상담(구축) 문의

솔루션사업부 이유신 이사

Tel : 070-4685-2648 (대)

H/P : 010-2700-2648

E-mail : zion@zionsecurity.co.kr

www.zionsecurity.co.kr

1

I. 기업보안 및 개인정보보호 1.1 배경 및 목적

“최근 경쟁국가 또는 경쟁기업에 내부 중요정보 및 기술이 유출되는 사례가 급증 하면서 국가경쟁력 저하는 물론 해당 기업의 금전

적 피해가 발생하고 있어 이에 대한 적극적인 내부정보보안 체계 수립과 임직원 마인드제고, 하드웨어 및 소프트웨어적 보안시스템

구축 등을 통해 안정적인 기업환경을 유지해 나가야 할 것입니다.”

기술유출피해사례증가

경쟁국가 또는 타 경쟁기업으로의 기술유출증가 추세(국정원 발표)

`03~`07년도 12월까지 기술유출 관련 124건 적발로 피해 예상금액 130조원 추정

핵심기술로 발전을 하고 있는 기업의 중요정보 유출 시기업 및 국가 경쟁력 저하

중소. 벤처기업은 인력, 자금부족 등 기술보호 조치 미흡

기업 임직원의 기술유출방지 마인드 제고 및 관련 기관과의 유기적인 협조체제 구축 미흡

중소기업 기술유출 방지 홍보강화 및 방지체계 구축의필요성

기술유출방지시스템구축의필요성

기업의 내부정보 유출방지를

통한 안정적인 기업환경 유지

내부정보 유출현황 파악 내부정보 유출방지 시스템 구축

1

기업보안 배경 및 목적

개인정보보호법 시행

상담(구축) 문의

솔루션사업부 이유신 이사

Tel : 070-4685-2648 (대)

H/P : 010-2700-2648

E-mail : zion@zionsecurity.co.kr

www.zionsecurity.co.kr

2

개인정보보호법은 2011년 4월 본격적인 감사와 감독이 실시되었으며, 2012년 12월 31일 올해 말까지 고유식별정보에 관련한 개인정보보호 암호화 적용이 완료되어야 합니다.

개인정보보호법 개요

개인정보보호법 기준 안

개인정보보호법 시행

일시 내용

2011년

3월 • 개인정보보호법 제정

9월 • 개인정보보호법 발효

12월 • 정보통신망법 개정

2012년

3월 • 개인정보보호법 계도 기간 종료

7월• 개인정보보호법 시행령

세부 기준 확정 (개인정보유출통지 제도 등)

12월• 개인정보보호 암호화, 영향평가 등

유예기한 도래

개인정보보호법

개인정보보호법 시행령, 시행 규칙

표준 개인정보보호 지침 (행안부 예규)

개인정보의 안전성 확보조치 기준 고시 및 해설서하위법

상위법

2012년 4월부터 본격적인 감사 및 감독 실시

2011년 12월까지 개인정보보호 암호화 계획 수립

2012년 12월 31일까지 개인정보보호 암호화 적용고유식별정보, 비밀번호 암호화(주민등록번호, 운전면허번호, 여권번호, 외국인등록번호)

I. 기업보안 및 개인정보보호 1.2 개인정보보호법 개요

3

I. 기업보안 및 개인정보보호 1.3 위반사례

위반사례

위반 사례

소셜커머스 13개 사업자 과징금 부과 및 시정 명령 (2012. 04)

개인정보보호법에 대한 처벌이 업종에 상관없이 강화되고 있으며, 개인정보침해 사례 발생의 경우 유형적 손실이외의 기업 이미지 실추와 관련된 무형적 손실의 위험도 크게 발생하고 있습니다.

손해액의 추정 : A 기업사례 (직원수 100명, 서비스업)

총 손해액 4억 6천만원

- 티켓몬스터 : 과징금 8,710만원, 과태료 450만원- 그루폰: 과징금 2,800만원, 과태료 800만원- 쿠팡 : 과태료 300만원

※ 현대해상 개인정보 책임보험 내 사례 참조

내역 금액

사고 경위 조사 조사 위임비용 2백만원

변호사 자문 변호사 보수비용 5백만원

사죄 광고 계제 광고비 3천만원

피해자 사죄 우편/쿠폰 발송우편비 3백만원

위로비 1억원

손해배상금/과태료

피해가 큰 200명 : 각 100만원

피해가 적은 300명 : 각 30만원

과태료 : 3천만원

국민일보 / 2012.04.10

4

보안범위

물리적보안

• 출입문 통제• CCTV 설치 및 운영• 매체 취급 및 반출입 통제• 내부자 모니터링 및 외부자 접근통제 등

관리적보안

• 보안체계 수립• 보안 정책/지침/절차 제정• 주요 자산 식별 및 주요 자산에대한 접근통제 정책 수립

• 임직원 보안 교육• 지속적인 관리활동 유지 등

기술적 보안

• 보안 취약점 점검 및 보호대책 적용• 보안 솔루션 구축 및 운영• 관리 및 물리적 자산과 연계된통합관리 방안 수립• 보안로그 수집 및 주기적 분석 등

