 하드웨어, 도면 EAL4 방법론적 설계, 시험, 검토 B1 규정된 보호 E3 K4 제공 준정형적 기능 명세서, 기본 EAL5 준정형적 설계 및 시험 B2 구조적 보호 E4 K5 설계, 상세 설계 EAL6 준정형적 검증된 설계 및 시험 B3 보안 영역 E5 보안 요소 상호관계 K6 정형적 기능 명세서, 상세 설 EAL7 정형적 검증 A1 검증된 설계 E6 K7 계 - 72 - ㈜ 인포레버컨설팅 교육사업본부
9-2. 보안컨설팅 Preview 항목 상세내역 개요 기출여부 관련KeyWord 추천사이트 기술발전 RoadMap 주제 자체보다는 보안컨설팅 접근방식과 유사하게 문제에 접근하는 방 기타 법을 깨우쳐야 함. - 73 - ㈜ 인포레버컨설팅 교육사업본부
보안 컨설팅  개념 – 조직의 보안위협을 파악하고 이에 대해 가장 조직 친화적인 대응방안을 수립해 주는 활동  수행절차 – 현 보안수준 분석, 취약성 분석, 모의해킹위험분석보안수준 진단 – 대응 아키텍처 설계/실행과제 선정실행방안도출마스터플랜  수행범위 – 전통적 수행범위: 관리/물리/기술 – 최근 테마: 기술분야별(IPTV, VoIP…), 개인정보 보호 등  적용 Framework – Enterprise Security: ISO27001, ISMS 등 – 주요 테마 별 Security: ITU-T 등 각기 별도의 보안 아키텍처 사용 - 74 - ㈜ 인포레버컨설팅 교육사업본부

Recommended

Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503silverfox2580
 
MDL ebplus
MDL ebplusMDL ebplus
MDL ebplus
silverfox2580
 
Sua 강의자료 2주차_관리체계(2014.03.18)_최종
Sua 강의자료 2주차_관리체계(2014.03.18)_최종Sua 강의자료 2주차_관리체계(2014.03.18)_최종
Sua 강의자료 2주차_관리체계(2014.03.18)_최종
Lee Chanwoo
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리
시온시큐리티
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처
InGuen Hwang
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
시온시큐리티
 
02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입
InGuen Hwang
 
net helper 자산관리제안서
net helper 자산관리제안서 net helper 자산관리제안서
net helper 자산관리제안서
시온시큐리티
 

Recommended

Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503Secure Work System v2.0 소개자료_201503
Secure Work System v2.0 소개자료_201503silverfox2580
 
MDL ebplus
MDL ebplusMDL ebplus
MDL ebplus
silverfox2580
 
Sua 강의자료 2주차_관리체계(2014.03.18)_최종
Sua 강의자료 2주차_관리체계(2014.03.18)_최종Sua 강의자료 2주차_관리체계(2014.03.18)_최종
Sua 강의자료 2주차_관리체계(2014.03.18)_최종
Lee Chanwoo
 
201412 전산자산통합관리
201412 전산자산통합관리201412 전산자산통합관리
201412 전산자산통합관리
시온시큐리티
 
IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처IT전략계획-04.보안 아키텍처
IT전략계획-04.보안 아키텍처
InGuen Hwang
 
net helper7 통합 제안서_시온
net helper7 통합 제안서_시온net helper7 통합 제안서_시온
net helper7 통합 제안서_시온
시온시큐리티
 
02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입02. it정보화전략-보안 아키텍처 도입
02. it정보화전략-보안 아키텍처 도입
InGuen Hwang
 
net helper 자산관리제안서
net helper 자산관리제안서 net helper 자산관리제안서
net helper 자산관리제안서
시온시큐리티
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
시온시큐리티
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
eungjin cho
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료silverfox2580
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
시온시큐리티
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z
시온시큐리티
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
시온시큐리티
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
시온시큐리티
 
2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온
시온시큐리티
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년
시온시큐리티
 
통합관리 NetHelper 시온
통합관리 NetHelper 시온통합관리 NetHelper 시온
통합관리 NetHelper 시온
시온시큐리티
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
eungjin cho
 
01.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.2501.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.25
InGuen Hwang
 
2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함 2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함
시온시큐리티
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
시온시큐리티
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
시온시큐리티
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
Lee Chanwoo
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
시온시큐리티
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
시온시큐리티
 
Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
lunchNtouch
 
2015 besttechsystem-proposal(2015.04.21)
2015 besttechsystem-proposal(2015.04.21)2015 besttechsystem-proposal(2015.04.21)
2015 besttechsystem-proposal(2015.04.21)
(주)베스트텍시스템
 
Internet threats and issues in korea 120325 eng_slideshare
Internet threats and issues in korea 120325 eng_slideshareInternet threats and issues in korea 120325 eng_slideshare
Internet threats and issues in korea 120325 eng_slideshare
Youngjun Chang
 

More Related Content

What's hot

내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
시온시큐리티
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
eungjin cho
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료silverfox2580
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
시온시큐리티
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z
시온시큐리티
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
시온시큐리티
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
시온시큐리티
 
2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온
시온시큐리티
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년
시온시큐리티
 
통합관리 NetHelper 시온
통합관리 NetHelper 시온통합관리 NetHelper 시온
통합관리 NetHelper 시온
시온시큐리티
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
eungjin cho
 
01.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.2501.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.25
InGuen Hwang
 
2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함 2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함
시온시큐리티
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
시온시큐리티
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
시온시큐리티
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
Lee Chanwoo
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
시온시큐리티
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
시온시큐리티
 
Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
lunchNtouch
 

What's hot (20)

내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료
 
201412 문서보안제안서 시온
201412 문서보안제안서 시온201412 문서보안제안서 시온
201412 문서보안제안서 시온
 
오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z오피스키퍼 제안서 일반기업용 Z
오피스키퍼 제안서 일반기업용 Z
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
 
2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온2014 pf filter 개인정보_시온
2014 pf filter 개인정보_시온
 
Hillstone networks utm 2016년
Hillstone networks utm 2016년Hillstone networks utm 2016년
Hillstone networks utm 2016년
 
통합관리 NetHelper 시온
통합관리 NetHelper 시온통합관리 NetHelper 시온
통합관리 NetHelper 시온
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
 
01.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.2501.windows 보안(접근제어모델 리뷰) 2016.05.25
01.windows 보안(접근제어모델 리뷰) 2016.05.25
 
2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함 2014 mdlp 노트북분실대응포함
2014 mdlp 노트북분실대응포함
 
가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티가드존 제안서_시온시큐리티
가드존 제안서_시온시큐리티
 
2014 ps 제안서
2014 ps 제안서2014 ps 제안서
2014 ps 제안서
 
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
창립30주년 기념 isaca korea conference track4 이찬우(20160826)_인쇄용_최종
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
 
201412 보안자료_이유신
201412 보안자료_이유신201412 보안자료_이유신
201412 보안자료_이유신
 
Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
 

Viewers also liked

2015 besttechsystem-proposal(2015.04.21)
2015 besttechsystem-proposal(2015.04.21)2015 besttechsystem-proposal(2015.04.21)
2015 besttechsystem-proposal(2015.04.21)
(주)베스트텍시스템
 
Internet threats and issues in korea 120325 eng_slideshare
Internet threats and issues in korea 120325 eng_slideshareInternet threats and issues in korea 120325 eng_slideshare
Internet threats and issues in korea 120325 eng_slideshare
Youngjun Chang
 
security architecture
security architecturesecurity architecture
security architecture
DO HYUNG KIM
 
구성도 샘플1
구성도 샘플1구성도 샘플1
구성도 샘플1doojung7
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
Lee Chanwoo
 
정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)
Kyuhyung Cho
 
IT전략계획- 03.IT 도입계획
IT전략계획- 03.IT 도입계획IT전략계획- 03.IT 도입계획
IT전략계획- 03.IT 도입계획
InGuen Hwang
 
04. it정보화전략-어플리케이션 아키텍처
04. it정보화전략-어플리케이션 아키텍처04. it정보화전략-어플리케이션 아키텍처
04. it정보화전략-어플리케이션 아키텍처
InGuen Hwang
 
Trendy minds ppt-template
Trendy minds ppt-templateTrendy minds ppt-template
Trendy minds ppt-templatetrendy123
 
[피키캐스트] 5학년선배 ppt 템플릿 레이아웃
[피키캐스트] 5학년선배 ppt 템플릿 레이아웃[피키캐스트] 5학년선배 ppt 템플릿 레이아웃
[피키캐스트] 5학년선배 ppt 템플릿 레이아웃
o_senior
 

Viewers also liked (10)

2015 besttechsystem-proposal(2015.04.21)
2015 besttechsystem-proposal(2015.04.21)2015 besttechsystem-proposal(2015.04.21)
2015 besttechsystem-proposal(2015.04.21)
 
Internet threats and issues in korea 120325 eng_slideshare
Internet threats and issues in korea 120325 eng_slideshareInternet threats and issues in korea 120325 eng_slideshare
Internet threats and issues in korea 120325 eng_slideshare
 
security architecture
security architecturesecurity architecture
security architecture
 
구성도 샘플1
구성도 샘플1구성도 샘플1
구성도 샘플1
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
 
정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)정보보호최근이슈및패러다임의변화 임종인(고려대)
정보보호최근이슈및패러다임의변화 임종인(고려대)
 
