정보센터

보안동향

산업보안 관리체계 그리고 인증
2009.10.01
산업보안 관리체계 그리고 인증 file
최근 들어 기업 내부의 정보가 유출되어 발생하는 피해가 증가하고 있다. 이에 따라 기업에서는 자신들이 보유하고 있는 기업 내부의 산업정보를 보호하기 위해 다양한 활동을 전개하고 있으며 많은 투자를 하고 있는 상황이다.   대기업을 비롯한 여러 기업에서는 산업정보를 보호하기 위해 많은 활동을 하고 있지만 이러한 보호활동에 대해 객관적으로 어느 정도의 수준인지, 보호활동 중 미흡한 부분이 없는 지 평가할 수 있는 객관적인 기준이 없다는 것이 가장 큰 문제점이다. 또한 산업정보는 기업의 생존과 직결된 핵심 정보로 이의 보호에 대해 대외적으로 공표하여 검증을 받을 수도 없는 일이다. 기업에서 보안담당자를 선임하고 다양한 기술적 보호조치를 강구하여 적용하더라도 사고가 발생하게 되면 그 동안의 노력을 증명할 방법이 없다.   이러한 기업의 고민을 해결할 수 있는 가장 최선의 방법은 무엇이 있을까? 산업정보의 보호활동과 관련하여 기업의 보호수준을 객관적으로 평가할 수 있는 기준을 수립하고 이를 객관적인 인증기관에 의해 평가를 통해 인증(Certification)을 부여하는 것이다. ‘인증’ 제도에 대해 국제 표준화 기구(ISO; International Organization for Standardization)의 정의는 다음과 같다.   "ISO 기술위원회(TC)에서 정의한 공급자와 구매자 사이의 기준을 바탕으로 자사 체질에 맞게 신뢰할 수 있는 제품과 서비스 공급 체제를 갖추어 운영하고 있다는 것을 제 3자 인증기관으로부터 심사 및 보증 받는 제도이다"   산업정보의 보호에 있어서도 국내의 산업보호와 관련하여 일정한 표준기관이 정의한 기준에 따라 산업정보를 보호하기 위한 관리체계를 수립하고 적절하게 운영하고 있음을 인증기관으로부터 인증을 받는 제도가 존재한다면 앞서 필자가 제시한 산업정보의 보호와 관련된 문제에 대해 상당 부분 해결책이 되지 않을까 생각한다.   산업보안 관리체계 및 그 인증에 대해서는 국제적으로 표준화된 인증제도는 존재하지 않고 있다. 정보보호와 관련된 인증은 국제인증인 ISO27001 인증과 국내 인증인 KISA ISMS 인증이 있으며 개인정보 보호와 관련하여 개인정보보호 마크 제도가 있으며 이에 대한 분석을 통해 산업보안 관리체계 및 이에 대한 인증을 수립할 수 있을 것으로 생각한다.   1. 정보보호 관리체계 인증 (ISO27001)   ISO27001 인증은 정보보호 관리체계 전반에 대한 인증이다. ISO27001 인증은 11개 도메인의 133개개 통제에 대해 기업의 적용 현황을 파악하고 지속적인 위험평가와 관리를 통해 기업 전체의 정보보호 관리체계에 대한 안전성을 인증해 준다. 이 인증은 2009년 9월 까지 금융기관, IT, 정보보호 전문업체, 제조업체 등을 포함하여 102개 기업이 인증을 획득하고 있으며 국제적으로 인정받고 기업 전체의 정보보호 관리체계에 대해 인증한다는 장점이 있다. 하지만 그 기준이 매우 범용적이어서 각 기업의 상황과 다를 수 있으며 산업보안에 적용하기 위해서는 이에 대한 재해석이 필요하다.   2. KISA ISMS   한국인터넷진흥원(KISA)의 ISMS는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제47조(정보보호 관리체계의 인증) 법률에 기반하고 있으며 ISO27001과 유사하게 기업 전체의 정보보호 관리체계를 인증한다.   KISA의 ISMS는 정보보호 5단계 관리과정 요구사항 14개 필수항목, 문서화 요구사항 3개 필수항목, 정보보호 대책 15개 분야 120개 세부항목 총 137개 항목으로 구성되어 있으며 5단계 정보보호 관리과정에 따라 ISMS를 수립하고 운영하여야 하며 이에 대해 문서화가 되어하고 위험분석을 통해 필요한 통제사항을 선정하고 이에 대한 정보보호 대책을 구현하고 운영하여야 한다. 이 인증은 2009년 9월 현재 정보보호 전문업체, 제조업체 등 총 72개의 기업이 인증을 받고 있으며 인증 취득 시 다양한 혜택을 부여하고 있다.   3. 