표준제안 보안 usb 시스템 구축 제안서

USB 메모리기반 정보유출방지 시스템

S-USBTM

표준제안보안 USB 시스템 구축

제안서

요약1. 제품개요2. 시스템구성3. 기능구성4. 핵심기능5. 기능비교6. 도입절차

S-USB 시스템은 국정원의 “ USB 메모리 등 보조기억매체 보안관리지침”에 의거하여 USB 메모리를 통해 비밀이나 중요업무자료의 유출을 방지하기 위해 개발된 기술과 기능을 바탕으로 다양한 기업환경 및 사용자 환경에 대응하기 위한 유연성을 갖춘 시스템입니다 .

S-USB 시스템은 정보유출방지기능이 적용된 보안 USB 메모리는 물론 보안기능이 없는 일반 USB 메모리 및 외장하드디스크 등에 보안기능을 주입하여 내부 및 외부사용의 통제기능을 제공합니다 .

S-USB 시스템은 장치클래스 기반의 매체제어 통제정책에 의해 저장장치는 물론 통신장치에 대한 통제 / 보안 기능을 제공합니다 .

S-USB 시스템은 Active Directory, MS-SQL, ORACLE 등의 인사정보시스템 연동은 물론 그룹웨어 , 사내포털 연동기능을 제공합니다 .

제품개요

시스템구성

기능구성 보안 USB

• 국가정보원 및 CC 인증 획득기술 적용• 다양한 보안정책 관리 및 로그관리• 실시간암호화 기능 내장• 국가기관 , 공공 , 연구단지 , 금융기관 , 대기업 등 다양한 레퍼런스

보안화기능

• 일반 USB 에 대한 보안화• 외장형 HDD 보안화• 기타장치 시스템 등록기능• 정책에 따른 허용 공간 조절• 국내 최대 사용자 / 레퍼런스

매체제어 ( 옵션 )

• FDD, CDR 등 저장매체 통제• MP3, PMP, Mobile, Navigation 등 복합장치 통제• 직렬 / 병렬 , IRDA, PCMCIA 등

포트통제• Wibro, Tlogin, 무선래 , 테더링 등 통신장치 통제

보안디스크 ( 보안 )

• PC 에 개인정보포함 파일 검색• 사용자 지정 암호화 기능• 관리자 기반 강제암호화 기능• 암호파일 백업 및 삭제 기능• USB 에이전트를 통한 사용자 PC

감사 기능

핵심기능

차별화기능일반 USB

보안화

도입절차

요구사항 정의고객환경 분석

기본시스템 설치시스템 호환성 평가

인사정보연동기존 보안시스템연동

시스템 운영평가사용자 교육

1 ~ 2 주 이내

2 ~ 3 주 이내

1 주 이내

1 주 이내

목 차

I. 제안개요 10

II. 제안업체 일반 20

III. 기술 및 구축사례 25

IV. 시스템 구축 38

I. 제안개요1. 제안배경2. 제안목적3. 제안범위4. 기대효과

I. 제안개요

1.1 통합보안 기반의 보안 USB 시스템 제안배경시장변화 / 기술발달에 따른 사용자 환경 대응을 위한 기존 시스템 강화 및 신규 시스템 도입필요기업 내부 환경 변화 및 업무환경 변화에 대한 통합보안 시스템 요구발생

1. 제안배경

- 11 -

기업내부 환경 대응

진화 / 변화되는 사용자 환경 및 시스템 변화속에서 정보보안 진단 시 디지털 지적재산에 대한 취약점 발견

취약점 발견

기존 리거시 시스템에 대한 보완 및 신규 도입시스템을 활용한 시스템간 연동으로 보안취약점 대응 필요

시스템 연동

디지털 지적자산 보호 및 외부유출 보안관리에 대한 통합보안관리 시스템 도입 필요

통합보안관리

현재의 사용자 환경을 유지와 동시에 보안취약점 대응을 통하여 사용성과 보안성 겸비 요구

기존 환경 대응

사용자 환경 대응

최신 정보기술의 발달로 불법유출 방법 및 경로가 다양해지면서 기업 내부자료 보호에 대한 관심 증폭

정보발달

외부침입 보다는 내부 이해관계자에 의해 유출되는 막대한 유형 / 무형의 피해에 대한 심각성 인지

피해우려 증가

사용자별 다양한 저장매체 활용으로 사용자 다변성 대응 및 다양한 인터페이스에 대한 관리 및 통제 요구 발생

다양환경 변화

다중 시스템활용과 상이한 정책 시스템의 연동으로 관리자에 대한 직관적이고 통합적인 관리환경 필요

관리자 환경지원

I. 제안개요

2.1 통합보안 기반의 보안 USB 시스템 제안목적리거시 시스템에 기반한 기존환경의 보안 취약점 대응신규 시스템 도입을 통한 사용자 편리성 유지 및 사내 보안시스템 강화

2. 제안목적

- 12 -

기존 시스템 환경

보안시스템 강화

중앙관리서버를 통한 USB 메모리 정보유출차단 정책 및 보안 USB 관리정책과 사용이력 관리

중앙관리서버

USB 저장장치에 내장된 보안기능 및 프로그램을 통하여 관리자의 보안정책 적용 및 접근통제

보안 USB

비인가 장치에 대한 접근통제와 허가 USB 저장장치에 대한 사용허가 및 보안정책 적용

PC 에이전트

일반 USB 에 대한 보안기능 주입을 통하여 사용환경 확대 및 전반적인 보안성 강화

온라인주입시스템

PC 자원 및 저장정보에 관리 및 로그인 통제를 통한 PC 자원 및 정보접근 관리

PC 보안

네트워크 및 PC 자원 사용을 위한 내부 조직원들에 대한 인증 및 권한중심의 인가관리

사용자관리

비인가 사용자에 의한 외부로부터의 내부 정보침투 및 열람을 차단

네트워크 보안

USB 메모리 하나로 인한 전체적인정보유출 위험 상존

개인 / 기업 / 국가기관의 전방위적인 피해 속출

I. 제안개요

2.2 국가정보원 보조기억매체 관리지침 대응국가정보원 보안적합성 기준의 신뢰할 수 있는 보안강도 및 보안정책 제공공통기준평가 (CC) 인증에 부합하는 안정적인 보안시스템 및 프로그램 제공

