More Related Content
Similar to Talk IT_ IBM_나병준_111025_Session2
Similar to Talk IT_ IBM_나병준_111025_Session2 (20)
Talk IT_ IBM_나병준_111025_Session2
- 1. IBM 보안 프레임워크
기반의 개인정보
안젂조치 대응
IBM Korea
SWG, 나병준 차장(CISSP)
2011.10.25
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 1 © 2011 IBM Corporation
- 2. Agenda
개인정보의 기술적 안젂조치에
대한 항목별 대응방안
IBM과 결언
보안 프레임워크
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 2 © 2011 IBM Corporation
- 3. 보안과 비즈니스
“보앆은
IT 서비스 운영의
가시성 (Visibility),
통제성 (Control),
자동화 (Automation)
를 확보하여
비용젃감,
위험관리,
규제 준수,
비즈니스 개선의
도구로
자리매김하여야
함.”
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 3 © 2011 IBM Corporation
- 5. 지속적인 보안 관리를 IBM 보안 프레임워크
지속적인 보안 관리
보고
위험
검토
분석
모니터링 통제
실행
거버넌스 솔루션+서비스
조직 프로세스 컴플라이언스
…
template
… … …
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 5 © 2011 IBM Corporation
- 6. GRC 거버넌스, 리스크 관리와 컴플라이언스
1 보안 젂략 설계 2 모의해킹과 취약점 평가
정보
보앆관리
영역
보앆 보앆관리 체계 (서버 짂단 예)
목표
계정/패스워드 구성
보앆 정책 보앆 조직 보앆정책
기밀성 취약점 짂단
취약점 평가
커뮤니케이션 불필요한
인사 보앆 무결성
및 COMMON
짂단 대책 보앆 원칙 서비스 짂단
운영 관리
가용성
자산 파일 퍼미션/
보앆 준수 분류 모의해킹 소유권 취약점 짂단
및 통제 참조
보앆 지침 시스템 보앆 패치
물리 홖경 시스템 개발
보앆 및 취약점 짂단
유지 보수 점검 체크리스트
업무 연속성
Technology Process 백도어 취약점 짂단
접근 제어
계획 관리 보앆 마스터플랜 수립
3 보안 컴플라이언스 평가 4 보안 사고 대응
법 / 규제 변화 모니터링
법/규제 변화 정보보호 짂단 수행시 취약점 점검 장애 처리
모니터링 정책에 반영 점검
젂사 정보보호 짂단 체계
실시간 침입 Reporting
1. 짂단계획
수립
짂단 내용 결정
짂단 부서 및 평가 대상 결정
차단/탐지 서비스
부서별 자체 짂단
2.
기본 체크리스트 점검 유해 트래픽
짂단 수행
Help Desk
물리적 보앆 홖경 점검 및 시스템 보앆 취약점 점검
차단
3. 짂단 결과 분석
짂단 결과 보고 보고 및 결과 공유
4.
개선 계획 수립 통합 이벤트
개선
짂단 사후 조치 개선 결과 모니터링 모니터링
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 6 © 2011 IBM Corporation
- 7. 개인정보보호를 위한 IBM의 보안 서비스
단기적 목표
A B C
Short Term 개인정보 보호법 대응
Assessment Remediation Re-validation
Objectives &
(단기 목표) (현황 짂단) (개선 홗동) (재평가)
보안 취약점 파악
장기적 목표
D E
Long Term 보안 관리 수준 향상
Strategy Dev. Project Implementation
Objectives &
(장기 목표) (보안젂략 개발) (구현 프로젝트 수행)
미래 보안 사고 방지
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 7 © 2011 IBM Corporation
- 8. Agenda
개인정보의 기술적 안젂조치에
대한 항목별 대응방안
IBM과 결언
보안 프레임워크
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 8 © 2011 IBM Corporation
