s-it it융합의보안 - dism.co.kr문서사용 생성시 암호화 안 문서 안 문서 공유...
TRANSCRIPT
내부정보 유출 방지를 위한근본적 보안 대책
파수닷컴
김미현 마케팅팀장
S-IT IT융합의 보안
목 차
1. 보안 시장 동향
2. 내부 정보 유출 방지 요구 사항
3. 산업 기술 보호 대책
4. 개인 정보 보호 대책
5. DRM 도입 전략
6. About FASOO.COM
7. Summary
1. 보안 시장 동향
보안 시장 동향
해킹
바이러스취약점 공격 정보 유출
환경의 변화
보안 시장 동향
네트워크 보안 시스템 보안 데이터 보안시스템 보안
해킹
바이러스취약점 공격 정보 유출
보안 대책의 변화
보안 시장 동향
보호해야 하는 정보 유형과 유출 경로 다양화
보안 시장 동향
사내
네트워크
사내 정보시스템
(ERP/KM/EDM/ECM/VPN/DBMS)
외부
네트워크
외부 협업
외부 발송
외부 반출
매체 보안
(보안USB)
해킹, 스팸,
피싱, 웜/바이러스
네트워크 및 시스템 보안
(방화벽/VPN/IPS)
외부 유출 차단
(DLP)
출력물 보안
(프린트보안/워터마킹)
서버 보안(Secure OS)
PC 보안
(UTM/키보드보안/암호화)
다양한 IT 보안 솔루션 검토
2. 내부 정보 유출 방지 요구 사항
내부 정보 유출 방지 요구 사항
사내
네트워크
사내 정보시스템
(ERP/KM/EDM/ECM/VPN/DBMS)
외부
네트워크
외부 협업
외부 발송
외부 반출
매체 보안
(보안USB)
해킹, 스팸,
피싱, 웜/바이러스
네트워크 및 시스템 보안
(방화벽/VPN/IPS)
외부 유출 차단
(DLP)
출력물 보안
(프린트보안/워터마킹)
서버 보안(Secure OS)
PC 보안
(UTM/키보드보안/암호화)
데이터에 대한근본적 보안 대책
내부 정보의 근본적이며 지속적 보안
내부 정보 유출 방지 요구 사항
DRM = Core Security Infrastructure
3. 산업 기술 보호 대책
산업 기술 보호 대책
2003년 이후 124건 발생(405명 연루)
총 170조원의 피해 규모
6
26
2931 32
연도별 산업기밀 유출현황 (단위: 건)
(자료: 국정원, 2007년)
2003년 2004 2005 2006 2007
구분 전체 읷반중소기업 벤처 이노비즈 벤처/이노비즈
비율(%) 15.3 13.115.2 17.8 16.6
혁싞형 중소기업: 16.6%
기업 유형별 산업기밀 유출현황
*기술유출 주요원인 : 보안관리 허술과 보안의식 부족
(자료: 한국산업기술짂흥협회, 2008년 8월)
산업 기술 보호 대책
22조원 날릴뻔한 현대기아차 원천기술 유출 사건 (매읷경제 2007/05/10)
예상 피해액 22조3000억원으로 추정되는 국내 최대 `산업스파이` 사건…. 전ㆍ현직 직원 9명 적발
‘78兆 가치’ 조선기술 중국으로 넘어갈뻔 (경향싞문 2007/07/31)
자싞이 근무하던 국내 굴지의 조선업체에서 핵심 조선 기술을 모두 빼돌린 뒤 중국 조선업체에 이를 넘기려 했던 모중공업 업체 부사장 엄모씨(53)를 붙잡아…자료가 전부 중국으로 유출돼 기술격차가 3년가량 줄어들었을 경우 매년 15조5000억원 가량, 향후 5년간 78조원에 달하는 천문학적읶 손실이 발생했을 것으로 추정
기술유출 방어 취약 `국부가 샌다` (디지털타임스 2008/08/13)
최근 3년간 중소기업에서 산업기밀의 외부 유출로 읶핚 피해 경험 – 1회 : 15.3%, 2회 이상 : 44.5%, 3회 이상 : 18.3% 산업기밀 유출 1건당 피해액 – 평균 9억1000만원, 매출액 대비 8.7%의 손실
중소기업 17%가 핵심 기술유출 경험있다 (아이티데읷리 2008/05/19)
최근 5년 동안 132건 기술유출 사건을 적발…피해규모는 200조원 정도….이 가운데 중소기업의 기술유출이 전체의 65%....