2. 제안목적

- 13 -

•USB 메모리 분실 시 저장데이터 보호 / 삭제

•비인가 사용자의 저장자료 임의복제 방지

•USB 메모리 저장파일 암호화 및 복호화

•USB 메모리 사용자에 대한 식별 및 인증

사용자인증 / 식별

지정파일암 / 복호화

분실 시저장자료

삭제

저장자료임의복제

방지

등록 / 불출회수관리

사용자인증외부사용

불용처리분실관리

인증로그파일사용로그

관리시스템

관리요소 보안요소

I. 제안개요

3.1 전체 시스템 범위보안 USB 시스템 운영을 위한 시스템 개발 / 공급기존 인사시스템 , Active Directory, Security Portal 시스템 연동

3. 제안범위

- 14 -

비인가 USB 저장장치 사용차단일반 USB 읽기전용 지원보안 USB 허가 및 보안정책 적용

PC 에이전트

사용자 인증 및 암호관리외부사용 보안정책 연동분실장치 차단 및 데이터삭제

보안 USB

일반 USB 고유 일련번호 생성일반영역 및 보안영역 생성실시간 암호화 및 보안정책 적용


전사적인 보안시스템 연동SSO 기반의 보안 정책적용

Security Portal

사용자 인증 , PC 인증 연동 가능로그인 시 자동보안정책 하달오프라인 시 기존 정책 유지

Active Directory

기존 사내 인사시스템 DB 연동사용자 / 그룹별 보안정책 지정

인사 DB

중안관리서버 등록정보기반 인증부서 / 사용자 정보등록 및 연동보안정책 수립 및 저장USB 사용로그 기록 및 관리

중앙관리서버

FDD, CDR 등 보조기억매체 통제IEEE1394 등 저장매체 사용제한블루투스 , 와이브로 등 통신 통제

매체제어시스템

USB

I. 제안개요

3.2 보안 USB 시스템 범위관리서버 /PC 에이전트 / 보안 USB 로 구성되며 , 웹기반의 온라인 주입시스템을 부가제공

3. 제안범위

- 15 -

보안 USB 시스템

사용자 관리 및 저장장치관리를 위한 신청 / 승인 / 통제 관리서버보안 USB 및 외부저장장치에 대한 등록 / 배포 / 회수 / 폐기 관리서버

관리서버

PC 설치 에이전트로써 보안 USB 및 외부저장장치 통제 및 관리외부저장장치 저장데이터에 대한 실시간 암 / 복호화

PC 에이전트

보안 USB 에 대한 인증 / 서버정책적용 / 로그기록 기능 내장PKI 인증 수행을 위한 가상스마트카드 시스템 내장

보안 USB

일반 저장장치에 보안 USB 기능을 주입하는 시스템관리서버 연동을 통해 사용자 정보 및 장치 정보 관리

온라인 주입시스템

관리서버

PC 에이전트

보안 USB

웹기반의 관리 및 정책서버사용자 / 장치 사용 / 승인 / 폐기 관리인증 / 파일 로그 관리외부사용 / 분실 정책 관리

PC 설치 에이전트 프로그램연결 USB 저장매체 허용 / 차단 외부장치 실시간 암호화외부사용 정책 수령 및 배포

보안기능탑재 USB 저장장치사용자 인증 및 통제 기능내장로그 수집 및 보관실시간 암호화 및 외부사용 인증

I. 제안개요

3.3 온라인 주입시스템의 범위윈도우에 의해 이동식디스크로 인식되는 모든 USB 저장매체에 대한 보안기능 주입보안기능 주입 시 볼륨 정보 가공을 통한 고유식별 번호 할당 및 사용자 정보 맵핑

3. 제안범위

- 16 -


컨트롤러 기능과 독립적으로 자체적인 보안알고리즘 제공고유 식별번호 할당 및 보안영역 , 사용자 암호 기능 주입

USB 메모리

외장하드 및 SD 카드 등의 카드방식 저장장치에 대하여 USB 메모리와 동일한 식별번호 및 보안기능 주입

외장하드 등

연결장치의 데이터 저장영역을 USB 메모리와 동일한 방식으로 포멧하여 새로운 파티션 및 저장영역 정보 생성

휴대폰 , MP3P

휴대 단말기의 저장공간을 휴대폰과 동일한 방식으로 포멧하여 새로운 파티션 및 저장영역 정보 생성

PMP 등

USB 메모리

SD, CF, MMC,

외장하드

휴대폰MP3P

PMP, PDA, Navi-gation


온라인 주입대상

• 고유 식별번호 할당• 사용자 암호 기반 보안영역 할당• 실시간 암호화 등 보안기능 주입

I. 제안개요

3.4 매체제어 시스템 범위윈도우 장치관리자에 의해 식별 및 인식되는 모든 장치에 대한 통제기능 제공비인가 장치의 연결 시도 시 인식을 차단하고 반복시도 시 해당 드라이버 설치제거

3. 제안범위

- 17 -

매체제어 시스템

직렬포트 , 병렬포트 , USB 포트 , IEEE 1394 포트 , eSATA 포트 등적외선 포트 , 블루투스 포트 , 무선 연결 등

접속포트

각 포트 연결 허용 시 연결되는 장치 기반의 상세통제저장매체 , 통신장치 , 프린터 등

접속장치

저장매체의 접속 시 접속장치에 대한 사용권한 부여읽기전용 /쓰기 허용 및 입출력 파일에 대한 로그 추출 및 저장

파일통제

중앙관리서버에 의한 보안정책 수립 및 통제사용자별 권한 할당 및 사용 이력 조회 기능 제공

중앙정책

매체제어 시스템

• 연결 포트에 대한 차단 / 허가 통제• 연결 장치에 대한 식별정보 통제• 연결 장치에 대한 파일입출력 통제

포트통제

장치통제

파일통제

연결포트에 대한 사용 여부 정책수립그룹별 포트사용 권한 지정사용자 강제사용 시도 시 드라이버제거

장치별 허가장치 지정 통제서버관리정책에 의한 장치별 통제일련번호 식별장치 개별통제

저장매체 인식 장치 통제읽기 / 쓰기 권한별 통제 정책 제공파일입출력에 대한 로그 기록

I. 제안개요

3.5 他 시스템 연동범위접근통제 시스템을 중심으로 인증결과를 공유하여 SSO 구현PKI 인증시스템의 보안 USB 인증서 저장공간에 대한 접근과 가상스마트카드 시스템 인터페이스를 연동