IT전략계획- 03.IT 도입계획
IT전략계획- 03.IT 도입계획IT전략계획- 03.IT 도입계획
IT전략계획- 03.IT 도입계획
 
04. it정보화전략-어플리케이션 아키텍처
04. it정보화전략-어플리케이션 아키텍처04. it정보화전략-어플리케이션 아키텍처
04. it정보화전략-어플리케이션 아키텍처
 
Trendy minds ppt-template
Trendy minds ppt-templateTrendy minds ppt-template
Trendy minds ppt-template
 
[피키캐스트] 5학년선배 ppt 템플릿 레이아웃
[피키캐스트] 5학년선배 ppt 템플릿 레이아웃[피키캐스트] 5학년선배 ppt 템플릿 레이아웃
[피키캐스트] 5학년선배 ppt 템플릿 레이아웃
 

Similar to security framework2.20

HP의 compliance management 솔루션
HP의 compliance management 솔루션HP의 compliance management 솔루션
HP의 compliance management 솔루션
Seong-Bok Lee
 
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료훈 박
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
Lee Chanwoo
 
20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식
TEK & LAW, LLP
 
리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보
시온시큐리티
 
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
james yoo
 
20111115 금융기관수탁기관침해진단
20111115 금융기관수탁기관침해진단20111115 금융기관수탁기관침해진단
20111115 금융기관수탁기관침해진단
TEK & LAW, LLP
 
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
GangSeok Lee
 
04.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언104.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언1
시온시큐리티
 
대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료
대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료
대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료
ssuser7b3d5f
 
KISA ISMS-P T1_인증제도 인증기준1.pdf
KISA ISMS-P T1_인증제도 인증기준1.pdfKISA ISMS-P T1_인증제도 인증기준1.pdf
KISA ISMS-P T1_인증제도 인증기준1.pdf
mini69374
 
제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나
TEK & LAW, LLP
 
제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나TEK & LAW, LLP
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
시온시큐리티
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
Lee Chanwoo
 
Isaca cisa hw_rev5
Isaca cisa hw_rev5Isaca cisa hw_rev5
Isaca cisa hw_rev5
Hyun Wong Choi
 
Isaca cisa hw_rev5
Isaca cisa hw_rev5Isaca cisa hw_rev5
Isaca cisa hw_rev5
Hyun Wong Choi
 
Isaca cisa hw_rev3
Isaca cisa hw_rev3Isaca cisa hw_rev3
Isaca cisa hw_rev3
Hyun Wong Choi
 
개인정보 보호에 대한 Pest 분석
개인정보 보호에 대한 Pest 분석개인정보 보호에 대한 Pest 분석
개인정보 보호에 대한 Pest 분석Chulgyu Shin
 
[법무법인 민후]연구보안과 영업비밀
[법무법인 민후]연구보안과 영업비밀[법무법인 민후]연구보안과 영업비밀
[법무법인 민후]연구보안과 영업비밀
MINWHO Law Group
 

Similar to security framework2.20 (20)

HP의 compliance management 솔루션
HP의 compliance management 솔루션HP의 compliance management 솔루션
HP의 compliance management 솔루션
 
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
 
20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식
 
리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보
 
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
[발표용 '15.11.27]정보보안 전문가 되는길 new(최종_요약본)
 
20111115 금융기관수탁기관침해진단
20111115 금융기관수탁기관침해진단20111115 금융기관수탁기관침해진단
20111115 금융기관수탁기관침해진단
 
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
[2013 CodeEngn Conference 09] 김홍진 - 보안컨설팅 이해 및 BoB 보안컨설팅 인턴쉽
 
04.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언104.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언1
 
대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료
대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료
대 인공지능 시대에 개인정보보호를 기업에서 자율적으로 어떻게 점검하고 관리할 것인가를 담은 자료
 
KISA ISMS-P T1_인증제도 인증기준1.pdf
KISA ISMS-P T1_인증제도 인증기준1.pdfKISA ISMS-P T1_인증제도 인증기준1.pdf
KISA ISMS-P T1_인증제도 인증기준1.pdf
 
제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나
 
제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나
 
2016 보안솔루션 제언
2016 보안솔루션 제언2016 보안솔루션 제언
2016 보안솔루션 제언
 
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)금뽀 금융보안 컴플라이언스 학습 가이드(최종)
금뽀 금융보안 컴플라이언스 학습 가이드(최종)
 
Isaca cisa hw_rev5
Isaca cisa hw_rev5Isaca cisa hw_rev5
Isaca cisa hw_rev5
 
Isaca cisa hw_rev5
Isaca cisa hw_rev5Isaca cisa hw_rev5
Isaca cisa hw_rev5
 
Isaca cisa hw_rev3
Isaca cisa hw_rev3Isaca cisa hw_rev3
Isaca cisa hw_rev3
 
개인정보 보호에 대한 Pest 분석
개인정보 보호에 대한 Pest 분석개인정보 보호에 대한 Pest 분석
개인정보 보호에 대한 Pest 분석
 
[법무법인 민후]연구보안과 영업비밀
[법무법인 민후]연구보안과 영업비밀[법무법인 민후]연구보안과 영업비밀
[법무법인 민후]연구보안과 영업비밀
 

More from skccsocial

130308 디지털컨버젼스i 2교시
130308 디지털컨버젼스i 2교시130308 디지털컨버젼스i 2교시
130308 디지털컨버젼스i 2교시skccsocial
 
130122 디지털컨버젼스i 1교시
130122 디지털컨버젼스i 1교시130122 디지털컨버젼스i 1교시
130122 디지털컨버젼스i 1교시skccsocial
 
기술사수검전략3
기술사수검전략3기술사수검전략3
기술사수검전략3skccsocial
 
[INFOREVER] 시큐리티 프레임웍 #6
[INFOREVER] 시큐리티 프레임웍 #6 [INFOREVER] 시큐리티 프레임웍 #6
[INFOREVER] 시큐리티 프레임웍 #6
skccsocial
 
security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
120515 security framework2.20
120515 security framework2.20120515 security framework2.20
120515 security framework2.20
skccsocial
 
Security framework2
Security framework2Security framework2
Security framework2skccsocial
 

More from skccsocial (7)

130308 디지털컨버젼스i 2교시
130308 디지털컨버젼스i 2교시130308 디지털컨버젼스i 2교시
130308 디지털컨버젼스i 2교시
 
130122 디지털컨버젼스i 1교시
130122 디지털컨버젼스i 1교시130122 디지털컨버젼스i 1교시
130122 디지털컨버젼스i 1교시
 
기술사수검전략3
기술사수검전략3기술사수검전략3
기술사수검전략3
 
[INFOREVER] 시큐리티 프레임웍 #6
[INFOREVER] 시큐리티 프레임웍 #6 [INFOREVER] 시큐리티 프레임웍 #6
[INFOREVER] 시큐리티 프레임웍 #6
 
security framework2.20
security framework2.20security framework2.20
security framework2.20
 
120515 security framework2.20
120515 security framework2.20120515 security framework2.20
120515 security framework2.20
 
