2011년 보안 사고의 특징들(security trends)과 대응 방안 2 smb 중심

2011년 보안 사고의 특징들(Security Trends)과 대응 방안 2, SMB 중심

지난 번 이야기 "2012/02/13 - [IT/Social 이야기] - 2011년 보안 사고의 특징들(Security Trends)과

대응 방안 1"에 이은 두 번째 이야기 입니다.

지난 번 이야기에서는 아래의 5 가지가 그 주된 내용이었습니다.

1. 해커들의 주된 공격 목표는 고객 정보(Customer Record, Personal Identifiable Information) 이다.

2. 음식과 식/음료 산업(Food and Beverage Industry)의 침해 사고가 꾸준히 증가하고 있다. 이유

는 개인 정보의 집합체이기 때문이다.

3. 도입된 제3자 소프트웨어(3rd Party SW)의 보안 결함(Security Deficiencies)로 발생한 침해 사고

또한 꾸준히 증가하고 있다.

4. 통신 구간에서 불법으로 정보를 빼 내는 경우(Data harvesting in Data in-transit)가 많았다.

5. 여전히 "password1" 등 연상이 쉽고 도용이 용이한 패스워드를 사용하는 경우가 있는 데 이

자체를 보안 시스템에서 강제하지 못하는 경우가 있다.

이번에는 위에서 정보 침해의 사례가 증가하고 있는 것으로 보고되었고, 상대적으로 소규모이면

서 보안 시스템에 대한 투자에 제한을 둘 수 밖에 없는 음식과 식/음료 산업 과 같은

SMBs(Small to Midsize Businesses)들은 위한 보안 시스템의 적용(Deploying The Security

System(DAM) For Small to Midsize Businesses)에 대하여 말씀을 드리도록 하겠습니다.

먼저 외국의 보안 침해 사례 몇 가지를 소개 하겠습니다.

http://mangastorytelling.tistory.com/entry/2011%EB%85%84-%EB%B3%B4%EC%95%88-%EC%82%AC%EA%B3%A0%EC%9D%98-%ED%8A%B9%EC%A7%95%EB%93%A4Security-Trends%EA%B3%BC-%EB%8C%80%EC%9D%91-%EB%B0%A9%EC%95%88-2-SMB-%EC%A4%91%EC%8B%AC

http://mangastorytelling.tistory.com/entry/2011%EB%85%84-%EB%B3%B4%EC%95%88-%EC%82%AC%EA%B3%A0%EC%9D%98-%ED%8A%B9%EC%A7%95%EB%93%A4Security-Trends%EA%B3%BC-%EB%8C%80%EC%9D%91-%EB%B0%A9%EC%95%88-1

http://mangastorytelling.tistory.com/entry/2011%EB%85%84-%EB%B3%B4%EC%95%88-%EC%82%AC%EA%B3%A0%EC%9D%98-%ED%8A%B9%EC%A7%95%EB%93%A4Security-Trends%EA%B3%BC-%EB%8C%80%EC%9D%91-%EB%B0%A9%EC%95%88-1

1. 오스트리아 국영 TV 시청료 징수 기관 'AustrAnon'이라는 해커 그룹에게 서버를 해킹으로

96,000 건의 은행계좌 정보 등의 민감정보(Sensitive Data)가 포함된 214,000 개의 파일을 도난 당

함 [기사보기]

2. Virus에 감염된 레스토랑의 POS System으로부터 고객의 카드(Debit, Credit) 정보가 유출 됨 [기

사보기]

3. 신용카드 단말기의 해킹(통신 구간 해킹)으로 지역 레스토랑을 이용한 고객의 신용 정보가 유

출 됨 [기사보기]

4. Lady Gaga의 웹사이트가 해킹 당해 펜들의 개인정보가 유출 됨 [기사보기]

위의 4가지의 사례를 보면 개인 정보를 수집(Data Harvesting; Hacking)은 On/Off 라인의 구별 없

이 정보가 존재하는 곳에는 어디서나 이루어진다는 것을 알 수 있습니다.

그럼 어떤 대책을 세워야 미래에 발생할 수 있는 정보의 침해사고를 막을 수 있을까요? 우리나라

의 개인정보보호법을 기준으로 설명을 드리도록 하겠습니다.

1. 보호해야 할 정보의 대상인 개인 정보(Personal Identifiable Information)에 대해서 알아야 합

니다.

2. 개인정보 보호란 무엇인지 알아야 합니다.

http://abcnews.go.com/Technology/wireStory?id=14151824#.T12SRDFmLU0

http://itemonline.com/local/x202397280/Not-yet-into-the-clear

http://itemonline.com/local/x202397280/Not-yet-into-the-clear

http://www.wkyt.com/news/headlines/Thieves_steal_credit_card_information_from_local_resturaunt_124814164.html

http://www.mirror.co.uk/3am/celebrity-news/lady-gaga-website-hacked-and-fans-141902

* 개인정보 자기결정권

- 정보주체(고객, 이용자)가 자신의 개인정보가 언제, 어디서, 어떻게, 어느 범위까지 수집, 이용,

제공되는지에 대해 스스로 판단, 결정할 수 있는 권리를 말한다. 개인정보 자기결정권은 헌법재판

소에서 국민의 기본권으로 인정하고 있으며, 정보통신망법 등 관련 법률에 구체적으로 반영되어

있다.

3. 정보보호의 구체적 내용을 알아야 합니다.

4. 관련 법(개인정보보호법, Compliance)에서 제안하는 기술적 조치사항에 대한 이해가 있어야

합니다.

5. 관리 체계 구성, 즉 보안을 위한 프로세스와 정책의 정리 및 시스템의 도입이 있어야 합니다.

아래 NHN의 사례와 같이 "정보보호의 방향성"과 "개인정보의 생명주기"에 맞게 이루어져야 하

는 것이 모범답안 입니다.

- 정보보호의 방향성

[출처: 발표자료 "개인정보의 기술적, 관리적 보호조치 구현 사례" p7 이미지 캡춰]

위와 같이 서비스 또는 시스템 이용자의 관점에서 보안의 방향성을 잡아야 보호 대상 데이터를

중심으로 하는 서비스 또는 시스템 이용자의 모든 행위를 점검, 감시, 제어 할 수 있게 됩니다.

결국은 보호 대상 데이터의 무결성을 확보함과 동시에 사용에 대한 모든 데이터를 확보할 수 있

게 되는 것이지요.

또한 정보보호의 방향의 중간에 정보보호를 위한 실질적인 보안 시스템이 위치하게 되는데요. 위

그림의 표현과 같이 "서비스 가용성", "데이터 기밀성"을 확보, 유지할 수 있는 시스템의 도입이

필요 합니다.