Ⅱ 접근권한 - cpo forumcpoforum.or.kr/privacy2013/download/track_b_1.pdfⅠ. 개인정 유출...
TRANSCRIPT
I
인증 및 접근권한 강화 방안 Ⅱ
정보보호 최고책임자 관리 Tip Ⅲ
개인정보 유출 사고사례 분석
I 개인정보 유출 사고사례 분석
DreamSecurity 4
개인정보 유출사고 사례 Ⅰ. 개인정보 유출 사고사례 분석
DreamSecurity 5
인터넷 해킹사고 Ⅰ. 개인정보 유출 사고사례 분석
※ 참고자료 : 한국인터넷진흥원 “인터넷 침해사고 대응통계”
피해기관 유형별로 분류해보면, 유동IP가 포함된 개인 60.0%, 기업 38.0% 등의 유형이 98.0%로 대부분을 차지
해킹사고 접수처리 현황 - 2012년 말부터 다소 감소추세에 있지만, 여전히 많은 피해사례를 나타내고 있음
DreamSecurity 6
주요 개인정보 침해사고 및 대응
옥션, GS칼텍스 개인정보 유출
현대캐피탈, SK컴즈 개인정보 유출
개인정보보호법 제정(3.29) 정보통신망법 시행(2.18)
3.4 DDoS 공격 7.7 DDoS 공격
KT, 중앙일보 홈페이지 해킹
농협전산망 해킹
정보통신망법 개정(2.17) - 제23조의2(주민등록번호의 사용 제한) - 제27조의3(개인정보 누출 등의 통지·신고) - 제30조의2(개인정보 이용내역의 통지) - 제45조(정보통신망의 안정성 확보 등) - 제45조의2(정보보호 사전점검) - 제45조의3(정보보호 최고책임자의 지정 등) - 제47조(정보보호 관리체계의 인증)
KISA설립, KrCERT/CC, ConCERT운영
CIH Virus
Ⅰ. 개인정보 유출 사고사례 분석
3.20 전산망 대란
개인정보보호법 시행(9.30)
DreamSecurity 7
3.20 전산망 대란(1/3) Ⅰ. 개인정보 유출 사고사례 분석
사건 개요
2013.03.20 14:00 국내 금융권 및 방송사 PC를 대상으로 한 대규모 악성코드 공격 발생
해당 공격으로 금융권 및 방송사 PC의 마스터 부트 레코드(MBR)와 볼륨 부트 레코드(VBR), 하드 디스크 데이터가 손상되어 PC 부팅이 불가능한 심각한 전산 장애 발생
사건 주요내용
공격자(해커) 악성코드 제작(‘트로이 목마’ 방식의 악성코드 심음)
방송/금융권 패치관리시스템(PMS : 개벌 PC의 S/W Upgrade & OS 패치관리 서버)을 통해 악성코드 배포
특정시점에 동시다발적 악성코드 유포
전산망 내 PC – 부팅영역(MBR) 파괴, 방송/금융 6개사의 PC, Server 32,000대 피해
DreamSecurity 8
3.20 전산망 대란(2/3) Ⅰ. 개인정보 유출 사고사례 분석
사건 분석
전산망이 마비되는 대형 보안사고는 대부분 APT 공격을 통해 자행되는 경향을 보임
※ APT(Advanced Persistent Threat) : 특정 타깃을 정해 다양한 기술과 방법을 이용해 지속적·지능적으로 공격하는 형태
방송사 및 금융사 관리자 계정을 탈취한 악성코드가 내부 네트워크에 설치된 백신 제작사의 패치관리서버(PMS)를 통해 클라이언트 PC로 배포
※ 악성코드에 심어져 있는 명령(특정 시각에 MBR/VBR 및 하드디스크 데이터 파괴)이 수행되어 사용자 PC가 불능 상태가 됨
특히 하나의 침투대상의 관리자 권한을 APT 공격을 통해 확보되면 다수의 하위 공격 대상 장비로 공격을 실행하는 악성코드를 유포할 수 있는 “중앙 집중 관리 시스템”을 해킹하려는 시도가 증가할 것으로 예상
DreamSecurity 9
3.20 전산망 대란(3/3) Ⅰ. 개인정보 유출 사고사례 분석
