SlideShare a Scribd company logo

리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진

eungjin cho
eungjin cho
1 of 28
Download to read offline
2012 Database Grand Conference 10th 리스크와 컴플라이언스 관점의 취약점 추적 관리 UZENi 데이터보안팀 조응진 October 2012
발표내용 목차:  이야기 들어보기… • Verizon Report • AppSecurity Survey • 결론은?  찾아보기… • Risk, Compliance, Vulnerability  스캔을 해보니… • 취약점 분석 절차 • 기존 취약점 분석의 안타까움 • 차세대 취약점 분석의 요건 1
이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) WHO IS BEHIND DATA BREACHES? stemmed from external agents (+6%) implicated internal employees (-13%) committed by business partners (<>) of all data theft tied to activist groups 2
이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) HOW DO BREACHES OCCUR? utilized some form of hacking (+31%) incorporated malware (+20%) involved physical attacks (-19%) employed social tactics (-4%) resulted from privilege misuse (-12%) 3
이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) WHAT COMMONALITIES EXIST? of victims were targets of opportunity (-4%) of attacks were not highly difficult (+4%) of all data compromised involved servers (+18%) of breaches took weeks or more to discover (+6%) of incidents were discovered by a third party (+6%) of breaches were avoidable through simple or intermediate controls (+1%) of victims subject to PCI DSS had not achieved compliance (+7%) 4
이야기 들어보기… Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges” 현재 보안 위협을 상승 시키는 요소는 무엇이라고 생각하십니까? 5
이야기 들어보기… Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges” 그럼 보안 위협에 대한 대응 방안은 무엇이라고 생각하십니까? 6
이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) 보고된 사고의 예방 조치 비용과 기술적 수준은? Cheap Simple 63% 7
이야기 들어보기… 결론은? 1. 데이터 보안에 리스크 기반의 접근 방식이 필요하다. • 월드와이드 보안규정(컴플라이언스)은 데이터 보안 문제에 주의를 집중한다. • 데이터베이스 서버는 데이터 침해의 주요 소스이다. • 가장 취약한 데이터 소스에 자원을 집중해야 한다. Categories of compromised assets by percent of breaches And percent of records Breaches/Records Servers 64%/94% User Devices 60%/35% People 7%/34% Offline Data 3%/<1% Network Infrastructure <1%/<1% Unknown 1%/1% Sources: Verizon Business Data Breach Investigation Report 2011 8
이야기 들어보기… 결론은? 2. 새로운 목표 설정이 필요하다. 효과적인 보안 프로세스 관리 Re-Active < Pro-Active 요구준수: Check & Balance ROSI(Return On Security Investment) 향상 9
찾아보기… Risk, Compliance, Vulnerability Risk: 특정 위협이 특정 취약점을 악용할 수 있다는 가능성(NIST SP 800-40) Threat: 시스템 피해가 발생할 가능성이 있는 의도적인 상황의 실현이나 실행(NIST SP 800-40) 10
찾아보기… Risk, Compliance, Vulnerability Risk관리는 프로세스로서 다음의 세 가지를 포함하고 있음(NIST SP 800-30) RM Process Evaluation & Risk Assessment Risk Mitigation Assessment 11
찾아보기… Risk, Compliance, Vulnerability Compliance의 종류 PCI-DSS SOX ISO27000 HIPAA ISO9000 Basel II ISO20000 FISMA ISO19011 GLBA ISO13335 DPA ISO21827 SysTrust ISO15408 FRCP ISO15504 FACTA ISO19770 Sec Rule 17a ISO10770 개인정보보호법 IT/Security NIST Requirements SAS70 Regulatory IT Compliance Compliance 12
찾아보기… Risk, Compliance, Vulnerability Compliance별 Control Objectives vs. Security Requirements PCI Basel Database 감사 요구사항 SOX HIPAA FISMA GLBA DSS II 계정, 역할, 권한과 관련된 작업 (Accounts, Roles & Permissions): Do you have ● ● ● ● ● ● visibility of GRANT and REVOKE activities? 실패한 로그인 (Failed Logins): Do you have visibility of failed ● ● ● ● ● ● logins and other exception activities? 높은 권한의 사용자 작업 (Privileged User Activity): Do you have visibility ● ● ● ● ● ● of users activities? 민감한 데이터에 대한 접근 (Access to Sensitive Data): Can you have visibility ● ● ● ● ● into what information is being queried(SELECTs)? 스키마 구조의 변경 작업 (Schema Changes): Are you aware of CREATE, DROP and ALTER Commands that are occurring ● ● ● ● ● ● on identified Tables/Columns? 데이터 변경 작업 (Data changes): Do you have visibility into Insert, ● ● Update, Merge, Delete commands? 13