Security framework2
Security framework2Security framework2
Security framework2
 

security framework2.20

  • 1. 개인정보 보호  개인정보보호 아키텍처 구현방안 – 개인정보 분류 및 정의 (OECD 기준 등 참고) – 분류별 접근제어방안 마련(등급/절차/가이드라인) – 시스템 구축 – 개인정보 사전영향 평가제 – 시스템 가동 및 연동  관련 표준 – P3P: 제공자가 요구하는 개인정보보호 수준을 게시하고 사용자가 이에 따라 Access여부를 판단하는 Scheme – OECD: 개인 데이터의 국제유통과 프라이버시 보호에 관한 가이드라인 • 수집제한의 원칙(Collection Limitation Principle): 적법수집, 동의기반 수집, 민감정보 제외 수집 • 정보정확성의 원칙(Data Quality Principle): 이용목적관련성, 필요한 범위 내 정확성 확보 • 목적명시의 원칙(Purpose Specification Principle): 수집목적의 명시, 목적별 적법 이용 • 이용제한의 원칙(Use Limitation Principle): 목적 외 이용 금지 • 안전성확보의 원칙(Security Safeguard Principle): 물리적/기술적/관리적 조치 • 공개의 원칙(Openness Principle): 개인정보 정책 공개, 개인정보 관리자 관련정보에 대한 접근 용이성 • 개인참가의 원칙(Individual Participation Principle): 정보주체의 열람/정정/삭제 청구권 • 책임의 원칙(Accountability Principle): 개인정보 관리자에게 원칙 준수 및 책임부과 – HIPAA (Health Insurance Portability and Accountability Act)  관련 시사점 – 기업에게 금전적, 사회적으로 회복이 어려운 Damage가 가능하므로 신중한 대응 필요 – 기업규모에 맞는 관련 인프라 구축 – U-Privacy대비 필요 – ISMS(KISA), ePrivacy/i-Safe(KAIT), 개인정보 등급인증제(CPO Forum) 등 산재한 인증의 교통정리 필요 -0- ㈜ 인포레버컨설팅 교육사업본부
  • 2. 개인정보 보호-정보통신망법 주요개정 내용(1차)  대상확대 – 정유사, 결혼중개업소 등 14개 업종 22만 업체 추가 (기존 12만 사업자)  암호화 기준 확대 – 기존: 인증 속성(패스워드) – 변경: 인증속성, 민감정보 (금융정보)  법안 위반 시 처벌 강화 – 과태료 과징금: 처벌강화 동의 없는 수집 및 위탁 등 – 형벌과징금/형벌 병과: 3자 제공, 동의 없는 목적에의 이용 – 과태료 상향조치: 파기의무 위반, 각종 통지내역의 미 통지 – 누설된 개인정보의 수령자까지 처벌  주민등록번호를 사용하지 않는 회원가입방법 제공 의무화 – iPIN, GPIN – 공인인증서, 핸드폰 인증 등 -1- ㈜ 인포레버컨설팅 교육사업본부
  • 3. 개인정보 보호-정보통신망법 주요개정 내용(2차)  개인정보 수집 시 제3자 제공․취급위탁에 대한 포괄동의 금지 – 수집, 3자 제공은 비교적 잘 지켜지고 있음 – 향후 취급위탁(ITSM, 운영 아웃소싱 등)에 대해서도 별도의 동의를 받아야 함  개인정보 누출 시 통지 의무 부과 – 누출사실을 이용자와 방통위에 신고의무 부과 – 향후 법적 분쟁으로 이어질 시 기업/기관에 미치는 영향이 클 것으로 예상  불법 광고성정보 전송자 정보 공유 (ISP간 Black List 공유, 성명/연락처 등)  저장정보 보호 – 블로그, 이메일 등 온라인상의 개인자료를 서비스 종료와 함께 이용하지 못하는 경우 대비(네띠앙 케이스) – 서비스 종료 시 30일간 다운허용(보증보험계약 등 체결)  정보검색결과의 조작금지 – 포털 조회어 순위 조작 행위가 전면 금지되며 SP는 이를 위한 관리적/기술적 조치 실시 – 금지의 가이드라인이 애매함  온라인 광고비용을 증가시키는 행위 금지 – 종량제 광고 시 타인광고의 예산한도를 소진시킬 목적으로 행하는 부정클릭 금지  불법정보 유통 방지를 위한 모니터링 의무 부과 – 금칙어, 음란물 등의 게시에 대한 모니터링 의무화 – 다만 비용증가를 고려, 과태료 조항 없음 -2- ㈜ 인포레버컨설팅 교육사업본부
  • 4. 개인정보 보호-개인정보보호법 주요제정 내용  의미 – 정보보호 사각지대 해소 – 감독기관, 사업별 상이한 개인정보 보호수준의 상향 평준화  주요내용 – 의무 적용대상 확대(망법 적용 대상  모두) – 고유식별정보(주민등록번호)의 원칙적 처리 금지(별도동의, 법령근거 시 허용) – 마케팅에 대한 포괄동의 금지 – 공공기관 개인정보 사전영향평가 실시 의무화(대규모 개인정보 등 침해위협이 높은 경우) – 개인정보보호위원회의 상설기구화(국무총리소속: 심의, 의결, 분쟁조정, 일부 집행) – 처벌수준 강화(3년 이하 징역5년 이하 징역)  망법과의 관계 및 쟁점사안 – 정보통신망법에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법에 따름 (기술적 보호조치의 경우는 대부분 망법에 규정된 바에 준용 가능) – 이용자의 개인정보정보주체의 개인정보 (직원의 개인정보는???) -3- ㈜ 인포레버컨설팅 교육사업본부
  • 5. 개인정보 보호-정보통신 망법 관련 개인정보 기술적/관리적 보호조치 기준  정보통신서비스 제공자의 해석범위 – 정보통신서비스 제공자 등 (인터넷으로 연결되는 웹사이트를 개설하면 해당됨) – 정보통신서비스 제공자에게 개인정보를 제공받은 자 – 준용사업자, 운영/관리 수탁자, 타 법률에서의 규정자  개인정보의 삭제 – 개인정보: 완전파괴(물리적 파쇄), 전용소자장비(자화솔루션), 완전포멧3회/완전삭제 솔루션 – 비밀자료: 완전파괴, 전용소자장비  개인정보의 암호화 – 비밀번호, 바이오정보의 일방향 암호화(MD5, SHA-1) – 주민번호, 계좌번호/카드번호 등의 금융정보의 양방향 암호화 실시 – 저장 및 송/수신 시 암호화되어야 함. – PC에 다운로드 시 암호화되어야 함(ZIP파일+비밀번호, 오피스파일 비밀번호도 가능)  개인정보 표시제한 보호조치 -4- ㈜ 인포레버컨설팅 교육사업본부
  • 6. 개인정보 보호-개인정보 사전영향 평가제/PIMS http://www.sw.or.kr/ftp/2008/07/Track_1/T1_4_에이쓰리시큐리티.pdf -5- ㈜ 인포레버컨설팅 교육사업본부
  • 7. 개인정보 보호-개인정보 사전영향 평가제/PIMS -6- ㈜ 인포레버컨설팅 교육사업본부
  • 8. Compliance 대응방안  내부통제 시스템이 존재하는 경우 – 솔루션 제공사, 구축사와 협의하여 프로세스 반영 – 현실적으로 가장 확실한 통제력 보유  정보보호 프레임워크가 존재하는 경우 – ISO27001, ISMS 등 – 방법론의 Check List를 Customizing – 프로세스화 되지 않은 인증용 프레임워크의 경우는 통제력이 부족하므로 주의 필요. 실제 Live한 프로세스의 존재여부가 중요함  둘 다 없을 경우 – “(가칭)보안성 검토” 프로세스와 개발보안 가이드 필요 – 개발보안 가이드에 근거를 둔 보안성 검토 체크리스트 개발 필요 – 전산투자가 “보안성 검토”를 받지 않으면 이뤄질 수 없도록 하는 절차적 정당성 확보 필요 – “보안성 검토”를 PMS와 연계하면 더 확실한 성과획득 가능 – 가급적 개인정보를 취급하지 않는 것이 매우 유리함  보안 전담 인력/조직의 필요성 – 정보통신망법 개정방향, 개인정보보호법 신설등 각종 규제의 강화 추세 – 기업이 일상적으로 수용할 수 있는 Risk의 크기를 넘어서고 있음 – 일시적인 점검에 의한 반영으로 보안 Compliance를 해결하기에는 IT 인프라가 너무 복잡함 – 일정규모이상의 기업규모에서는 보안성 검토 및 규제관련 대응을 전담 할 보안인력 필요 -7- ㈜ 인포레버컨설팅 교육사업본부
  • 9. 7-2. Digital Forensic Preview 항목 상세내역 컴퓨터의 디지털 자료, 컴퓨터를 매개로 일어난 행위의 사실관계를 규명/증 개요 명하는 기법 기출여부 78, 83 관련KeyWord 도구, 절차, Anti-Forensic, e-discovery http://forensic-proof.com/archives/363 추천사이트 http://blog.naver.com/PostView.nhn?blogId=tomnjery&logNo=120960924 기술발전 RoadMap 기타 미국과 한국의 법제환경 차이점 인식 필요 -8- ㈜ 인포레버컨설팅 교육사업본부
  • 10. Digital Forensic  개요 – 컴퓨터의 디지털 자료, 컴퓨터를 매개로 일어난 행위의 사실관계를 규명/증명하는 기법 – 법적 증거, 상거래상 분쟁의 증거, 개인정보 보호 등 늘어난 기업의무  포렌식의 원칙 – 정당성: 자료수집 방식의 적법성 – 재현성: 동일환경에서의 동일결과 재현 – 신속성: 증거멸실 전 수집 – 연계보관성: 획득에서 제출까지 단계적 책임자 명시 – 무결성: 위변조 방지  포렌식 도구 – Replication, Data Exam, Integrity checker, 시스템분석  포렌식 절차 – 수사준비(인력/장비)>증거획득(목록/무결성)>보관/이송(봉인/통제/이중화)> 분석/조사(signature, History, Time line, 복구)>보고서  적용범위 – 컴퓨터 범죄수사, 명예훼손 등의 민사소송, 침해예방/대응  Anti-Forensic 및 대응기술 – 복구기법회피: Data Exam, 자료검사 – 증거자동삭제: 복구도구(고의훼손에 대한 복구) – 데이터은닉: 암호해독  고려사항 – 내부통제를 통한 범죄가능성의 사전차단, 민사소송을 연계하여 발생가능성 차단, 민간 포렌식의 법적 증거 인정 -9- ㈜ 인포레버컨설팅 교육사업본부