3. 제안범위

- 18 -

他 시스템 연동

기존 사용자 인사 시스템의 정보를 중앙관리서버의 사용자 DB 로 연동 / 파일업로드 또는 DB 동기화 모두 지원

인사 DB 연동

소프트웨어 배포 , 사용자 개인 권한 관리 등의 정책결과를 관리서버의 보안정책과 연동하여 권한할당 가능

Active Directory 연동

SSO 및 사용자 권한할당 연동 가능포털의 개별 메뉴에 대한 장치인증 수행지원 ( 별도 API 제공 )

Security Portal 연동

자산관리 시스템 및 기타 정보관리시스템의 DB 와 연계한 보안정책 수립 및 권한 할당

기타 정보시스템 연동

사용자 식별 / 인증 시스템

• 연결장치에 기반한 사용자 식별 및 암호인증• 장치일련번호 기반의 사용자 권한 할당• 인사 DB 와 연계한 사용자 및 부서관리

인사 DB

• 사용자 / 부서 정보 연동• 사용자 권한 및 부서권한 연동• 사용자 파견 / 출장 / 퇴직 시 권한 연동

Active Directory

• 사용자 권한할당 체계 연동 및 호환

Security Portal

• 통합 보안권한 할당정보 승계

I. 제안개요

4.1 제안시스템을 통한 기대효과정성적 효과 : 보안의식 강화 및 기업 인지도 상승을 통한 가치 창출정량적 효과 : 기업 지적재산 보호를 통한 손실 방지 및 지속적 지적재산 강화

4. 기대효과

- 19 -

기대효과

• 신뢰성 있는 정보보안 체제 구축을 통한 신뢰도 확보

• 내부 이해관계자에 의해 불법유출 될 수 있는 내부자료 보호를 통한 사고 및 손실 방지

• 조직 존폐를 좌우할 수 있는 기밀문서의 전문적인 보호를 통한 경쟁력 강화

• 내부에서 유통되는 방대한 유형 / 무형의 지적 자산에 대한 체계적인 중앙집중 관리체제 구축

• 외부저장장치 및 업무 시스템에 대한 접근통제를 강화하여 악의적인 외부침입 원천봉쇄

• 정보보안시스템의 중앙집중관리를 통한 효율적인 보안통제 및 책임 추적 가능

II. 제안업체 일반1. 기업개요2. 최근 주요활동3. 연혁

II. 제안업체 일반

기업개요

회사상호 : ㈜비젯등록 번호 : 법인등록번호 ( 110111-2959265), 사업자번호 (206-81-88597)대 표 자 : 장 건설 립 일 : 2004 년 2 월 ( 자본금 5.16 억원 , 1,032,000 주 , 액면가 500 원 )소 재 지 : 서울시 마포구 상암동 누리꿈스퀘어 R&D 타워 1103업 종 : 소프트웨어 개발 및 공급

사업영역

PC 기반 보안솔루션 및 바이러스 방역 시스템 USB 기반 보안솔루션 및 바이러스 방역 시스템 스마트폰기반 보안솔루션 및 바이러스 방역 시스템 공인인증서 유출방지 및 사용자 인증시스템

주요사업

공인인증서 기반 전사적 사용자 인증 및 관리시스템 개발 / 공급 USB 저장장치 기반의 휴대형 바이러스 방역시스템 제조 / 공급 스마트폰기반의 모바일 바이러스 백신 공급 개발 / 공급 정보유출방지 및 보조기억매체 보안솔루션 개발 / 공급

보유특허

휴대형 장치기반 바이러스 방역시스템 ( 특허등록 ) 휴대형 저장장치용 가상 스마트카드 시스템 ( 특허등록 ) USB Drive 기반의 온라인 증권거래 시스템 ( 특허등록 ) 휴대형 온라인 증권 거래 시스템 ( 특허등록 ) 외부저장매체에 대한 정보유출방지 시스템 ( 특허등록 )

1. 기업개요

- 21 -

II. 제안업체 일반2. 최근 주요활동

- 22 -

2013년

1 월한국기계연구원 보안 USB 시스템 유지보수 계약 체결㈜에이쓰리시큐리티 한국로레알코리아 납품 계약 체결

7 월시설관리공단 보안 USB 시스템 납품 계약 체결LG 화학 보안 USB 시스템 유지보수 계약 체결

2 월

코스콤 보안 USB 추가 납품 계약 체결국방과학연구원 보안 USB 시스템 업그레이드 및 유지보수 계약 체결한국재료연구원 보안 USB 시스템 유지보수 계약 체결

8 월비씨카드 보안 USB 시스템 유지보수 계약 체결금융결제원 SPAC 시스템 납품 계약 체결

3 월기초과학지원연구원 추가 납품 계약 체결강원도청 보안 USB 시스템 유지보수 계약 체결옥천군청 보안 USB 시스템 유지보수 계약 체결

9 월대원씨티에스 SPAC 시스템 납품 계약 체결한국안심인증 보안 USB 추가 납품 계약 체결

4 월

코스콤 보안 USB & 스마트폰 백신 시스템 유지보수 계약 체결광주과학기술원 보안 USB 시스템 유지보수 계약 체결한진중공업 정보유출방지시스템 납품

10 월 한국로레알 보안 USB 시스템 유지보수 계약 체결

5 월

한국기초과학지원연구원 보안 USB 시스템 유지보수 계약 체결강원도청 보안 USB 시스템 업그레이드 계약 체결풍산 정보유출방지시스템 납품

11 월

한국수출입은행 보안 USB 시스템 유지보수 계약 체결국회사무처 VirusChaserUSB 납품 계약 체결퍼스트정보기술 동영상 로그 추출 및 관리시스템 납품 계약 체결

