정보보안 전문가의 길.. 어디로 갈 것인가?

2015. 11. 27. 발표자: 유 정훈(CISSP, 정보보호 준비도 평가사)

Where? Field

2015년 하반기 정보보안 전문가 특강

정보 보호

발표 배경[목차]

정보보안 전문가의 길

정보보호 개요 보안/감사/개인정보

자격증 소개

인터넷(보안)환경의변화와 위협 요소

보안전문가로 가는길

정보보안 해킹사례

• 정보보호 개요, 인터넷 환경의 변화의 이해와

정보보안 위협 요소 및 사례를 살펴 본후

• 정보보안 전문가의 길은 어떻게 하면 갈수 있는지와 보안/감사/개인정보 관련된 자격증은 무엇이 있는지 살펴 보겠습니다.

• 마지막으로, 여러분들이 궁금해 하시는 여러분의 고민을 이야기하는 시간을 가지도록 하겠습니다.

발표 개요

용어의 정의

[정보보호]의 사전적 의미

정보의 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신ㆍ수신 중에 정보의 훼손ㆍ변조ㆍ유출 등을 방지하기 위한 관리적ㆍ기술적 수단, 또는 그러한 수단으로 이루어지는 행위

- 목적 : 고객의 자산을 보호하고 허용가능한 위험수준까지 낮추는 것 - 책임 : 외부 위탁으로 수행되는 정보서비스에 대한 정보보호의 궁극적인 책임은 위탁서비스 사용업체에 있음 - 조직문화에 의해 제한을 받고 정보보호는 포괄적이고 통합적인 접근방법으로 접근되어야 함 - 정보보호는 조직의 관리활동에 있어 적절한 주의의무(due care)에 포함되어야 함

해당 기관에서 직원 및 이용자의 자산 (시스템, 개인정보, 기업 기밀, 영업비밀..)을

안전하게 지키는 행위!

사이버 공격, 위협, 변조,침해 요소 (사회공학적 기법 포

함]

국가 [안전한 세상 만들기]

개인(삶의 가치)

그림으로 보는 정보보호의 개념

수호신(방패) 기업

(자산과 정보 지키기]

KCB

정보보호의 3요소

보안의 개념

: 자산(리소스)의 본래 가치가 손상되지 못하도록 위협으로부터 자산을 적절한

방법으로 보호 하는 것.

정보보호의 3요소(CIA)

Confidentiality(기밀성)

정보시스템

공개, 노출

기밀성(Confidentiality)

비밀성을 보장하기 위한 수단에는

접근통제, 암호화 등이 있음.

무결성(Integrity)

무결성을 통제하기 위한 수단에는 물

리적 통제, 접근통제, 인증 등이 있음.

가용성(Availability)

가용성확보를 위한 통제 수단에는

데이터백업, 중복 유지, 물리적 위협

으로부터 보호 등이 있음

기밀성(Confidentiality) 위협하는 공격 ⊙위장(Impersonation ,Masquerade) -사용자를 사칭하여 신분위장 공격(ex: IP 주소변조) ⊙스누핑(Snooping) -데이터에 대한 비인가 접근, 데이터 탈취 (ex: 로그인정보, 메신저내용, 전자우편정보 획득) ⊙도청(Sniffing) -통신망상으로 전송되는 정보를 불법으로 취득 (ex: 패킷을 통해 ID 와 PWD 를 볼수있음) ⊙트래픽분석(Traffic Analysis) -암호문은 해독이 불가능하더라도 송수신 유형의 파악으로 목적 달성 ⊙백도어(Backdoor) -시스템에 침입한 후 자신이 원할 때 침입하여 시스템을 재침입하거나 권한을 쉽게 획득하기 위해 만들어 놓은 일종의 비밀 통로 ⊙트로이 목마(Trojan of Horse) -배포자의 의도에 따라 사용자의 정보 유출이나 자료파괴를 위해 불법으로 설치한 프로그램

무결성(Integrity) 위협하는 공격

⊙ 수정(Modification) -데이터의 변경 ⊙ 변장(Masquerading) -인가되지 않은 개체가 인가된 개체처럼 흉내 내어 네트워크 사용권한을 획득 데이터를 파괴 및 변경