산업 기술 유출 사례
산업 기술 보호 대책
< 국가정보원 ; 첨단 산업기술 보호 동향>
전체 읷반 벤처 이노비즈 벤처/이노비즈 복사/젃취 이메읷 읶력스카웃 협작/공통 관계자매수
유출현황 유출방법
17.8%
16.1%
18.5% 17.9%
19.4% 18.7%39.4%
20.7%30.5%
13.1% 13.1%
퇴직사원 현직사원 협력사원 경쟁업체직원 보안의식부족 보안관리허술 처우불만 개읶이익추구
유출관계자 유출원인
62.9%23.5%
23.5% 23.5%9.9%
24.8%
12.4%13.7%
산업 기술 유출 유형
산업 기술 보호 대책
H사 적용 사례 / 배경
• CAD Data를 국내・해외와 주고 받고 있음
• 「외부설계 협력회사에 설계 업무의 위탁을 실시」하고 있으며,
「서플라이어에게 부품, 제품의 가공을 의뢰」등의 업무형태를 회사정책
으로 실시하고 있음
• 사내에도 많은 수의 Guest Engineer가 CAD를 사용하여 설계하고 있
음
• 지금까지의 물리적인 감시, 계몽 등으로는 부정한 정보유출의 방지는
현실적으로 어렵다고 판단
• CAD Data를 회사의 중요한 자산으로써 인식하고 있음
근본적인 대책이 필요한 상황이며, CAD Data의 열람/편집을
제어할 필요가 있으며, 개발 부문 전체에 최대한 빠른 속도로
대책을 수립할 필요가 있음
산업 기술 보호 대책
설계자 관점
관리자 관점
• 쉬운 클라이언트 모듈 설치
• 평소의 설계 업무 프로세스 유지 (별도 교육 불필요)
• 중앙 관리 및 통제 (국내/국외)
• 젂체 Data의 흐름이 trace 가능
• 긴급 시에 암호화 Data를 다른 수단으로 사용 가능
• 항상 암호화된 상태가 유지
• IEP(I-deas Enterprise)와의 연계
• TDM(Team Data Management)와의 연계
H사 적용 사례 / 도입 요건
산업 기술 보호 대책
선정이유
• 사용자가 의식하지 않는다
(인증 이외에는 통상의 CAD 조작을
그대로 유지)
CAD Data의 유출 위협
CAD데이터를 보졲 및외부 전달시에 암호화
복호화후에도 CAD기능을 제어하여
Export등의 조작을 제어
암호화 CAD 기능 제어
해외로 송부하는CAD Data의 유출위협
CAD-Data유출방지 솔루션FSN (Fasoo Secure Node) • CAD의 커스터마이즈를 실시하
지 않는다
(CAD API를 이용한 커스터마이즈 등)
• 영속적인 CAD-Data의 보호
(기능 제어와 권한 정책의 중앙관리)
• 충실한 감시기능
(Data의 유출 등을 Tracing 가능)
H사 적용 사례 / 선정 이슈
산업 기술 보호 대책
H사 적용 사례 / 적용 구조
설계외주사H사 생산거점 (지방)
TDM
H사 생산거점 (지방)
TDM
H사 해외그룹사
IEPTDM
설계외주사
TDM
H사 Main공장
TDM
IEP
국내 해외
암호DataUser PCData의 흐름(Internet)
Data디스크Data의 흐름(전용선)
TDM
DRM Server
DRM Server
4. 개인 정보 보호 대책
개인 정보 보호 대책
<정보통싞망 이용촉짂 및 정보보호 등에 관핚 법률>
동의 없는 개인정보 수집
수집 시 고지 또는 명시 의무 불이행
과도한 개인정보 수집
고지/명시 범위를 초과한 목적 외 이용 또는 제3자 제공
개인정보처리 위탁 시 고지의무 불이행
개인정보보호 기술적/관리적 조치 미비
개인 정보 침해
개인 정보 보호 대책
‘1명’이 개인정보 ‘900만 건’ 보유…대부업자가 사들여(국민일보 2008/07/27)
해외로 유출된 수백만건에 달하는 개인정보가 마치 ‘상품’처럼 판매돼 온 사실이 밝혀져 …
중국에서 한국인의 개인정보를 파는 해커들이 상당수 있는 만큼 실제로 유출된 개인정보의 전체 규모는이보다 더욱 클 것….
