audit & access management no · 2013. 11. 3. · secureguard 는 금융권 기준으 1년에...
TRANSCRIPT
Audit amp Access Management No1
SecureGuard
Audit amp Access Management No 1 Solution SecureGuard
1
Contents
2
Audit amp Access Management
1 회사소개
- SGN History
- Reference Sites
3
회사명 엔스지앤
설립연도 2009년 09월 03일
대표자 강 현 모
사업분야 시스템 접근제어 및 감사 솔루션 개발
소재지 서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1412호
자본금 1억
직원 수 14명
조직 솔루션사업본부 기술지원본부 기술연구소
경영지원팀
젂화번호 (02)868-6055 (대표젂화)
(02)868-6058 (FAX)
주요 제품 SecureGuard 500 1200 2200
특기사항
- 소프트웨어 임치 (계약번호 2011-02-1640)
- GS 품질 인증
- CC 인증 계약 짂행중
SGN History
4
Reference Sites
금융 기업 공공 학교
5
2 시스템 감사의 필요성
- 주요 정보 유출 사고
- 보앆 위협 유형
- 개인정보 보호법률
- 유출 사례 및 처벌소송
- 관리자의 고민
Audit amp Access Management
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
1
Contents
2
Audit amp Access Management
1 회사소개
- SGN History
- Reference Sites
3
회사명 엔스지앤
설립연도 2009년 09월 03일
대표자 강 현 모
사업분야 시스템 접근제어 및 감사 솔루션 개발
소재지 서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1412호
자본금 1억
직원 수 14명
조직 솔루션사업본부 기술지원본부 기술연구소
경영지원팀
젂화번호 (02)868-6055 (대표젂화)
(02)868-6058 (FAX)
주요 제품 SecureGuard 500 1200 2200
특기사항
- 소프트웨어 임치 (계약번호 2011-02-1640)
- GS 품질 인증
- CC 인증 계약 짂행중
SGN History
4
Reference Sites
금융 기업 공공 학교
5
2 시스템 감사의 필요성
- 주요 정보 유출 사고
- 보앆 위협 유형
- 개인정보 보호법률
- 유출 사례 및 처벌소송
- 관리자의 고민
Audit amp Access Management
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
2
Audit amp Access Management
1 회사소개
- SGN History
- Reference Sites
3
회사명 엔스지앤
설립연도 2009년 09월 03일
대표자 강 현 모
사업분야 시스템 접근제어 및 감사 솔루션 개발
소재지 서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1412호
자본금 1억
직원 수 14명
조직 솔루션사업본부 기술지원본부 기술연구소
경영지원팀
젂화번호 (02)868-6055 (대표젂화)
(02)868-6058 (FAX)
주요 제품 SecureGuard 500 1200 2200
특기사항
- 소프트웨어 임치 (계약번호 2011-02-1640)
- GS 품질 인증
- CC 인증 계약 짂행중
SGN History
4
Reference Sites
금융 기업 공공 학교
5
2 시스템 감사의 필요성
- 주요 정보 유출 사고
- 보앆 위협 유형
- 개인정보 보호법률
- 유출 사례 및 처벌소송
- 관리자의 고민
Audit amp Access Management
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
3
회사명 엔스지앤
설립연도 2009년 09월 03일
대표자 강 현 모
사업분야 시스템 접근제어 및 감사 솔루션 개발
소재지 서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1412호
자본금 1억
직원 수 14명
조직 솔루션사업본부 기술지원본부 기술연구소
경영지원팀
젂화번호 (02)868-6055 (대표젂화)
(02)868-6058 (FAX)
주요 제품 SecureGuard 500 1200 2200
특기사항
- 소프트웨어 임치 (계약번호 2011-02-1640)
- GS 품질 인증
- CC 인증 계약 짂행중
SGN History
4
Reference Sites
금융 기업 공공 학교
5
2 시스템 감사의 필요성
- 주요 정보 유출 사고
- 보앆 위협 유형
- 개인정보 보호법률
- 유출 사례 및 처벌소송
- 관리자의 고민
Audit amp Access Management
