전자정부 보안을 위한 필수전략
DESCRIPTION
전자정부 보안을 위한 필수전략. 2006. 5 . 16 조시행. 목 차. 사이버테러 동향 정보보호 이슈 및 보안기술 대국민 서비스의 보안현황 개인정보보호 침해유형 향후 발전 방향. 사이버테러 동향. 공격기법의 변화. Virus,Worm. 공격기법의 동향. 과거 현재 미래. Specific, ubiquitous. 목표. Specific, mainframe. Broadcast, PC. - PowerPoint PPT PresentationTRANSCRIPT
2006. 5 . 16조시행
2
사이버테러 동향
정보보호 이슈 및 보안기술
대국민 서비스의 보안현황
개인정보보호 침해유형
향후 발전 방향
3
4
DNS 공격
1990 1995 2000 2005
높음
낮음
자동화된분산공격
웹해킹
분산공격도구
트로이목마 증가
악성코드 E- mail 번식
사회적 공격 가로채기
자동화 공격
GUI공격도구
스니퍼
패킷 스푸핑
수행코드 공격
윈도우 공격트로이목마(BO)
발달된 스캔 도구
분산서비스거부공격
익스플로잇 공격
분산공격
서비스거부공격
해킹패턴의 발전 보안사고의 증가 해킹툴의 단순화
Virus,Worm
공격기법의 변화
5
과거 현재 미래
Specific,
mainframe Broadcast, PC
Specific, ubiquitous
Notoriety-motivatedFinancially-motivated,
more organized
HackingVirus, Worm,
Spyware
Combined social engineering,
Zero Day attack
A few people within an organization
목표
기술
동기
공격기법의 동향
6
메신저 웜의 증가 통합된 신종 웜 (Win32/Mytob.worm) 의 등장과 피해 증가 온라인 게임의 사용자 계정을 탈취하는 악성코드 변형 증가 uPnP 취약점 (MS05-039) 과 악성코드 (Zotob.worm) 확산 홈페이지 변조를 통한 트로이목마 유포 -> 트로이목마의 발 역할 다양한 유형의 트로이 목마 증가 산업스파이가 백도어를 이용해 정보 유출 은폐형 악성코드 8.15 중국해커 공격설 제로데이 공격 (0-day), WMF 취약점 전세계 악성코드 증가 , 한국은 감소 -> 지역적 특성 , 타겟별 공격
특성
2005 년 보안 사고의 특징 (1/2)
7
법정 다툼에 오른 스파이웨어 논쟁 애드웨어와 악성코드의 결합 가짜 안티스파이웨어 기승 Sony DRM 스파이웨어 논쟁 100 개가 넘는 모바일 악성코드 등장 MMS 를 이용하여 전파되는 휴대폰 악성코드 보고 휴대용 게임기 악성코드의 등장 인터넷 뱅킹 보안 문제 인터넷 공문서 위 , 변조 위험 논란
2005 년 보안 사고의 특징 (2/2)
8
• 개인 PC 에서 Key Logger 를 이용해 비밀번호 획득 시도• 관리자 PC 를 통해 서버 비밀번호 획득 시도
• 개인 PC 에서 Key Logger 를 이용해 비밀번호 획득 시도• 관리자 PC 를 통해 서버 비밀번호 획득 시도
• 전자정부통신망의 무력화를 통한 정보유통의 단절 • 전자정부시스템 주요정보에 대한 위 변조∙
• 전자정부통신망의 무력화를 통한 정보유통의 단절 • 전자정부시스템 주요정보에 대한 위 변조∙
• 정부 특정업무 주요 시스템에 침투
특정부서의 DB 에 접근하여 정보획득 시도
• 정부 특정업무 주요 시스템에 침투
특정부서의 DB 에 접근하여 정보획득 시도
전자정부 시스템 마비 시도전자정부 시스템 마비 시도
국가 주요정보 유출 기도국가 주요정보 유출 기도
개인정보유출개인정보유출
바이러스
개인정보 유출해 킹
사이버 테러 유형
9
10
전자정부의 정보 보호 이슈
11
보안은 보험이다 . 다들 하니까 무언가 불안해서 보안 위협이 생길 가능성이 있어서
보안은 보호할 IT 자산만큼의 가치가 있다 . 정보 , 데이터베이스 , 문서 컴퓨터 - 반도체 공장의 산업용 PC 네트워크 - ISP
보안이 가장 약한 곳의 수준이 그 기업의 보안 수준이다 . 인사관리 , 급여관리 시스템 ? 테스트용 PC, 옛날 PC, 노트북등
보안없는 연결은 재앙이다 사업 , 서비스의 설계 때부터 보안을 고려해야 한다 .