http://www.kukinews.com/news/article/view.asp?page=1&gCode=soc&arcid=0920982929&cp=nv
사상 최대 개인정보유출, 옥션 소송 줄 이을 듯(매일경제 2008/04/18)
옥션 해킹사고로 주민등록번호 등 개인정보가 유출된 회원 수가 현재까지 1천81만명에 달한 것으로파악…
이는 옥션 전체 회원 1천800만명의 60%에 해당하는 규모로, 지금까지 국내에서 발생한 개인정보유출사고 가운데 최대규모이며, 특히 현재 진행중인 손해배상 소송 움직임 등과 맞물려 적잖은 파장이예상…
http://news.mk.co.kr/outside/view.php?year=2008&no=235227
대부업자가 미국인 해커 고용…저축銀 7곳서 고객정보 빼내(동아일보 2008/05/28)
국내 저축은행 106곳을 대상으로 해킹을 시도해 이 중 S은행 등 7곳의 전산망을 뚫어 신상정보와계좌번호, 예금액, 대출정보 등 300만 건의 고객 금융정보를 훔쳐…
http://www.donga.com/fbin/output?n=200805280128
대규모 사고
증가
법정 분쟁으로
비화
해킹 등 전문적
유출 시도
개인 정보 유출 사고 동향
개인 정보 보호 대책
개인 정보 유출 사고 동향
Online Market Place
A사
Cracking
Oil Refinery
G사
Leakage
Mobile Telco
L사
Cracking
Broadband Telecom
H사
Leakage
개인 정보 보호 대책
주요 내용 영 향
법 적용 범위를 민갂으로 확대
개인정보 수집/이용/제공 등보호기준 규정
고유식별정보(주민등록번호) 처리제한 강화
모든 기업/기관에 개인정보 관리의무와 책임 부여
침해에 대한 손해배상책임 강화
다양한 기술적 대책을 요구. 보안 투자비용 급증 예상
주민번호가 아닌 대체 인증 수단 마련
기업/기관의 무과실 입증 못할 경우개인정보 관리 책임
행정안전부
2008.8.12, 개인정보보호법 제정(안) 입법 예고
개인 정보 보호 대책
유통수집/보관
Data
Paper
개인정보
Web Application
C/S Application
조회
인쇄
저장
무단 접근
DB 유출
화면 캡처
무단 출력
파일 유출
개인 정보 유출 위협
DB 관리자
내부 임직원
영업 위탁점협력업체
개인 정보유출 시도자
상담원텔레마케터
개인 정보 보호 대책
유통수집/보관
Firewall, IPS, UTM, 서
버 보안, DB 보안, EAM,
Anti Virus & ETCDRM
Data
Paper
개인정보
Web Application
C/S Application
조회
인쇄
저장
무단 접근
DB 유출
화면 캡처
무단 출력
파일 유출
개인 정보 보호 기술
화면보안
출력물보안
문서보안
DB암호화
계정보안
개인 정보 보호 대책
개인 정보
Web Application C/S Application OA Application Printer
인쇄 차단
소스 보기 차단
화면 캡처 방지
화면 캡처 차단
파일 암호화
열람 제어
편집 제어
출력 제어
사용자 정보 출력
저작권 정보 출력
경고 문구 출력Copy & Paste 차단
화면 보안 문서 보안 출력물 보안
Features
Target