-Spooffing

자기자신의의 식별정보를 속여 다른 대상의 시스템을 공격하는 수법

⊙ Replaying -재연 -공격자는 사용자가 보낸 메시지를 복사하고 나중에 사용하여 목적을 달성 ⊙ Repudiation -부인 -공격자는 요청한 행위를 차후에 부인

가용성(Availability) 위협하는 공격

⊙ Denial of service -통신서비스를 방해 -CPU 처리 집중화에 의한 방해 -메모리 용량 독점 -DBMS 처리 독점

⊙ 오조작 -실수 및 고의로 오조작 ⊙ IT 장비 장애 ⊙ 수전 시설 장애 ⊙ 자연 재해

정보보호 솔루션

방화벽과 비슷한 개념

암호화장비 포트차단

(Public Key Infrastructure: 공개키 기반구조)

인터넷(보안)환경의 변화와 위협 요소

• IT 발전 동향

– 집채만한 PC에서 스마트폰으로 넘어오면서 다양한 형태로 발전 중

컴퓨터 스마트폰 SNS IoT / WoT

인터넷(보안)환경의 변화

내·외부의 위협요인

나

1.사진촬영금지 2.내부자료 (저장금지) 3. 녹음금지 4. GPS 설정금지

1.내부자료송부금지 2.P2P 사이트 (접속금지) 3.불법 프로그램 (설치 금지) 4.패스워드 설정필요 5.화면보호기 필수 6.USB 사용금지

1.보안철저 2.개인정보 누설 금지 3.Clean desk 권장 (보이는곳에 포스트잇 사용금지)

1.내부문서 (파쇄할것)

정보보안 위협요소

정보보안 해킹 사례

악성.APK 생성 (재미있는 게

임)

악성 앱 설치를 통한 유출사례_실제 해킹이 되어지는 전제 조건(사회공학적 기법)

정보보안 해킹 사례

스마트폰 해킹 동영상 실전 사례(스마트폰 – 실시간 사진 찍기)

정보보안 해킹 사례

정보보안 전문가로 가는길

본 교육의 대상

졸업후 어디로 가야할지 모르겠다는 분

보안 분야에 취업을 희망하는 분

보안의 다양한 분야에 대해서 궁금하신 분

보안전문가를 꿈꾸는 모든 분

유망 직종

출처:

법적 근거

출처:

국가적 지원

출처:

보안분야 정의

출처:

1)보안컨설팅 전문가

출처:

1)보안컨설팅 전문가 - 계속

출처:

1)보안컨설팅 전문가 - 계속

출처:

1)보안컨설팅 전문가 - 계속

출처:

2)보안관제 전문가

출처:

2)보안관제 전문가 - 계속

출처:

2)보안관제 전문가 - 계속

출처:

2)보안관제 전문가 - 계속

참고: https://www.kisa.or.kr/business/protect/protect1_sub5.jsp

보안관제 지정업체

법적 근거: 보안관제 전문업체 지정 등에 관한 공고(미래창조과학부 공고 제2013-089호)

(지정 기관 : 미래창조과학부, 수행기관 : 한국인터넷진흥원)

3)침해사고 대응 전문가

출처:

3)침해사고 대응 전문가 - 계속

출처:

3)침해사고 대응 전문가 - 계속

출처:

3)침해사고 대응 전문가 - 계속

출처:

4)디지털 포렌식 전문가

출처: http://forensic-proof.com/wp-content/uploads/2010/12/FP_Introduction_to_Digital_Forensics.pdf

출처:

4)디지털 포렌식 전문가 - 계속

출처: http://forensic-proof.com/wp-content/uploads/2010/12/FP_Introduction_to_Digital_Forensics.pdf

출처:

4)디지털 포렌식 전문가 - 계속

출처:

4)디지털 포렌식 전문가 - 계속

출처:

4)디지털 포렌식 전문가 - 계속

출처:

4)디지털 포렌식 전문가 - 계속

출처:

5)악성코드 분석 전문가

출처:

5)악성코드 분석 전문가 - 계속

분석 절차는 크게 동적분석과 정적분석으로 이루어짐

1. 파일 형태 분석

2. 사용 API 분석

3. 문자열 분석

1. 시스템 분석

2. 프로세스 분석

3. 레지스트리 분석

4. 네트워크 분석

5. 기타 분석

1. 증상추가분석

2. 각종 정보 수집

3. 관련 사항 확인

1. 디스어셈블링

2. 디버깅

1. 악성코드 판단

2. 진단 시그니쳐

및 함수제작

3. 분석정보 작성

출처:

5)악성코드 분석 전문가 - 계속

출처:

5)악성코드 분석 전문가 - 계속

출처:

6)보안교육 전문 강사

출처:

6)보안교육 전문 강사 - 계속

출처:

7)보안제품 개발자

■ 보안 QA 전문가

■ 보안 제품 기술 영업 (기술영업 등)

■ 보안제품 기술자 (SE)

■ 보안 SW 개발자

■ 보안 SW 분석/설계 전문가

출처:

7)보안제품 개발자 - 계속

출처:

8)정보보호 담당자

출처:

8)정보보호 담당자 - 계속

출처:

8)정보보호 담당자 - 계속

출처:

어떤 분야의 직업 선택할 것인가요?

출처:

취업도 글로벌 시대

아시아 태평양 경제사회위원회

세계 은행 아시아개발은행

국제연합(UN)

출처:

별첨)보안전문가, 직장인의 태도

출처:

보안/감사/개인정보 자격증 소개

• CISSP(Certified Information Systems Security Professional)

– 보안에 관련한 대표적인 자격증으로 10가지 도메인에 대해 시험을 치른다.

• 정보보안기사(정보보호 전문가, Specialist for Information Security)

– 보안에 관련된 실질적인 기술을 테스트하는 시험으로 기사과 산업기사가 있다.

• CPPG(Certified Privacy Protection Specialist) : 개인정보 관리사

• CISA(Certified Information Systems Auditor)

– 정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격증이다.

• CIA(Certified Internal Auditor)

– 내부감사사 전문 자격증으로 업무 프로세스, 조직 등에 관련한 시험을 치른다.

• 기타

– 마이크로소프트, 시스코, 썬, 오라클과 같은 벤더별 자격증

보안 및 IT 관련 자격증 소개

• 가장 대표적인 보안 관련 자격증

– 정보보호 전문가 자격증 개발에 관심있는 국제단체들이 컨소시엄을 형성하여 1989

년에 설립한 ISC2(국제정보보호 자격증 컨소시엄)에서 CISSP를 만듬.

– 컨소시엄에 참가한 단체들은 ISSA와 CSI·DPMA·SIG-CS·IFIP 등과 미국·캐나다의 정부

기관, 아이다호 주립대학교 등.

– 우리나라에는 2000년에 도입됨.

CISSP(Certified Information Systems Security Professional

• CISSP는 다음의 8가지 도메인에 대해 6시간(250문제) 동안 시험을 치름

CISSP(Certified Information Systems Security Professional

① 보안과 위험관리 (보안, 위험, 준수, 법, 규제, 기업 영속성)

② 자산보안 (자산보안 보호)

③ 보안엔지니어링 (보안엔지니어링 및 관리)

④ 통신과 네트워크 보안 (네트워크 보안설계 및 보호)

⑤ 신원과 접근관리 (접근통제 및 신원관리)

⑥ 보안평가와 검사 (보안검사 설계, 실행, 분석)

⑦ 운영보안 (기초개념, 조사, 사고관리, 재난복구)

⑧ 소프트웨어 개발보안 (소프트웨어 보안 이해, 적용, 실행)

• 시험대상 : 누구나 , 시험일정: CBT로 매달 시험신청(피어슨뷰) • 자격증 발급 조건 : 정보보호경력 5년 증빙(단, 경력이 없으면 cissp associate 임) • 합격기준 : CISSP 시험의 70% 득점: 조정포인트 1000점중 700점 이면 합격) • 시험응시료: US $599 (한국 KRW : 688,550.50원)