6 월코스콤 MGMT Server License 계약 체결기초과학지원연구원 보안 USB OSI 라이선스 추가구매

12 월전자신문사 보안 USB 납품 계약 체결남주실업 보안 USB 납품 계약 체결한국선급 매체제어 시스템 납품 계약 체결


- 23 -

2012년

1 월한국기초과학지원연구원 전국센터 보안 USB 통합구축중앙선거관리위원회 보안노트북 에이전트 공급

7 월한국기계연구원 보안 USB 시스템 업그레이드한국기초과학지원연구원 보안 USB 추가 구축한국재료연구소 보안 USB 시스템 업그레이드

2 월㈜코스콤 허니팟 시스템 공급계약 체결모바일 오피스용 스마트폰바이러스 백신 공급한국거래소 보안 USB 시스템 업그레이드 계약 체결

8 월광주과학기술원 보안 USB 시스템 업그레이드실시간 동영상 로그엔진 개발지문인식기반 사용자 인증 시스템 개발

3 월서울시 북부병원 가상스마트카드 시스템 공급인천국제공항공사 보안 USB 시스템 업그레이드 구축광주광역시청 보안 USB 시스템 업그레이드 구축

9 월보안디스크 관리시스템 및 라이선스 관리서버 구축보안노트북 OEM 시스템 구축

4 월한국수출입은행 보안 USB 시스템 업그레이드 구축한국조폐공사 보안 USB 시스템 업그레이드 구축대전교육청 보안 USB 시스템 업그레이드 구축

10 월국방과학연구소 보안 USB 시스템 업그레이드 구축아산시청 보안 USB 시스템 업그레이드 구축

5 월한국인프라자산운용 보안 USB 시스템 공급행정안전부 통합전산센터 e- 안시성사업수주 11 월 LG 디스플레이 보안 USB 구축 사업 수주

6 월비씨카드 보안 USB 시스템 업그레이드 구축LG 화학 보안 USB 시스템 업그레이드 구축

12 월㈜좋을 보안노트북 총판계약 체결행정안전부 통합전산센터 접근제어 시스템 구축완료


2011 년

- 24 -

1 월한국과학기술연합대학원 정보유출방지시스템 구축뉴스킨 코리아 정보유출방지시스템 구축헌법재판소 정보유출방지시스템 공급

7 월행정안전부 내부정보유출방지시스템 추가공급금융결제원 전자서명용 스마트폰 보안시스템 공급

2 월동양시스템즈 인사정보 접근통제 시스템 구축 수주동양종합금융증권 스마트폰 보안시스템 구축하이트진로 그룹 응용프로그램 관리시스템 공급

8 월스마트폰 관리시스템 개발공인인증서 전용 방화벽 시스템 개발IP 기반 위치정보 추적시스템 개발

3 월코스콤 ( 한국증권전산 ) 내부정보유출방지 시스템 구축한국거래소 (KRX) 내부정보유출방지 시스템 구축대검찰청 수사정보보호용 시스템 공급

9 월USB 장치 통합보안관제시스템 (UDM) 개발 KTB-Solutions 스마트폰 보안시스템 공급계약 체결씨큐브 내부정보유출방지시스템 공급

4 월NH 증권 스마트폰 보안시스템 공급LG CNS 정보유출방지시스템 공급한국요꼬가와전기 정보유출방지 시스템 추가공급

10 월한국안심인증 보안 USB ASP 공급계약 체결공인인증서 고도화용 가상스마트카드 시스템 개발

5 월소프트캠프 메모리보호 및 난독화 시스템 공급남원시청 내부정보유출방지시스템 공급서울 광진구청 내부정보유출방지시스템 공급

11 월생명보험협회 보안 USB 시스템 공급중앙선거관리위원회 보안 USB 시스템 공급

6 월광주과학기술원 정보유출방지시스템 추가공급한국전기연구원 정보유출방지시스템 추가공급로레알코리아 정보유출방지시스템 추가공급

12 월KOSCOM 보안 USB ASP 시스템 개발공급서울북부병원 스마트드라이브 공급헌법재판소 보안 USB 공급

II. 제안업체 일반3. 연혁

2004

2005

2006

2007

2008

2009

▶ 2 月㈜비젯 법인설립▶ 9 月 외부장치기반의 사용자인증 보안강화 시스템 개발

▶ 3月 USB 저장장치 기반의 휴대형 바이러스 방역시스템 개발▶ 11月 무결성 서버접근용 클라이언트 방역 장치 개발▶ 10月 벤처기업등록

▶ 1月 기업부설연구소 설립▶ 6月 수출유망 중소기업 지정▶ 10月 전자의료정보시스템용 공인인증서 보호장치 개발

▶ 3月 공인인증서 기반 SW 라이선스 인증시스템 개발▶ 6月 Cross Over 방식의 개인정보보호 프로그램 개발▶ 9月 공통보안표준 (CC) 인증 획득 (SecuYouSB)▶ 10月 안심꾸러미 온라인 서비스 개시▶ 11月 스마트폰용 바이러스 백신 개발▶ 12月 행정안정부 보안 USB (SecuYouSB) 구축 수주

▶ 1月 보조기억매체 정보유출방지 통제 시스템 개발▶ 2月 Good Software 품질인증 획득 (SecuYouSB)▶ 5月 개인 휴대저장장치 보안시스템 개발▶ 9月 SafeUSB 상표권 등록 (45-0024711)

▶ 1月 기업내부 그룹웨어 인증장치 및 저장장치 통제시스템 개발▶ 4月 기술 혁신형 중소기업 (INNO-BIZ) 확인 , 바이러스 방역 장치 및 시스템 특허등록 (10-0713128)▶ 5月 가상 스마트카드와 시스템 및 서비스 특허등록 (10-0720374)▶ 8月 휴대형 저장장치 기반 온라인 증권거래 장치 특허등록 (10-0753641)

- 25 -

2010

▶ 1月 하이트진로그룹 정보유출 방지 시스템 구축 / 국가정보원 CC 재검증 완료▶ 2月 요꼬가와 전기 보안 USB 시스템 구축▶ 3月 행정안전부 보안 USB 시스템 구축 / 스마트폰용 바이러스 백신 출시▶ 4月 상호저축은행 보안 USB 시스템 구축 ▶ 8月 하이투자 /HMC 투자 / 우리투자증권 스마트폰용 바이러스 백신 공급▶ 10月 수출입은행 / 고등과학원 / 한국뉴스킨 /UST 내부정보유출방지 시스템 구축