Type
ProductFSW
XDRM-WFSS
FSD / FSN /
FSE / FSFFSP
개인 정보 보호 솔루션 Line-Up
2005년 12월
금융감독원 개인신용정보
관리보호 지침 시행- 업무 목적 외 사용 및 제3자 제공 금지
- 고객 정보 송수신 시 정보 유출 방지
- 내부 통제장비 시스템 구축 의무화
온라인을 이용한 상품 및 서비스의다변화
전산 처리되는 고객 금융 정보 보호에대한 필요성
E사 적용 사례 / 배경
업무 목적의 개인 정보 저장 불가피
금감원 보안 지침 준수를 통한 대외 신뢰 확보 필요
임직원에 의한 고객 정보 유출 위험을 근본적으로 제거할 수 있는
기술적 대책 필요
개인 정보 보호 대책
E사 적용 사례 / 도입 전략
고객 금융 정보의 안젂한 보호
고객 정보 파일
생성 시 보안고객 정보 무단
열람 차단고객 정보 사용
이력 관리고객 정보 무단
반출 차단
목표
젂략
방법
고객정보 시스템에서저장(Export)되는개인 정보 파일은자동 암호화 되어야함
암호화된 정보는 사용중 임시 파일로복호화되지 않아야 함
암호화된 정보는캡처나복사/붙여넣기로유출되지 않아야 함
고객 정보 파일은권한이 있는 사람만열람할 수 있어야 함
PC에는 보안 파일을열람하기 위한 젂용Agent가 설치되어야함
젂용 Agent는사용자를 고유하게식별하는 기능이있어야 함
고객 정보 조회화면을 무단으로캡처하거나 저장할 수없어야 함
고객 정보 파일은무단 반출 시 열람 할수 없어야 함
권한이 있는 사용자도사외에서는 고객 정보파일을 열람할 수없어야 함
사용자가 암호화된고객 정보 파일을열람/편집/저장/인쇄한 이력을 모두 기록해야 함
기록된 사용 이력은사후 붂석을 위해검색/통계 기능을제공해야 함
개인 정보 보호 대책
E사 적용 사례 / 적용 구조
본 사 지 점
업무용 PC
고객정보 시스템 DRM 서버
업무용 PC
고객정보파일 암호화
암호화 유통
사용자 인증로그 수집
고객 정보 다운로드 시 암호화
고객 정보 열람 시 사용자 인증
고객 정보 사용 이력 로그 젂송
파수닷컴 DRM Client
권한 제어(열람/편집/저장/인쇄)
캡처 제어(PrtSc, 캡처툴, 원격접속)
사용자 인증(SSO 연동)
개인 정보 보호 대책
5. DRM 도입 전략
DRM 도입 전략
문서 사용
생성 시암호화
보안 문서
보안 문서공유
열람 시권한 제어
복호화 후 젂송(직접 또는 승인 후)
암호화문서
젂송 시열람 불가
원본 문서
암호화 문서
열람 시 권한 제어
외부 DRM 문서로변홖 후 젂송 시
열람 가능
업로드 시복호화
암호화모듈
복호화모듈
일반문서
다운로드 시암호화
제3자재 배포
공유 불가
저장매체를이용한 반출
불가
보안 문서업로드
편집 가능
문서 유통 환경 분석
문서 사용자
문서 사용자
외부사용자
외부사용자
외부사용자
업무 시스템
프린터 출력물 실명제 및
추적 관리
파일 서버의 공유
파일에 대한 암호화
및 권한 관리
협력업체 등 외부
제공 문서 암호화
및 및 권한 관리
웹 컨텐츠에
대한 캡처 차단
및
Copy&Paste
등 권한 제어
PC 생성문서
자동암호화 및
권한 관리
서버 업로드/다운로드
문서 암호화 및 권한 관리
DRMDRM문서보안문서보안
서버 DRM
외부전달
DRM
파일서버
DRM
출력물
DRM
웹컨텐츠
DRM
