Security Framework

- 1 - Security Framework[ 채승기 기술사 ([email protected]) ]

Security Framework

2007. 11. 13

정보보안

채 승 기 ([email protected]) 정보관리기술사 , 정보시스템 수석감리원


목 차

1. 정보보안 개요

2. 보안 사고 원인

3. 정보 보안 대책

4. 웹 서비스 보안

5. 유무선 네트워크 보안

6. 컴퓨터 포렌식

7. 국제 표준 ISO27001


기업 자산의 손실

영업 기회 손실

기업 이미지 손상

경쟁력 상실

기업 정보시스템 공개기업 정보시스템 공개

외부의악의적접근

외부의악의적접근

내부자의악의적침해

내부자의악의적침해

기업중요정보유출기업중요정보유출

기업 경쟁력 상실

1. 정보 보안 개요


1. 일반적 정의– 시스템이나 전자적인 형태의 정보를 처리 , 저장 , 전송하는 모든

단계에 걸쳐 , 고의적 혹은 실수에 의한 불법적인 노출 , 변조 , 파괴로부터 보호하고 정당한 사용자가 쉽고 빠르게 원하는 정보에 접근할 수 있도록 하는 것 .

2. 법적 정의– 정보화 촉진 기본법 제 2 조 . “ 정보 보안을 정보의 수집 , 가공 ,

저장 , 검색 , 송신 , 수신 중에 정보의 훼손 , 변조 , 유출 등을 방지하기 위한 관리적 , 기술적 수단을 강구하는 것”.

3. 학술적 정의– 정보 시스템 내부에 보관되거나 통신망을 통하여 전송되는 정보를

시스템 내 , 외부의 각종 위협으로부터 안전하게 보호하여 정보시스템의 기밀성 (Confidentiality), 무결성 (Integrity), 가용성 (Availability) 을 보장하는 것

1. 정보 보안 개요



1. 자연 장애– 지진 , 홍수 등 자연의 힘에 의한 장애로써 일반적으로 재해

2. 인적 장애– 시스템 운영 실수 , 단말기 및 디스켓 등의 파괴 및 절취 ,

해커의 침입 , 컴퓨터 바이러스의 피해 , 자료 누출 등 인간에 의해 행해지는 장애

3. 기술적 장애– 운영체제 결함 , 응용 프로그램의 결함 , 통신 프로토콜의 결함 ,

통신 소프트웨어의 결함 , 하드웨어의 손상 등 컴퓨터 시스템의 H/W 와 S/W 상의 결함에서 발생하는 장애

– 정전사고 , 단수 , 설비장애 ( 항온항습 , 공기정화시설 , 통신시설 , 발전기 , 공조기 등 ), 건물의 손상 등 기반구조에서 발생하는 장애



• 보안 방침 및 절차 부족

• 보안 교육 및 홍보 부족

• 기술의존적인 관리자의 태도

• 유무선 망의 보안 취약성

• 해킹 기술의 자동화

• 검은 유혹



• TCP Syn Flooding 공격-Client 의 SYN 메세지 요청에 서버의 ACK+SYN 응답에 대한 재 응답을 하지 않아서 , 서버의 엑세스 자원을 소멸시켜 다른 Client 의 요청에 응답을 하지 못하게 하는 공격


• DDoS(Distributed Denial of Service)-여러대의 서버에 공격 대상 시스템의 자원을 독점할려고 하는 프로세스에 의해 , 공격대상 시스템이 고유의 서비스를 제공하지 못하게 하는 공격 형태

-공격하는 Agent 를 불특정 다수의 서버에 침투시켜 잠정적 활동을 하다가 , 특정 시점에 공격대상 (victim) 에 동시 자원 할당을 요구하여 , 대상서버가 정상적인 기능을 못하게 하는 공격 형태

Denial of Service

공격

Victim

AgentMaster

(Handler)




• Buffer Overflow 공격- 프로그램 코딩시 지정한 버퍼의 크기 보다 더 많은 데이터를 버퍼에 담아 프로그램이 비정상적으로 동작하게 하는 것