III. 기술 및 구축사례1. 보유기술 및 특허2. 주요 구축사례3. 관련제품

III. 기술 및 구축사례

특허 기술에 대한 실시권 및 기술보유

USB 메모리 기반 휴대형 방역장치

USB 메모리 기반의 가상 스마트카드 시스템

무결성 로그인을 위한 사용자 인증시스템

USB 메모리 기반의 온라인 금융거래 장치

특허 기술을 기반으로 한 응용서비스 모델 구현

USB 메모리 기반의 사용자 인증 및 바이러스 방역장치

전국 농협망에 대한 내부사용자 인증 시스템으로 적용

전국 근로복지공단 내부사용자 인증 시스템으로 적용

국방연구원 내부사용자 인증시스템으로 적용

USB 메모리 기반의 금융거래 및 바이러스 방역장치

삼성증권 광고 및 HTS 연동시스템

한화증권 광고 및 및 HTS 연동시스템

신한증권 광고 및 HTS 연동시스템

1. 보유기술 및 특허

- 27 -

공통기준평가CC 인증


관련사업 실적국내외 기업 / 기관 / 연구단지내 구축을 위한 유연한 설치환경과 기존 환경과의 안정적인 연동통합정보보호 사업 노하우를 통한 보안 USB 시스템 구축 및 운영 지원

2. 주요 구축사례

- 28 -


관련 제품 1S-BOOK

서버직접접속 관리 및 통제를 위한 전산실 서버 직접접속 관리시스템시스템 운영요원 및 유지보수 작업자의 서버 직접 접속으로 인한 시스템 위협요소를 해소하기 위한 제품으로 행정안전부 통합전산센터 및 재해복구 센터 서버관리용으로 구축 ( 행안부 “ e- 안시성”사업 )

3. 관련제품

- 29 -

관련 제품 2S-DISK

로컬 하드디스크에 보안영역 설정으로 인가된 사용자만이 보안영역에 접근 가능하도록 통제PC 의 하드디스크와 노트북 등의 휴대형 장비의 디스크에 실시간 데이터 암호화 기능이 내장된 보안영역을 설정하여 표시되지 않도록 설정하고 인가된 사용자에게만 표시 ( 드라마 “유령” 소개 )

IV. 시스템 구축1. 시스템 구축방안2. 관리시스템 상세3. PC 에이전트상세4. 보안 USB 메모리 상세5. 매체제어 상세6. 고객사 주요 문의사항7. 시스템 안정화 방안

IV. 시스템 구축

시스템 구축의 기본 정책기존 관리시스템 및 인사정보시스템의 연동으로 바탕으로 보안시스템의 확장

1. 시스템 구축방안

- 31 -

비인가 USB 저장장치 사용차단일반 USB 읽기전용 지원보안 USB 허가 및 보안정책 적용

PC 에이전트

사용자 인증 및 암호관리외부사용 보안정책 연동분실장치 차단 및 데이터삭제

보안 USB

일반 USB 고유 일련번호 생성일반영역 및 보안영역 생성실시간 암호화 및 보안정책 적용


전사적인 보안시스템 연동SSO 기반의 보안 정책적용

Security Portal

사용자 인증 , PC 인증 연동 가능로그인 시 자동보안정책 하달오프라인 시 기존 정책 유지

Active Directory

기존 사내 인사시스템 DB 연동사용자 / 그룹별 보안정책 지정

인사 DB

중안관리서버 등록정보기반 인증부서 / 사용자 정보등록 및 연동보안정책 수립 및 저장USB 사용로그 기록 및 관리

중앙관리서버

FDD, CDR 등 보조기억매체 통제IEEE1394 등 저장매체 사용제한블루투스 , 와이브로 등 통신 통제

매체제어시스템

USB


2. 관리시스템 상세

- 32 -

2.1. 인사관리시스템 연동2.2. 신청 및 승인관리2.3. 외부사용통제 및 관리2.4. 회수 및 폐기관리2.5. 분실장치관리2.6. 온라인주입관리2.7. 로그관리


2.1 인사관리시스템 연동고객사 기존 인사관리 시스템 연동을 통한 자동등록 또는 DB 파일 포팅을 통한 등록


- 33 -

사내 조직구조에 대한 프레임 동기화인사 DB 연동을 통한 조직구조 수정 /갱신 자동화 지원

조직구조 포팅

조직구성원에 대한 사원정보 동기화인사 DB 연동을 통한 사원정보 폐기 / 중지 / 수정 / 생성 자동화 지원

사원정보 생성

장치정보 기반의 보안 USB 사용자 정보 연동장치입출력 로그 기록을 통한 장치사용 및 인증정보 기록

인증정보 연동

자산관리 시스템 연동지원자산관리 시스템 기반 PC, 저장매체 , 소프트웨어 배포관리 연동

자산정보 연동

인사관리 시스템 연동


2.2 신청 및 승인관리사용자 / 관리자 / 승인자 보안등급을 통한 신청 / 승인 관리 및 관련 정보 로그 / 메일링 서비스

- 34 -

보안 USB 신청 / 폐기에 대한 신청 / 승인 관리보안 USB 관련 분실 /초기화 등의 이벤트 발생 처리 관리

보안 USB

외부저장장치 신청 / 폐기에 대한 신청 / 승인관리보안기능 주입 및 초기화에 대한 신청 / 승인 관리

외부저장장치

비인가 USB 저장장치에 대한 사용차단 정책사용허가 / 읽기전용 / 연결차단의 일반 USB 에 대한 관리옵션

PC 에이전트

개별 신청에 대한 신청결과를 각 관련자에게 자동메일 발송개별 승인에 대한 처리결과를 각 관련자에게 자동메일 발송

메일링 서비스

신청 / 승인관리



2.3 외부사용 통제 및 관리내부 등록 USB 저장장치에 대한 외부사용 제어 정책 관리 및 외부사용 암호 / 사용환경 인증정책 관리

- 35 -

개별 사용자의 외부사용 신청 지원사용자 정보 / 장치정보 및 기타 정보기록을 통한 사용자 부인방지

외부사용 신청

외부사용 목적 및 기간에 대한 사용자 신청 지원관리자 / 승인자에 의한 승인 및 요청기간 변경 지원

사용목적 지정

외부사용 시의 사용환경에 따른 제어 정책 지정가능• 온라인 인증 : 서버를 통한 네트워크 인증• 로그 수집 : 장치 및 파일에 대한 사용로그 수집• 암호인증 : 장치자체 암호 인증• 암호 연속오류 제한 : 암호 연속오류 제한• 외부복사 방지 사용 : 내부저장 자료 복제 방지• IP 제어 : 외부 PC 사용 IP 지정• MAC 제어 : 외부 PC 의 MAC 지정