I. 기업보안 및 개인정보보호 1.4 보안 범위

5

보호대책 수립현황분석유출경로

파악유출통제

분석

비지니스분석

핵심자산 식별

관련 법률 및

내부 지침 검토

관리적

유출경로 파악

논리적

유출경로 파악

물리적

유출경로 파악

관리적/물리적

기술적

유출통제 파악

통합적

유출통제 분석

유출통제 체계

수립

유출통제 대책

강화방안 수립

유출사고

대응체계 수립

I. 기업보안 및 개인정보보호 1.5 보안 체계 수립 절차

분 류

컨설팅

1단계

정보보호컨설팅

2단계 3단계

보안 정보전략계획(ISP)

4단계

데이터 보안• DB 암호화 솔루션• DB 접근제어 솔루션

• 내부정보유출방지솔루션(DLP):개인정보보호솔루션포함• 문서암호화 솔루션(DRM) • PC백업 및 파일 중앙화 솔루션• 모바일보안(MDM,Mobile DLP)

네트워크 보안• 방화벽(FireWall)

• 웹구간 암호화(SSL)-침입탐지시스템(IDS)통

합보안시스템(UTM)-침입차단시스넴(IPS)좀

비PC탐지솔루션네트워크접근통제(NAC)

시스템 보안 바이러스백신(서버) 패치관리시스템(PMS)보안운영체제(SecureOS)

취약점분석솔루션서버접근제어솔루션서버가상화솔루션

어플리케이션 보안• 웹방화벽/웹서비스개인정보 노출방지솔루션

• 업무시스템 개인정보 접속/조회 로그관리솔루션• 출력물보안시스템

웹스캐너(취약점분석) 소스코드분석도구

통합보안 관리 통합로그관리전사적보안관리(ESM)보안구성관리(SCM)

위험관리시스템(TMS)위험관리시스템(RMS)

인증 및 접근통제싱글사인온(SSO)

통합접근관리(EAM)통합계정관리(EIM)패스워드통합관리

바이오시스템

PC보안• Virus/스파이웨어백신• PC내 개인정보 검색

키보드보안/E2E 솔루션-통합PC보안

PC가상화솔루션

: 본사 사업 분야

I. 기업보안 및 개인정보보호 1.6 보안 체계 수립 방안

7

Ⅱ. 기술적 보안수준 현황 (As-Is)

개인정보 보호수준 개선진단 (기술적 보호조치) 및 관련 솔루션

정보보안 및 법규 준수를 위한 기술적 대책이 필요한 부분은 네트워크 보안, DB보안 강화로 본사 연구실은 내부사용자 (Endpoint) 관리의 큰 3가지 분야로 기술적 대책을 재고하였습니다

No 진단항목 현재 세부 내용

16 침입차단시스템 또는 침입탐지시스템의 설치 및 운영여부 O UTM 적용 사용함.

17 웹 방화벽의 설치 및 운영여부 X

24개인정보처리시스템의 웹 환경을 통한 관리자 접근에 대한 접근통제(PKI, IP)여부

X

27 개인정보 DB에 대한 고유식별정보, 바이오 정보의 암호화 여부 X 검토하여 개선, 모색 중임

28 비밀번호의 일 방향 암호화 적용 여부 X 일부 적용

29 개인정보 암호화 시 안전한 알고리즘 사용 여부 X

32 개인정보처리시스템 접근기록의 보관 관리 여부 X

33개인정보처리시스템 접근기록의 위변조 방지를 위한 안전한관리조치여부

X

34개인정보처리시스템 로그파일의 오남용 예방을 위한 정기적 분석 및보고의 수행 여부

X

23 비인가된 P2P, 웹하드, 공유설정에 대한 차단 여부 O 일부 적용

26개인정보가 포함된 서류 및 저장장치 (USB, CD) 등에 대한물리적 보안 조치

O 일부 적용

1. 네트워크 보안

3.내부사용자 관리

2. DB보안

1.1 웹 방화벽

1.2 WIPS

2.1 DB 암호화

2.2 DB 접근제어

2.3 서버보안

본사

3.3 DLP 적용

3.4 물리적 보안

(보안스티커, 커버, PC삭제)

8

Ⅱ. 기술적 보안수준 현황 (As-Is)

9

Ⅳ. 상세 솔루션 방안(案) – 2.1 서버 보안 (1/2)

서버보안은 서버자산에 대한 침해 시도를 방지하기 위해 커널 레벨에서 접근통제 정책을 제공하여 불법적인 접근을 차단 및 통제합니다.