찾아보기… Risk, Compliance, Vulnerability Vulnerability: 시스템에 존재하고 있는 약점으로서 악의적인 사용자의 주 공격 루트가 되는 Security Hole Misconfigurations Poor Architecture Vendor Bugs Incorrect Usage 취약점 14
찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment(취약점분석): 공격자의 눈으로 대상 DBMS의 내외부에 존재하는 Security Hole을 찾아 위험도를 측정 분류하고 대응 방안과 대안을 권고하는 것 Outside-In (Pen-Test) Identifies Report -Vulnerabilities Scanning -Misconfigurations -User Right & Hackers Eye Role Permissions View Inside-Out (Security Audit) 15
찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment(취약점분석): 분석을 위한 취약점 데이터는 월드와이드 스탠다드가 적용되어 있어야 함 16
찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment vs. Penetration Test • 종종 헛갈리게 사용됨 • VA가 Pen-Test로 잘못 표현되거나 VA의 주기능이 Pen-Test에 있다고 판단하기 때문 • VA는 잠재적인 취약점을 식별하는 테스트 • Pen-Test는 취약점을 악용함으로써 식별된 취약점을 검증하는 VA의 보완재 Note: Vulnerability Assessment의 중심 기능은 잠재적인 취약점 식별, 취약점 검증, 오탐 방지 및 제거. 17
찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment Solution / Tool • 보안 구축 순서상 가장 먼저 갖추어야 할 도구 • 정보 시스템 보안의 실질적인 행동지침을 알려주는 도구 • 보안의 활동 및 과정(Process)에 효과적인 도움을 주는 도구 취약점 발견 취약점 해소 방법 취약점 분류 취약점 분석 툴의 5대 요건 취약점간 관계 시스템에 미치는 정의 영향 분석 18
스캔을 해보니… 데이터베이스 취약점 분석 실행 취약점 분석 방식 및 절차(KDB 데이터베이스 보안 가이드 라인) 19
스캔을 해보니… 데이터베이스 취약점 분석 실행 리포트가… 모의 침투 - 발견 취약점 건수 보안감사 - 발견 취약점 건수 분석항목 분석항목 취약건수(Item/objects) 취약건수(Item/objects) (category) (category) 55 / 55 213 / 1,695 40 6개 Category 8개 Category 35 55 / 55 221 / 3,783 Denial of 242 Item 468 Item 1 Configurations Services 3 30 Buffer Password Overflow Attacks 25 3 2 HIGH TNS Attack 20 40 54 / 54 MEDIUM 222 / 2,911 2 LOW 15 10 5 13 2 0 HIGH MEDIUM LOW Vulnerabilities 44 20
스캔을 해보니… 데이터베이스 취약점 분석 실행 보안담당자와 DBA는… Compliance 대응 Vulnerabilities 처리 Risk DB 만? Are we Secure? 21
스캔을 해보니… 멀티레벨 스캔이 가능해야 데이터의 생명주기 및 서비스 경로를 대응할 수 있는 분석이 필요하다. • 네트워크 보안 -시스템 및 네트워크 장비에 대한 보안 취약점 및 설정 오류 점검 • 데이터베이스 보안 -데이터베이스 보안 감사 및 모의 침투 테스트 • 웹 애플리케이션 보안 -웹 서버 / 웹 애플리케이션 취약점 점검 • 보안성 평가 -기업 내부 보안 설정 및 컴플라이언스 이행 평가 • 가상화 시스템 보안 -가상화 시스템(자산)에 대한 동적 관리 및 취약점 점검 • 보안 취약점 검증 및 위험 평가 -실제 공격에 악용될 수 있는 취약점 확인 및 위험 평가 22
스캔을 해보니… 운영 효율성 효익이 높아야 유연한 통합 대시보드와 현황 분석 리포트가 제공되어야 한다. • 중앙 집중화된 취약점 관리 -관리자(권한별) 대시보드를 통한 다양한 취약점 통계 및 현황 분석 • 신속한 취약점 조치 및 이력 관리 -취약점 조치 가이드 제공 및 조치 사항에 대한 결과와 실적 관리 • 다양한 이행 점검 보고서 -PCI DSS, HIPPA, FISMA 등 산업 표준에 따른 보안 컴플라이언스 보고서 (ASV 인증 솔루션: PCI DSS, HIPPA 컴플라이언스 등에서 인정/승인한 진단 솔루션) -다양한 출력 방식(HTML, XML, CSV, DB Export, HWP 등) • 타시스템(관리/관제 시스템)과의 결과 데이터 연동 -API 방식, DB Schema • 취약점 데이터의 갱신이 용이성 -새롭게 발표된 취약점 데이터의 적용이 용이해야 -새로운 데이터의 적용 주기가 되도록 빨라야 -데이터 적용 전 대안(대응 가이드)이 제시되어 한다. 23
스캔을 해보니… 추적(이력관리)이 원활해야 추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ① 솔루션 측면 • 검출된 취약점의 조치사항에 대한 결과와 이행 실적의 관리 • 스캔 회차별 Fixed / UnFixed / New 등 검출된 취약점의 이력 추적 용이 • 각종의 통계 및 컴플라이언스 보고서에 적용 • 정규 패치 전 대안을 적용했던 부분의 이력관리 필요 24
스캔을 해보니… 추적(이력관리)이 원활해야 추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ② 취약점 정보 측면 • 각 벤더의 취약점 보고, 보안 알림, 패치 알림 등의 정보에 민감해야 함 • 취약점 정보를 제공하는 공인된 기관의 메일링 리스트, RSS 구독 • 보안 전문가 커뮤니티 가입, 활동 • 유명 기관의 보안 보고서 정기 구독 25
스캔을 해보니… 추적(이력관리)이 원활해야 추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ③ 진단 서비스 측면 • 보안진단(취약점 진단) 서비스 활용 및 DB보안 인증(DQC-S) 취득 -데이터 보안 인증이란 공공·민간에서 구축·활용 중인 데이터베이스를 대상으로 접근제어, 암호화, 취약점분석, 작업결재 등 데이터베이스 보안에 구체적인 체계를 마련하고 기술요소 전반을 심사하여 인증하는 것 -데이터보안인증기관: 한국데이터베이스 진흥원 (www.kdb.or.kr) -데이터보안인증홈페이지: www.dqc.or.kr 26
이상입니다. ^^ 감사합니다. ^^ 27