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
4
Reference Sites
금융 기업 공공 학교
5
2 시스템 감사의 필요성
- 주요 정보 유출 사고
- 보앆 위협 유형
- 개인정보 보호법률
- 유출 사례 및 처벌소송
- 관리자의 고민
Audit amp Access Management
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
5
2 시스템 감사의 필요성
- 주요 정보 유출 사고
- 보앆 위협 유형
- 개인정보 보호법률
- 유출 사례 및 처벌소송
- 관리자의 고민
Audit amp Access Management
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
6
2006년 2007년 2008년 2009년 2010년
2맊3333건 2맊 6965건 3맊 9811건 3맊 5167건 5맊 4832건
139000 159000 235000 234730 4454000
35
30
25
20
15
10
5
0
800000
700000
600000
500000
400000
300000
100000
0
억원
유출건수
예상피해액
기술유출 적발현황
연도 내용
2011
middot 현대캐피탈 개인정보 유출 43만여건(4월) middot 농협 젂산장애 ndash lsquormrsquo command 입력으로 서버 장애(4월)
middot 소니 고객정보 유출(5월)
2010 삼성젂자의 반도체 핵심기술이 협력업체를 거쳐 경쟁사 하이닉스로 유출 (2월) 서울동부지검은 6년갂 삼성젂자 반도체 핵심기술 95건을 빼돌린19명 적발 이 중 3명 구속기소 15명 불구속기소 1명 수배 middot 삼성젂자 냉장고 기술 중국유출 기도 (2월)
2009 middot 에어컨 금속표면처리기술 중국유출 기도 (5월) middot D자동차 핵심 제조기술 러시아 유출 (8월)
2008
middot K사 아연 제련공법 호주유출 기도 (1월) middot L사 첨단 PDP 제조기술 중국유출 (3월) middot 태양광 차단 싞소재 기술 일본유출 기도 (7월) middot 싞호소자 반도체 공정기술 대만유출 (9월)
2007
middot 자동차 핵심기술 유출 기도 (5월) middot 세계 최초개발 와이브로 기술 해외유출 기도 (5월) middot 수조원 가치의 조선기술 해외유출 기도 (7월) middot H사 자동차 자동변속기 기술 중국유출 (11월)
2006 middot TFT-LCD 컬러필터 제조기술 중국유출 기도 (1월) middot 첨단 휴대폰 제조기술 카자흐스탄 유출 기도 (3월)
주요정보 유출사고
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
7
[2010 국감] 10년간 산업 기술 유출 시도 225건 적발
2004 ~ 현재 1999 ~ 2003 ~ 1998
보안 위협 유형
해킹 바이러스
Dos 공격
해킹 바이러스
Dos 공격
악성 BOT
Spyware피싱
정보유출
공격 기법 특징
독립적인 공격 분산 공격
은닉화자동화
조직범죄적
선병적지능화
사회공학적 기법
대응 방안
IDS FW등 통합보앆관리
분산 탐지분석
지능화 보앆솔루션
보앆 위협 체계강화
관리적 보앆 강화 보앆 동향 분석
정보보호 시스템 및 체계 구축 필요
퇴직직원
투자업체
협력업체
협력지원
유치과학자
65 퇴직직원
27 협력직원
8 협력업체
3 유치과학자 2 투자업체
보안 위협 유형
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
8
개인정보보호법[2011년 9월30일 시행]
정보통싞망 이용촉짂 및 정보 보호에 관핚 법률 (200812 개정시행)
[ 개인정보보호의 기술적관리적 보호조치 기준] 방통위고시
싞용정보 이용 및 보호에 관핚 법률
개인정보 보호법규
(형사처벌 확대) 기술적 보호조치 미흡으로 개인정보가 유출된 경우
2년 이하 징역 1천맊원 이하 벌금
(양벌제 도입) 직원의 잘못에 대해
대표이사 형사적 처벌에 처해 질 수 있음
개인정보 관련 기술적 보호조치 규정 중 가장 구체적인 것이 09년 8월 7일 개정 고시된 ldquo개인정보의 기술적 관리적 보호조치기준rdquo입니다[정보통싞망법내 방통위 고시]
2011년 9월30일부터 시행되는 개인정보보호법도 동일핚 수준의 기술적 관리적 보호조치를 취해야 합니다
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
9
개인정보 소송시 기업이 천문학적 비용을 배상핛 수 있으며 [개인정보보호법은 집단소송 내역 포함] CEO가 기술적 관리적 보호조치 위반으로 형사처벌을 받을 수 있습니다[H사외]
개인정보에 대핚 접근과 저장을 최소화해야 하며 유출시 추적핛 수 있어야 합니다
해킹은 물롞 내부자에 의핚 개인정보유출과 오용을 차단해야 합니다
주요 내부자 개인정보 유출 사례와 처벌소송
유출 사례 및 처벌소송
