정보유출방지통합관리 솔루션 구축 사례 · 2009-03-19 · 롯데정보통신 ......
TRANSCRIPT
정보유출방지통합관리 솔루션
구축 사례
김동우 수석
롯데정보통신 보안컨설팅사업부
목차
I. 시스템 구축 배경
II. 시스템 구축 전략
III. 단계별 시스템 구축
IV. 기대 효과
V. 고려사항 및 발전 방향
VI. 맺음말
- 3 -
I. 시스템 구축 배경
정보보호 사고 동향
A인터넷 쇼핑몰 해킹사고 정보유출, 무려 ‘1081만명’
(조선일보:2008-04-17)
한국인 2명이 중국인 해커 2명을 고용, 해킹을 통해 데이터베이스(DB)內 개인정보를 탈취 후 개인정보를 판매하려고 함
A의 콜센터에 근무하는 정 모 씨 등 자회사 직원 2명과 정씨의 고교 동창, 그리고 강남유흥가 뒷골목에서 개인정보가 담긴 DVD를 주웠다며 언론사에 제보한 24살 김 모 씨등으로 7월부터 직원 아이디로 고객정보를 빼내 이를 엑셀파일로 변환해 유출
외부해킹
D조선사의 선박건조기술 유출 시도
(국가정보원:2007-7)
국내 굴지의 D조선사의 선박건조기술을 통째로 전직 기술팀장인 엄모씨가경쟁업체인 중국 M사로 이직하며 36만건의 자료를 외장형 하드디스크를 이용하여유출시도 하였으나 국정원에 적발되어 35조원에 이르는 피해 발생 예방
산업스파이피해 증가
A사 고객 1,100만명 개인정보 유출
(YTN:2008-09-08)
개인정보/내부 기밀
탈취
- 4 -
- 내부 인력에 의한 정보 유출 피해 심각•외부의 해킹에 의한 침해사고뿐만 아니라 내부 인력에 의한 정보유출 빈도 및 피해 금액 증가
- 개인정보의 오남용에 대한 관심 고조•CRM, 타겟 마케팅 등 기업의 수익 창출을 위해 고객정보 활용도가
높아짐에 따라 이에 대한 역기능 대두
- 다양한 정보유출 방지 솔루션 도입에 따른 업무 과중•DRM, USB 보안 솔루션, DB접근 통제 솔루션, 인터넷 접근차단 및 모니터링
솔루션 등의 도입은 활성화되고 있으나 이에 대한 관리 포인트 증가 및 다양한
로그의 통합 분석의 어려움 대두
개인정보 침해사고 증가개인정보 침해사고 증가
23,333
25,965
개인정보 피해구제상담신고 건수
11,973
92,682
홈페이지 개인정보노출건수
내부자에 의한 정보유출내부자에 의한 정보유출
내부직원및 용역업체 등에 의한 중요정보 유출 비율 증가
70%
내부자 정보유출 비율
I. 시스템 구축 배경
기업의 정보보호 최근 이슈
- 5 -
통합관리
시스템 관리자 효율적인 운영
데이터 수집및 분석
HOW
WHAT
WHO
정보유출패턴룰적용
DRM
보조 억장치유출방지시스템
인터넷 차단시스템
RFID를 통한자산반출입 시스템
무인업무자동화
출력물
노트북/PC
메신저/웹메일/인터넷
내부자
정보유출경로
DB접근제어시스템
자동화보호시스템
USB/ 저장매체
개별 구축된 정보유출 차단 시스템의 증가와 분석 업무의 다양화로 인해 관리 인력 및 통합 모니터링의 한계가 대두되고
있으며 다양한 유출 시도 및 경로에 대한 추적의 어려움이 발생하고 있음, 따라서 정보유출 관련 로그의 통합과 누가,
어느 정보를, 어떻게 유출하려는 시도를 했는지에 대한 패턴을 분석하고 감사할 수 있는 시스템을 구축
정보유출방지 통합관리 시스템
II. 시스템 구축 전략
시스템 구축 목표
- 6 -
정보 유출의 예방 및 신속한 추적성을 제공할 수 있는
정보유출 경로 및 유형의 효과적인 분석을 통한 시나리오 수립
개별 시스템의 다양한 로그 수립과 신속한 통합분석 기능 구현
향후 시스템 확장성을 고려한 유연한 시스템 구축
최적의 시스템 구축
보안성 호환성 정확성 안정성 연동성
II. 시스템 구축 전략
시스템 구축 전략
- 7 -
§ 보안위험요소구조 정의
§ 관리대상 선정 및
보안위험요소 도출
§ 정보 임계치 및 위험값 정의
§ 대상 시스템 운영현황파악
§ 대상시스템 세부기능 및
이벤트 /유출로그 분석
§ 대상시스템 레포팅 결과 분석
§ 대상 시스템의 세부 기능 및
이벤트로그, 레포팅 분석결과
등을 고려하여 실효성 있는
시나리오 수립
현황분석 보안위험요소구조 정의
정보유출시나리오 수립
III. 단계별 시스템 구축
정보 유출 시나리오 수립(컨설팅)
- 8 -
보안 위협요소 구조 정의
Who? What? How to?