PC DRM
DRM 적용 영역
DRM 도입 전략
서버 문서보안 제품그룹웨어, EDMS, PDM 등 각종 정보 시스템과 연동하여서버에서 다운로드 받는 중요 문서를 유출 방지 및 실시갂권한 관리
PC 문서보안 제품PC의 문서 파일 생성 시 자동 암호화. 개인 PC 문서 유출방지 및 문서별 권한 관리
웹 컨텐츠 보안 제품웹 시스템에서 서비스하는 웹 콘텐츠의 무단 캡쳐, 유출 및사용을 방지하는 웹 콘텐츠 유출 방지 제품
파일서버 문서보안 제품파일 서버에 등록된 문서 파일을 유출 방지 및 폴더별 권한관리
출력물 유출방지 제품프린터 출력물 실명제 구현. 출력 시 워터마크 강제 인쇄. 출력 본문 내용의 텍스트/이미지 로그 기록 및 사후 추적/관리
협력업체 외부젂달 문서보안 제품사외 유통 문서의 제3자 무단 배포 차단. 사용자 제한, 열람기갂 및 횟수 제한, 실시갂 권한 제어 및 이력 관리 지원
하드웨어 일체형 웹 컨텐츠 보안 제품웹 콘텐츠의 유출방지와 웹 서버의 성능 향상을 제공하는세계최초의 DRM 어플라이언스 제품
FASOO.COM
Enterprise DRM Suite
DRM 제품 Line Up
DRM 도입 전략
1. 사용자 인증
2. 암복호화 API연동
3. 권한 API 연동
Server DRM
4. Upload 암호화/download 암호화
서버 DRM 도입 시 고려 사항
DRM 도입 전략
PC DRM
생성 시 암호화 대상 및 범위
노트북 외부 반출 허용 여부
문서 암호화 해제 권한 관리
PC DRM 도입 시 고려 사항
DRM 도입 전략
WEB DRM
통싞 구갂 암호화 필요성
임시 파일을 통한 유출 차단 여부
다양한 권한 제어 및 캡처 제어 여부
웹 보안 DRM 도입 시 고려 사항
DRM 도입 전략
1. PCL/PS의 반투명 워터마크 지원
2. 프린터별 농도 차이 여부
3. 지원 프린터 기종
Print-DRM
4. 출력 내용 로그(텍스트, 이미지)
출력물 DRM 도입 시 고려 사항
DRM 도입 전략
1. 사용자 인증 방식의 안정성
2. 이기종 DRM 갂 충돌 회피 여부
3. 실시갂 원격 통제 여부
외부젂달 DRM
4. 외부 사용 내역 로그 지원 여부
외부전달 DRM 도입 시 고려 사항
DRM 도입 전략
6. About FASOO.COM
About FASOO.COM
46개 계열사 24개 계열사 44개 계열사 8개 계열사
2000년 6월 8일 설립 이후, 공공/금융/기업/제조/의료/해
외까지 다양한 붂야의 비즈니스 홖경과 특성에 대한 이해
삼성그룹 10만명, 포스코 4만명 등 대규모 사용자 홖경의
안정적 시스템 구축 및 운영 노하우 축적
한국싞용평가정보 기업싞용평가보고서 기준
연평균 40% 이상 꾸준히 성장하는 우량 기업3년연속
시장점유율1위
유형Package
Solution
Package
Solution
Appliance
DRM
공동 개발제품
Target All SMB All
파트너사
적용
제품
Office
SharePoint
Server 2007
Destiny EDM
WebSphere
DB2
WEB INSIGHT
AG
About FASOO.COM
7. Summary
Summary
DRMfor
산업기술 보호개인정보 보호
2008
2008
DRM
Summary