• 국가에서 인증해주는 SIS 자격증으로서 국내에서 개발되었고, 현재는

정보보안 산업기사/기사로 국가공인자격증이 됨

정보보안 기사

• 시험대상 : 누구나(산업기사), 4년제 졸업(기사) • 비용: 필기(18,000), 실기(21,900원, 20,200원) •시험시간 :

기 사 09:30~12:00 09:30~12:30

산업기사 13:30~15:30 13:30~16:00

구분 시험과목 검정방법

문항수 배점 검정시간 문제유형 합격기준

필기시험

시스템 보안 20 100

각 과목 30분

4지 택일형

각 과목 40점 이상,

5과목 평균 60점 이상

네트워크 보안 20 100

어플리케이션 보안

20 100

정보보안 일반 20 100

정보보안관리 및 법규

20 100

실기시험 정보보안 실무 15 100 총180분 필답형 60점 이상

• CPPG는 CPO포럼에서 인증해주는 자격증으로서 개인정보보호에 대한 실무와

이를 보호하는 기술에 대한 이해를 갖춘 전문인력에 대해 다음의 업무 능력을 평가

CPPG(Certified Privacy Protection Specialist)

• 미국에 국제 본부를 둔 정보시스템감사통제협회(ISACA)가 1978년부터

일정한 자격 요건을 갖춘 사람들에게 부여하는 '정보시스템 지배, 통제,

보안 및 감사 분야의 공인 전문 자격증

CISA(Certified Information Systems Auditor)

시험영역 내 용 비 중 문제수

Domain1 IS 감사 프로세스

(The Process of Auditing Information Systems) Provide audit services in accordance with IS audit standards to assist the

organization in protecting and controlling information systems. 21% 32

Domain2 IT 지배 및 관리

(Governance and Management of IT)

Provide assurance that the necessary leadership and organizational structures and processes are in place to achieve objectives and to support th

e organization"s strategy. 16% 24

Domain3 정보시스템 구입,개발 및 구현

(Information Systems Acquisition, Development,and Implementation)

Provide assurance that the practices for the acquisition, development, testing and implementation of information systems meet the organization’

s strategies and objectives. 18% 27

Domain4 정보 시스템 운영,유지 보수 및 지원

(Information Systems Operations, Maintenance and Service Management)

Provide assurance that the processes for information systems operations, maintenance and service management meet the organization’s strategi

es and objectives. 20% 30

Domain5 정보자산의 보호

(Protection of Information Assets)

Provide assurance that the organization’s policies, standards, procedures and controls ensure the confidentiality, integrity and availability of infor

mation assets. 25% 37

• CISA는 다음의 5가지 도메인에 대해 4시간(150문제) 동안 시험을 치름

• 시험대상 : 누구나 , 시험일정: 6월,12월 둘째 토요일 • 자격증 발급 조건 : 정보보호경력 5년 증빙(단, 경력이 없으면 cissp associate 임) • 합격기준 : 상대 평가성 절대평가 (150문제중 113문제[75%] 맞추거나 상대적으로 시험을 잘 봐야함) • 시험응시료: US $635 (한국 KRW : 729,932.50원)

CISA(Certified Information Systems Auditor)

• 미국 플로리다에 국제 본부를 둔 IIA에서 공인하는 내부감사사 전문 자격증.

• 전 세계적으로 120,000명(2014년 6월 기준)이 넘는 CIA가 활동, 국내 에는 722명(2014년 2월 기준)의 CIA가 활동하고 있음.

CIA(Certified Internal Auditor)

Part 내용

Part 1

IPPF(국제내부감사직무수행방안)의 필수지침과, 내부통제 및 리스크, 내부감사 업무수행을 위한 감사 툴과 기법에 대해 테스트한다.: - IIA필수 지침 (35~45%) - 내부통제,리스크 (25~35%) - 내부감사업무 수행을 위한 감사툴 및 기법 (25~35%)

Part Ⅱ

내부감사의 전략적 운영적 역할을 통한 내부감사기능 관리와, 리스크기반 계획의 수립, 개별감사업무 (계획, 감독, 커뮤니케이션 결과, 모니터링 결과 등)의 관리, 그리고 부정위험과 통제에 대해 테스트한다.: - 내부감사기능 관리(40~50%) - 개별감사업무 관리 (40~50%) - 부정 위험 및 통제(5~15%)