개인정보 보호 마크제도   한국정보통신산업협회(KAIT)가 주관하는 'ePRIVACY 마크' 제도가 있으며 이는 인터넷 이용자의 개인정보를 효과적으로 보호해 안심하고 온라인 거래를 할 수 있도록 인터넷 사이트의 개인정보 보호 정책 및 관리수준을 종합적으로 평가한 후 개인정보 보호 우수사이트 인증마크를 부여한다. 이 제도는 개인정보 보호와 관련된 문제를 정부에서 나서 규제하기 보다는 민간단체와 업계간의 협력을 바탕으로 한 민간자율규제를 통해 개인정보의 침해를 최소화하자는 취지로 출발했다.   심사기준은 정보통신망이용촉진 및 정보보호 등에 관한 법률, 개인정보보호지침, 한국정보통신산업협회 인터넷사이트 안전마크 심사기준을 근거로 7개 분야 59개 항목(필수 17개 항목)으로 구성되어 있다.   이상으로 3개의 인증 제도에 대해 간단하게 알아보았으며 이러한 3개의 인증 제도를 산업보안 관리체계에 적용하기에는 한계가 있으므로 필자는 다음과 같이 제안한다.   정보보호와 관련하여 선진 사례인 ISO27001을 근간으로 하여 ‘산업기술의 유출방지 및 보호에 관한 법률’ 및 ‘부정경쟁 방지 및 영업비밀 보호에 관한 법률’ 등 산업보안과 관련된 법률, 한국산업기술보호협회의 산업보안 점검항목 등을 통해 새로운 산업보안 관리체계를 수립하고 이에 대해 인증을 하는 방안을 제시한다.   또한 산업보안 관리체계에 대해 각 기업이 효과적으로 적용하고 있는 지 진단하고 보호대책을 제시할 수 있는 전문 인력을 양성하여야 할 것이다.   끝으로 각 기업에서는 이러한 산업보안 관리체계를 수립하고 위험평가 및 관리를 통해 지속적으로 산업정보 보호 활동을 하더라도 예상치 못한 보안사고는 발생할 수 있다. 따라서, 보안사고의 최대 요인인 내부인력에게 산업정보의 중요성에 대해 지속적으로 교육을 실시하여 인식을 제고하여야 하며 필요하다면 산업정보를 다루는 핵심적인 내부인력에 대해 충분한 경제적 보상을 실시하여야 할 것이다.   * 본 기고글은 지난 2009년 10월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
전사적 통합 보안관리 RFinder ESP(Enterprise Security Planning)
2009.09.01
전사적 통합 보안관리 RFinder ESP(Enterprise Security Planning) file
지난 10년 간 우리 기업들은 끊임없이 새롭게 등장하는 보안 사고에 신속하게 대응해야 했다. 이에 새롭게 보안 조직을 구성하고 다양한 보안활동을 개발해내고 앞다투어 보안솔루션을 도입해왔다. 특히 학계 및 기업경영에서도 정보보안에 대한 새로운 관심이 매우 커지고 있다. 하지만 급격하게 성장한 정보보안은 다음과 같은 문제점도 함께 가지게 되었다.   첫째, 정보보안의 부분적인 문제에 즉각적으로 대응하다보니, 거시적인 측면에서 정보보안 업무 성과에 대한 가시성 확보 어렵고, 정보보안 전략과 비지니스 전략의 연계가 분명하지 않다. 둘째, 정보보안 업무 수행의 복잡하고 업무의 연계성 확보가 어렵다. 즉, 보안성검토, 위험관리, 감사, 모니터링, 모의해킹, 변화관리, 보안솔루션 운영 등의 다양한 업무가 분산되어 연계성을 잃은 경우가 많다. 셋째, 최종 보호대상인 정보 자체에 관심을 가지고 라이프사이클 상에서 구체적인 위험관리가 이루어지고 있지 않다. 대부분은 기술적 자산(서버, 장비 등)에만 치중된 보안관리가 이루어지고 있다. 넷째, People 측면에서 정보보안 전문 인력 확보의 어려우며, 임직원의 정보보안 관련 변화관리가 어렵다.   생소한 개념일 수 있지만, ESP(Enterprise Security Planning)는 “비즈니스 핵심가치에 기여할 수 있도록 정보보안 프로세스를 통합한 전사적 정보보안 계획”으로 정의될 수 있다. 보다 쉽게 표현하면 “정보보호 Global Best Practice를 Implement 하기 위한 수단으로서의 실용적 프레임워크” 라고도 할 수 있을 것이다.   이제 정보보안은 더 이상 특정 조직의 전유물이 아니다. 단순한 정보보안 담당자의 전유물이었던 정보보안이 기업 비지니스의 핵심 가치에 이바지하는 모습으로 보여줄 수 있어야 한다는 것이 ESP의 가장 큰 취지이다. 이런 측면에서 ESP는 결코 정보보호 거버넌스와 ISO27001과 같은 GBP와 배타적인 관계가 아니다. ESP는 조금은 이론적이어서 이해하기 쉽지 않은 GBP를 기업에 효과적으로 적용할 수 있는 편리한 대안이라고 할 수 있겠다.   