보안의 필요성
12
유비쿼터스 정부 인프라전자정부통합망 - IPv6 구축 - 광대역무선망 - VoIP etc
전자주민증선원신분증명서전자여권지문감식시스템공항출입통제시스템공무원재택근무전자 행정 서비스etc
네트워크 보안 기술 BcN Security
유비쿼터스 보안 기술 RFID/USN Security
바이오 보안 기술 Bio Recognition & Sensing Security
핵심 보안침셋 기술 Security IP/SoC for Mobile
개인정보보호 기술 U3P Security Service
전자정부 적용 분야전자정부 적용 분야전자정부 적용 분야전자정부 적용 분야
5 대 정보보호 기술
13
14
입력 값 조작을 통하여시스템 , 관리자 권한 및개인 정보 획득 가능
입력 값 조작으로 DB 명령어실행이 가능하여 개인정보와데이터베이스 획득 가능
입력 값을 조작하여 시스템주요 파일을 다운로드 하여시스템 권한 획득 가능
시스템과 애플리케이션 설정오류로 인해 시스템 접근 및권한 획득 가능
정보 노출 /조작
SQL Injection
파일 다운로드
설정 오류
• 개인정보의 노출
• 전자민원서류의 조작 가능
• 민원 /행정 업무 시스템의 관리자
권한 획득
• 사이버 유언비어 확산 가능
취약점 파급효과
웹 어플리케이션 취약점 수정 버전 개발
웹 보안 솔루션 도입
어플리케이션 개발 프로세스에서 보안 감사 강화
개선방안개선방안
주요 취약점주요 취약점주요 취약점주요 취약점
대국민 서비스 시스템의 주요 취약점
15
Time
11
보안
성
33
웹 보안시스템 도입 대표적 웹어플리케이션 취약점에 긴급 수정 조치 OS별 시스템 긴급패치 적용
단기대책
웹 프로그래밍 보안강화 수정 보안관제센터를 통한 모니터링 보안전문업체를 통한 보안정기점검
중기대책
장기대책
개발 단계에서 사전 보안 검토 규졍화 보안전문업체를 통한 정기적 보안감사 정부기관간 보안정보 공유체계 확립
22
대응 방안
16
17
직원의 고객 정보 및 산업 기밀 정보 유출 시 , 경영자에게 까지 법률적 책임이 있음
병원에서 진찰 대기자 이름을 부를 수 없음
일본 개인정보보호법은 본인의 동의 없이 어떤 경우에도 다른 사람에게 개인 정보를 제공할 수 없음
사내에 노트북 ·CD 와 같은 개인 정보저장장치를 일절 갖고 들어오지 못하도록 막는 곳이 늘어나고 있음
새 휴대전화를 사면서 반납한 휴대전화는 거기에 든 신상정보가 유출되지 않도록 고객이 보는 앞에서 분쇄시킨다
일본의 개인정보보호법 발효 후 변화
18
개인정보개인정보침해유형침해유형 현행현행 유비쿼터스 컴퓨팅 환경유비쿼터스 컴퓨팅 환경
부적절한 접근과 수집부적절한 접근과 수집 정보주체의 동의없는 개인정보의 수집 정보주체가 인식할 수 없는 상황에서 정보주체가 완전한 자기정보 통제권을 상실할 가능성이 큼
부적절한 분석부적절한 분석 부적절하게 수집된 정보의 분석 , 동의없는 사적 정보의 분석
부적절하게 수집된 정보의 분석을 통해 개인 지배 또는 개인에 대한 통제행위가 심화될 가능성 큼
부적절한 모니터링부적절한 모니터링 동의없는 개인의 인터넷 활동을 모니터링 부적절한 모니터링을 통한 개인의 라이프스타일 등 개인의 생활 전반이 노출될 가능성이 큼
부적절한 부적절한 개인정보유통개인정보유통
개인정보를 제 3자에게 양도하는 등 불법적 거래
개인정보를 제 3자에게 양도하는 등 다양한 유형의 개인정보가 불법적으로 거래되거나 유통될 가능성