재발 방지대책
1. 사이버안보 컨트롤타워 등 거버넌스 체계 확립
2. 국가중요시설 등에 대한 망분리 의무화 확대
3. 방송사 등 주요 기관의 보안전문인력 대폭 확충
4. 백신 프로그램의 취약점 관리 및 검증 철저
5. 주요 기업/기관의 보안관리자 계정 및 접근권한 관리 강화
6. 사이버 보안위협에 대한 정보공유 및 교육 활성화
7. 주요 기업/기관의 보안 정책 및 프로세스 재점검
구분 문제점 해결방안
계정 관리 측면
• 계정관리에 대한 일원화된 관리 미흡 - 시스템 관리자에 의해 임의적으로 생성 - root 권한을 소유한 사용자들에 의해 임의적으로 생성 • 신규/변경/폐기 등 Life cycle에 따른 관리 미흡 - 계정 생성 이후 관리체계 부재 - 생성했던 담당자 변경 시 서비스 가용성에 대한 영향 때문에 임의 삭제 불가 • 직무에 따른 계정 사용 현황 파악 불가 - 업무상 필요한 계정 여부 파악 불가 - 계정을 사용하고 있는 사용자 파악 불가 - 미사용 계정 여부 파악 불가
• 보안 강화된 계정관리 및 접근권한 체계 마련
• 계정 신청 내역, 자연인기반 시스템 로그인 로그 분석을 통한 계정 사용 내역 파악
인증 및 접근권한
측면
• 접근통제 및 통제정책에 의한 사용자 계정통제 필요 - 시스템 자원 접근에 대한 통제 방안 부재 - 명령어 실행 통제 방안 부재 - 시스템 계정을 소유한 경우 시스템 자원 접근 가능 - super-user 통제 방안 부재 (권한 남용 가능) • 권한분리 방안 부재 - 일원화된 권한관리 방안 미흡 - 시스템 운영자, 보안 담당자, 업무 담당자 super-user 권한분리 방안 부재 - 특수계정 (DB계정 등)의 공유 계정 권한 관리 방안 부재
인증 및 접근권한 강화 방안 Ⅱ
DreamSecurity 11
기업 규모별 보안 솔루션 분류(1/2) Ⅱ. 인증 및 접근권한 강화 방안
구분 보안등급 설명 비고
Step 1 1 Level (기본) • 조직을 안전하게 운영하기 위한 최소한의 보안 솔루션 소기업(10명 이하)
비영리기관
Step 2 2 Level (보통) • 소규모의 조직에서 효과적인 보안 체계를 갖추기 위한 보안 솔루션 중소기업(10~100명)
Step 3 3 Level (중간) • 중규모의 조직에서 효과적인 보안 체계를 갖추기 위한 보안 솔루션 중소기업(100~300명)
Step 4 4 Level (높음) • 대규모 조직에서 관리 및 통제를 효율적으로 하기 위한 보안 솔루션 대기업(300명 이상)
Step 5 5 Level
(아주높음)
• 군사, 주요 정부기관, 핵심 사업부 등 고도의 보안 수준을 요구하는
조직을 위한 보안 솔루션
기밀정보를 다루는
주요 조직
기업 규모별 보안 단계 분류
※ 기본, 보통, 중간, 높음, 아주높음의 보안등급을 5 Level로 분류하여 적 용함 ※ 참고자료 : 한국인터넷진흥원 “CERT구축 운영 안내서(기업 규모별 보안솔루션 맵)”
DreamSecurity 12
기업 규모별 보안 솔루션 분류(2/2) Ⅱ. 인증 및 접근권한 강화 방안
기업 규모별 보안 솔루션 로드맵
분류 Step 1 Step 2 Step 3 Step 4 Step 5
네트워크 보안 방화벽(FireWall) 방화벽(FireWall)
침입탐지시스템(IDS)
침입방지시스템(IPS)
DMZ 및
가상사설망(VPN)
네트워크 접근통제(NAC)
망분리시스템
시스템 보안 바이러스 백신 바이러스 백신
서버보안 OS
바이러스 백신
서버보안 OS
패치관리 시스템(PMS)
시스템취약점 분석툴
애플리케이션
보안 -
웹방화벽(WAF)
스팸메일차단솔루션
DB보안 솔루션