Recommended

Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
lunchNtouch
 
디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)
silverfox2580
 
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
은옥 조
 
IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더! IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더!
은옥 조
 
서울호서전문학교 사이버해킹보안과
서울호서전문학교 사이버해킹보안과 서울호서전문학교 사이버해킹보안과
서울호서전문학교 사이버해킹보안과
동원 김
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료silverfox2580
 
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
GangSeok Lee
 
레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)
Sehan Lee
 

Recommended

Monitoring solution for all action in enterprises
Monitoring solution for all action in enterprisesMonitoring solution for all action in enterprises
Monitoring solution for all action in enterprises
lunchNtouch
 
디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)디지털가디언(Digital Guardian)
디지털가디언(Digital Guardian)
silverfox2580
 
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
IBM 보안솔루션 리질리언트_정보보호 침해사고 대응 플랫폼
은옥 조
 
IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더! IBM 보안솔루션_보안관제탑, 큐레이더!
IBM 보안솔루션_보안관제탑, 큐레이더!
은옥 조
 
서울호서전문학교 사이버해킹보안과
서울호서전문학교 사이버해킹보안과 서울호서전문학교 사이버해킹보안과
서울호서전문학교 사이버해킹보안과
동원 김
 
오피스세이퍼 소개자료
오피스세이퍼 소개자료오피스세이퍼 소개자료
오피스세이퍼 소개자료silverfox2580
 
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
[2013 CodeEngn Conference 09] 제갈공맹 - MS 원데이 취약점 분석 방법론
GangSeok Lee
 
레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)레이스 컨디션 기초(Basic Race Condition)
레이스 컨디션 기초(Basic Race Condition)
Sehan Lee
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
GangSeok Lee
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
Youngjun Chang
 
취약점(Vulnerability) db 구조 설명
취약점(Vulnerability) db 구조 설명취약점(Vulnerability) db 구조 설명
취약점(Vulnerability) db 구조 설명eungjin cho
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
Embedded linux 악성코드 동향 20150323 v1.0 공개판
Embedded linux 악성코드 동향 20150323 v1.0 공개판Embedded linux 악성코드 동향 20150323 v1.0 공개판
Embedded linux 악성코드 동향 20150323 v1.0 공개판
Minseok(Jacky) Cha
 
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
NAVER D2 STARTUP FACTORY
 
디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안
SP-ACE
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
Lee Chanwoo
 
Talk IT_ IBM_나병준_111025_Session2
Talk IT_ IBM_나병준_111025_Session2Talk IT_ IBM_나병준_111025_Session2
Talk IT_ IBM_나병준_111025_Session2Cana Ko
 
Sdn and Security
Sdn and SecuritySdn and Security
Sdn and Security
NAIM Networks, Inc.
 