Part Ⅲ

지배구조와 경영윤리, 리스크관리, 조직구조와 비즈니스 프로세스 및 리스크, 그리고 커뮤니케이션, 운영 및 리더쉽 원리, IT와 사업연속, 재무관리, 글로벌 비즈니스 환경에 대한 내용을 테스트한다.: - 지배구조(거버넌스)/경영윤리 (5~15%) - 리스크 관리 (10~20%) - 조직구조/비즈니스 프로세스 및 리스크(15~25%) - 커뮤니케이션(5~10 %) - 운영_리더십 원리(10~20%) - IT_사업연속(15~25%) - 재무관리(10~20%) - 글로벌 비즈니스 환경(0~10%)

• 시험일정 : 2008년 7월부터 CBT 시험응시 가능 • 4개의 testing Windows(언제나 신청가능) • 문제형식: 사지선다형인 멀티플 초이스 형식 • 시험문항수

과목 문항수 시간 문제형식

Part 1 125문항 150분

M/C Part 2 100문항 120분

Part 3 100문항 120분

CIA 응시료 회원 비회원 재학생/교수

IIA 회원가입비 (입회비 20,000 + 연회비 100,000)

120,000 - -

등록비(최초 응시 신청시에만 납부)

119,000 238,000 59,500

NEW 파트 I 응시료

297,500 416,500 238,000

NEW 파트 II 응시료

238,000 357,000 178,500

NEW 파트 III 응시료

238,000 357,000 178,500

3과목을 최초 응시시

1,012,500 1,368,500 654,500

• 응시료

• MCP(Microsoft Certified Professional)

– 가장 기본적인 자격증으로 마이크로소프트사의 아무 시험이나 합격하면 주어짐.

• MCSA(Microsoft Certified Systems Administrator)

– 마이크로소프트 윈도우즈 서버 운영체제 기반의 네트워크 및 시스템 환경을 구현, 괸

리 및 유지ㆍ보수할 수 있는 IT 전문가임을 인증한다. 세 과목의 필수 시험과 한 과목

의 선택 시험을 취득해야 함.

• MCDBA(Microsoft Certified Database Administrator)

– 마이크로소프트 SQL 서버 2000 데이터베이스를 성공적으로 구현하고 관리할 수 있

는 IT 전문가임을 보여주는 최고의 인증임. 세 과목의 필수 시험과 한 과목의 선택 시

험을 취득해야 함.

• MCSE(Microsoft Cerified System Engineer)

– 마이크로소프트 윈도우즈 서버 2003 운영체제 기반의 네트워크 인프라, Active

Directory 기반 인프라 및 클라이언트 배포를 성공적으로 설계, 계획 및 구현할 수 있

는 전문가임을 보여주는 최고의 인증임. 5과목의 필수 시험과 두 과목의 선택 시험을

취득해야 함.

마이크로소프트의 자격증

• SCSA(Sun Certified System Administrator)

– 솔라리스 운영체제의 운영과 관련된 두 과목의 시험에 합격하면 되는데, 유닉스와 관련된 일반 운영 사항에 대한 지식을 확인할 수 있는 자격증임.

– 서버에서 운영되는 시스템 관리 업무를 수행하거나, 솔라리스 운영체제에서 운영되는 네트워크 서버 관리 책임을 지고 있는 기술 애플리케이션 지원 직원과 같은 시스템 관리자를 대상으로 하고 있음.

• SCNA(Sun Certified Network Administrator)

– 네트워크 관리 업무와 관련되어 3년 이상의 실무 경험을 보유한 사람을 대상으로 함.

– 선수조건으로 SCSA를 취득한 사람에 한하여 응시가 가능함.

SUN 마이크로시스템즈의 자격증

• CCNA(Cisco Certified Network Associate)

– 시스코 네트워크 자격증의 선수 과정이라고 볼 수 있는 자격증으로 SOHO 시장에 필요한 초급

단계의 네트워킹 지식을 갖고 있음을 의미하는 자격증.