문서저작권관리(DRM)
웹스캐너(취약점 분석)
취약점스캔 Appliance 소스코드 분석도구
통합 보안관리 - 로그관리 및 분석도구 보안구성관리(SCM)
통합보안시스템(UTM)
전사적보안관리(ESM)
위협관리시스템(TMS)
위험관리시스템(RMS)
포괄적위협관리(CTM)
보안사건,정보관리시스템
(SIM/SEM)
인증 및
접근권한
ID/PW
(Strong Password)
ID/PW
(Strong Password)
공개키기반인증(PKI)
I-PIN, 휴대폰본인확인
싱글사인온(SSO)/
통합접근관리(EAM)
통합OTP, 2채널인증,
하드웨어 토큰
계정관리(EIM)
바이오인식시스템
(지문,정맥,홍채 등)
PC 보안 안티 바이러스 안티 스파이웨어
개인용 PC 방화벽
개인정보 파일 암호화
개인용 안티스팸 통합 PC보안
모바일 보안 - 무선랜 보안 모바일 보안 RFID 보안
모바일단말보안(MDM)
보안 서비스 -
솔루션 유지보수
업무연속성계획(BCP)
재해복구계획(DRP)
보안관제
보안교육훈련
보안 컨설팅
기업정보 유출방지
※ 상위의 Step 보안솔루션 구성요소는 하위의 Step 내용을 포함 ※ 참고자료 : 한국인터넷진흥원 “CERT구축 운영 안내서(기업 규모별 보안솔루션 맵)”
DreamSecurity 13
휴대폰 본인확인(1/2) Ⅱ. 인증 및 접근권한 강화 방안
현재 주민등록번호 대체 수단으로는 휴대폰, 범용 공인인증서, I-PIN이 있으며, 정보통신망법 시행, 이동통신사와 공인인증기관이 본인확인기관으로 지정됨에 따라 휴대폰 및 인증서 본인확인 서비스가 확대
DreamSecurity 14
휴대폰 본인확인(2/2) Ⅱ. 인증 및 접근권한 강화 방안
이동통신사와 연계하여 생년월일을 활용하는 휴대폰 본인확인서비스를 제공하며, 인터넷 웹사이트, 모바일 웹/앱, ARS를 이용한 본인확인 기능을 제공
휴대폰 인증
인터넷 이용자
회원사
휴대폰본인확인서비스
본인인증대행사
드림시큐리티
본인확인 요청
성명, 성별, 생년월일, 통신사,
휴대폰 번호
본인확인 요청 본인확인 요청
본인확인 결과 전송
본인확인 결과 전송
이름, 생년월일, 휴대폰 번호, 휴대폰으로 발송되는 승인번호를 이용하여 본인확인
웹 방식 소켓 방식
• 이용자에게 본인확인 표준창을 팝업형태로 본인확인서비스 제공
• 웹사이트 적용
웹 사이트
• 회원사 업무시스템과 본인확인대행사(드림시큐리티)간 소켓방식으로 본인확인서비스 제공
• 웹사이트, 모바일 웹/앱 적용
인터넷 이용자 인터넷 또는 모바일 이용자
표준 창(팝업)
회원사 본인확인 대행사
통신망
본인확인기관
DreamSecurity 15
싱글사인온(SSO)/통합접근관리(EAM)(1/2) Ⅱ. 인증 및 접근권한 강화 방안
한번의 사용자 인증(Single Sign On)을 통해 기업의 각종 업무시스템이나 인터넷 서비스에 접속할 수 있는 보안 응용 솔루션
사용자
ID/PW
인증서
SD토큰
통합
로그인(M
agic
SSO
/EAM
)
연계시스템 SSO인증서버 인증확인 수단
DB 또는 LDAP
공인 인증 기관
정부 인증 기관
사용자 정보 확인
인증서 유효성 검증
업무시스템
업무시스템
업무시스템
Magic AS
SSO API Magic Pass
드림시큐리티 솔루션 기능
Magic SSO/EAM SSO 통합 보안 솔루션 제품군
-Magic Pass 사용자 단말 에서 단일 로그인을 수행 하기 위한 앱
-SSO API 서비스 페이지에 설치되어 단일 로그인 및 인증토큰 전송
-Magic AS DB와 연계하여 사용자인증정보 확인 후 인증토큰 생성
DreamSecurity 16