Cybereason v2.10
Cybereason v2.10Cybereason v2.10
Cybereason v2.10
Harry Sohn
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
eungjin cho
 
IBM Qradar와 bigfix 연동이 제공하는 가치
IBM Qradar와 bigfix 연동이 제공하는 가치IBM Qradar와 bigfix 연동이 제공하는 가치
IBM Qradar와 bigfix 연동이 제공하는 가치
유 김
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
TJ Seo
 
Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서
Harry Sohn
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
은옥 조
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
유 김
 
보안세미나 1 db보안, 취약점 분석 why how when 20121025
보안세미나 1 db보안, 취약점 분석 why how when 20121025보안세미나 1 db보안, 취약점 분석 why how when 20121025
보안세미나 1 db보안, 취약점 분석 why how when 20121025eungjin cho
 
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
Metatron
 

More Related Content

Viewers also liked

보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
Youngjun Chang
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
GangSeok Lee
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
Youngjun Chang
 
취약점(Vulnerability) db 구조 설명
취약점(Vulnerability) db 구조 설명취약점(Vulnerability) db 구조 설명
취약점(Vulnerability) db 구조 설명eungjin cho
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
Youngjun Chang
 
Embedded linux 악성코드 동향 20150323 v1.0 공개판
Embedded linux 악성코드 동향 20150323 v1.0 공개판Embedded linux 악성코드 동향 20150323 v1.0 공개판
Embedded linux 악성코드 동향 20150323 v1.0 공개판
Minseok(Jacky) Cha
 

Viewers also liked (7)

보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
[2012 CodeEngn Conference 06] x82 - 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
취약점(Vulnerability) db 구조 설명
취약점(Vulnerability) db 구조 설명취약점(Vulnerability) db 구조 설명
취약점(Vulnerability) db 구조 설명
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
Embedded linux 악성코드 동향 20150323 v1.0 공개판
Embedded linux 악성코드 동향 20150323 v1.0 공개판Embedded linux 악성코드 동향 20150323 v1.0 공개판
Embedded linux 악성코드 동향 20150323 v1.0 공개판
 

Similar to 리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진

[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
NAVER D2 STARTUP FACTORY
 
디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안
SP-ACE
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
Lee Chanwoo
 
Talk IT_ IBM_나병준_111025_Session2
Talk IT_ IBM_나병준_111025_Session2Talk IT_ IBM_나병준_111025_Session2
Talk IT_ IBM_나병준_111025_Session2Cana Ko
 
Sdn and Security
Sdn and SecuritySdn and Security
Sdn and Security
NAIM Networks, Inc.
 
Cybereason v2.10
Cybereason v2.10Cybereason v2.10
Cybereason v2.10
Harry Sohn
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
eungjin cho
 
IBM Qradar와 bigfix 연동이 제공하는 가치
IBM Qradar와 bigfix 연동이 제공하는 가치IBM Qradar와 bigfix 연동이 제공하는 가치
IBM Qradar와 bigfix 연동이 제공하는 가치
유 김
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
TJ Seo
 
Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서
Harry Sohn
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Lee Chanwoo
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
은옥 조
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
유 김
 
보안세미나 1 db보안, 취약점 분석 why how when 20121025
보안세미나 1 db보안, 취약점 분석 why how when 20121025보안세미나 1 db보안, 취약점 분석 why how when 20121025
보안세미나 1 db보안, 취약점 분석 why how when 20121025eungjin cho
 
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
Metatron
 
무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전
James (SeokHun) Hwang
 
NETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseNETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge Defense
Jay Hong
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
Sang Don Kim
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
Softwide Security
 
IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개 IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개
유 김
 

Similar to 리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진 (20)

[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
[네이버D2SF] 안전한 서비스 운영을 위한 Ncloud 보안교육
 
디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안디지털포렌식을 통한 기업 경영 Risk 예방 방안
디지털포렌식을 통한 기업 경영 Risk 예방 방안
 
Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안Sua 정보보호관리체계 cissp_보안관리_강의교안
Sua 정보보호관리체계 cissp_보안관리_강의교안
 
Talk IT_ IBM_나병준_111025_Session2
Talk IT_ IBM_나병준_111025_Session2Talk IT_ IBM_나병준_111025_Session2
Talk IT_ IBM_나병준_111025_Session2
 
Sdn and Security
Sdn and SecuritySdn and Security
Sdn and Security
 
Cybereason v2.10
Cybereason v2.10Cybereason v2.10
Cybereason v2.10
 
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 201409302014 data 보안 가이드라인 그랜드컨퍼런스 20140930
2014 data 보안 가이드라인 그랜드컨퍼런스 20140930
 
IBM Qradar와 bigfix 연동이 제공하는 가치
IBM Qradar와 bigfix 연동이 제공하는 가치IBM Qradar와 bigfix 연동이 제공하는 가치
IBM Qradar와 bigfix 연동이 제공하는 가치
 
포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안포티파이 안전한 애플리케이션 구축 및 운영방안
포티파이 안전한 애플리케이션 구축 및 운영방안
 
Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서Indusrial cyber security v3.0 소개서
Indusrial cyber security v3.0 소개서
 
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_finalIsaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
Isaca knowledge concert 금융보안 발표자료 이찬우(2017.07.17)_final
 
IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔IBM 보안 서비스 및 솔루션 소개 브로셔
IBM 보안 서비스 및 솔루션 소개 브로셔
 
Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428Ibm 보안사업부 서비스 및 솔루션 소개 160428
Ibm 보안사업부 서비스 및 솔루션 소개 160428
 
보안세미나 1 db보안, 취약점 분석 why how when 20121025
보안세미나 1 db보안, 취약점 분석 why how when 20121025보안세미나 1 db보안, 취약점 분석 why how when 20121025
보안세미나 1 db보안, 취약점 분석 why how when 20121025
 
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
[DDC 2018] Metatron 오픈소스화 및 생태계 구축 (SKT 이정룡, 김지호)
 
무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전무료강의 보안전문가의 길(2015년) v0.9_공개버전
무료강의 보안전문가의 길(2015년) v0.9_공개버전
 
NETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge DefenseNETSCOUT Arbor Edge Defense
NETSCOUT Arbor Edge Defense
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
 
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스 AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
AttackIQ Flex - BAS(Breach & Attack Simulation) 셀프 테스트 서비스
 
IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개 IBM 보안사업부 서비스 및 솔루션 소개
IBM 보안사업부 서비스 및 솔루션 소개
 

More from eungjin cho

하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV
하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV
하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV
eungjin cho
 
사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석
사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석
사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석
eungjin cho
 
우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사
우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사
우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사
eungjin cho
 
데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장
데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장
데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장
eungjin cho
 
클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무
클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무
클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무
eungjin cho
 
빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사
빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사
빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사
eungjin cho
 
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
eungjin cho
 
모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표
모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표
모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표
eungjin cho
 
챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사
챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사
챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사
eungjin cho
 
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
eungjin cho
 
의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수
의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수
의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수
eungjin cho
 
빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장
빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장
빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장
eungjin cho
 
머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표
머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표
머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표
eungjin cho
 
DATA ECO와 연결의 힘 - SKT 김성우 랩장
DATA ECO와 연결의 힘 - SKT 김성우 랩장DATA ECO와 연결의 힘 - SKT 김성우 랩장
DATA ECO와 연결의 힘 - SKT 김성우 랩장
eungjin cho
 
예측 분석 산업별 사례 147
예측 분석 산업별 사례 147예측 분석 산업별 사례 147
예측 분석 산업별 사례 147
eungjin cho
 
예측 분석이 발견한 이상하고 놀라운 인간 행동들
예측 분석이 발견한 이상하고 놀라운 인간 행동들예측 분석이 발견한 이상하고 놀라운 인간 행동들
예측 분석이 발견한 이상하고 놀라운 인간 행동들
eungjin cho
 
로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권
로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권
로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권
eungjin cho
 
4대 핀테크 동향과 금융산업의 파급영향
4대 핀테크 동향과 금융산업의 파급영향4대 핀테크 동향과 금융산업의 파급영향
4대 핀테크 동향과 금융산업의 파급영향
eungjin cho
 
국내 로보어드바이저 시장 현황 뉴스 정리 201604
국내 로보어드바이저 시장 현황 뉴스 정리 201604국내 로보어드바이저 시장 현황 뉴스 정리 201604
국내 로보어드바이저 시장 현황 뉴스 정리 201604
eungjin cho
 
저성장 시대 데이터 경제만이 살길이다
저성장 시대 데이터 경제만이 살길이다저성장 시대 데이터 경제만이 살길이다
저성장 시대 데이터 경제만이 살길이다
eungjin cho
 

More from eungjin cho (20)

하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV
하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV
하이퍼바이저 라이선스 비용이 없는 뉴타닉스 AHV
 
사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석
사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석
사례로 보는 사물인터넷(IoT) 데이터 품질관리 - 비투엔 김영석 수석
 
우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사
우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사
우리가 스마트시티를 만들어가는 방법, '데이터 시각화' - 뉴스젤리 정병준 대표이사
 
데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장
데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장
데이터 가공(DMP)와 스마트 시티 - 엔코아 김옥기 센터장
 
클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무
클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무
클라우드와 오픈소스 DBMS의 만남 - 큐브리드 오명환 상무
 
빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사
빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사
빅데이터 기반의 홈 IoT 모델 구축 - 코오롱베니트 김종혁 박사
 
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
고성능 빅데이터 수집 및 분석 솔루션 - 티맥스소프트 허승재 팀장
 