사용환경 제어

외부사용 제어 정책관리



2.4 회수 및 폐기 관리사용 중지 보안 USB 에 대한 회수 / 폐기 / 재발급 및 회수 / 폐기 장치에 대한 장치정보 및 데이터 완전삭제

- 36 -

사용중지 또는 회수요청에 의한 보안 USB/ 외부장치 회수 관리사용자 / 장치별 회수요청 / 승인 / 결과 이력관리

장치회수

사용중지 / 장애발생 시 보안 USB 및 외부장치에 대한 폐기 관리장치정보 폐기 및 저장데이터 완전삭제

장치폐기

회수 / 폐기 후 사용자 신청에 의한 장치 재발급 신청 가능재발급 시 기존 정보 변경에 대한 이력관리 지원

장치 재발급

보안 USB / 외부장치에 대한 장치정보 완전삭제 지원저장장치 내 저장자료에 대한 완전삭제 지원

초기화

회수 / 폐기 관리



2.5 분실장치 관리분실장치 신청 / 통제 및 분실장치 사용 시도에 대한 차단 / 회수요청 / 데이터 원격파괴

- 37 -

사용자별 장치 분실 발생 시 분실신청 지원분실 사유 및 시점 관리 지원

분실신청

분실장치 승인을 통한 장치 사용 차단관리서버 일련번호 기반의 장치 차단 및 사용시도 이력 관리

분실승인

분실장치 사용 시도 대응 정책 적용가능• 장치사용차단• 회수요청 메시지 출력• 저장데이터 원격파괴• 개별 옵션에 대한 조합 지원

분실장치 대응

분실 / 대응 관리



2.6 온라인주입 관리일반 저장장치에 대한 관리서버 연동을 통한 온라인 보안기능 주입 기능 제공

- 38 -

보안 USB 이외의 외부저장장치에 대한 사용신청 지원외부저장장치별 사용 신청 가능

• 일반 USB 메모리• 외장형 하드디스크• MP3 플레이어• PMP • 네비게이션 등

외부장치 사용

외부저장장치 사용 승인을 통한 사용자별 장치일련번호 발급장치일련번호 기반의 보안 USB 기능을 외부저장장치에 주입

보안기능 주입

외부저장장치에 대한 보안기능 주입 이력관리사용자 / 장치일련번호 기반 보안 USB 관리체계로 일원화

장치이력관리

온라인주입 관리



2.7 로그관리보안 USB 사용 시도 및 내부 저장 자료에 대한 파일입출력 로그 기록 / 관리

- 39 -

보안 USB 장치 사용 시도에 대한 로그관리외부저장장치 사용 시동에 대한 로그관리

장치인증 로그

내부사용 시도에 대한 로그 관리외부사용 시도에 대한 로그 관리

내부 / 외부 로그

USB 저장장치 기반 파일 입출력 로그관리사용자 / 장치 / 시간 / 파일경로 / 파일 사용행위에 대한 구분

파일로그

비인가 /미등록 등 인증실패에 대한 로그 관리분실 / 회수 / 폐기 장치 사용 시도에 대한 이벤트 로그 관리

이벤트로그

로그관리



3. PC 에이전트 상세

- 40 -

3.1. 기본정책 및 자기방어3.2. 실시간 자동암호화3.3. 장치자동등록3.4. 아이콘메뉴 / 내부사용3.5. 파일 암 / 복호화3.6. 보안 USB 백업 / 복원하기