ESP의 추구하는 가치는 다음과 같다.   1. 정보보안을 통한 Business Value 추구 - Business와 정보보안의 전략적 연계 - 효율적인 정보보안 투자 (중복 방지 및 ROI 추구) - 전사 차원의 정보보안 전략 실행 - 정보보안의 비즈니스 기여에 대한 투명성 확보   2.정보보안 Process 통합 및 체계화 - 개인정보 등 비즈니스의 핵심 정보의 Life Cycle 관리 - P-D-C-A 프로세스 단계별 보안활동에 대한 연속성 확보 - 정보보안 활동의 자동화 및 이력관리 - 체계적인 외부 규제 대응 - GBP의 효과적인 implementation 수단   3. 효과적인 정보보안 Resource의 활용 - 정보보안 자원의 효과적인 현황관리 - 정보보안 전략에 따른 우선순위에 맞게 자원의 효율적 투입 및 활용 - 비즈니스 자산의 효과적인 보안관리 및 통제   4. 지속적인 정보보안 - Risk 및 정보보안 성과에 대한 지속적인 모니터링 - 정보보안 서비스에 대한 가용성 확보 - KRI 지표 중심의 정보보안 위험 조기 경보   ESP의 특징은 다음과 같다.   1. 보안의 최종 목적물인 개인정보, 회사기밀 등 정보 자체에 보안의 중점을 둠. (프라이버시에 대한 컴플라이언스가 특히 강화되는 추세를 반영) 2. 전사 관점의 보안 거버넌스와 아키텍처에 중점을 두고 비즈니스 프로세스 개선이나 보안 투자 효과 분석 강화 3. 정보보안에서 ‘정보 리스크 관리’로 패러다임 변화. 특히, KRI를 기반으로 한 정보보안 경영지표를 중심으로 상시 위험모니터링 강화   ESP는 전사관점의 Framework을 가지는데, 크게는 정보보안 Value Chain과 정보보안 Value Management로 구성되며, 이 두 부문을 연결해주는 정보보안 Value Delivery가 있다.       정보보안 Value Chain은 ESP의 핵심으로써, 경영진에게 제공하는 비즈니스에 대한 정보보안 Risk를 가시화한 지도(MAP)이자, 비즈니스 전략과 정보보안이 커뮤니케이션 할 수 있는 Tool이다. 정보보안 Value Chain에서는 비즈니스와 공유될 수 있는 정보보안 비전, 전략, 목표 및 관련 Risk와 KRI가 계층적인 구조로 그려지며, 내용상으로 비즈니스 기여, 학습 및 역량 강화, 고객만족, 보안운영 강화와 같은 4개의 Domain으로 구성될 수 있다.       정보보안 Value Management는 정보보안 활동 전반을 지원하며, Process, Information, Monitoring 영역으로 구성되어 정보보안 Value Chain을 구성할 수 있는 기초 정보 생성한다. 정보보안 Value Chain으로 경영진과 커뮤니케이션하기 위해서 필요한 정보가 정해졌다면 이를 구성하기 위하여 구체화된 수치가 필요하며 이는 다양한 보안관리활동을 통하여 만들어 질 수 있다. 이러한 보안관리 활동이 상호간의 연계관계를 가지고 조직의 R&R에 맞게 구체화된 것이 정보보안 Value Management이다.       지금까지 전사적 통합보안관리를 돕는 ESP의 개념을 개괄적으로 알아보았다. 이러한 ESP를 성공적으로 기업에 도입하기 위해서 기업은 다음과 같은 노력을 해야 한다.   1. 먼저 외형보다는 본질에 집중하자 !! 전략적인 정보보안 통제를 위해서는 누가(Who), 어떤 (What) 정보를 알아야 하는가에 가장 큰 관심을 가져야 한다. 2. 단순한 운영ㆍ지원으로써의 정보보안이 아닌 비즈니스의 핵심가치에 이바지하는 정보보안이 되어야 한다. 3. 비즈니스의 규모, 산업특성, 보안위협의 강약 등을 고려한 차별적 ESP 설계가 필요하다. 4. 기존 정보보호 인프라를 최대한 활용하여 효율성을 극대화하여야 한다. ESP 전체가 새롭게 구성되어 시스템화까지 될 수 있지만, 기존 보안솔루션 등을 적극적으로 활용하여 체계화 시킬 수 있다면 더욱 좋을 것이다.   * 본 기고글은 지난 2009년 9월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
7.7 DDoS 분석
2009.08.03
7.7 DDoS 분석 file