모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표
모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표
모바일VR 사용자 인터페이스를 위한 데이터 기반 기계 학습 - 딥픽셀 이제훈 대표
 
챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사
챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사
챗봇의 활용, 어디에서 도입하면 좋은가? - 와이즈넛 장정훈 이사
 
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
인메모리 DBMS기반 보안 빅데이터 분석 솔루션 개발 사례 - 리얼타임테크 한혁 연구소장
 
의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수
의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수
의료사업 선진화를 위한 빅데이터 분석 - 서울아산병원 심우현 교수
 
빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장
빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장
빅데이터를 이용한 예측분석의 이슈와 트랜드 - 아시아나IDT 이훈석 ICT융합연구소장
 
머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표
머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표
머신러닝 프로세스와 산업별 애플리케이션 - 위세아이텍 김종현 대표
 
DATA ECO와 연결의 힘 - SKT 김성우 랩장
DATA ECO와 연결의 힘 - SKT 김성우 랩장DATA ECO와 연결의 힘 - SKT 김성우 랩장
DATA ECO와 연결의 힘 - SKT 김성우 랩장
 
예측 분석 산업별 사례 147
예측 분석 산업별 사례 147예측 분석 산업별 사례 147
예측 분석 산업별 사례 147
 
예측 분석이 발견한 이상하고 놀라운 인간 행동들
예측 분석이 발견한 이상하고 놀라운 인간 행동들예측 분석이 발견한 이상하고 놀라운 인간 행동들
예측 분석이 발견한 이상하고 놀라운 인간 행동들
 
로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권
로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권
로보 어드바이저가 이끌 자산관리 시장의 변화 유진20160608증권
 
4대 핀테크 동향과 금융산업의 파급영향
4대 핀테크 동향과 금융산업의 파급영향4대 핀테크 동향과 금융산업의 파급영향
4대 핀테크 동향과 금융산업의 파급영향
 
국내 로보어드바이저 시장 현황 뉴스 정리 201604
국내 로보어드바이저 시장 현황 뉴스 정리 201604국내 로보어드바이저 시장 현황 뉴스 정리 201604
국내 로보어드바이저 시장 현황 뉴스 정리 201604
 
저성장 시대 데이터 경제만이 살길이다
저성장 시대 데이터 경제만이 살길이다저성장 시대 데이터 경제만이 살길이다
저성장 시대 데이터 경제만이 살길이다
 

