2014 정보보호 트렌드-dhan-kim-2014-3-25
DESCRIPTION
고객 초청 2014년 DB보안 세미나TRANSCRIPT
2014년금융권 IT 보안핵심트렌드-DB 암호화세미나
- 부제: 정보보안관련정책동향및시사점
2014.3.25
2014년 정보보안 트렌드
정보보안, 안녕들 하십니까?
Contents
정보보안 관련 정책/법규 동향
마무리
정보보안, 안녕들 하십니까?
다양하게 진화하는 보안의 위협
정보보안, 안녕들 하십니까?
다양하게 진화하는 보안의 위협– 정보유출(개인정보,기밀문서),장애유발,파괴등다양해짐
위험성
정교함
Sta
tefu
l Fi
rew
all
Intr
usi
on D
ete
ctio
n (
IDS)
Intr
usi
on P
reve
ntio
n (
IPS)
Unifie
d T
hre
at
Ma
na
ge
me
nt (U
TM)
Ne
two
rk A
cc
ess
C
ontr
ol (N
AC
)
Em
ail a
nd
We
b C
onte
nt
Filte
ring
Anti-
Virus
Se
curity
Info
rma
tio
n a
nd
Eve
nt M
ana
ge
r (S
EIM
)
Ne
two
rk S
ec
urity
Ana
lytic
s
Ne
xt G
ene
ratio
n F
ire
wa
ll
취미/장난형태
- 악성코드 등장
- 개인적인 호기심
- 기술적인 과시
조직/범죄형태
- 범죄적 요소 포함
- 금전적인 목적
- 개인정보 탈취
산업 스파이 형태
- 경제적인 목적
- 지적 재산 탈취
- 기업 기밀 문서 탈취
APT(Advanced Persistent Threat)
- 지속적이고 정교한 타켓 공격
- 정부/정치단체 테러
- 경제적 목적 위협
- 조직적, 경제적 지원을 바탕
1990 2000 2011 ~
정보보안, 안녕들 하십니까?
2013년 주요 사고– 3.20 전산대란, 6.25 사이버테러, 8월 메모리 해킹 주의보, 10월 포털/
언론사 DDoS 공격
정보보안, 안녕들 하십니까?
카드사 고객정보 유출(2014.1.8)
정보보안, 안녕들 하십니까?
기존의 도구및 기술
정교함
ㆍ금융 관련 대상 해킹ㆍDDoS 공격ㆍLulzSec 및 익명
(핵티비스트)
ㆍ지속적인 고도의 위협 (APT)ㆍ조직화되고 국가가 지원하는 팀ㆍ새로운 제로 데이 취약성 발견ㆍ전례 없는 공격 기술
ㆍ무차별ㆍ고급 기술 스킬 부족ㆍ공격 및 맬웨어 킷 도구 사용ㆍ보트넷 빌더ㆍ금전적 동기로 맬웨어 활동ㆍ스팸 및 Dos
ㆍ사이버 전쟁
폭넓음 특정 대상
출처: IBM X-Force® Research
시사점: 공격의 형태와 동기는 변하지 않았음
2014년 정보보안 트렌드 전망
주요 기관 IT 10대 전망 비교(2013 vs 2014)
8
출처: 주요기관 IT 10대전망비교분석, 마이크로소프트웨어, 2014.1
2014년 정보보안 트렌드
개인정보보호 Top 10 이슈(한국정보화진흥원, 2013.3)
출처: 개인정보보호트렌드전망 2014, NIA, 2014.3
2014년 정보보안 트렌드
개인정보보호 Top 10 이슈 중요도(한국정보화진흥원, 2013.3)
출처: 개인정보보호트렌드전망 2014, NIA, 2014.3
정보보안 관련 정책/법규 동향
금융전산 보안강화 종합 대책(금융위원회, 2013.7.11)
정보보안 관련 정책/법규 동향
금융 분야 개인정보 유출 재발방지 종합대책(2014.3.10)– 4가지 기본방향
개인정보의 ‘수집-보유·활용-파기’ 등 단계별로 금융소비자의 권리보호 및 금융회사 책임을 대폭 강화
– 구체적인기술적보안방안에있어서는자율권을부여
– 유출사고 발생시에는 금융회사에 엄정히 책임을 물어 형식적 기준과 절차만 준수하면사고가발생해도제재를받지않는문제방지