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
10
관리자의 고민
법규준수 및
보앆
앆정성 검증된 제품
편리핚 운영
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
11
3 제품 소개
- PIMS(개인정보보호 관리 체계)
- 앆정성
- 스마트핚 운영
Audit amp Access Management
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
12
PIMS (Personal Information Management System) 개인정보보호 관리 체계
SecureGuard
로그 위변조방지
2011년 12월 30일 방통통싞위원회에서 개인정보를 수집 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 홗동을 수행하거나 이에 대핚 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호 관리 체계(PIMS)를 구축하여 운영하는데 필요핚 요구 사항을 정의 하고 있습니다
사용자 인증
개인정보 조회 경고 및 차단기능
접근통제 감사 저장
개인정보 취급자 최소화 및 직무분리
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
13
제목 내용 해석 기술적 보호대책
4조
접근통제
- 개인정보처리시스템에 개인 정보관리책임자 취급맊이 접근가능 - 젂보 또는 퇴직 등 인사이동이 발생시 지체 없이 개인정보처리시스템의 접근권핚을 변경 또는 말소
- 접근권핚관리 및 5년갂 기록 보관
- 외부에서 접속핛 경우 앆젂핚 인증 수단을 적용
- 개인정보취급자 최소화 원칙에 부합해야 함 - IP ID 시갂대 TableColumn별 접속 차단기능 제공 - DB 운영자와 개인정보취급자 사이의 직무분리적용 - Query tool 통제가능
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS - DDoS
접근통제 및 유출 탐지솔루션 적용
- 개인정보처리시스템에 대핚 인가 받지
않은 접속제핚 및 불법유출 탐지
- IPID시갂대별 DB접속차단
- 이상 쿼리 경보 및 차단
- 시스템 접근제어 및 감사 - DB 접근제어 - 방화벽 - IPS -DDoS
비밀번호 - 비밀번호 작성규칙 수립 이행 및
반기별 1회 변경
- 숫자 알파벳 특수문자의 조합으로 비밀번호 작성 및 주기적인 변경
- 시스템 접근제어 및 감사
인터넷을 통핚 유출방지
- 인터넷 홈페이지 P2P 공유설정 등을 통
하여 개인정보가 공개 유출되지
않도록 함
- 인터넷은 가장 대표적인 유출 통로 - DLP 솔루션 - 웹 필터링 솔루션 - PC 보앆 솔루션
5조 접속 기록의 위 ∙ 변조
- 개인정보처리 시스템에 대핚 접속기록을 월1회 이상 확인 6개월 이상 보졲(기갂 통싞사업자는 2년)
- 접속기록은 유출사고 발생시 형사소송의 중요핚 증거
-DB 접속 시 SQL query와 응답값에 대핚 저장
- 시스템 접근제어 및 감사
- 접속기록이 위변조되지 않도록 별도의 저장장치에 보관
- 관리솔루션을 통핚 로그백업 등 관리 -CD-ROMDVD에 로그백업 - WORMDISK 사용
개인정보의 기술적 관리적 보호조치 기준
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
14
제 4조 (접근통제) ①정보통싞서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다
SecureGuard 에서는 서버별 사용자 접근통제를 지원하며 서버의 OS 계정을 자동 수집하여 중요 개인정보관리자 또는 개인정보취급이 가능핚 OS계정 (root oracle) 별로 접근 권핚을 부여 핛 수 있습니다
사용자 접근권한 부여
AIX
Solaris
HP-UX
Linux
Windows
계정 다운로드
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
15
제 4조 (접근통제) ②정보통싞서비스 제공자등은 젂보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다
SecureGuard 에서는 사용자 ID의 사용기갂을 설정 핛 수 있으며 각 서버에 접속하여 계정을 삭제 하지 않고도 관리자 화면에서 접근 권핚을 해지하는 것맊으로도 접근권핚을 회수 핛 수 있습니다
사용자 사용기간 설정
계정 권한 회수
1
2
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
16
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
SecureGuard 는 금융권 기준으로 1년에 약 300G 정도 (UNIX 서버 기준) 로그 저장이 되고 있습니다 서버가 맋은 고객을 위하여 SG2200 장비는 3T의 로컬디스크를 지원하며 일별 백업을 압축하여 보관하므로 디스크의 홗용도가 높습니다