Void vstrCopy(char *str)

{

char sbuffer[8];

strcpy(sbuffer,str);

}

Void main()

{

int I;

char stemp[256];

for(i=0;i<256;i++) stemp[i] = ‘X’;

stemp[255] = ‘\0’;

vstrCopy(stemp);

}호출


1 세대 2 세대 3 세대 4 세대 5 세대 6 세대

Password수작업 추측

File Permission(setuid)

SniffingBuffer

OverflowWorm

P2P messengerAttack

Password자동 추측

ConfigurationError

SpoofingFormatString

WirelessAttack

EnvironmentVariable Error

DoSDistributed

DoSAdvanced

Kernel Backdoor

ScanningDB

Attack

ApplicationBackdoor

KernelBackdoor

Web AttackWeb Attack

?

WindowTrojan

Virus

Command 조합에 의한 해킹 Programming 에 의한 해킹

현재는 5 세대에서 6 세대로 변화하는 과정 중에 있으며 , 1) 해킹기법의 다양화 ( 수동→자동 ), 2) 서비스 가용성에 대한 위협 증대 3) 유해트래픽 폭증을 주요 특징으로 한 진화가 진행 중



People

Technology

보안전략 / 조직

정책 / 정보분류

보안기술 아키텍쳐

사고대응 사업연속 인력보안 보안교육

보안관리 아키텍쳐

Enterprise Architecture & IT Planning

Process

모니터링

Validation/Audit/Measure/Certification

외주보안

Identification Authentication Authorization Administration Audit

기밀성

Data Application

User System Network Physical

무결성 가용성

Data Application

User System Network Physical

3. 보안 보안 대책


출처 : KISIA 2006 국내 정보보호산업 통계자료

고성장

- 관제 : 20%

- 컨설팅 : 18%

저성장

유지보수 : 7.8%

매출비중

유지보수 40%

제품 : 서비스 = 85%:15% (c.f. 세계시장 55%:45%))



출처 : KISIA 2006 국내 정보보호산업 통계자료



응용서비스Open

API

QoSSecurity

IPv6유무선 통합

음성 , 데이터 통합

통신 , 방송 융합

Convergence

FTTH

광대역 무선통신

DMB

CATV

전화

Internet

데이터 , 음성 및 영상 등의 멀티미디어 정보 ( 웹 컨텐츠의 다양화 )

컴퓨터 , 통신 , 방송의 융합화

차세대 네트워크 컨버전스 (NGcN), 광대역 통합망 (BcN) 을 통한 디지털 네트워크 실현 가능



Network

Operating System

Web Server

Application Server

Business Logic

PKI

AuthorizationSolutions

Host-based IDS

VPN Firewall

Network-based IDS

SQL Injection

취약점 :

Parameter Manipulation

Cookie Poisoning

Cross-Site Scripting



기 구 작 업 반 표준

W3C

XML Signature WG XML Signature

XML Encryption WG XML Encryption

XML Key Management WG XKMS

OASIS

Security Service TC SAML

eXtensible Access Control Markup Language TC

XACML

Web Services Security TC WS Security

WS-I Basic Security Profile WGSecurity Scenarios

Basic Security Profile

5. 웹 서비스 보안

Broker

.Net 기반 서비스 제공자 J2EE 기반 서비스 요청자(XML Signature)

Trust Service

1. Publish 2. Find(UDDI)3. Get Service(UDDI, WSDL)

4. BIND

SAML, XACML Over SOAP(XML Encryption )

XKMS XKMS


Ⅰ. 컴퓨터 포렌식 (Computer Forensic) 의 개요 가 . 컴퓨터 포렌식의 정의 -. 컴퓨터를 매개로 행해지는 범죄행위에 대한 법적 증거자료 확보를 위해 컴퓨터등 에서 수집 ,

분석 , 보존한 디지털 자료가 법적 증거력을 갖도록 하는 절차 및 방법

나 . 컴퓨터 포렌식의 기본원칙 ( 특징 )