싱글사인온(SSO)/통합접근관리(EAM)(2/2) Ⅱ. 인증 및 접근권한 강화 방안
특장점
구 분 내 용
사용자 편의성
• ID/PW, 인증서(NPKI, GPKI) 등의 다양한 인증방식 제공으로 강력한 사용자 인증 제공
• 플랫폼, 어플리케이션, 도메인에 이르는 Single Sign On 제공
• ID/PW 및 인증토큰 등 전송 데이터에 대해 전체 또는 부분 암복호화 기능 수행
인증정보 보안성 강화
• PKI 기반의 강력한 사용자 인증
• ID/PW 및 인증토큰 등 전송 데이터에 대해 전체 또는 부분 암복호화 기능 수행
• 암호시 사용되는 Key를 매번 생성하여 유출되더라도 위험이 없음
• 사용자에 대한 인증정보정보 및 Data는 메모리에서 휘발성으로 관리하며 보안성 강화를 위해 저장매체에 기록하지 않음
• 국내외 암호알고리즘, 국정원 암호모듈 검증을 통한 암호모듈 사용
향후 시스템 연계 용이성
• 응용시스템과 연계시 표준화된 개방형의 API 제공으로 고객의 환경에 적합하도록 최적화 지원
• 인증정보는 인증토큰(ACL) 검증으로 하며, 매번 인증토큰을 생성하지 않고 사용자세션에서 관리하여 성능 향상
• C/S, Mobile Web 등 다양한 응용시스템을 단일 인증서비스로 통합하여 최소한의 수정으로 시스템 연계
• Pure Java 기반의 표준화 API를 적용하여 WAS, Web Server의 종류 및 버전에 상관없이 적용하여 플랫폼의 독립성 보장
서비스의 안정성
• LDAP Gateway의 Thread Pool 및 Connection Pool 구조를 통해 대량의 조회 Transaction을 안정적으로 처리
• 인증 Transaction의 load balancing 기능이 있어 최적의 상태로 부하 분산, 안정적인 인증 성능 보장
• 3-Tier 구조의 Transaction 처리 구조
• Watch Dog process 기능으로 시스템의 상태를 감시하며 시스템 다운 시 재실행
다양한 지원 환경
• 인증서버의 다양한 OS 제공
• 다양한 데이터저장소 지원 : LDAP(SunONE, Aphilion, AD), RDBMS(Oracle, MSSQL, Sybase), MDB(Altibase, MMDB)
• 업무시스템의 WAS : TMax-JEUS, IBM-WebSphere, BEA-WebLogic, Apache-Tomcat
DreamSecurity 17
2채널인증(1/2) Ⅱ. 인증 및 접근권한 강화 방안
등장배경
DreamSecurity 18
2채널인증(2/2) Ⅱ. 인증 및 접근권한 강화 방안
1채널 vs. 2채널
기존서비스
일반서버
PC Phone
ID/PW 입력
인증번호 키보드 입력 전송
인증번호 전송
인터넷 이통망
중계서버(드림시큐리티 구축)
PC Phone
ID/PW 입력 인증번호 출력 푸쉬알림
인증번호
휴대폰입력 1234
1채널 2채널
인터넷
인증번호 전송
PC에서만 입력하는 1채널 서비스 휴대폰(이통망)을 통해 입력하는 2채널 서비스
PC해킹을 통한 계정 도용, 노출 및 피싱 가능
OTP 등 타 기기 휴대의 불편함과 분실 우려
본인확인 불가
피싱방지 및 완벽한 보안성 제공
항상 휴대하는 휴대폰 이외의 별도 기기가 필요 없음
본인확인 가능
1234
인증번호 출력
2채널 서비스
DreamSecurity 19
하드웨어토큰(HSM: Hardware Security Module) Ⅱ. 인증 및 접근권한 강화 방안
전자서명 생성키 등 인증서 비밀정보를 안전하게 저장 및 보관. 기기내부에 프로세스 및 암호 연상 장치가 있어 전자서명 키 생성, 전자서명 생성 및 검증 등을 수행하는 하드웨어 장치.