서버보안 : SecureOS, 운영체제 보안시스템

서버보안(Secure OS)는 보호하는 서버 자산에 대해 침해 시도를방지하기 위해 커널 레벨에서 접근통제 정책(MAC, DAC, RBAC 등)을제공함과 동시에 서버 보안관리 등을 제공하는 시스템

서버보안 핵심기능

Root/Administrator 권한 분리 및 통제, 보안역할에 따른 불법 권한 이동 차단

시스템 계정과의 OS 연동 기능 제공, 사용자 로그인 통제

파일 및 디렉토리 보호 기능 제공

보안속성에 의한 프로세스 접근 통제, 중요 프로세스 KILL방지목록 제공,프로세스별 이상 징후 감시, Active 프로세스 감시 및 경고, 실행중인 프로세스에 대한 추적 기능

보안 정책에 의한 명령어 실행 통제, 시스템종료 등 중요 명령어 통제

시스템 침입 방지 기능

서버 Firewall 기능 제공

보안 감사 기능 (시스템 로그 수집 및 통합관리)

보안 정책에 대한 백업/복구 및 배포 기능

구성 방안- 서버보안 대상 Server : 서버보안 솔루션(Secure OS) 설치- 관리서버(ATC) : 관리서버 솔루션 설치

대상 서버에 Secure OS가 설치되면 관리서버에 의해 통제되며, 관리서버는 보안로그의 통합관리 및 보고서 기능 제공함.

관리서버범

례

서버보안 기술 개요 기술 내용

ATC

ATC(관리서버)

Agent Agent Agent Agent Agent Agent

SecureOS

SecureOS

SecureOS

SecureOS

SecureOS

SecureOS

AIX Compaq Linux Windows HP-UX Solaris

Manager(관리자)(Windows 환경)

SecureOS

10

Ⅳ. 상세 솔루션 방안(案) – 2.1 서버 보안 (2/2)

서버보안 솔루션을 아래와 같이 제안합니다.

제품 소개 Reference (국내)

제 조 사 : 레드게이트

제 품 명 : RedCastle 용 도 : 서버 보안

제품 특징

- 행정정보보호용 시스템 선정

- 국내 최초 운영체제보안시스템 CC 인증

- 가장 폭넓은 접근통제 정책 제공

- 강력한 해킹방지 및 시스템보호 기능 제공- 고차원적 감사추적 및 실시간 경고 기능 제공

ReaCastle

제품 지원 사양 (설치 환경)

구 분 상세 사양

OS

• Solaris 2.x이상/ HP-UX 11.x , 11i 이상 /

AIX 4.X, 이상 / Windows / Linux (RedHat,

Suse, 한컴 등) / Digital UNIX (Tru64)

Hardware• SPARC계열 서버 / HP PA-RISC, Itanium

서버 / IBM 서버 / Intel 계열 서버

Manager • Windows 환경의 PC급 이상 (관리자 PC)

ATC

(관리 서버)

• Windows 2000 이상• CPU : Dual Xeon3.4Hz 이상• Memory : 1Gbyte / HDD : 160GB 이상• MSSQL 2003 이상

11

물리적 보안 ( 보안스티커, 보안 봉인커버, HDD제거)

보안스티커 보안 봉인커버

귀사의 환경에 내부 사용자 보안 통제 1단계 물리적 보안에 대한 사항을

다음과 같이 제안 드립니다

보안스티커

보안스티커

봉인, 보안봉투 샘플입니다.

특수봉인라벨이나 보안테이프로 적용이 어려운 경우 보안봉투로 적용할 수 있습니다.

봉인,보안스티커 샘플입니다.

라벨형식으로 되어 보안이 필요한 부분에 부착시켜 봉인하는 방식이며, 임의로 파괴되는 보안, 보인용 스티커입니다.

Ⅳ. 상세 솔루션 방안(案) – 7 물리적보안

㈜시온시큐리티

감사합니다

상담(구축) 문의

솔루션사업부 이유신 이사

Tel : 070-4685-2648 (대)

H/P : 010-2700-2648

E-mail : zion@zionsecurity.co.kr

www.zionsecurity.co.kr