  • 11. 7-3. ISO27000 Series Preview 항목 상세내역 개요 정보보호 체계에 관련된 일련의 국제표준 셋 기출여부 69, 77, 86 관련KeyWord 정보통신망법/개인정보보호법, 기술적/관리적 보호조치 기준 추천사이트 기술발전 27001기반 표준확대(쉽지 않음), 개인정보보호 프레임워크와의 결합 RoadMap 기타 - 10 - ㈜ 인포레버컨설팅 교육사업본부
  • 12. ISO 27000 Series  개요 – 조직 정보보호의 계획/구현/운영/검토/개선의 각종 관리체계 표준 – 프로제스 개선을 통한 보안수준향상 및 대외 이미지 재고 – ISO27000 Series의 변천내역 Code of Conduct Part 1 ISO 17799 ISO 27002 BS 7799 Part 2 ISO 27001 ISO 27001 ISMS Specification  ISO27000 Set – 27001: ISMS 심사/인증규격 – 27002: 실행지침 – 27003: 실행 가이드라인(제정 중) – 27004: 평가매트릭스, 평가방법(제정 중) – 27005: 위험평가(제정 중)  ISO27001 인증 절차 – 준비단계 • 현황평가(인증정의, 현황분석): 인증범위 정의서, 현황분석 보고서 • 위험평가(자산중요도/취약성평가): 자산목록, 위험평가 보고서 • 정보체계 구현(정책/지침수립, 운용현황 문서화): 정책서, 적용성 보고서 • 이행(관리체계 이행/감사): 내부감사 보고서 – 인증/심사 • 산출물/문서 심사예비심사현장심사(본심사)인증서 교부(심사 마지막 날에 배부) - 11 - ㈜ 인포레버컨설팅 교육사업본부
  • 13. ISO 27000 Series  ISMS (Information Security Management System) – 기업/기관의 체계적 정보보호 체계 – 프로세스 접근모델 (정보보호 프로세스와 시스템의 Design/Implementation/Maintenance) • Plan: ISMS정책/목표/프로세스/단위절차 • Do: Plan내역의 구현 및 운영 • Check: 실행내역의 성과측정/평가 및 보고 • Act: 관련 규정에 의거 수행되는 수정 및 예방활동 – 통제 Domain Domain 관련 내용 정책 정보보안에 대한 경영방침과 지원사항에 대한 통제구조 확인 조직 조직 내에서 보안을 효과적으로 관리하기 위한 보안조직 구성 및 책임과 역할 인적 보안 사람에 의한 실수, 절도, 부정수단이나 설비의 잘못 사용으로 인한 위험 대응방안 물리적 보안 비 인가된 접근, 손상과 사업장과 정보에 대한 영향을 방지하기 위한 대응책 의사소통/운영관리 정보처리 설비의 정확하고 안전한 운영을 보장하기 위한 대응방안 접근통제 정보에 대한 접근 통제를 하기 위한 대응방안 자산분류 및 관리 조직의 자산에 대한 분류 및 이에 따른 적절한 보호프로세스 검토 시스템개발 및 유지보수 정보 시스템의 도입에서 폐기에 이르는 전 사이클에 보안이 수립되었음을 보장 사업연속성 사업활동 방해요소를 완화시키며 주요 실패 및 재해의 영향으로부터 주요 사업활동을 보호하 기 위한 프로세스 존재 여부 검토 준거성 범죄 및 민사상의 법률, 법규, 규정 또는 계약의무사항 및 보안요구 사항의 불일치를 회피하기 위한 대응책 검토 - 12 - ㈜ 인포레버컨설팅 교육사업본부
  • 14. ISO 27000 Series – 구축절차 • 정책정의범위정의위험성평가위험관리통제목표/방법 설정보안정책 확립 – ISMS문서화 체계 단계 • Level1: 방침/매뉴얼 • Level2: 관리/실행절차 • Level3: 업무지침서, 점검표 양식 • Level4: 기록(전체) - 13 - ㈜ 인포레버컨설팅 교육사업본부
  • 15. 7-4. e-Discovery Preview 항목 상세내역 개요 기출여부 관련KeyWord Discovery, disclosure, e-Filing, 추천사이트 기술발전 RoadMap 기술사시험 관련되어 Forensic의 일부분으로 초점을 맞춘 자료가 있으 기타 나 법률적 discovery에 이슈가 있음을 명확히 인식 필요 - 14 - ㈜ 인포레버컨설팅 교육사업본부
  • 16. 7-4. e-discovery (디지털 증거개시제)  개념 및 부각배경 – 개념 • 미국의 민법 소송절차에 필요한 전자형태의 증거에 대한 발견 및 공개 절차(2006.12) – 부각배경 • MS와 모건스탠리의 패소사례에서 주는 경각심 • 국내 전자소송제도(e-Filing) 시행에 따라 관심도 소폭 증가  주요 내용 – 대상 데이터(ESI: Electronic Stored Information) • E-mail, chat, documents, DB, web site… : 기타 소송에서 사용 가능한 포멧의 전자자료 • Raw data: 데이터 안에 숨겨진 증거 발견 목적 (ex: 화면에는 없으나 출력하면 나오는 비밀코드 등) – 증거의 제시 및 활용 • 상대방이 요구한 자료에 대해 제공의무가 있음. • 특이 사유가 없는 공개불가정보를 제외하고는 상대방이 요구하는 정보 제공의무 • 기본적으로 당사자간 이루어지는 프로세스이며 진행이 되지 않을 시 법원 개입 – 포렌식 기법의 적용 • 관련 데이터는 포렌식 기법을 이용하여 추출 및 분석 • 법정에서의 사용을 위해 PDF, TIFF 이미지 포멧으로 변경 - 15 - ㈜ 인포레버컨설팅 교육사업본부
  • 17. 7-4. e-discovery (디지털 증거개시제)  e-discovery 대응방안 – 장비 투자: ESI에 대한 아카이빙시스템, 포렌식 Tool 등 기술적 장치에 대한 투자 필요 – 관리적 방안 확보: 법률적 기준, 전산운영의 기준, 기업운영 기준의 Alignment 필요 – 전문인력 확보: 사용 어플리케이션의 데이터 포멧 이해, 추출 가능한 업체/기술인력 소싱 - 16 - ㈜ 인포레버컨설팅 교육사업본부
  • 18. 7-5. 보안 통제의 종류 Preview 항목 상세내역 개요 기출여부 96 관련KeyWord 예방통제(Preventive Control), 탐지통제(Detective Control) 추천사이트 기술발전 RoadMap 기타 - 17 - ㈜ 인포레버컨설팅 교육사업본부
  • 19. 7-5. 보안 통제의 종류  개념 – 전통적으로 보안통제는 기술적/관리적/물리적 통제로 분류 – 이 세가지 통제는 다른 시각에 의거, 다음 영역으로 재분류 혹은 세분화 될 수 있음.  주요 통제의 분류 Domain 관련 내용 예방통제 (Preventive Control) 정보보안의 침해가 발생하기 이전 바라지 않는 이벤트를 방지하려는 통제 (오류/부정의 방지목적: 프로그래밍 안전 작성 가이드 등) 탐지통제 (Detective Control) 바라지 않은 이벤트 발생 시 이를 조속히 탐지하는 통제 (Anomaly 검출의 목적: IDS 운영 지침, Checksum 등)  주요 통제를 보조하는 통제의 분류 Domain 관련 내용 저지통제(Deterrent Control) 의도적인 보안지침 위배를 가급적 어렵도록 하는 통제방안 (복잡한 패스워드 설정규칙 제정, 인터넷뱅킹 OTP도입, 안면인식 출입통제시스템 등) 교정통제 (Corrective Control) 불법적 침해를 당한 상황을 수정하거나 침해 이전의 상황으로 복귀하는 통제 (현 통제방식에 대한 변화가 수반될 수 있음) 복구통제 (Recovery Control) 침해 당한 컴퓨팅자원이나 과업 수행능력, 금전적 손해를 복구하는 통제 (백업파일의 리스토어 등) 출처: Handbook of Information Security Management, Harold F. Tipton (http://www.cccure.org/Documents/HISM/003-006.html) - 18 - ㈜ 인포레버컨설팅 교육사업본부
  • 20. Security Threats - 19 - ㈜ 인포레버컨설팅 교육사업본부
  • 21. 8-1. 악성코드 Preview 항목 상세내역 개요 사용자에게 해로운 영향을 미치는 프로그램/코드의 총칭 기출여부 71, 75, 86 관련KeyWord 추천사이트 기술발전 RoadMap 기타 용어/키워드 보다 동작원리 및 해결방안에 초점 - 20 - ㈜ 인포레버컨설팅 교육사업본부
  • 22. 악성코드(Malicious Software)  개념 – 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 스 크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 형태  종류 종류 설명 바이러스(Virus) • 프로그램이나 실행 가능한 부분을 변형해 자신 또는 자신의 변형을 복사하는 프로그램(감염) 매크로바이러스 • 오피스프로그램 등의 매크로언어를 이용하여 감염되는 바이러스 • 인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램 웜(Worm) • 바이러스와 달리 스스로 전파되는 특성 (전파) 트로이 목마 • 악의적인 공격자가 컴퓨터에 침투하여 사용자의 컴퓨터를 조종할 수 있는 프로그램 (Trojan Horse) 혹스(Hoax) • 거짓 정보나 괴담 등을 실어 사용자를 속이는 가짜 컴퓨터 바이러스 악성 자바 코드 • 자바 스크립트나 자바 애플릿을 이용하여 악의적인 기능을 하는 코드 악성 ActiveX • ActiveX를 이용, 악의적인 기능을 수행하게 하는 코드 Vandalware • 금전적 목적을 위해 정보를 훔치는 코드(트로이목마 및 기타 관련 코드들을 통칭하는 개념) Spy/Adware • 광고를 보이거나 광고목적을 위해 사용자 정보를 전송하는 코드  대응방안 – AV 솔루션의 적극적 활용 – PC, Server 의 주기적 보안 업데이트 및 보안가이드라인에 의한 환경설정 – 기업/단체의 경우 AV 중앙관제솔루션 도입 검토 - 21 - ㈜ 인포레버컨설팅 교육사업본부