정보전송정보전송
장비/문서 반출장비/문서 반출
매체반출매체반출
관리대상자(TA)
일반 사용자(TB)
정보전송 우회시도(TG)
매체저장 우회시도(TF)
주요자료수집(TC)
주요자료수집(TC)
정보유출 전 보안 Event
전송/반출 승인(TH)
위험요소 접근시도(TD)
위험요소 접근시도(TD)
출입시도(TE)출입시도(TE)
대상정보수집이벤트 정보유출시도 이벤트
결과
위험
Action
보안위험
요소
구조정의
KeyQuestion
Key Question (Who? What? How to?)을 통해 보안위험구조를 정의: 대상 -> Action -> 결과
III. 단계별 시스템 구축
정보 유출 시나리오 수립(컨설팅)
- 9 -
정보유출시나리오
내부 중요자료에
대하여 누가(Who?)
무엇을(What?)
어떠한 방법(How to?)
으로 유출하는가에
초점을 맞추어 수립된
각본으로써, 해당
시나리오를 통해 중요
관리대상의 정보
유출경로에 대한
사전 파악이 가능 함
정보 유출 시나리오 수립
III. 단계별 시스템 구축
정보 유출 시나리오 수립(컨설팅)
- 10 -
구 분 내용
정보유출
시나리오 1
퇴직자는 개인정보 DB 접근을 통해 해당 개인정보 100만 건을 개인 PC에 다운로드 PC반출승인
결재완료나 저장매체 사용승인 결재완료가 되지 않은 PC 저장매체로 복사 후 유출시도
정보유출
시나리오 2
퇴직예정자 또는 진급누락자 중에서 정보전송 사용 승인신청을 하고
본인이 승인을 한 임직원(부서장급 이상)에 대해 중요정보 유출 여부
정보유출
시나리오 3업무시간 이외에 중요 정보에 접근한 후 암호화 해제 행위
• 보안 프로세스 Kill 후 매체사용
• 안전모드 부팅 후 매체사용
• 멀티 OS 부팅 후 매체사용 등
• 보안 프로세스 Kill 후 매체사용
• 안전모드 부팅 후 매체사용
• 멀티 OS 부팅 후 매체사용 등
비인가된 행위비인가된 행위
Yes
관심대상자 등록비인가된 행위
집중분석
정상행위
No
정보 유출 시나리오 예시 및 대응 절차
정보유출시나리오 해당
위반자 적발/징계
내부 직원
III. 단계별 시스템 구축
정보 유출 시나리오 수립(컨설팅)
- 11 -
`
관리자관리/모니터링
데이터마트
분석실무자정형/비정형장표
경영층비주얼분석
통합모니터링
유출로그분석
Alert,추적
분석시스템
업무로그, DRM, DB접근제어시스템 등 총28개 시스템연동
Alert
수집DB
데이터 가공
보안로그실시간수집
AAA
정보유출방지 통합관리 시스템
대시보드
기구축된 시스템
보안로그수집
정보유출패턴 룰
신규구축 관심대상자
직원소명 입력
소명정보
정보유출 관련 시스템의 로그 수집 및 분석 시스템 개발
III. 단계별 시스템 구축
시스템 구축
- 12 -
`
구축 시스템 UI
III. 단계별 시스템 구축
시스템 구축
- 13 -
`
구축 시스템 UI
III. 단계별 시스템 구축
시스템 구축
- 14 -
- 분석 업무효율의 증대
- 시나리오 기반의 로그 분석으로 사전 유출 징후 감지
- 정보 유출 시나리오 분석시 잠재적 위험 요소 도출
- 장기적인 위험 요소 관리 및 분석으로 지속적인 관리
잠재적 위험요소 발견 및 제거
다양한 정보유출 관련 이벤트의 종합 분석
보안사고 발생시 신속한 분석 및 추적
IV. 기대 효과
- 15 -
유출관련 로그의 사전 확보 필요
업무, 산업별 유출 시나리오 Pool 확보 필요
외부 침입과 연계한 종합 분석 시스템으로 발전
V. 고려사항 및 발전 방향
- 16 -
1건의 대형사고가 발생하기 전에
29건의 소형사고가 발생하고
300건의 잠재적 사고요인이 존재
하인리히 법칙
VI. 맺음말
고객의 가치 창출 노력과 함께하는롯데 보통신이 겠습니다.
고객의 가치 창출 노력과 함께하는롯데 보통신이 겠습니다.