인증서버 A
은행 인터넷뱅킹 서버
인증서
공개키 및 개인키
서명할 데이터
서명된 데이터
드림시큐리티 Magic XToken
드림시큐리티 Magic Token
USB
Micro SD
• Magic XToken : 스마트카드, USB 등 각기 다른 형태로 제공되는 보안토큰의 응용 인터
페이스를 PKCS#11 규격으로 사용할 수 있게 하는 API 프레임워크
• Magic Token : USB/Micro SD 기반의 보안토큰(HSM)
DreamSecurity 20
하드웨어토큰 응용-MagicSSH(1/3) Ⅱ. 인증 및 접근권한 강화 방안
Telnet/FTP 사용으로 ID/Password와 데이터 노출 발생
방화벽
Applications server
Web server
Telnet Client
Network appliance
Telnet Client
해커
해커
인터넷
사용자는 Telnet을 통하여 평문 형태의 ID/Password를 서버로 전송 계정 정보
탈취
도청
불법 접속
방화벽
인터넷
SSH 적용
Applications server
Web server
SSH Client
Network appliance
SSH Client
해커
해커
도청 방어
MITM 공격
불법 접속
계정 정보 탈취
SSH 프로그램을 통한 전송 데이터 암호화
문제점
○ 내부 사용자에 의한 계정 정보의 유출 위험
○ 최근 APT공격에 의한 SecureCRT, PuTTy의 ID/Password 유출 위험 대두
○ 안전하지 않은 암호 알고리즘의 운용, 사용의 취약점
문제점
○ 사용자는 접속 과정에 키로거, 악성코드 등에 의해 ID/Password를 해커
에게 탈취 당함
○ 해커는 탈취한 ID/Password를 사용하여 서버에 불법 접속
DreamSecurity 21
하드웨어토큰 응용-MagicSSH(2/3) Ⅱ. 인증 및 접근권한 강화 방안
드림시큐리티 MagicSSH 프로그램 적용을 통한 암호화
보안 문제 해결
○ 매직키(HSM)로 보호되는 사용자의 계정 정보는 취약한
사용자 PC의 계정 노출 위험을 해결
○ 매직키를 가진 사용자 만이 원격서버 접속을 수행할 수
있어 퇴사자 등이 발생하는 경우 매직키의 회수를 통하
여 쉽게 계정의 회수가 가능하여 관리 편의성이 향상
○ 전송되는 데이터는 검증된 암호모듈과 강력한 암호화
모드로 운영되어 기존 SSH 프로그램이 가진 암호 알고
리즘 보안 취약점 문제를 해결
○ SSH 프로토콜에 대한 널리 알려진 취약점은 물론 최근
밝혀진 취약점을 제거하여 프로토콜 취약점 문제를 해
결
○ MagicSSHTM프로그램에 대한 정적 분석과 동적 분석 방
지를 통하여 해커의 APT 공격을 방어
방화벽
인터넷 Applications server
Web server
MagicSSH Client
Network appliance
MagicSSH Client
해커
해커
접속 차단
도청 차단
계정 보호
MagicSSHTM 적용
MagicSSH Server
MagicSSH Server
MagicSSH Server
MITM 방어
DreamSecurity 22
하드웨어토큰 응용-MagicSSH(3/3) Ⅱ. 인증 및 접근권한 강화 방안
MagicSSH를 활용한 3.20 악성코드 공격 방어
저장된 ID/PWD 유츨
SSH v1, v2 접속 프로그램 취약점 공격
위장 접속 서버 삭제
계정
접속
매직키(HSM) 적용