원하지 않은 영업행위원하지 않은 영업행위 동의없는 상품광 , 광고성 정보전송행위 개개인의 특성에 정확하게 조응하는 광고성 구체적 상품광고가 동의없이 무차별적으로 유통될 수 있음
부적절한 저장부적절한 저장 정보수집 목적 달성 후 개인정보를 파기하지 않는 행위
한번 수집된 정보는 파기되지 않고 수차례의 분석을 통해 다양한 용도로 재활용될 가능성 큼
개인 정보보호 침해 유형
19
전자정부의 전자정부의 발생가능 발생가능 시나리오시나리오
현행 문제점현행 문제점 대응방안대응방안
온라인 행정문서 발급 온라인 행정문서 발급 서비스서비스
■ 기술적 문제점에 의한 행정문서 정보 불법 유출 가능성
■ 웹보안시스템 도입■ 웹어플리케이션 보안강화 수정■ 보안전문업체를 통한 정기적 감사■ 개발단계의 보안 검수 표준화■ 보안관제센터 활성화
개인정보 개인정보 DBDB
■ 개인정보 DB 의 보안사고에 의한 비인가 유출
■ 타기관 정보 연동 시스템 오류로 인한 비인가 유출
■ 비인가자의 개인정보 DB 접근
■ DB 보안 솔루션 도입■ DB 아키텍처 보안강화 수정■ 서비스 개발시 보안감사 표준화■ DB 접근권한에 대한 보안통제 강화■ 공무원의 개인정보 DB 불법 사용에 대한 처벌규정 강화
IDID카드카드 (( 전자주민증전자주민증 , , 여권여권 , , 각증 증명서각증 증명서 ))
■ 비인가자의 도용 /오용 /도난■ 불법 정보 유출의 수단 제공
■ RFID 및 생체인식 , SoC 기술을 도입한 ID카드의 도용 /오용 /인증 체계 강화
■ 중요시설 물리적 접근 절차 보안강화
개인 정보보호 침해 시나리오 및 대응방안
20
21
BotNet 의 피해… 더욱 많은 변형 증가 예상 , 더욱 복잡하게 발전할 것임 공격목적에 따라 국지적 피해 예상 : 특정 IP 대역
스파이웨어 /애드웨어의 피해 지속 금전적 이익 기술적 발전 , 다양한 배포방법 , 조직적 /체계적
Mobile 위협 - 스마트 폰 , PDA… 다양한 보안 문제에 대응 필요 무선인터넷 사용자증가 다양한 모바일 디바이스의 보급 모바일 플랫폼 표준 및 망 개방등 한국의 피해 발생은 시기가 문제일 뿐…
2006 년 이후 악성코드 (1/2)
22
온라인 게임과 관련한 악성코드 및 해킹 2005 년 급속한 증가로 심각한 수준에 다다름 게임 아이템 거래로 인한 금전적인 목적으로 지속될 전망
취약점 노린 Zero-Day 공격 현실화 취약점 보안패치까지는 시간이 소요 보통 , 취약점 발표와 동시에 보안 패치가 이루어지나…
개인 정보 유출 문제 검색 엔진 강화 : PC 자체 정보 검색 정보의 과잉 노출 역기능 수반 백도어 , 키로거 , 원격제어 , 피싱 , P2P, 스파이웨어 등
유비쿼터스 환경의 보안 보안 대상의 증가 서비스에 특화된 보안 필요
2006 년 이후 악성코드 (2/2)
23
실생활에서 혜택을 느낄 수 있는찾아가는 정부서비스 구현
정 보 보 호 체
계 수 립
CERT/GISAC
서 비 스 시 스 템 보 안 감 사 체 계
표 준 화
부 처 간 정 보 공 유 기 반 마 련
개 인 정 보
보 안 통 제 체 계
강 화
유 비 쿼 터 스
정 보 보 호 제 도
도 입
정보화 인력 강화 및 국가 정책적 차원의 과감한 투자
개인정보보호 강화 및 정보공유체계 확립 Information Super-Highway
( 전자정부 고도화 & 유 /무선 통합서비스 기반 & 유비쿼터스 기술 ) Information Super-Highway
( 전자정부 고도화 & 유 /무선 통합서비스 기반 & 유비쿼터스 기술 )
향후 발전 방향
안전에 필요한 최소한의 노력과 투자가 필요