  • 23. 8-2. OWASP Preview 항목 상세내역 OWASP Foundation에 의해 운영되며 웹보안에 관련된 많은 프로젝트 중 웹 개요 취약성 ToP10에 대한 내용 기출여부 관련KeyWord 추천사이트 http://www.owasp.org/index.php/Top_10_2010-Main 기술발전 RoadMap 기타 2012.2.20 기준, 2011 OWASP Top 10은 아직 release되지 않았음. - 22 - ㈜ 인포레버컨설팅 교육사업본부
  • 24. OWASP(Open Web Application Security Project)  개념 – 비영리기관인 OWASP Foundation에 의해 운영되며 웹보안에 관련된 많은 프로젝트 진행 – 매년 웹에 대한 공격리스트 Top 10을 발표하고 있으며 이는 전세계 보안관계자들에게 중요한 의사결정 근거자료가 되고 있음  OWASP Top 10 -2010 구분 내용 Injection SQL, OS, LDAP 인젝션과 같은 인젝션 결함은 신뢰할 수 없는 데이터가 명령어나 질의 어의 일부분으로써 인터프리터에 보내질 때 발생. Cross Site XSS는 공격자가 피해자의 브라우저 내에서 스크립트를 실행하게 유도, 사용자의 세션 Scripting (XSS) 을 탈취하거나, 악의적인 사이트로 사용자를 Redirect 할 수 있음. Broken 패스워드, 키, 세션토큰체계 등 인증체계의 취약점을 이용, 공격자가 다른 사용자의 Authentication & Identity로 가장 할 수 있도록 하는 것 Session Management Insecure Direct URL에 의한 파일, 디렉토리에 대한 직접 접근 등 접근통제 장치 없이 내부 구현객체에 Object References 접근을 허용하는 방식을 의미함. Cross-Site 특정 사이트가 신뢰하는 사용자를 통해 공격자가 원하는 명령을 사이트로 전송하게 하 Request Forgery 는 기법. 사용자를 통해 공격이 이루어지므로 공격자 IP 추적에 어려움 존재(예: 싸이월 (CSRF) 드 방문자 추적기) Security OS, 어플리케이션 구성값을 잘못 설정한 경우나 업데이트가 되어 있지 않은 경우 Misconfiguration - 23 - ㈜ 인포레버컨설팅 교육사업본부
  • 25. OWASP(Open Web Application Security Project) 구분 내용 Insecure 암호나 금융정보를 평문 등 불안전한 기법으로 저장하는 취약점 Cryptographic Storage Failure to Restrict URL 접근권한을 제대로 설정하지 않아 직접 접근이 가능한 취약점 URL Access Insufficient 결재, 개인정보 입력 등 인증 혹은 암호화가 필요한 주요 트래픽에 대해 제대로 된 보호 Transport Layer 수단을 제공하지 못하는 취약점(SSL 미 적용 등) Protection Unvalidated 리다이렉트 구현 시 승인되지 않은 파라메터 등을 이용하여 피싱사이트 등으로 리다이 Redirects and 렉트 되도록 허용하는 취약점 Forwards  고려사항 – 많이 알려진 공격방법이나 현재 가장 많이 일어나고 있는 웹관련 사고유형을 정리한 자료이므로 Top 10 에 대해서 지속적 모니터링 및 자사 사이트의 대처상태 확인 필요 – 단순한 점검에 머물 것이 아니라 대응지침화를 시도하여 웹개발 가이드 등 공식문서화 필요 – 단순 문서화가 아닌 구체적 Action으로 이어지도록 프로세스 정비 필요 (RFP요구사항 포함, 개발방법론 포함, 검수기준 포함 등) - 24 - ㈜ 인포레버컨설팅 교육사업본부
  • 26. 8-3. Web hacking Preview 항목 상세내역 개요 Web 프로토콜 및 관련 서비스/제품에 대해 이뤄지는 해킹의 총칭 기출여부 관련KeyWord WAF, DB, Web Server/Application Server 추천사이트 기술발전 RoadMap 기타 - 25 - ㈜ 인포레버컨설팅 교육사업본부
  • 27. Web Hacking  개념 – 웹 서버, WAS, DB등HTTP서비스와 관련된 소프트웨어, 프로토콜을 대상으로 이루어지는Application Level해킹의 총칭 – 웹 인프라의 일반화에 따른 해킹피해 증가와 정형화된 해킹방식, 높지 않은 난이도로 피해 심각  특징 – 개방포트(TCP 80 등)를 통해 공격이 이루어지므로 방화벽제약이 적음 – 웹과 데이터 연동이 일반화됨에 따라 DB해킹으로 이어지는 경우가 대부분임(개인정보 유출과 밀접) – Application의 개발 및 인력skill과 관련되어 있어 취약점통제가 힘듬  종류 - 26 - ㈜ 인포레버컨설팅 교육사업본부
  • 28. Web Hacking  대응방안 – 단기적 대응: 웹 어플리케이션방화벽(WAF)의 설치 – 근본적 대응: 해당소스의 1:1 수정(취약점스캐너 (웹 스캐너)를 이용할 수 있음)  대응방안 – 단기적 대응: 웹 어플리케이션방화벽(WAF)의 설치 – 근본적 대응: 해당소스의1:1 수정 (취약점스캐너(웹 스캐너)를 이용할 수 있음)  웹 해킹 대응의 핵심 고려사항 - 27 - ㈜ 인포레버컨설팅 교육사업본부
  • 29. 8-4. SQL Injection Preview 항목 상세내역 개요 임의의 Query, Command를 조합, DB인증을 우회/접속하는 해킹기법 기출여부 92 관련KeyWord DB논리구조 추천사이트 기술발전 SQL Injection  Stored Procedure Injection RoadMap 기타 - 28 - ㈜ 인포레버컨설팅 교육사업본부
  • 30. SQL Injection  개념 – 임의의 Query, Command를 조합, DB인증을 우회/접속하는 해킹기법 – DB연동 증가에 따른 사고 빈발, 보안을 무시한 코딩습관이 가장 큰 원인  동작원리 ID/Password Web Always True Hacker DB + Injection Code Svr. 조건문 전달  절차 – DB확인: Vender별 구현방식이 다르므로 데이터베이스 종류파악이 선행되어야 함. – 컬럼확인: Order by등으로 에러를 유발하여 확인 – 구문작성: 항상 참인 조건의 구문을 작성 – 실행: 성공 시 Web admin획득(System admin이 아님)  구문 예 Where username= ‘ OR username like ‘%’ and Password= ‘ OR username like ‘%’ - 29 - ㈜ 인포레버컨설팅 교육사업본부
  • 31. SQL Injection  대응방안 – PM/품질: 프로그래밍 표준안 마련, AOP 등 집중관리 방안 강구 – 운영자: 웹 방화벽 도입 검토 – 프로그래머: Validity Check, Stored Procedure, Custom Error Page 등 가용수단 동원 – DBA: DB접근계정 제한, 세션 암호화 - 30 - ㈜ 인포레버컨설팅 교육사업본부
  • 32. 8-5. XSS Preview 항목 상세내역 개요 게시판, 메일 등을 통해 사용자의 오용을 유도하는 해킹방식 기출여부 관련KeyWord Bot, 저장/반사 http://beat0108.tistory.com/32 추천사이트 http://blog.naver.com/PostView.nhn?blogId=99jack&logNo=130076974097 기술발전 RoadMap 기타 - 31 - ㈜ 인포레버컨설팅 교육사업본부
  • 33. XSS(Cross Site Scripting)  개념 – 스크립트가 실행될 수 있게 허용된 브라우저에서 사용자 세션을 가로채거나 기타 다양한 공격을 할 수 있게 되는 공격방식  심각성 – Bot의 확보수단으로 지속적 활용 중 – 가장 대중적인 인터넷이용방법인 브라우징과 관련이 있어 피해범위가 크고 피해자가 내용을 모르는 경 우가 많은 것이 특징임  XSS 동작개념도 – E-mail은 스크립트 삽입이 허용된 게시판이나 웹페이지로 대체 가능함 – Vulnerable web site로 redirect된 후 일반적으 로 DDoS agent를 사용자 PC에 설치하는 케 이스가 가장 많음 - 32 - ㈜ 인포레버컨설팅 교육사업본부
  • 34. [참조] XSS(Cross Site Scripting) 공격방식 http://www.ibm.com/developerworks/kr/library/s-csscript/#figure1 - 33 - ㈜ 인포레버컨설팅 교육사업본부
  • 35. XSS(Cross Site Scripting)  XSS 유형 – 저장: 악성스크립트를 폼 필드 등을 이용, 서버에 저장시키고 사용자가 이를 클릭하도록 유도 – 반사: 사용자 클릭을 유도는 동일하나 클라이언트에서 악성스크립트를 포함한 Request를 서버에 보내 도록 유도하는 차이점 존재 – DOM Injection: 자바스크립트 코드, 변수 조작  XSS에 대한 대응방안 – 사용자 입력값 유효성 확인(반드시 Server Side로 작성) – .NET의 경우 MS Anti-XSS Library – OWASP PHP Anti-XSS Library 사용 – 취약점 스캐너 활용 저장 반사 - 34 - ㈜ 인포레버컨설팅 교육사업본부