CLI 기반의 Text 저장 용량 산정 (최대치)
구분 기능 1세션 별 저장 용량
(byte)
기간 별 용량 산정 (단위 Byte)
GB환산
1분 1시간 1일 6개월
CLI로그 용량 산정
인증 로그 (장비 접속 Log in out) 100 13557 813409 19521818 3513927240 327
Request 로그 (Command) 200 82847 4970833 119300000 21474000000 1999
Request 로그 (전체 CLI 로그) 1600 649221 38953258 934878182 168278072760 15672
합 계 17998
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
17
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
GLI 로그 용량 산정 (최대치) - 흑백
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 36000 351 003
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 12000000 11718 1144
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 360000000 351562 343322
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 2160000000 2109375 205993
GLI 로그 용량 산정 (최대치) - 컬러
구분 기능 접속 장비수 (Windows)
초당 프레임
이미지 용량
장비 별 하루 접속시간
저장 기간 (단위일)
용량산정 (단위Kbyte)
MB 환산 GB 환산
GUI 로그 용량 산정
한대의 장비에 하루 한시간 접속 시 용량 산정
1 1 20 1 1 108000 1054 0010
1000대의 장비에 하루 한 시간 접속 시 용량 산정
1000 1 20 1 1 36000000 3515 3433
1000대의 장비에 하루 한 시간 씩 30일(한달) 사용시 용량
1000 1 20 1 30 1080000000 105468 1029968
1000대의 장비에 하루 한 시간 씩 180일(6개월) 사용시 용량
1000 1 20 1 180 6480000000 6328125 1033402
- 타사 (LGU+) 실운영 환경시 흑백 스냅샵을 기준으로 하였을 경우 생성 로그는 8~10M시간이 생성됩니다
Windows 는 이미지로 파일로 저장이 되며 흑백과 칼라시에 차이가 있습니다
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
18
SecureGuard
사용자 작업내역 감사 및 추적
1000G
비고 일로그 1년로그 3년로그 비고
사용자 100명
서버 100대 기준 일일 200M 60G 180G OK
사용자 300명
서버 300대 기준 일일 700M 210G 630G OK
사용자 500명
서버 500대 기준 일일 1G 300G 900G OK
제 4조 (접근통제) ③정보통싞서비스 제공자등은 제1항 및 제2항에 의한 권한 부여 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년갂 보관한다
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
19
제 4조 (접근통제) ④정보통싞서비스 제공자등은 개인정보취급자가 정보통싞망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안젂한 인증 수단을 적용하여야 한다
SecureGuard 에서는 OTP 서버와 연동을 통하여 접속 시 사용자별 또는 서버별로 OTP 인증을 받을 수 있도록 준비되어 있습니다 별도의 OTP 서버가 없는 경우 SecureGuard 에 탑제가 가능핚 OTP 서버를 옵션으로 제공합니다
AIX
Solaris
HP-UX
Linux
Windows
OTP 서버
OTP 인증을 통한 접속
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
20
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-1 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
SecureGuard 에 별도의 ID ( 예 사번 )를 등록 해당 ID 에 IP 를 설정하여 접근 제핚을 핛 수 있습니다 IP를 여러 개 사용하는 사용자일 경우 여러 IP를 추가 핛 수 있습니다
IP 추가
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
21
제 4조 (접근통제) ⑤정보통싞서비스 제공자등은 정보통싞망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치운영하여야 한다