- 9. 개인정보의 안젂성 확보조치 기준 (2011.9)
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 9 © 2011 IBM Corporation
- 10. 접근 권한 및 비밀번호의 관리
제4조(접근 권한의 관리)
-개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여
-인사이동에 대한 접근권한의 변경/말소
-권한 부여/변경/말소 기록의 3년 보관
-1인 1계정 사용을 통한 책임추적성 확보
제5조(비밀번호 관리)
- 비밀번호 작성규칙의 수립, 적용을 통한 앆젂한 비밀번호 설정
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 10 © 2011 IBM Corporation
- 11. 접근 권한 및 비밀번호의 관리
신청 신청
수작업에 의한 Miss, 지연
신청 미비, 부정 가능성
인사 이동 현황 파악 어려움
Workflow
승인
승인 IAM시스템 승인
승인 승인 등록
Log
등록 요원의 증가 Provisioning
같은 작업의 반복
Miss, 부정 가능성
감사 Log의 소실
IAM시스템의 목표 정책 적용의 자동화
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 11 © 2011 IBM Corporation
- 12. 접근 권한 및 비밀번호의 관리
계정관리 시스템 Tivoli Identity and
계정관리
계정관리 정책 관리 1인 1계정 Access Manager
정책
접근권한의
계정 싞청/승인 관리
차등부여
계정 현황 및 이력관리 사용자 정보
인사DB 동기화 본인 정보 및 패스워드 관리 패스워드 정책
인사DB 계정 변경 내역
감사 및 보고서 관리 계정관리 로그
인사시스템
자동 보관
자동연동 정책설정
계정 생성/삭제/변경
계정관리 대상
서버 계정 데이터베이스 계정 어플리케이션 계정
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 12 © 2011 IBM Corporation
- 13. 접근 권한 및 비밀번호의 관리
Production Traffic
InfoSphere Guardium
Application SQL
Servers Oracle,
특권 DB2,
사용자 MySQL,
Sybase,
Issue SQL etc.
S-GATE
Hold SQL DB취약점 평가
정책 위반
Outsourced DBA 정책 판단
사용자 권한에 따른
정책 위반:
Database접근 제어 연결 끊음
Session Terminated
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 13 © 2011 IBM Corporation
- 14. 접근 통제 시스템 설치 및 운영
제6조(접근통제 시스템 설치 및 운영)
-접근 및 침해사고 방지를 위한 침입차단/침입방지 시스템 설치. 운영
-외부에서의 개인정보처리시스템 접속을 위한 앆젂한 접속수단 적용
-인터넷 홈페이지등을 통한 개인정보 유출 방지 조치
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 14 © 2011 IBM Corporation
- 15. 접근 통제 시스템 설치 및 운영
젂년 대비 27%증가
출현한 공격 대부분이
O day
2010년 젂체 취약점 중
44% - No patch!!!
2010년 젂체 취약점 49%가 Client 공격 대부분은 브라우저,
웹 어플리케이션 취약점 멀티미디어 공격
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 15 © 2011 IBM Corporation
- 16. 접근 통제 시스템 설치 및 운영
SQL 인젝션은 지속적으로
공격자들이 가장 즐겨 사용하는
기법
- IBM X-Force 2011 상반기
보고서
공격자들이 악용할 수 있는
SQL 인젝션 취약점을 찾기
위해 웹 어플리케이션을
분석합니다.
취약한 웹 어플리케이션이
발견되는 즉시, 공격자는 대상
사이트의 공격 프로세스를
자동화하기 위해 검색 엔짂을
사용합니다.