  • 36. 8-6. CSRF Preview 항목 상세내역 웹사이트가 신뢰하는 사용자를 통해 불법명령을 웹사이트로 전송하도록 하 개요 는 공격기법 기출여부 관련KeyWord XSS, 신뢰받는 사용자 추천사이트 http://www.securityplus.or.kr/xe/?document_srl=20993&mid=textyle&vid=bangrip1 기술발전 RoadMap 기타 실제 사고사례 언급 필요 - 35 - ㈜ 인포레버컨설팅 교육사업본부
  • 37. CSRF  개념 – 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청 하게 하는 공격 (A 경매사이트 개인정보 탈취 시 사용) – 웹사이트가 신뢰하는 사용자를 통해 불법명령을 웹사이트로 전송하도록 하는 공격기법 (XSS: 사용자가 웹사이트를 신뢰)  동작개념도 – 전반적인 프로세스는 XSS와 동일함 – 하지만 웹시스템 관리자와 같이 시스템이 신 뢰하는 사용자의 PC를 노린다는 점에서 차이 발생(전체 고객데이터 등 좀 더 고급정보 획득 시 사용)  대응방안 – 웹방화벽 등으로는 스크립트 설정 금지 등 제 한적 대응 밖에 하지 못함 – 주요 Action에 대해서는 쿠키 외 일회성인증이 가능한 인증형태 도입(캡차, 공인인증서, 보안 카드, OTP 등) – XSS 스크립트가 실행되지 않도록 환경설정 – 관리자 등 주요 사용자에 대한 교육 강화 - 36 - ㈜ 인포레버컨설팅 교육사업본부
  • 38. [참조] SCRF 공격 일부 예 http://blog.naver.com/PostView.nhn?blogId=llove94&logNo=50114504379&categoryNo=41&viewDate=&currentPage=1&listtype=0 - 37 - ㈜ 인포레버컨설팅 교육사업본부
  • 39. 8-7. Buffer overflow Preview 항목 상세내역 메모리 관리의 취약점을 이용, 해커가 원하는 권한을 확보하게 해 주는 해킹 개요 기법 기출여부 관련Key Word Stack, Heap 추천사이트 기술발전 RoadMap 기타 - 38 - ㈜ 인포레버컨설팅 교육사업본부
  • 40. Buffer Overflow  개념 – 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조 작, 궁극적으로 해커가 원하는 코드를 실행 가능하게 되는 취약점 – 리모트 혹은 로컬에서 인증절차 없이 권한 획득  종류 – Stack Buffer Overflow • 스택 버퍼 오버플로우 공격은 입력 값을 확인하지 않는 입력 함수에 정상적인 크기보다 더 큰 입력 값을 대입하여 RET값을 덮어쓰기 함으로써 임의의 코드를 실행 • 스택의 적당한 곳에 해커가 원하는 코드를 집어 넣은 다음 리턴 어드레스를 그 삽입한 코드를 실행 – Heap Overflow • 힙에 저장되는 데이터를 변조하거나, 함수에 대한 포인터 값을 변조함으로써 임의의 코드를 실행  대응방안 – 컴파일 보조 툴 이용방안 (OS별 보조 툴) – 시스템커널 업그레이드, 최신패치 적용 – 프로그래밍 시 버퍼의 경계값 검사 실시 - 39 - ㈜ 인포레버컨설팅 교육사업본부
  • 41. 8-8. Spoofing Preview 항목 상세내역 사람이나 프로그램이 다른 사람/프로그램으로 위장하여 불법적 이익을 얻는 개요 행위 기출여부 관련Key Word Spoofing 종류 추천사이트 기술발전 네트워크 기반 Spoofing어플리케이션 기반 spoofing RoadMap 기타 Spoofing자체보다 다른 해킹기법과의 연계에 초점 - 40 - ㈜ 인포레버컨설팅 교육사업본부
  • 42. Spoofing  개념 – 사람이나 프로그램이 다른 사람/프로그램으로 위장하여 불법적 이익을 얻는 행위 – 공격자는 신원위장의 필요성이 존재하므로 대부분의 공격에 기본적으로 쓰이는 기법임  심각성 – 기존 네트워크 기반 spoofing에서 어플리케이션 spoofing 증가에 따른 금전적 손해 발생 빈출 – 네트워크 기반 spoofing의 난이도 하락에 따른 망 생존성 위협 증가  종류 및 대응책 구분 내용 대책 IP Spoofing Man In The Middle Attack: 중간 메시지 변조 MAC변조방지 솔루션 DoS: UDP spoofing이 주로 쓰임 필터링 라우터 네트워크 모니터링 DNS Spoofing ARP spoofing실시, DNS Query 시 위조된 address MAC변조방지 솔루션 를 리턴시킴 AV 사용 URL Spoofing 유사 URL로 유도 브라우저 보안패치, AV생활화 Phishing: 브라우저 취약점을 이용하기도 함 URL확인 E-mail Spoofing E-mail 헤더변경 (수신인 변경이 일반적) 스팸방지 솔루션 도입, SPF 사회공학방식의 공격메일 주의 메일헤더 확인, 전자서명 메일 VoIP spoofing VoIP Caller ID Spoofing Signaling암호화, 패스워드 인증강화 - 41 - ㈜ 인포레버컨설팅 교육사업본부
  • 43. 8-9. Sniffing Preview 항목 상세내역 개요 스니퍼 프로그램을 이용하여 네트워크상의 데이터를 몰래 도청하는 행위 기출여부 관련Key Word promiscuous mode 추천사이트 기술발전 RoadMap 기타 - 42 - ㈜ 인포레버컨설팅 교육사업본부
  • 44. Sniffing  개념 – Sniffing란 스니퍼 프로그램을 이용하여 네트워크상의 데이터를 몰래 도청하는 행위  동작원리 – Ethernet 네트워크에서의 ARP 프로토콜의 트래픽 공유 취약성 이용 – 로컬 네트워크에서 같은 선(Wire)공유 – promiscuous mode로 LAN adapter를 설정하면 공유된 트래픽을 모두 볼 수 있음. 192.168. 0. 1 192.168. 0. 2 – 로컬 네트워크 내 모든 호스트에 동일하게 트 래픽이 분배되므로 sniffing이 매우 쉽게 이루 Packet목적지 192. 168. 0. 3 어짐 192.168. 0. 3 192.168. 0. 4  대응방안 – Dummy Hub 대신 가급적 Switching Hub 사용 (스위칭허브 공격 방식도 있으나 상대적으로 안전) – Anti-Sniff 등 promiscuous mode 탐지 솔루션의 적극적 활용 – ARP 감시를 통해 평소에 자주 등장하지 않던 ARP 집중 감시 – IP address 관리 철저 - 43 - ㈜ 인포레버컨설팅 교육사업본부
  • 45. 8-10. Hijacking Preview 항목 상세내역 개요 기존의 통신을 가로채서 못 쓰게 하거나 불법적으로 활용하는 일체의 행위 기출여부 관련Key Word 3 way handshake취약점, HTTP Session 추천사이트 기술발전 RoadMap 기타 - 44 - ㈜ 인포레버컨설팅 교육사업본부
  • 46. Hijacking  개념 – 기존의 통신을 ‘가로채서’ 못 쓰게 하거나 불법적으로 활용하는 일체의 행위 – Spoofing과 동시에 사용, Man In The Middle Attack과 동일한 유형의 공격  Hijacking의 종류 – 보안 분야에서 공식적으로 분류하고 있지는 않으나 아래와 같이 유형분류 가능 구분 내용 대책 Network 동일 네트워크 상에서 TCP/IP의 3 way handshake취약점을 이용한 IP, MAC관리 철저 IP Hijacking (호스트간 신뢰관계 필요) Router에서 Source기준 필터링 MAC spoofing을 통한 Hijacking (용이성으로 인해 더 많이 쓰임) Anti sniff 등 감시 Tool 운영 HTTP HTTP Session ID 를 추출하는 Hijacking유형 Session ID암호화, 터널 암호화 Session -평문 session ID, 짧은 길이, 무한만료 등 추측불가능 ID설정, ID Timeout - Sniffing, 게시판 등의 XSS, Hidden Field 검색을 통해 입수 로그인 후 주요서비스는 재인증 Call VoIP 통화내용인 Bearer Traffic Hijacking sRTP 등을 이용, 통화 인증/암호화 – Victim에 대한 DoS공격으로 응답하지 못하게 Victim Attacker Server 하고 서버에 대신 연결 요청 1. SYN – Victim의 SYN Sequence No. 를 추측하여 통신 연결 2. SYN/ACK 3. RST 4.SYN (Spoofed) IP Hijacking의 징후 5.SYN/ACK – ACK Storm탐지 6.ACK – 패킷 유실 및 재전송 증가 – 기대치 않은 접속 Reset <Network IP Hijacking> - 45 - ㈜ 인포레버컨설팅 교육사업본부
  • 47. 8-11. Social Engineering Preview 항목 상세내역 인간 상호 작용의 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리 개요 고 정보를 얻는 비기술적 침입 수단 기출여부 관련KeyWord 추천사이트 기술발전 RoadMap 기타 - 46 - ㈜ 인포레버컨설팅 교육사업본부
  • 48. Social Engineering  개념 – 인간 상호 작용의 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨뜨리고 정보를 얻는 비기술적 침 입 수단  사회공학에 취약한 조직의 특성 – 조직원 수가 많은 조직 – 조직의 구성체가 여러 곳에 분산되어 있는 조직 – 조직원의 개인정보가 노출된 조직 – 적절한 보안 교육이 부재한 조직 – 정보가 적절히 분류되어 관리되지 않는 조직  사회공학 공격대상 – 정보의 가치를 잘 모르는 사람 – 특별한 권한을 가진 사람 – 제조사, 벤더 – 해당 조직에 새로 들어온 사람 cris.joongbu.ac.kr/course/2011-1/iis/ch12_사회공학.ppt - 47 - ㈜ 인포레버컨설팅 교육사업본부