기본원칙 ( 특징 ) 내용

정당성의 원칙-. 획득한 디지털 자료 증거가 적접한 절차를 거쳐 획득-. 위법한 방법으로 수집된 증거는 법적 효력을 상실

재현의 원칙 -. 피해 당시와 동일 조건에서 현장 검증 시 동일한 결과 도출

신속성의 원칙-. 컴퓨터 시스템의 휘발성 정보수집 가능성은 신속한 조치에 의해 결정되므로 신속히 수행

연계 보관성의 원칙-. 디지털 증거물의 획득 -> 이송 -> 분석 -> 보관 -> 법정 제출의 각 단계에 따른 책임자 명시

무결성의 원칙 -. 획득한 디지털 증거가 위조 또는 변조 되지 않았음을 증명



Ⅱ. 컴퓨터 포렌식 절차 및 요구 사항 가 . 컴퓨터 포렌식 절차

수사 준비

증거물 획득

보관 / 이송

분석 / 조사

결과 보고서

-. 수사인력 확보 , 포렌식 도구 테스트-. 수사 참조 라이브러리 준비 : 잘 알려진 파일에 대해 쉽게 식별

-. 자료 삭제 /파괴행위 방지 , 시스템목록 작성 , 하드디스크 이미징-. 시스템 /네트워크 /프로세스 상태 수집 , 증거물 무결성 확보

-. 증거자료 이중화 , 쓰기방지 /봉인 , 증거물 담당자 목록 기록관리-. 정전기 방지용 팩 , 하드 케이스 등 안전한 포장 , 접근통제

-. Timeline 분석 , Signature 분석 , Log 분석 , History 분석-. 파일복구 : 삭제 및 깨진 파일의 복구 => 전문도구 사용

-. 누구나 쉽게 이해할 수 있도록 쉽고 상세한 설명-. 6 하 원칙에 따른 객관성 유지



나 . 컴퓨터 포렌식 요구기능

요구기능 내 용

증거 보존 기능-. 시스템에 남겨진 기록들을 원본의 손상 없이 유지-. 원본 디스크에 대해 접속할 때 쓰기 방지 조치-. 원본 디스크의 이미지를 생성

증거 수집 /분석 기능-. 컴퓨터 디스크에서 삭제된 내용에 대한 복구 기능-. 디스크에 저장된 내용에 대한 검색 및 비교 기능

문자열 검색 기능-. 정보유출 또는 불순한 내용의 파일 기록 검색-. 전산 감사 시 부정사용 내역을 검색



III. 컴퓨터 포렌식의 현황 및 전망 가 . 컴퓨터 포렌식의 현황 -. 주요 국가의 수사기관 및 금융 , 보험회사 등에서 컴퓨터 포렌식의 중요성 인식 -. 전문가 , 다양한 관련 기술의 확보와 디지털 증거 수집절차 및 분석방법 개발에 총력 -. 무결성 확보 도구 , 강력한 검색 도구 , 디스크 복제 도구 , 디스크 쓰기 방지 도구 및 다양한 분석 및 보고서 작성 소프트웨어등이 국내외 컴퓨터 포렌식 시작을 독식 -. 컴퓨터 포렌식을 피해가려는 우회기법들의 등장

나 . 컴퓨터 포렌식의 전망 -. 기업들이 문제가 될 디지털 자료를 삭제하는 등 소극적 자세에서 컴퓨터 포렌식 기법을 도입해 내 /외부 문제를 해결하는 방향으로 진행 -. 국내 시스템 개발 업체들이 컴퓨터 포렌식에 필요한 각종 도구의 개발에 집중 예상 -. 민관합동으로 컴퓨터 포렌식의 전문기술의 연구 및 전문가 양성에 적극 참여 -. 개발 된 제품들에 대한 인증을 위한 전문 교육 /인증 기관의 설립 -. 증가하는 포렌식 우회기법들에 대한 대응 기법의 적극적 개발이 요구