MagicSSHTM
보안
악성 코드 방어대책 공격
인증 강력한 인증
DreamSecurity 23
개인정보 파일 암호화 Ⅱ. 인증 및 접근권한 강화 방안
매직키 시스템 디렉토리 서버
웹 서버
드리시큐리티 포탈 시스템
사용자(A) 사용자(B) B의 매직키로 파일 암호화
매직키로 파일 암호화
자동업데이트
매직키로 파일 복호화
사용자 등록
매직키 전달
상대방 매직키 획득
드림시큐리티 매직키 센터 • 매직가드
- 파일 암/복호화
• 포탈 시스템
- 자동업데이트
- 사용자 등록
- 매직키 전달
- 매직키 획득
• 매직키 센터 (ASP 모델, 구축 모델 선택)
- 매직키 발급 사용자
정보
매직키
발급
개인정보의 안전한 관리를 위한 파일, 폴더 암호화 및 복호화. 암호화 파일은 정당한 소유(수신)자만 복호화 가능
드림시큐리티 매직가드
정보보호 최고책임자 관리 Tip Ⅲ
DreamSecurity 25
정보보호 최고책임자의 업무 Ⅲ. 정보보호 최고책임자 관리 Tip
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의3의 2항 정보보호최고책임자는 다음 각 호의 업무를 총괄한다.
정보보호 업무 총괄
1. 정보보호관리체계의 수립 및 관리·운영
2. 정보보호 취약점 분석·평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를
위하여 필요한 조치의 이행
현업이 실천할 수 있는 정책 수립
보안 전문가 활용 또는 내부 전담 인력 양성
주기적 사고 모의 훈련 실시 및 보완
사고발생을 대비한 신속한 보고체계 수립
보안의 시작은 관리자의 업무용 단말 인터넷 접속 금지부터
DreamSecurity 26
정보보안 행동수칙(1/2) Ⅲ. 정보보호 최고책임자 관리 Tip
컴퓨터 보안
소프트웨어는 항상 정품만을 사용한다. 1
운영체제 및 각종 애플리케이션은 최신 보안패치를 적용한다. 2
PC부팅, 윈도우, 화면보호기 암호를 설정하고, 주기적으로 변경한다. 3 시스템을 사용하지 않을 때나 자리를 비울 경우 반드시 로그아웃을 한다. 4 백신 프로그램은 초기 동작시 작동토록 하며, 항상 최신버전을 유지한다. 5 외부 파일을 다운로드 및 복사할 경우 바이러스 감염여부를 검사한다. 6
주요 파일은 암호화하며, 공유폴더에는 기밀자료를 보관하지 않는다. 7
출입보안
사무실은 반드시 인가된 자만이 인증을 거친 후 출입할 수 있도록 한다. 1
주요자료가 보관된 별도의 실은 퇴근시 반드시 잠금장치를 하도록 한다. 2
외부 방문객의 사내 출입시 반드시 안내자가 동행하도록 하며, 면회실 등 지정된 장소를 이용하도록 한다. 3
출입이 금지된 통제 구역은 인가된 인원만 출입 가능하도록 하며, 외부 인력 출입시 반드시 보안서약서를 받도록 한다. 4
통신보안
윈도우 PC방화벽을 설정하고 및 인터넷 브라우저 보안레벨을 업무에 맞게 적정한 수준 이상으로 설정한다. 1
메일을 전송할 때는 반드시 회사 계정만을 사용하며, 사내 기밀자료 메일 송부시 첨부파일은 반드시 암호화하여 전송한다. 2
출처가 불분명한 이메일은 열람하지 않고 삭제하au, 메신저로 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다.
3
업무용 PC로 웹하드, P2P 등 파일공유 사이트 접속을 금지하며, 해킹의 우려가 있는 이메일이나 웹상에서 중요정보를 공유하지 않는다.