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 16 © 2011 IBM Corporation
- 17. 접근 통제 시스템 설치 및 운영
개인정보처리 시스템에 대한
접속권한을 IP주소 등으로 제한, 인 IBM Security
가 받지 않은 접근제한 Network Intrusion Prevention System
개인정보처리 시스템에 접속한 IP주소
• 연구결과 기반의 위험 감소
등을 분석하여 불법적인 개인정보 • 성능 저하 없는 방어 제공
• IBM X-Force R&D의 선제적
유출 시도를 탐지
방어 제공
• GX7800: True 10Gbps IPS/IDS
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 17 © 2011 IBM Corporation
- 18. 접근 통제 시스템 설치 및 운영
IBM Rational AppScan
SDLC or 보안 엔지니어링
Coding Build QA Security 잠재적인
취약성
AppScan AppScan
AppScan Source Source for AppScan Tester
Automation Standard
Bug
Bug Bug
Bug
Bug
Bug
Bug
개발자
Bug Bug
Bug
빌드 담당자 테스터 보앆 감사자
Bug
Bug Bug Bug Bug Bug 인터넷 홈페이지를 통한
Bug
Bug Bug Bug 개인정보 유출 방지
초반에 문제점을 찾아 보다 복잡한
해결 문제에 집중
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 18 © 2011 IBM Corporation
- 19. 개인정보의 암호화
제7조(개인정보의 암호화)
-암호화하여야 하는 개인정보: 고유식별정보, 비밀번호 및 바이오정보
-비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장
-적용 기간: 시행일로부터 3개월 이내 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화
적용(최장 2012.12)
-업무용 컴퓨터에 고유식별정보를 저장/관리하는 경우 암호화 저장
* 고유식별정보: 주민등록번호, 여권번호, 면허번호, 외국인등록번호 (개인정보보호법 시행령)
* 바이오정보: 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 싞체/행동적 특징에 대한 정보 및 그로부터
가공되거나 생성된 정보
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 19 © 2011 IBM Corporation
- 20. 접속기록의 보관 및 위.변조 방지
제8조(접속기록의 보관 및 위.변조 방지)
-개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리
-접속 기록의 위.변조 및 도난, 분실로부터 앆젂하게 보호
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 20 © 2011 IBM Corporation
- 21. 접속기록의 보관 및 위.변조 방지
로그데이터는 지속적으로 조직에 공급되지만 이를 관리하는
조직의 리소스는 제한되어 있음
로그는 너무 복잡함(많은 로그 소스, 로그 내용의 다양성, 다양한
포맷, 타임 스탬프…)
로그는 시간이 지날수록 계속적으로 크기가 증가함
로그의 기밀성, 무결성, 가용을 보장하여야 함
관리자가 주기적으로 로그 데이터 분석을 수행하여야 함
how,
where,
what to
log
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 21 © 2011 IBM Corporation
- 22. 접속기록의 보관 및 위.변조 방지
개인정보처리시스템
접속 기록 최소 6개월
이상 보관/관리
Tivoli Security
Information and Event Manager
원본로그의 저장
로그의 정규화
로그 인덱싱
삭제/편집방
지 TSIEM
Network
정기 백업
Log Depot WORM Storage(예: IBM DR550)
접속 기록의 위변조 방지 및
압축,암호화된 로그(Chunk log) 관리자가 정한 기간 동안
도난,분실되지 않도록 보관 로그의 기밀성, 무결성,
가용성 보장
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 22 © 2011 IBM Corporation
- 23. 보안프로그램 설치 및 운영
제9조(보앆프로그램 설치 및 운영)
-보앆 프로그램 설치.운영
-보앆 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시
-응용프로그램 또는 운영체제 S/W 벤더의 보앆 업데이트 공지 시, 즉시 업데이트 실시
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 23 © 2011 IBM Corporation
- 24. 보안프로그램 설치 및 운영
보안 관리를 위해 필수 패치가 정해짂 시간 내에
적용되었다는 것을 확신할 수 있습니까?
업데이트 및 패치 필요시 언제, 어디서나, 네트워크 홖경에
구애 받지 않고 적용이 가능합니까?
다양한 엔드포인트 O/S 및 플랫폼에 대한 한 개의 Tool
사용으로 효율성을 높일 수 있습니까?
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 24 © 2011 IBM Corporation
- 25. 보안프로그램 설치 및 운영
보안 업데이트 공지 시
Tivoli Endpoint Manager
패치 젂원 컴플라이언스 앆티멀웨어
즉시 업데이트 실시
Internet
S/W 분배 SW 자산 OS 설치 기타...
Content Sites
보안 프로그램 자동 업데이트/
일 1회 이상 업데이트
보안 프로그램 설치/운영
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 25 © 2011 IBM Corporation
- 26. Agenda
개인정보의 기술적 안젂조치에
대한 항목별 대응방안
IBM과 결언
보안 프레임워크
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 26 © 2011 IBM Corporation
- 27. IBM과 함께 하는 개인정보보호
“Secure by Design” IBM Research
Projects
보안 기술
Know-How
Corporate
Business Policy 보안 정책
Standards
Guideline
Security
Security
Security 보안 가이드
Policy
보안 표준
IBM Corporate Instructions
IBM Corporate Policies
검증된 보안 프레임워크 젂세계 IBM이 사용하고 있는 보안정책 고객 가치 제안
IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 27 © 2011 IBM Corporation