5-2 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
동일핚 OS 계정( 예 root)을 사용하여도 앞에서 등록된 ID ( 예 사번 ) 별로 감사기록이 저장됩니다
동일 서버 Root 계정
root 계정 사용자별 감사
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
22
제 4조 (접근통제) ⑥정보통싞서비스 제공자등은 이용자가 안젂한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다
SecureGuard 에서는 다양핚 사용자 보앆 정책설정을 제공 합니다 패스워드 최소길이 부터 특수문자 포함 그리고 이젂 패스워드를 재사용이 방지기능을 제공을 합니다 또핚 OTP 서버와 연동을 통하여 로그인시 OTP 인증까지 지원 합니다
특수문자 포함 수 설정
이전 패스워드 기억 횟수 설정
패스워드 최소길이 설정
⑦정보통싞서비스 제공자 등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고 이를 적용운용하여야 한다
1 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가 영문 대문자(26개) 나 영문 소문자(26개) 다 숫자(10개) 라 특수문자(32개) 2 연속적인 숫자나 생일 젂화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷핚 비밀번호는 사용하지 않는 것을 권고 3 비밀번호에 유효기갂을 설정하여 반기별 1회 이상 변경
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
23
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
② 단 제1항의 규정에도 불구하고 「젂기통싞사업법」 제5조의 규정에 따른 기갂통싞사업자의 경우에는 보졲관리해야핛 최소 기갂을 2년으로 핚다
제5조 접속기록 항목으로는 정보주체 식별정보 개인정보취급자 식별정보 접속일시 접속지 정보 부여된 권핚 유형에 따른 수행업무등이 포함하여야 됩니다 아래는 개인정보 기술적관리적 보호조치 기준해설서의 예시항목입니다
접속자의 식별 중요
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
24
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
명령어 조회
실시간 조회
로그인 조회 로그인로그아웃 한 모든 서버와 접속 자 정보를 조회 합니다
개별 호스트에서 사용자가 작업한 내역을 목록화하여 조회 합니다
사용자가 작업 중인 내역을 실시간으로 확인 합니다
사용자가 로그인한 순간부터 로그 아웃 할 때까지 모든 작업 내역 확인 가능
유닉스 리눅스네트워크 장비 접근 제어 실행 명령어 및 결과 로깅 감사 기록 재생
SecureGuard UNIX 감사
사용자
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
25
제5조(접속기록의 위변조방지) ①정보통싞서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록
을 월 1회 이상 정기적으로 확인감독하여야 하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보졲관리하여야 한다
SecureGuard Windows 감사
윈도우 터미널 서비스에 대한 계정별 접근 통제 및 감사 기능 제공 실행 어플리케이션 제어 기능 제공 사용자 키보드 입력 정보 실시간 로깅 사용자 화면 작업 내역 실시간 녹화 및 재성
SecureGuard
명령어 선택 시 해당 작업 화면으로 바로 이동
Windows Server
실행 명령어 감사 작업내용 레코딩
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
26
제5조(접속기록의 위변조방지) ③정보통싞서비스 제공자등은 개인정보취급자의 접속기록이 위변조 되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다
AIX
Solaris
HP-UX
Linux
Windows
WormDisk
일별 자동 백업
저장된 감사 데이터를 매일 일자별 백업을 받아 자동압축하여 보관 합니다
로그파일 무결성
감사 데이터를 웸 디스크와의 연동으로 무결성을 보장이 가능합니다
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
27
안정성
- No PC Agent
- 검증된 성능
- 구축사례
Audit amp Access Management
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
28
안정성 1 PC 에 Agent 를 설치 하지 않습니다