리스크와 컴플라이언스 관점의 취약점 추적관리 유젠아이 조응진

  • 1. 2012 Database Grand Conference 10th 리스크와 컴플라이언스 관점의 취약점 추적 관리 UZENi 데이터보안팀 조응진 October 2012
  • 2. 발표내용 목차:  이야기 들어보기… • Verizon Report • AppSecurity Survey • 결론은?  찾아보기… • Risk, Compliance, Vulnerability  스캔을 해보니… • 취약점 분석 절차 • 기존 취약점 분석의 안타까움 • 차세대 취약점 분석의 요건 1
  • 3. 이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) WHO IS BEHIND DATA BREACHES? stemmed from external agents (+6%) implicated internal employees (-13%) committed by business partners (<>) of all data theft tied to activist groups 2
  • 4. 이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) HOW DO BREACHES OCCUR? utilized some form of hacking (+31%) incorporated malware (+20%) involved physical attacks (-19%) employed social tactics (-4%) resulted from privilege misuse (-12%) 3
  • 5. 이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) WHAT COMMONALITIES EXIST? of victims were targets of opportunity (-4%) of attacks were not highly difficult (+4%) of all data compromised involved servers (+18%) of breaches took weeks or more to discover (+6%) of incidents were discovered by a third party (+6%) of breaches were avoidable through simple or intermediate controls (+1%) of victims subject to PCI DSS had not achieved compliance (+7%) 4
  • 6. 이야기 들어보기… Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges” 현재 보안 위협을 상승 시키는 요소는 무엇이라고 생각하십니까? 5
  • 7. 이야기 들어보기… Application Security, INC “Data Security at An Inflection Point: 2011 Survey of Best Practices and Challenges” 그럼 보안 위협에 대한 대응 방안은 무엇이라고 생각하십니까? 6
  • 8. 이야기 들어보기… Verizon 2012 DBIR(Data Breach Investigation Report) 보고된 사고의 예방 조치 비용과 기술적 수준은? Cheap Simple 63% 7
  • 9. 이야기 들어보기… 결론은? 1. 데이터 보안에 리스크 기반의 접근 방식이 필요하다. • 월드와이드 보안규정(컴플라이언스)은 데이터 보안 문제에 주의를 집중한다. • 데이터베이스 서버는 데이터 침해의 주요 소스이다. • 가장 취약한 데이터 소스에 자원을 집중해야 한다. Categories of compromised assets by percent of breaches And percent of records Breaches/Records Servers 64%/94% User Devices 60%/35% People 7%/34% Offline Data 3%/<1% Network Infrastructure <1%/<1% Unknown 1%/1% Sources: Verizon Business Data Breach Investigation Report 2011 8
  • 10. 이야기 들어보기… 결론은? 2. 새로운 목표 설정이 필요하다. 효과적인 보안 프로세스 관리 Re-Active < Pro-Active 요구준수: Check & Balance ROSI(Return On Security Investment) 향상 9
  • 11. 찾아보기… Risk, Compliance, Vulnerability Risk: 특정 위협이 특정 취약점을 악용할 수 있다는 가능성(NIST SP 800-40) Threat: 시스템 피해가 발생할 가능성이 있는 의도적인 상황의 실현이나 실행(NIST SP 800-40) 10
  • 12. 찾아보기… Risk, Compliance, Vulnerability Risk관리는 프로세스로서 다음의 세 가지를 포함하고 있음(NIST SP 800-30) RM Process Evaluation & Risk Assessment Risk Mitigation Assessment 11
  • 13. 찾아보기… Risk, Compliance, Vulnerability Compliance의 종류 PCI-DSS SOX ISO27000 HIPAA ISO9000 Basel II ISO20000 FISMA ISO19011 GLBA ISO13335 DPA ISO21827 SysTrust ISO15408 FRCP ISO15504 FACTA ISO19770 Sec Rule 17a ISO10770 개인정보보호법 IT/Security NIST Requirements SAS70 Regulatory IT Compliance Compliance 12
  • 14. 찾아보기… Risk, Compliance, Vulnerability Compliance별 Control Objectives vs. Security Requirements PCI Basel Database 감사 요구사항 SOX HIPAA FISMA GLBA DSS II 계정, 역할, 권한과 관련된 작업 (Accounts, Roles & Permissions): Do you have ● ● ● ● ● ● visibility of GRANT and REVOKE activities? 실패한 로그인 (Failed Logins): Do you have visibility of failed ● ● ● ● ● ● logins and other exception activities? 높은 권한의 사용자 작업 (Privileged User Activity): Do you have visibility ● ● ● ● ● ● of users activities? 민감한 데이터에 대한 접근 (Access to Sensitive Data): Can you have visibility ● ● ● ● ● into what information is being queried(SELECTs)? 스키마 구조의 변경 작업 (Schema Changes): Are you aware of CREATE, DROP and ALTER Commands that are occurring ● ● ● ● ● ● on identified Tables/Columns? 데이터 변경 작업 (Data changes): Do you have visibility into Insert, ● ● Update, Merge, Delete commands? 13