  • 49. Social Engineering  사회공학 기법 구분 기법 인간기반 직접적인 접근 고위층 위장 정보획득, 동정심에 호소하기, 가장된 인간관계 이용 도청 도청 장치 설치, 유선 전화 Tapping 유리나 벽의 진동을 레이저로 탐지 어깨너머로 훔쳐보기 작업자 엿보기 휴지통 뒤지기 조직도, 매뉴얼, 일정, 중간단계 산출물 등 주요정보 다수 존재 컴퓨터기반 시스템 분석 컴퓨터 휴지통 뒤지기, 중고노트북 구매 악성코드 전송 정상 소프트웨어로 위장, 바이러스 USB건네기 인터넷 이용 구글링 Phishing 메일, 이벤트사이트 등을 통한 개인정보 탈취 Pharming 도메인 만료기간을 이용한 도메인 탈취  사회공학 대응책 – 조직 구성원에 대한 보안 관련 교육 강화 – 외부인에 대한 경계심을 강화 – 관련 내용을 사규/지침에 반영 - 48 - ㈜ 인포레버컨설팅 교육사업본부
  • 50. 8-12. Pharming Preview 항목 상세내역 사용자를 불법사이트로 유인, 각종 정보를 탈취하거나 위해를 가하는 해킹 개요 기법 기출여부 관련KeyWord DNS 추천사이트 기술발전 RoadMap 기타 - 49 - ㈜ 인포레버컨설팅 교육사업본부
  • 51. Pharming  개념 – 사용자를 불법사이트로 유인, 각종 정보를 탈취하거나 위해를 가하는 해킹기법 – 합법소유 도메인의 탈취, DNS Faking 등 이용  주요 기법 – DNS 해킹: DNS cache poisioning – 도메인 탈취: 등록기간이 경과된 DNS의 탈취 – PC Host file조작: Spyware, Domain Cracker, Virus 등에서 광범위하게 이용됨  개념도 Hacker 브라우저 위조사이트 X Forged DNS 실제사이트 • PC Host File • ISP/Corporate DNS  대응책 – 개인: AV/A-Spy, 취약점 Update – 기업/ISP: DNS Patch, 도메인 유효기간 확인 – 솔루션업체: Reputation System 개발(Phishing에도 적용) - 50 - ㈜ 인포레버컨설팅 교육사업본부
  • 52. 8-13. Zero day attack Preview 항목 상세내역 취약점 발견 후 패치 등 가용한 대응수단이 마련되기 전 해당 취약점을 이용 개요 하여 행하여 지는 공격 기출여부 관련KeyWord Patch 추천사이트 기술발전 RoadMap 기타 - 51 - ㈜ 인포레버컨설팅 교육사업본부
  • 53. Zero Day Attack  개념 – 취약점 발견 후 패치 등 가용한 대응수단이 마련되기 전 해당 취약점을 이용하여 행하여 지는 공격 – 피해범위가 클 경우 대응책이 없으므로 운영자/사용자들이 혼란상황에 빠질 수 있음.  Zero day attack의 기반기술 – Spreading Engine: Worm확산 알고리즘 및 구현 엔진 – Worm/Virus: Host침투, 피해 유발 모듈 – 취약점 Adaptor: Exploit code 조립 Adaptor SW제작사 취약점 패치제작 패치 Release 발견 공격 공격 Hacker 해킹Tool 제작  대응방안 – 개인: 환경취약점(패스워드 등) 대응 철저, 자동패치 설정 – 기업: Anomaly Detection설정, 목적없는 전산자원 분리/폐기/격리 – 국가/ISP: Black Hole/Sink Hole. 통합관제 Center, CERT 운영 - 52 - ㈜ 인포레버컨설팅 교육사업본부
  • 54. 8-14. Cyber Attack Preview 항목 상세내역 개요 인터넷상에서 행해지는 전자적 침해활동 및 그 징후의 총칭 기출여부 관련KeyWord 추천사이트 기술발전 RoadMap 기타 개별 주제보다는 cyber attack의 전체적인 그림에 초점 - 53 - ㈜ 인포레버컨설팅 교육사업본부
  • 55. Cyber Attack  개념 – 인터넷상에서 행해지는 전자적 침해활동 및 그 징후의 총칭 – 심각성: 기법고급화, 기술자동화, 네트워크의 사회 인프라화  종류 종류 내용 파장 발생빈도 IWF 국가간 정보전 (大) Cyber Crime 전자적 범죄행위 Hactivism 정치적 시위/공격 Vandalism 공공시설 공격 Experimental 호기심, 실험 (大)  대응전략 – 법적 대응: 규정강화, 양형기준 현실화 – 물리적 대응: 주요시설 보안강화 – 기술적 대응: 국가대응 보안기술 개발, 정보공유체계 구축 – 인적 대응: 해커부대 양성, 전문가 양성, 보안 전문인력 Pool 운영 - 54 - ㈜ 인포레버컨설팅 교육사업본부
  • 56. 8-15. APT attack Preview 항목 상세내역 정부 또는 조직의 특정 목적에 의해 조직적이고 지속적으로 이루어지는 해 개요 킹 기출여부 관련KeyWord IWF 추천사이트 기술발전 RoadMap 기타 - 55 - ㈜ 인포레버컨설팅 교육사업본부
  • 57. APT Attack(Advanced Persistent Threat)  개념 – 정부 또는 조직의 특정 목적에 의해 조직적이고 지속적으로 이루어지는 해킹 – 새로운 기법이 있는 것은 아님. 수행주체와 목적의 심각성에 주목 – 예: Stuxnet Worm  APT의 요건 요건 내용 Advanced 광범위하고 다양한 기술을 사용 (Phone tapping부터 위성통신 감청까지) Persistent 목적달성까지 체계적이고 지속적인 공격계획 수립 및 실행 (목적에 따라서는 Long-term과 비용까지 감수하면서 공격 실시) Threat 목적성을 가지고 사람이 실행하거나 코디네이션에 개입하는 공격  APT의 타겟 (출처: ahnlab) – 정부기관: 정부/군사 기밀문서 – 사회 기간 산업: 사회 인프라 마비를 통한 혼란 유발 (통신 등) – 주요 기업: 지적자산, 영업비밀 탈취 – 금융 기업: 자산정보 탈취, 사회금융시스템 마비 - 56 - ㈜ 인포레버컨설팅 교육사업본부
  • 58. APT Attack(Advanced Persistent Threat)  APT 대응방안 – Layered Security-Depense in Depth – 대응 조직의 공식화/체계화 – 도메인 지식과 결합된 보안전문가 확보 - 57 - ㈜ 인포레버컨설팅 교육사업본부
  • 59. 8-16. DDoS Preview 항목 상세내역 개요 분산된 컴퓨팅자원을 동원하여 DoS공격을 실행시키는 공격기법 기출여부 84, 91, 93 관련KeyWord Bot, XSS, IPS, 행동기반/Signature기반, Sink Hole 추천사이트 기술발전 IPS방어DDoS전용장비 방어DDoS 대피소 방어 RoadMap 기타 - 58 - ㈜ 인포레버컨설팅 교육사업본부
  • 60. DDoS-동향 보안위협 패러다임 변화 DDoS 트래픽량 증가  인터넷 보안위협의 패러다임 변화  DDoS 공격 트래픽량의 지속적 증가 Risk RANSOM DDoS 악성 BOT 웜(Worm) 단순 해킹 / 바이러스 1980 - 1998 1999 - 2003 2004 - 2006 2007~08년  인터넷 속도향상(FTTH)및 고사양PC에 의한 악성코드 감염PC당 발생하는 공격 트래픽량의  악성 BOT은 2004년 이후 지속적인 보안위협 폭발적 증가  2007년 이후 중국 해커에 의한 RANSOM DDoS에 의한 인터넷 보안위협이 지속 증가 추세  최근 DDoS 공격 IP 평균 수 : 200 ~ 1000여대  09년에도 악성 BOT, DDoS 공격 보안위협 증가 예상 (10Gbps ~ 100Gbps 트래픽 발생 가능)  08년 DDoS 공격 트래픽량 58G 발생(11월) - 59 - ㈜ 인포레버컨설팅 교육사업본부
  • 61. DDoS-동향 Methods of Propagation  Drive by download : DbD)  피싱(Phishing)  SQL 인젝션  크로스 사이트 스크립팅(XSS)  SPIM (SPam + Instant Messenger)  스파이웨어  스팸, E-메일  Vulnerable Applications 등 Drive-by download From Wikipedia - Any download that happens without knowledge of the user. - Download of spyware, a computer virus or any kind of malware that happens without knowledge of the user. Drive-by downloads may happen by visiting a website, viewing an e-mail message or by clicking on a deceptive popup window... - 60 - ㈜ 인포레버컨설팅 교육사업본부
  • 62. DDoS-동향  방어체계를 극복하기 위해 지속적으로 지능화된 Botnet으로 발전 2007년 상반기 – 3322.org 등 2007년 하반기 – C&C Changer Attacker C&C Web C&C Changer 2008년 1분기 – 2중 Changer 2008년 2분기 – FastFlux DDNS, TTL=60 DDNS, C&C TTL=60 C&C Changer (CMD) C&C : DST We b - 61 - ㈜ 인포레버컨설팅 교육사업본부