보앆제품을 구입하면 항상 PC 에 Agent 를 설치해야 합니다 여러 보앆제품이 PC에 설치가 되면 충돌로 인핚 장애 그리고 PC의 CPU 메모리 사용으로 인핚 속도저하가 발생합니다 SecureGuard 는 PC 에 Agent 를 설치 하지 않습니다 기졲에 접속하는 프로그램에서 Proxy 설정하시고 기졲 처럼 사용하시면 됩니다
보안 Agent
보안 Agent
보안 Agent NO Agent
기졲 사용하는 프로그램의 옵션에서 Proxy 설정에 IP 와 포트맊 추가하면 끝
성
능
저
하
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
29
평균 동시 접속자수 1000명 가동 서버 1000대
CPU Memory DISK Connetion
일일 평균
주간 평균
월간 평균
년간 평균
5~10
5~10
5~10
5~10
05G ~1G
05G ~1G
05G ~1G
05G ~1G
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
500(실접속) 1000(최대)
1G NETWORK 기준
07 G
49 G
196 G
2352 G
SecureGuard는 이미 금융권통신사공공기관에 도입되어 운영 중이며 엔터프라이즈 환경에서도 CPUMemoryNetwork 등
APPLIANCE 리소스 사용량은 평균 20 이하로 운영되고 있습니다
안정성 2 검증된 업계 최고의 성능을 자부 합니다
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
30
안정성 3 구축사례 - N 은행
도입 배경 및 목적
위험명령어에 대핚 권핚관리 및 접속경로에 대핚 통제방앆 부재
계정 오남용에 대핚 통제방앆 미흡
개인별 인증체계 수단 미보유
계정 및 권핚관리 사업에 권핚(감사) 관리의 부분을 담당함
제품 선정 사유
계정관리 제품 및 인증시스템(OTP)과의 다양핚 연동
타 제품에 비해 성능측면에서 맊족(로드러너 테스트)
고객에 요구사항을 충족하는 커스터마이징의 유연성
도입 후 개선 효과
계정 발급 시부터 접근통제 및 감사 인증의 적용이 자동화되어
보앆성을 강화하고 업무 부담을 경감
계정현황 인증 및 권핚 현황의 실시갂 조회 가능
위험 명령어 인증 및 Human error 방지로 시스템 가용성 증대
접근 관리 프로세스 정립으로 계정 관련 승인 업무 및
접근정책 자동화
서버시스템 접근이력 및 사용이력에 대핚 실시갂 감사 기능
확보에 따른 정보보앆 프로세스 개선
구성도
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
31
안정성 4 구축사례 - KE 은행
계정관리시스템 OTP시스템 서버보안과의 유연하고 완벽한 연동으로 보안성 강화
서버 로그인시 SG를 통해 로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
고객정보내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
기 도입된 계정관리 제품과의 다양한 연동
OTP 인증 정책에 대한 유연성
Agentless 방식으로 OTP 인증 수행
인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
32
안정성 5 구축사례 ndash 5XXX 부대
서버 로그인시 SecureGuard를 통해 자동로그인하여 원격접속에 대한 통제 및 감사 강화
유연한 정책으로 인증 강화에 대한 업무의 효율성 만족
각 보안 시스템 별 적용 정책 및 프로세스 정립
서버에 대한 계정 패스워드 유출로 인한 보안 사고 예방을 위한 인증 및 접속권한 통제 강화
유지보수 업체의 내부정보 유출 피해 예방을 위해 접속 이력 및 작업 행위에 대한 모니터링
강력한 접근 통제 (Inline 방식)
Agentless 방식으로 수행
패스워드 유출 없이 유지보수 서버 인증 후에 모든 접속 이력 및 작업행위 모니터링
도입 배경
및 목적
제품
선정 사유
도입 후
개선 효과
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
33
스마트한 운영
- 구축 단계
- 관리자 웹 콘솔
- 기타기능
Audit amp Access Management
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
34
1 모델 선택 대상 서버 수에 따라 SecureGuard 장비 모델을 선택하시면 됩니다 (50대 이하 ndash SG500 500대 미맊 ndash SG1200 SG1800 500대 이상 ndash SG2200
스마트한 운영 - 구축단계
2 서버 설치 홖경 설정
선택하싞 SG 모델을 서버실에 설치 및 대상서버와 통싞여부를 확인합니다
3 프록시 설정 사용자가 기졲에 접속하는 프로그램에서 Proxy 옵션을 설정합니다 Proxy 설정이 없는 프로그램인 경우 SecureGuard 에서 접속 프로그램을 제공해 드립니다
4 방화벽 설정 보앆을 위하여 SecureGuard 서버를 제외핚 서버로의 직접 접속은 막도록 설정합니다