금융회사가 확실하게 책임지는 구조를 확립
– CEO 등의 책임을 강화하고 모집인과 제3자에게 제공한 정보에 대해서도 금융회사에관리책임을부과
– 징벌적 과징금 도입, 형벌과 행정제재 상향을 통해 개인정보보호법 등 정보보호의일반법보다책임을한층강화
외부로부터의 전자적 침해행위에 대해서도 기존 대책(2003.7월 발표) 보강
– 주기적인 보안 이행실태 점검·보안전담기구 설치 등으로 상시적인 보안체계구축
이미 계열사와 제3자에 제공되었거나 외부 유출된 정보로 인해 잠재적으로피해가 발생할 가능성에 대해서도 대응방안 강구
정보보안 관련 정책/법규 동향시사점 및 과제
– 3.20 사이버공격 1년… 무엇이 달라졌나(디지털타임스, 2014.3.19) 보안구멍 그대로 면피성 대응 급급… 구체적 대책 세운 곳 없어
– “개인정보보호법 통합” 목소리에 관계 부처는 ‘글쎄’(전자신문,3.23) 다른 법들 때문에 개인정보보호법이 무력화(ex. 특별법 우선 원칙, 1995년
제정된 정보통신망법에 개인정보보호법은 밀림)
– 개인정보 종합대책 국회서 발목 잡히나(디지털타임스, 2014.3.17) 신용정보법ㆍ전자금융거래법ㆍ금융지주사법 등 개정 필수 상반기 국회 통과 녹록지 않아… 지방선거 변수 우려도
– KT 개인정보 보호 소홀 혐의 적용…보안팀장 입건(연합뉴스,2014.3.14) 국내 개인정보 유출사건으로는 개인정보 유출 기업에 대한 첫 처벌 사례
– 금융기관 예외없이 주민번호 암호화(디지털타임스, 2014.3.19) 금융분야 개인정보 유출 재발방지 종합대책 금융회사 정보시스템 중 현재 외부망와 DMZ라는 중간망은 암호화가 돼 있
고 내부망에 대해서는 위험도 평가를 통해 암호화를 유예하는 조치가 내려지고 있는데 앞으로는 내부망에 대해서도 모두 암호화를 적용
마무리
기업의 보안 현실: 보안 침해 사고 분석 해보니…
침해사고중76%의네트워크침입은 취약하거나훔친자격증명을
이용하여발생 엄격한정책적용을통해쉽게
예방가능
보안침해사고는 69%는외부기관에의해발견
9%는고객에의해발견
보안침해사고중 이메일, 전화통화및소셜
기법은전체보안공격의29%
출처: 2013 데이터보안침해조사보고서, Verizon, 2013
마무리
기업의 보안 현실: 보안 침해 기간
Source: 2013 데이터보안침해조사보고서, Verizon, 2013
보안 침해 중 66%는발견하는데 수개월에서수년
84%의 사고에서수시간 이내에 초기유출
보안침해가발생한영역을격리하는데수개월(22%)
마무리
기업의 보안 현실: 보안 침해 기간– Analysis of zero-day attacks that go undetected
출처: Big Data Analytics for Security Intelligence, CSA, 2013.9
평균10 개월소요,60%의취약점은이전에
파악된적이없음
기업 보안 현실: 정보보안 영역
마무리
Data
Intranet
Services DB암호화
전송정보 암호화
문서암호화중요정보유출차단 출력물보안통합PC보안 네트워크접근제어사용자인증
접속기록관리
메일 저널링
정기감사
정보유출감사
웹취약점 차단
사용자인증 네트워크접근제어 중요정보유출차단
네트워크접근제어
사용자인증
웹/메일공격차단
좀비PC탐지차단
개인정보유출차단
마무리
정보보안의 Goal은 간단
– Identify attacks / attackers before they hit
– Find previously unknownattacks (zero days)
– Find attacks that are inprogress
– Understand the impactof a successful attack
– Attack(er) = external OR internal