  • 15. 찾아보기… Risk, Compliance, Vulnerability Vulnerability: 시스템에 존재하고 있는 약점으로서 악의적인 사용자의 주 공격 루트가 되는 Security Hole Misconfigurations Poor Architecture Vendor Bugs Incorrect Usage 취약점 14
  • 16. 찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment(취약점분석): 공격자의 눈으로 대상 DBMS의 내외부에 존재하는 Security Hole을 찾아 위험도를 측정 분류하고 대응 방안과 대안을 권고하는 것 Outside-In (Pen-Test) Identifies Report -Vulnerabilities Scanning -Misconfigurations -User Right & Hackers Eye Role Permissions View Inside-Out (Security Audit) 15
  • 17. 찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment(취약점분석): 분석을 위한 취약점 데이터는 월드와이드 스탠다드가 적용되어 있어야 함 16
  • 18. 찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment vs. Penetration Test • 종종 헛갈리게 사용됨 • VA가 Pen-Test로 잘못 표현되거나 VA의 주기능이 Pen-Test에 있다고 판단하기 때문 • VA는 잠재적인 취약점을 식별하는 테스트 • Pen-Test는 취약점을 악용함으로써 식별된 취약점을 검증하는 VA의 보완재 Note: Vulnerability Assessment의 중심 기능은 잠재적인 취약점 식별, 취약점 검증, 오탐 방지 및 제거. 17
  • 19. 찾아보기… Risk, Compliance, Vulnerability Vulnerability Assessment Solution / Tool • 보안 구축 순서상 가장 먼저 갖추어야 할 도구 • 정보 시스템 보안의 실질적인 행동지침을 알려주는 도구 • 보안의 활동 및 과정(Process)에 효과적인 도움을 주는 도구 취약점 발견 취약점 해소 방법 취약점 분류 취약점 분석 툴의 5대 요건 취약점간 관계 시스템에 미치는 정의 영향 분석 18
  • 20. 스캔을 해보니… 데이터베이스 취약점 분석 실행 취약점 분석 방식 및 절차(KDB 데이터베이스 보안 가이드 라인) 19
  • 21. 스캔을 해보니… 데이터베이스 취약점 분석 실행 리포트가… 모의 침투 - 발견 취약점 건수 보안감사 - 발견 취약점 건수 분석항목 분석항목 취약건수(Item/objects) 취약건수(Item/objects) (category) (category) 55 / 55 213 / 1,695 40 6개 Category 8개 Category 35 55 / 55 221 / 3,783 Denial of 242 Item 468 Item 1 Configurations Services 3 30 Buffer Password Overflow Attacks 25 3 2 HIGH TNS Attack 20 40 54 / 54 MEDIUM 222 / 2,911 2 LOW 15 10 5 13 2 0 HIGH MEDIUM LOW Vulnerabilities 44 20
  • 22. 스캔을 해보니… 데이터베이스 취약점 분석 실행 보안담당자와 DBA는… Compliance 대응 Vulnerabilities 처리 Risk DB 만? Are we Secure? 21
  • 23. 스캔을 해보니… 멀티레벨 스캔이 가능해야 데이터의 생명주기 및 서비스 경로를 대응할 수 있는 분석이 필요하다. • 네트워크 보안 -시스템 및 네트워크 장비에 대한 보안 취약점 및 설정 오류 점검 • 데이터베이스 보안 -데이터베이스 보안 감사 및 모의 침투 테스트 • 웹 애플리케이션 보안 -웹 서버 / 웹 애플리케이션 취약점 점검 • 보안성 평가 -기업 내부 보안 설정 및 컴플라이언스 이행 평가 • 가상화 시스템 보안 -가상화 시스템(자산)에 대한 동적 관리 및 취약점 점검 • 보안 취약점 검증 및 위험 평가 -실제 공격에 악용될 수 있는 취약점 확인 및 위험 평가 22
  • 24. 스캔을 해보니… 운영 효율성 효익이 높아야 유연한 통합 대시보드와 현황 분석 리포트가 제공되어야 한다. • 중앙 집중화된 취약점 관리 -관리자(권한별) 대시보드를 통한 다양한 취약점 통계 및 현황 분석 • 신속한 취약점 조치 및 이력 관리 -취약점 조치 가이드 제공 및 조치 사항에 대한 결과와 실적 관리 • 다양한 이행 점검 보고서 -PCI DSS, HIPPA, FISMA 등 산업 표준에 따른 보안 컴플라이언스 보고서 (ASV 인증 솔루션: PCI DSS, HIPPA 컴플라이언스 등에서 인정/승인한 진단 솔루션) -다양한 출력 방식(HTML, XML, CSV, DB Export, HWP 등) • 타시스템(관리/관제 시스템)과의 결과 데이터 연동 -API 방식, DB Schema • 취약점 데이터의 갱신이 용이성 -새롭게 발표된 취약점 데이터의 적용이 용이해야 -새로운 데이터의 적용 주기가 되도록 빨라야 -데이터 적용 전 대안(대응 가이드)이 제시되어 한다. 23
  • 25. 스캔을 해보니… 추적(이력관리)이 원활해야 추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ① 솔루션 측면 • 검출된 취약점의 조치사항에 대한 결과와 이행 실적의 관리 • 스캔 회차별 Fixed / UnFixed / New 등 검출된 취약점의 이력 추적 용이 • 각종의 통계 및 컴플라이언스 보고서에 적용 • 정규 패치 전 대안을 적용했던 부분의 이력관리 필요 24
  • 26. 스캔을 해보니… 추적(이력관리)이 원활해야 추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ② 취약점 정보 측면 • 각 벤더의 취약점 보고, 보안 알림, 패치 알림 등의 정보에 민감해야 함 • 취약점 정보를 제공하는 공인된 기관의 메일링 리스트, RSS 구독 • 보안 전문가 커뮤니티 가입, 활동 • 유명 기관의 보안 보고서 정기 구독 25
  • 27. 스캔을 해보니… 추적(이력관리)이 원활해야 추적관리는 ①솔루션 측면 ②취약점 정보 측면 ③진단 서비스 측면으로 구분, 관리 되어야 한다. ③ 진단 서비스 측면 • 보안진단(취약점 진단) 서비스 활용 및 DB보안 인증(DQC-S) 취득 -데이터 보안 인증이란 공공·민간에서 구축·활용 중인 데이터베이스를 대상으로 접근제어, 암호화, 취약점분석, 작업결재 등 데이터베이스 보안에 구체적인 체계를 마련하고 기술요소 전반을 심사하여 인증하는 것 -데이터보안인증기관: 한국데이터베이스 진흥원 (www.kdb.or.kr) -데이터보안인증홈페이지: www.dqc.or.kr 26