3.1. 기본정책 및 자기방어관리서버 수립 정책에 따른 PC 연결 매체에 대한 사용통제 및 강제종료에 대한 자기방어 기능내장


- 41 -

PC 부팅 시 관리서버 등록정보 및 보안 정책 확인관리서버 연결 실패 시 최근 사용 정책 적용

관리서버 연동

연결된 보안 USB / 외부저장장치에 대한 사용허가 인증 수행허가 / 차단에 대한 정책정보 사용자 제공

장치연결 제어

장치자체에 대한 연결차단으로 장치인식 불가 옵션장치연결 허용 후 읽기전용 장치로 연결

차단옵션 제공

PC 에이전트 강제 종료 차단 프로세스 기동해킹 / 크래킹에 의한 강제종료 시 USB 포트사용 완전차단

강제종료 대응

기본정책 및 자기방어


3.2. 실시간 자동암호화USB 볼륨전체를 대상으로 한 전송 패킷에 대한 실시간 암호화 및 복호화

- 42 -

보안 USB / 외부저장장치 볼륨에 대한 전체 암호화모든 입출력 데이터에 대한 실시간 자동 암 / 복호화

볼륨암호화

PKCS#5 에 기반한 볼륨 암호키 생성사용자 인증암호를 통하안 암호키 보호 및 인증수행

PKCS#5 암호키

완전삭제 명령 시 자동암호키 키 파괴장치정보 영역 파괴 및 데이터 삭제로 자동암호화 복구불가

완전삭제 연동

실시간 자동암호화

ARIA Block Encryption Algorithm 적용 / AES 256 변경 가능국가정보원 보안적합성 검증 모듈 채택

크랙방지

USB 전송패킷

USB 파일기록



3.3. 장치자동등록최초 배폰된 장치에 사용 시도 시 사용자 정보와 장치정보 동기화 및 관리서버 등록

- 43 -

Active Directory 사용자 계정에 의한 보안 USB 등록사용자 장치 암호 및 Active Directory 사용자 암호 동기화 정책

Active Direc-tory

사내포털에 대한 로그인 정보 동기화사내포털 로그인 정보에 의한 사용자 장치 등록 및 서버등록

사내포털

장치자동등록

관리자에 의한 개별사용자 수동 배포내부인사 정보시스템 연동을 통한 자동 배포 및 장치정보 등록

• Active Directory • 사내포털• 그룹웨어 등

자동배포



3.4. 아이콘 메뉴 / 내부사용최초 배폰된 장치에 사용 시도 시 사용자 정보와 장치정보 동기화 및 관리서버 등록

- 44 -


연결된 보안 USB 장치의 로그인 또는 로그아웃 기능다수의 보안 USB 연결 사용 가능

보안영역 로그인

관리서버 보안 관리화면으로 이동하여 사용자는 전반적인 보안USB 사용에 대한 정책 확인 가능

보안정책확인

아이콘 메뉴 / 내부사용

• PC 에이전트지정 장치 : 등록된 보안 USB만 허가일반 장치 : 일반 USB 도 사용이 가능함 ( 기본 읽기전용 )매체 암복호화 허가 : 모든 파일입출력에 대하여 자동으로 암호화/ 복호화 과정을 수행• USB 드라이브[ 외부정책보기 ] 버튼을 클릭하여 해당 보안 USB 에 할당된 외부사용정책 확인• USB 신규정책 적용변경된 외부사용 정책 적요용

적용 보안정책


3.5. 파일암 / 복호화사용자 지정요구에 따른 개별 파일에 대한 사용자 지정암호 기반 파일 암호화 기능 제공

- 45 -

파일 /폴더단위 선택적 사용자 암호화 기능 제공사용자 개별입력 암호를 통한 파일암호화

개별선택암호화

지정파일 암호화 시 보안 USB 정보와 연동한 별도 암호키 생성파일자체에 암호를 생성 보관하고 복호화 시 장치연동 복호화

개별파일 암호

지정파일 암호화

볼륨암호화를 통한 실시간으로 암호화된 상태의 파일을 파일단위로 이중암호화

• 볼륨암호화 : 장치 암호인증 후 파일내용 접근 가능• 지정파일암호화 : 장치 암호 인증 후 별도 암호인증을 통한 복호화 필요

이중암호화



3.6. 보안영역 백업 / 복원최초 배포된 장치에 사용 시도 시 사용자 정보와 장치정보 동기화 및 관리서버 등록

- 46 -


보안영역에 저장된 모든 파일을 백업하여 PC 에 저장파일 백업 시 연결된 장치정보를 통해 암호화 키 생성하여 암호화

보안 USB 백업

백업한 파일 복원은 백업 시 연결한 장치에 만 복원 가능

백업 파일 복원

보안 USB 백업 / 복원


4. 보안 USB 메모리 상세

- 47 -

4.1. 보안 USB 보안기능 자체내장4.2. 실시간 자동암호화4.3. 지정파일 암호화4.4. USB 에이전트 프로세스 보호4.5. ON-LINE/OFF-LINE PC 사용정책


4.1. 보안 USB 보안기능 자체내장외부사용 시 사용인증 , 실시간 암호화를 위한 PC 에이전트 기능을 보안 USB 자체적으로 수행분실장치 차단정책에 따른 원격파괴 기능 내장


- 48 -

보안 USB 로그인 창 기동 시 관리서버 정책 확인오프라인 시 장치에 내장된 기본 정책을 보안정책으로 적용

관리서버 연동

장치내장 사용자 암호 인증장치고유번호와 사용자 정보 연동으로 장치 기반의 사용자인증

사용자 인증

외부사용 허가 확인 및 외부사용 환경 정보 인증분실장치 차단 및 원격 파괴

외부인증 및 원격파괴

USB 저장장치 입출력 데이터에 대한 실시간 암 / 복호화사용자 지정파일에 대한 독립적 파일 암호화

실시간 / 파일암호화

보안 USB 보안기능 자체내장

원격파괴 처리 창


4.2 실시간 자동암호화외부사용 시 보안 USB 내장 보안 소프트웨어 기동으로 보안정책 및 인증 수행PC 에이전트의 자동암호화 기능 보안 USB 자체 수행

- 49 -

실시간 자동암호화

USB 전송패킷

USB 파일기록

보안 USB / 외부저장장치 볼륨에 대한 전체 암호화모든 입출력 데이터에 대한 실시간 자동 암 / 복호화

볼륨암호화

PKCS#5 에 기반한 볼륨 암호키 생성사용자 인증암호를 통하안 암호키 보호 및 인증수행

PKCS#5 암호키

완전삭제 명령 시 자동암호키 키 파괴장치정보 영역 파괴 및 데이터 삭제로 자동암호화 복구불가

완전삭제 연동

ARIA Block Encryption Algorithm 적용 / AES 256 변경 가능국가정보원 보안적합성 검증 모듈 체택

크랙방지



4.3 지정파일 암호화외부사용 시 보안 USB 내장 보안 소프트웨어 기동으로 보안정책 및 인증 수행PC 에이전트의 지정파일 암호화 기능 보안 USB 자체 수행