– CNA 인증을 가진 전문가는 노드수 100개 이하의 소규모 네트워크에 IP, IGRP, IPX, Serial,

Apple Talk, Frame Relay, IP RIP, VLAN, RIP, Etherner, Access List 등을 비롯한

LAN, WAN, 다이얼 액세스 서비스를 설치/구성/운영하는 것을 배우게 됨.

• CCNP(Cisco Certified Network Professional)

– CCNA 취득 후에 시험을 보아야 취득할 수 있으며, 4과목으로 진행된다.

– 노드수 100개에서 500개 이상 규모의 네트워크를 갖춘 조직에 IP, IGRP, IPZ, Async

Routing, Apple alk, Extended Access Lists, IP RIP, Route Redistribution, RIP,

Route Summarizatio, OSPF, VLSM, BGP, Serial, Frame Relay, ISDN, ISL, FDDI

등을 비롯한 LAN, WAN, 다이얼 액세스 서비스를 설치/구성/운영하는 자격증임.

• CCIE(Cisco Certified Internetwork Expert)

– CCIE는 시스코 네트워크 자격증 중 가장 수준이 높은 자격증으로 인정받고 있으며, 필기와 실

기로 나뉨.

시스코 네트워크 자격증

• OCP(Oracle Certified Professional)

– 오라클 제품 사용자의 관련 업무별 전문 기술 지식 정도를 측정하여 대내외적으로 증명해 주며, 오라클의 제품과 최신 기술을 활용하여 최적의 솔루션을 설계, 개발, 응용하는 데 필요한 인력의 역량을 인증. 데이터베이스 운영과 관련된 총 4개의 시험을 합격하여야 함.

오라클 자격증

• 웹 해커가 갖추어야 할 소양

① HTTP 프로토콜을 통한 서버와 클라이언트의 통신 방식에 대한 이해

② HTML에 대한 이해 및 프로그래밍 능력

③ ASP, JSP, PHP에 대한 이해 및 프로그래밍 능력

④ 자바 스크립트에 대한 이해 및 프로그래밍 능력

⑤ XML에 대한 이해 및 프로그래밍 능력

⑥ WEB, WAS, DB 서버간의 데이터 연동 방식에 대한 이해

⑦ 네트워크에 대한 기본적인 이해

⑧ 자바 애플릿 및 Active X에 대한 디버깅 능력

• 네트워크 해커가 갖추어야 할 소양

① OSI 7계층에 대한 이해

② ARP 프로토콜에 대한 완벽한 이해

③ TCP/IP 프로토콜에 대한 완벽한 이해

④ 패킷 구조 분석 능력

⑤ 네트워크 장비에 대한 충분한 이해

⑥ 보안 시스템 대한 충분한 이해

⑦ 유닉스 및 윈도우 시스템에 대한 충분한 이해

⑧ C 언어(또는 C++)를 이용한 네트워크 프로그래밍 능력

요약

• 코드 해커가 갖추어야 할 소양

① C, C++, 자바에 대한 프로그래밍 능력

② 컴파일러에 대한 이해

③ 디컴파일러에 대한 이해

④ 윈도우와 유닉스 시스템의 하위 구조에 대한 이해

⑤ 기계어 및 어셈블리어에 대한 이해

⑥ CPU 레지스터에 대한 이해

⑦ 바이너리 코드 디버깅 능력

• 주요 보안 관련 자격증

① CISSP : 보안에 관련한 대표적인 자격증으로 10가지 도메인에 대해 시험을 치른다.

② 정보보안(산업)기사 : 보안에 관련된 실질적인 기술을 테스트하는 시험으로 기사과 산업기사가 있음

③ 개인정보 관리사 : 개인정보 취급 담당자의. 전문성을 확인시켜주는. 필수자격

④ CISA : 정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격증이다.

⑤ CIA : 내부감사사 전문 자격증으로 업무 프로세스, 조직 등에 관련한 시험을 치른다.

⑥ 기타 : 마이크로소프트, 시스코, 썬, 오라클과 같은 벤더별 자격증이 있다.

요약

궁금해요~~

감사합니다.

맺음말

유 정 훈

E-Mail : james.yoo@boanin.com