  • 63. DDoS-대책 IPS의 Anomaly Detection을 활용  Learning을 통한 Traffic학습기능 이용 – 평상시 Traffic통계를 학습한 후 학습을 초과하는 이상 트래픽 발현 시 대응 – 시간별(일/요일/시간 등), Destination별, Source별, Port별 등 다양한 기준(솔루션별 상이) – 장비사 별 고유의 알고리즘 보유  False Positive의 문제 – 정상 Traffic의 차단이 빈번하게 발생 – 이벤트, 각종 이슈의 발생 케이스 때문에 웹사이트에 적용하기 힘듬(실무에서 거의 사용 안함)  사이트 규모와 공격규모에 따라 재난상황 대응용으로 활용 가능 – DDoS Traffic은 일반 Event규모를 초과함 – IPS는 대용량 DDoS처리에 부족한 부분이 많아 DDoS From Radware 전문 장비와 시장이 갈림 - 62 - ㈜ 인포레버컨설팅 교육사업본부
  • 64. DDoS-대책 DDoS방어 전용장비 활용  최근 3년간 구축사례 급격히 증가 – Ransom DDoS 출현과 궤를 같이 함 – 기존의 IPS기능에 관련기능 대폭 보강 – In-Line형, Routing연동형 등 구현 방식 상이  사용기술 From CISCO – 행동기반 탐지방어 • Black List • Statistics Analysis • Rate Limit – Signature기반 탐지방어 • Known Signature에 대해서만 가능  재난상황 대응용으로 충분히 활용가능 – 서버는 보호가능하나 비즈니스의 근간인 네트워크 재난을 피하기 힘듬 – Ransom대상인 주요서비스 제공 사이트의 경우 비용 대비 효과측면에서 의문점 - 63 - ㈜ 인포레버컨설팅 교육사업본부
  • 65. DDoS-대책 ISP상품이용 or 협력체계 구축  네트워크 대역 고갈에 대한 유일한 해결방안 – On-Line의 가용성이 매우 중요한 경우 필요 – 온라인게임, 주요포털 등 Detection  ISP 대응체계 Sink Hole처리 – Sink Hole 처리 (특정 IP로 향하는 Traffic 전수 수집) • 대응 시간 (5~10분) 지연의 문제 • 봇넷의 지속적 업그레이드로 차단시간 단축이 어려움 – Sink Hole처리 인프라와 DDoS대응장비의 연동 Traffic Cleansing • Detection은 고객 Side에서 1차, ISP 2차 (병렬 DDoS방어장비 이용) • Portection은 ISP 1차, 고객 Side 2차  재난상황 대응용으로 최적 정상 Traffic만 소통 – 단순한 DDoS 장비 임대는 의미 없음 – 기존 ISP 대응체계에 대한 사전 점검 필요 - 64 - ㈜ 인포레버컨설팅 교육사업본부
  • 66. Certification & Security Consulting - 65 - ㈜ 인포레버컨설팅 교육사업본부
  • 67. 9-1. CC Preview 항목 상세내역 개요 국제적인 컴퓨터제품의 보안성 검증 제도 기출여부 69 관련KeyWord PP, ST, EAL, TOE, CCRA 추천사이트 http://ettrends.etri.re.kr/PDFData/17-5_089_101.pdf 기술발전 RoadMap 기타 - 66 - ㈜ 인포레버컨설팅 교육사업본부
  • 68. CC (Common Criteria)  개요 – 컴퓨터제품이 시스템보안기능 요구사항과 보안보증사항을 만족시키는지를 평가하여 결과의 상호인증 까지 모든 지침 및 프로세스를 제정한 국제기준 – 무역장벽철폐, 인증체계 통합 효과  CC의 구조 – Part1: CC소개, 일반모델 – Part2: 보안기능 요구사항(Class~PP/ST) – Part3: 보안보증 요구사항(Class~보증등급)  보안기능 요구사항의 구조 – 패키지: 기능보증사항의 집합, 재사용가능, PP/ST의 기초 – PP (Protection Profile): 공통 심사기준 – ST (Security Target): 특정제품/시스템 의존기능 및 요구 – EAL (Evaluation Assurance Level): PP/ST의 등급(0~7등급) – TOE (Target Of Evaluation): 심사 대상 객체 P Class Family Component Package P Component S Component 추가요구사항 T - 67 - ㈜ 인포레버컨설팅 교육사업본부
  • 69. CC (Common Criteria)  CCRA (CC Recognition Arrangement) – CC의 적용 및 수용에 동의하는 협정국의 모임 – 가입유형 • CAP (Certificate Authorizing Participants): 인증서 발행국 • CCP (Certificate Consuming Participants): 인증서 수용국  인증 절차 – 인증상담산출물시범작성산출물적합성평가계약지속적 보완인증사후관리  최근 이슈 – 민간 CC평가기관의 확대: 민간으로의 전가 논란 – 국내 전용 PP  CC 3.1 – 배경: 단순/명료/일과성 부여, 중복성 제거/개발자 사용편리성, 합성제품 대비 – 주요내용: • EAL/요구사항 간소화 • PP선언 2중화(Restricted/Demonstrable) • 보안기능 요구사항과 보안보증 요구사항의 종속성 제거 • 업무량 간소화 - 68 - ㈜ 인포레버컨설팅 교육사업본부
  • 70. [참조] TCSEC (The Trusted Computer System Evaluation Criteria)  개요 – 미 국방부의 정보보호 제품인증 제도, 흔히 Orange Book이라고 부름, 1995년 공식화  등급 – A1(Verified Design): 수학적으로 완벽한 시스템 – B3(Security Domains) • 운영체제에서 보안에 불필요한 부분을 모두 제거하며, 모듈에 따른 분석 및 테스트가 가능. • 시스템 파일 및 디렉토리에 대한 접근 방식을 지정하고, 위험 동작을 하는 사용자의 활동에 대해 자동백업. – B2(Structured Protection) • 시스템에 정형화된 보안 정책이 존재하며 B1 등급의 기능을 모두 포함. – B1(Labeled Security) • 시스템내의 보안 정책을 적용할 수 있으며 각 데이터에 대해 보안 레벨 설정이 가능. • 시스템 파일이나 시스템에 대한 권한을 설정 – C2(Controlled Access Protection) • 각 계정별 로그인이 가능하며 그룹 ID에 따라 통제가 가능한 시스템. • 보안 감사가 가능하며 특정 사용자의 접근을 거부할 수 있음. – C1(Discretionary Security Protection) • 일반적인 로그인 과정이 존재하는 시스템. • 사용자간 침범이 차단되어 있고 모든 사용자가 자신이 생성한 파일에 대해 권한을 설정할 수 있음. – D(Minimal Protection): 보안설정이 이루어지지 않은 단계 - 69 - ㈜ 인포레버컨설팅 교육사업본부
  • 71. [참조] TCSEC (The Trusted Computer System Evaluation Criteria) - 70 - ㈜ 인포레버컨설팅 교육사업본부
  • 72. [참조] ITSEC(The Information Technology Security Evaluation Criteria)  개요 – 1991년 5월 유럽 국가들이 발표한 공동 보안 지침서 – 프랑스, 영국, 독일, 네델란드 4개국이 국가별 기준을 공동제정으로 방향선회 – 제품에 대한 보증만으로 평가 수행  ITSEC의 등급 – E1(최저), E2, E3, E4, E5 및 E6(최고) – E0 등급 : 부적합 판정 – 기술된 효용성 보증을 하나라도 만족시키지 못하면 E0등급 판정 - 71 - ㈜ 인포레버컨설팅 교육사업본부
  • 73. [참조] 인증간 관계 CC(Common Criteria) 미국 TCSEC 유럽 ITSEC 한국 EAL0 부적절한 보증 K0 D 최소한의 보호 E0 부적절한 보증 EAL1 기능 시험 K1 EAL2 구조 시험 C1 임의적 보호 E1 비정형적 기본 설계 K2 EAL3 방법론적 시험과 점검 C2 통제적 접근 보호 E2 비정형적 기본 설계 K3 소스 코드와 하드웨어, 도면 EAL4 방법론적 설계, 시험, 검토 B1 규정된 보호 E3 K4 제공 준정형적 기능 명세서, 기본 EAL5 준정형적 설계 및 시험 B2 구조적 보호 E4 K5 설계, 상세 설계 EAL6 준정형적 검증된 설계 및 시험 B3 보안 영역 E5 보안 요소 상호관계 K6 정형적 기능 명세서, 상세 설 EAL7 정형적 검증 A1 검증된 설계 E6 K7 계 - 72 - ㈜ 인포레버컨설팅 교육사업본부
  • 74. 9-2. 보안컨설팅 Preview 항목 상세내역 개요 기출여부 관련KeyWord 추천사이트 기술발전 RoadMap 주제 자체보다는 보안컨설팅 접근방식과 유사하게 문제에 접근하는 방 기타 법을 깨우쳐야 함. - 73 - ㈜ 인포레버컨설팅 교육사업본부
  • 75. 보안 컨설팅  개념 – 조직의 보안위협을 파악하고 이에 대해 가장 조직 친화적인 대응방안을 수립해 주는 활동  수행절차 – 현 보안수준 분석, 취약성 분석, 모의해킹위험분석보안수준 진단 – 대응 아키텍처 설계/실행과제 선정실행방안도출마스터플랜  수행범위 – 전통적 수행범위: 관리/물리/기술 – 최근 테마: 기술분야별(IPTV, VoIP…), 개인정보 보호 등  적용 Framework – Enterprise Security: ISO27001, ISMS 등 – 주요 테마 별 Security: ITU-T 등 각기 별도의 보안 아키텍처 사용 - 74 - ㈜ 인포레버컨설팅 교육사업본부