4
웹 서핑시 특정 프로그램을 설치하라는 창이 뜰 때는 신뢰할 수 있는 기관의 서명이 있는 경우에만 '예'를 클릭한다. 5
문서/자료보안
민감한 문서는 가급적 복사하지 않고 이면지로 사용하지 않는다. 1
전출 또는 퇴직시 보유하고 있는 모든 비밀문서 및 자료는 업무인수인계 절차에 따라 반드시 반납한다. 3
자리를 비울 때는 책상 위에 방치되는 자료가 없도록 하고, 중요문서나 정보저장매체는 캐비닛(서랍)에 보관하며 반드시 잠금장치를 한다.
4
기밀내용이 포함된 문서나 폐지 등은 반드시 세절하여 소각한다. 2
※ 참고자료 및 사이트 : 행정안전부, 한국인터넷진흥원 “정보보호 생활가이드”, 산업기밀보호센터 (http://service4.nis.go.kr/) “업무시 산업보안 행동수칙”
DreamSecurity 27
정보보안 행동수칙(2/2) Ⅲ. 정보보호 최고책임자 관리 Tip
사내 생활보안
수시로 신뢰할 수 있는 보안 관련 웹사이트나 보안사고 뉴스를 확인한다. 1
사내에서는 무단 촬영(스크린샷,휴대폰,디지털카메라 등)을 금지한다. 2
보안 취약부분 발견시 반드시 보안부서에 통보하여 조치하며, 보안사고는 은폐하지 말고 즉시 보고하여 대처할 수 있도록 한다. 3
주변에 누군가 기밀을 탐지할 수 있음을 명심하고 보안상의 허점은 없는지 점검한다. 4
영업비밀 보호의무 준수
업무를 수행함에 있어 취득하거나 알게 되는 회사의 모든 정보를 사전 승낙 없이 제3자에게 공개 또는 누설, 제공하지 않는다. 1
"너만 알고 있어"식의 비밀누설을 엄금하고 작은 정보라도 경쟁사에 큰 도움이 될 수 있다는 것을 명심하여 보안을 생활화 한다. 2
사내 상주 외부인이 민감정보를 요청할 때에는 반드시 공식절차를 거치도록 하며, 정보는 엄격히 선별하여 제공한다. 3
비밀유출의 주된 경로는 항상 내부에 있음을 명심하며, 사내 보안의식을 항상 숙지하고 업무를 수행한다. 4
업무수행 관련 지식이나 노하우는 문서화하여 지적재산으로 등록 후 활용한다. 5
시스템 보안
서버에서 불필요한 사용자 계정 및 서비스를 제거한다. 1
최신 업데이트 현황 등 안티바이러스 대비 상황을 점검한다. 2
사내 모든 서버 및 컴퓨터의 운영체제, 애플리케이션에 최신 보안 패치를 적용한다. 3
사용하지 않는 서버나 장비는 네트워크에서 분리하여 외부의 침입으로부터 안전한 환경을 구축한다. 4
연휴 동안 서비스 하지 않는 시스템의 경우, 네트워크 보안 장비에서 '차단'으로 정책을 변경해 둔다. 5
방화벽, 분산서비스거부(DDoS) 대응 장비 등 네트워크 보안 장비의 정책과 ACL(Access Control List), 임계치 등이 올바르게 설정되어 있는지 확인한다.
7
주요 시스템의 데이터를 사전 백업하고 필요 시 분산 보관하며, 비상 상황 발생 시의 대응 프로세스, 비상연락망 등을 점검하고 최신화 하도록 한다.
8
보안 문제 발생 시에 대비해 비상 연락 체계를 구축하며, 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유한다.
9
사용중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 검사, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 주기적으로 사전 점검한다.
6
※ 참고자료 및 사이트 : 행정안전부, 한국인터넷진흥원 “정보보호 생활가이드”, 산업기밀보호센터 (http://service4.nis.go.kr/) “업무시 산업보안 행동수칙”
Question & Answer