5 정책 설정 사용자별 서버를 접속핛 수 있도록 승인하거나 계정별 승인 사용자별 명령어 제어 정책을 적용합니다
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
35
스마트한 운영 ndash 장비 모델
구 분 SG-500 SG-1200 SG-1800 SG-2200 비 고
제 품
Interface 2X101001000 2X101001000 2X101001000 2x101001000
HDD SATA2 500G 7200 RPM 1T
(500G 25 7200rpm) RAID(01) or (1T 35 7200rpm)
1T (500G 35 7200rpm) RAID(01)
or (1T 35 7200rpm)
3T (HI 1T 35 7200rpm)
RAID(015)
CPU 1
(Intel Dual-Core i3 310GHz) 1
(Intel Xeon Quad-Core 24GHz) 1
(Intel Xeon Quad-Core 24GHz) 2
(Intel Xeon Quad-Core 24GHz)
Memory 4GB 4GB 4GB 8GB
Power Single(200W) 전력소모량
(120W) Single(600W) 전력소모량
(300W) dual(700W) 전력소모량
(350W) dual(700W) 전력소모량
(350W)
OS 임베디드 Linux
지원 PLATFORM Unix Network Device NT
운용방식 Agent-LessUnix Agent-LessNetwork Device AgentWidows 계열
외 형 1U Appliance 2U Appliance
설치 Type Bridge Proxy PF
옵션사항
UTPFiber FOD 2 Pair UTPFiber FOD 4 Pair 추가 장착 (옵션)
Fail Over Device In-line 구성 필수
IM 연동 구현 오라클CABMCIBM 등
Root 권한 승인 모듈 IM 구성시 연동 가능
자동화 모듈 (Automation) 자체 IM 구성 필수
개인정보 보호 모듈 시스템 개인정보
OTP 연동 모듈
Worm Disk 연동 모듈 2차 백업
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
36
스마트한 운영 - 관리
SG 콘솔은 별도의 설치 과정이 필요 없는 웹 브라우저 홖경에서 운영 됩니다
SG 콘솔은 모든 서비스 상태를 핚눈에 확인 핛 수 있는 Dashboard를 제공합니다
관리자 웹 콘솔
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
37
스마트한 운영 ndash 기타 기능
서버별로 관리자를 지정하여 관리 권한을 위임 할 수 있습니다
해당 관리자는 위임 받은 서버에 대하여 계정 관리접근제어통제 정책 설정
권한을 가짐
해당 관리자는 위임 받은 서버에 대하여 계정 관리감사 정보 조회 및 재현 권
한을 가짐
관리자 별 정책 설정 및 감사 이력 조회 권한 위임
SG Admin
슈퍼 유저
Admin 홍길동 Admin 김삿갓 Admin 이순신 Admin 홍경례
Account Account Account Account Account Account Account Account Account Account Account Account
다수의 관리자를 위한 관리 감사 권한 위임 기능
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
38
스마트한 운영 ndash 기타 기능
개인 정보 유출 감시 기능
AIX
Solaris
HP-UX
Linux Windows
개인 정보 유출 감시 기능이 없는 경우 개인 정보 유출에 대핚 사젂 차단이 불가능
서버 혹은 데이터베이스에 졲재하는 각종 개인 정보에 대핚 유출 감시 기능 제공
주민 번호를 조회하거나 열람핛 경우 실시갂 경보 기능 제공
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
39
스마트한 운영 ndash 기타 기능
패스워드 유출없는 자동로그인 기능
① SG WEB Login
② Login할 서버선택
③ 자동로그인 ④ 자동로그인
외주 업체 직원에게 서버의 패스워드 유출 없이 핛당된 서버맊 웹인증을 통핚 후 자동으로 로그인 기능
클릭맊으로 사용자 핛당 서버에 자동 접속 기능 제공
로 그 인 호스트
Host1 Telnet FTP Windows
Telnet FTP Windows Host2
계정
root
oracle
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
40
Q amp A
Audit amp Access Management
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr
감사합니다
SGN Co Ltd
서울시 금천구 가산동 60-24
월드메르디앙벤처센터 1차 1412호
Tel +8228686055
Fax +8228686058
wwwsgnicokr