사이버 정보군 양성 및 예산 확보

정보 보호국가 안전 확보

사고 대응 체계 대응을 위해유기적인 대응체계

( 민 /관 /정부 )

사고관련 정보 교류를 위한 채널 활성화

(System, N/W 관리자 )컴퓨팅 윤리 의식 필요성 , 강화 사이버 공격 현황

정보 수집 및 분석 강화

사이버 테러 대응 체계

법 , 제도 제정총괄기구 구축

예방 , 대응 능력배 양

국가 안전 대응기술 지원 , 양성

정부 ( 국가정보원 )

민간 ( 정보통신부 ) 군 ( 국방부 , 검찰 , 경찰 )

정보 공유 협력 체계 구축진단 , 복구지침

정보통신 보호법테러방지법

기술지원

대응방법

참고 . 사이버 테러 대응 전략


가 . ISO 27001 1) ISO 27001 의 내용 -. 정보기술 , 정보보호 경영에 대한 실행 지침 -. 조직이 정보보호시스템을 수행할 수 있도록 Best Practice 지침을 제공 -. 10 개의 주요분야로 나누어진 127 개의 통제항목으로 구성 -. 최선의 정보보안 실무들로 구성된 종합적인 보안 통제 목록 제공 -. 심사 및 인증의 목적으로는 사용할 수 없으며 BS 7799-2 의 참조 문서로 사용 가능 2) ISO 27001 의 구성

주요분야 주요 통제 항목

1. 보호정책 (Security Policy) 정보보안 정책 문서

2. 보안조직 (Security Organization) 정보보안 책임 배정 , IT 시설 승인 절차 등

3. 자산분류 /등급 및 통제 (Assets Classification and

Control)자산목록 , 분류 지침 , 분류 표시

4. 인적 보안 (Personnel Security)

정보보안 교육 및 훈련 , 보안 사고 보고 , 보안 취약성 보고 , 비밀 준수 서약 등

7. 국제 표준 ISO 27001


주요분야 주요 통제 항목

5. 물리적 /환경적 보호 (Physical and Environmental Security)

물리적 보안경계 , 장비 설치와 보호 , 장비의 안전한 폐기 , 물품 반출 등

6. 의사소통 /운영 관리 (Communications and

Operations Management)

바이러스 통제 , 문서화된 운영절차 , 사고관리 절차 , 직무분리 , 개발과 운영 시설 분리 , 용량 계획 , 데이터 백업 등

7. 시스템접근통제 (System Access

Control)

문서화된 접근 통제 정책 , 패스워드 사용 , 권한 관리 , 시스템사용 감시 등

8. 시스템 개발과 유지보수 (System Development

and Maintenance)

데이터 암호화 , 메시지 인증 , 변경관리 절차 , 소프트웨어 패키지 변경 제한 등

9. 비즈니스 연속성 계획 (Business Continuity

Planning)업무 지속성 계획 절차 , 업무 지속성 계획 시험 및 계획 갱신

10. 준거성 (Complicnce)

소프트웨어 복제 통제 , 조직 기록의 보호 , 데이터 보호 , 보안 정책 준수 등

7. 국제 표준 ISO 27001


경영경영 /IT/IT환경환경 법규법규 //규제규제

내부체계

관리체계 제도주체

직원직원

관리자관리자

정보보호정보보호파트너십파트너십

(( 외부포함외부포함 ))

정보보호정보보호감사감사

주기적주기적보안진단보안진단

정보보호정보보호투자투자

정보보호 인식 및정보보호 인식 및교육체계교육체계

~~ 의 정보보호의 정보보호비젼비젼

~~ 의 정보보호의 정보보호규정규정 //준칙준칙 //지침지침

정보보호정보보호조직조직

역할과역할과책임책임

프로프로세스세스

경영진경영진

ISO 27001 적용 해 보자

7. 국제 표준 ISO 27001


Thank youThank you

Security Framework

Documents

Transcript of Security Framework