- 50 -

파일 /폴더단위 선택적 사용자 암호화 기능 제공사용자 개별입력 암호를 통한 파일암호화

개별선택암호화

지정파일 암호화 시 보안 USB 정보와 연동한 별도 암호키 생성파일자체에 암호를 생성 보관하고 복호화 시 장치연동 복호화

개별파일 암호

지정파일 암호화

볼륨암호화를 통한 실시간으로 암호화된 상태의 파일을 파일단위로 이중암호화

• 볼륨암호화 : 장치 암호인증 후 파일내용 접근 가능• 지정파일암호화 : 장치 암호 인증 후 별도 암호인증을 통한 복호화 필요

이중암호화



4.4. USB 에이전트 프로세스 보호실행 후 강제프로세스 차단 방지 및 자가보호 정책


- 51 -

USB 에이전트 프로세스 보호

프로그램 공격에 의해 프로세스 강제종료 시 보안 USB 보안영역 자동차단 및 실시간 암복호화 드라이버 언로드

강제종료 대응

로그추출 드라이버 강제종료에 대한 이력관리

로그추출

프로세스 이중화를 통한 프로세스 차단방지프로세스 종료시도 시 다른 프로세스에 의한 종료차단

프로세스 차단방지

프로그램 공격에 의한 강제차단 발생 시 SB 보안영역 사용 차단프로그램 재시작을 통한 프로세스 정상화 시 정상 기능 작동

자가기동 기능내장

2 중 프로세스에 의한 프로세스 종료 차단

프로그램 공격에 의한 프로세스 강제종료

Kernel Device Driver 볼륨암호화 정책 제거

USB 보안영역강제종료

USB 에이전트 재기동 후프로세스 정상동작

USB 허용정책 정상동작


4.5. ON-LINE/OFF-LINE PC 사용정책사업장간 이동 시 매체 사용 가능 / 별도의 절차없이 동일하게 사용가능저장매체 인증서버에 대한 사용자 또는 관리자 별도 지정 가능


- 52 -

ON-LINE/OFF-LINE PC 사용정책

네트워크 연결 가능 시 기존 관리서버 인증을 통한 내부사용네트워크 미연결 시 외부사용정책에 의한 외부사용 처리

사업장 이동

로그전송 대상 서버 접속 가능 시 직접 로그 전송로그전송 대상 서버 접속 불가능 시 저장매체에 로그 저장

이동 시 로그전송

관리서버 설정으로 등록 장치에 대한 인증서버 변경

관리자 서버 지정

관리자의 사용자 변경권한 할당사용자의 프로그램 입력창을 통하여 인증서 주소 지정

사용자 서버 지정

네트워크 가능 내부망

네트워크 불가능 내부망

외부망

사업장 이동 내부사용처리 / 로그 직접전송

외부반출 및 외부사용 처리

외부사용정책 사용온라인 : 로그직접 전송오프라인 : 로그 장치보관


5. 매체제어 정책 상세

- 53 -

5.1. 매체제어 정책 및 기준5.2. 매체제어 정책 설정5.3. 매체제어 정책 적용5.4. 매체제어 로그 관리

IV. 시스템 구축5. 매체제어 상세

- 54 -

5.1. 매체제어 정책 및 기준등록되지 않은 IP 는 기본정책으로 적용 (LAN 허용 , 보안 USB R/W 허용 , 일반 USB( 외장 HDD 등 ) 읽기전용 )매체제어 정책 변경 가능 ( 그룹 또는 IP 별 정책 적용 )

매체제어 기능

그룹을 생성하여 그룹별 매체제어 정책 설정

신규 그룹 생성

등록된 그룹의 정책 확인 및 변경

등록된 그룹 관리

그룹별 정책 변경 내역에 대한 로그 관리

정책변경 ( 그룹 )로그

IP 별 정책 변경 내역에 대한 로그 관리

정책변경 (IP 별 )로그

등록된 모든 PC 의 매체제어 정책 일괄 적용

정책변경 ( 일괄적용 )


- 55 -

5.2. 매체제어 정책 설정각 개별 포트 및 장치에 대한 사용허가 / 차단 정책 적용미등록 포트 및 장치에 대한 허가 / 차단 기능 별도 제공

매체제어 정책 설정

포트제어 ( 기본정책 )

구분 대상 통제

Port control

LAN 차단 / 허가

Serial 포트 차단 / 허가

IRDA 차단 / 허가

WIRELESS 차단 / 허가

Parallel 포트 차단 / 허가

WIBRO 차단 / 허가

USB 포트 차단 / 허가

PCMCIA 포트 차단 / 허가

PDA 차단 / 허가IEEE1394 포트 차단 / 허가

Bluetooth 차단 / 허가　

MODEM 차단 / 허가

스마트기기 차단 / 허가

구분 대상 통제

De-vice con-trol

FLOPPY 모두허용 / 모두차단CDROM 모두허용 / 모두차단NETWORK DISK(In-Bound) 모두허용 / 모두차단

NETWORK DISK(Out-Bound)

모두허용 / 읽기전용 / 모두차단

일반 USB( 외장하드 등 )

모두허용 / 읽기전용 / 모두차단

장치제어 ( 기본정책 )


- 56 -

5.3. 매체제어 정책 적용적용 보안정책 : 사용자 단말기의 설정된 매체제어 정책 확인정책 업데이트 : 사용자 단말기의 변경된 매체제어 정책 적용

매체제어 정책 반영


- 57 -

5.4. 매체제어 로그관리포트제어 로그 : 각 개별 포트에 대한 사용허가 정책 적용 및 기본로그 추출 및 저장장치제어 로그 : 각 장치에 대한 사용허가 정책 적용 및 기본로그 추출 및 저장

포트제어 로그

구분 대상 통제 기본로그

Port control

LAN 차단 / 허가 사용자 / 일시 / 통제결과

Serial 포트 차단 / 허가 사용자 / 일시 / 통제결과

IRDA 차단 / 허가 사용자 / 일시 / 통제결과

WIRELESS 차단 / 허가 사용자 / 일시 / 통제결과

Parallel 포트 차단 / 허가 사용자 / 일시 / 통제결과

WIBRO 차단 / 허가 사용자 / 일시 / 통제결과

USB 포트 차단 / 허가 사용자 / 일시 / 통제결과

PCMCIA 포트 차단 / 허가 사용자 / 일시 / 통제결과

PDA 차단 / 허가 사용자 / 일시 / 통제결과

IEEE1394 포트 차단 / 허가 사용자 / 일시 / 통제결과

Bluetooth 차단 / 허가　 사용자 / 일시 / 통제결과

MODEM 차단 / 허가 사용자 / 일시 / 통제결과

스마트기기 차단 / 허가 사용자 / 일시 / 통제결과

구분 대상 통제 기본로그 장치로그

De-vice con-trol

FLOPPY모두허용 /

모두차단사용자 / 일시 / 통제결과

VID/PID/ 일련번호 /

착탈일시

CDROM모두허용 /



착탈일시NETWORK DISK(In-Bound)

모두허용 /


NETWORK DISK(Out-Bound)

모두허용 /

읽기전용 /


일반USB(외장하드 등 )

모두허용 /

읽기전용 /



착탈일시

장치제어 로그

감사합니다

표준제안 보안 usb 시스템 구축 제안서

Documents