I. 개요   DDoS(Distributed Denial of Service) 공격이란 인터넷 상에 수많은 PC들에 악의적인 공격용 프로그램을 분산 설치하고, 특정한 날짜, 주기 또는 해커의 신호를 통해 이들이 공격대상 시스템을 향해 다량의 패킷을 전송하여 대상 시스템 또는 경로상의 네트워크 장비가 이상 동작을 일으키도록 하거나 대역폭을 고갈시켜 서비스 장애를 일으키는 공격방식으로 정의되고 있다.   DDoS 공격은 TCP/IP 프로토콜 자체가 보안을 고려하지 않고 설계되었다는 것에서 그 근본 원인을 찾을 수 있으며, 인터넷의 발달로 수많은 PC를 공격자가 악용할 수 있는 환경도 DDoS 원인으로 볼 수 있다. 또한 인터넷 비즈니스가 활성화 됨에 따라 금전적인 목적을 가진 공격자가 늘어나게 되었으며, 고난이도의 기술없이 툴을 가지고 쉽게 공격을 할 수 있다는 것도 DDoS가 주된 이슈로 떠오르게 된 이유이다.   7.7 DDoS 공격은 2009년 7월 4일 미국 주요사이트들을 대상으로 공격이 시작되었으며, 국내 최초공격은 7월 7일 PM 6~7시경 민간 및 공공 서비스를 대상으로 시작되었다. 이후, 정부, 공공, 민간기업 등을 주요대상으로 하여 7월 10일 00시까지 공격이 계속되었으며, "인터넷 대란 시즌2", "7.7 DDoS 공격"으로 불리고 있다.7월14일 DDoS 공격, 하드디스크 파괴, 대량메일 발송 등의 공격 매커니즘은 분석 되었으나, 아직 공격 클라이언트의 전파 경로 및 원인에 대한 분석은 이루어지지 않고 있다.   II. 공격 분석   7.7 DDoS 공격은 악성코드가 삽입된 Msiexec.exe(Windows Installer)를 인터넷을 통해 유포하고 이 프로그램이 다시 공격에 필요한 악성 프로그램을 다운받아 설치하는 구조로 이루어진다. 다운받은 악성코드들은 스스로 대상 및 공격코드를 생성하여 다양한 공격을 수행하고 있었다.   다음은 공격에 사용된 주요 파일과 기능 이다.   [표 1] 악성코드 파일 기능 파 일 명 주요 기능 Msiexec.exe 최초 악성코드 전파 파일 msiexec1.exe wmiconf.dll, uregvs.nls, vms.bat 생성 및 WmiConfig 서비스 등록 msiexec2.exe uregvs.nls, vme.bat 생성 msiexec3.exe uregvs.nls, vme.bat 생성 wmiconf.dll DDoS - GET Flooding 수행 mstimer.dll mail 전송, 특정 조건에 의해 wversion.exe 실행 flash.gif 두 개의 실행파일(wversion.exe 포함)을 가지고 있다. uregvs.nls DDoS 공격대상 및 공격 시간 정보 포함 wmcfg.exe wversion.exe 생성 및 Windows Timer Service(mstimer.dll) 서비스 등록 wversion.exe 특정 확장자를 가진 파일 및 하드디스크 파괴 수행   다음은 7.7 DDoS 공격의 도식이다.     [그림 1] 7.7 DDOS 공격 도식   위 도식에서 보는 바와 같이 DDoS공격에 이용된 PC는 최초감염 이후 DDoS 공격, 스팸메일 전송, 하드디스크 파괴 등 치명적인 손실을 끼칠 수 있도록 제작되었다. 악성코드에 감염된 PC의 상세한 영향은 다음과 같다.   1. 최초 감염   최초Msiexec.exe(Windows Installer)를 감염시켜 해당 프로그램을 통해 msiexec1.exe, msiexec2.exe 등의 악성파일을 다운로드 받아 실행시키게 된다. - Msiexec.exe(Windows Installer) bot agent와 유사한 기능을 하게 된다.   2. DDoS 공격 실행   Msiexec.exe를 통해 다운받아 실행되는 msiexec1.exe을 실행하면 공격대상이 들어있는 파일(uregv.nls), 다운받아 실행한 msiexec1.exe를 삭제하는 스크립트 파일(vme.bat), 그리고 마지막으로 wmiconf.dll을 생성하여 윈도우 서비스에 등록시켜 uregv.nls에서 공격대상을 읽어 DDoS 공격을 수행하게 된다.   일부 msiexec2.exe등에는 wmiconf.dll 을 생성하는 코드가 포함되지 않고 미리 생성된 서비스를 이용하여 단순히 공격 대상 파일(uregv.nls)만 변경하는 역할만 하고 있었다.   3. 스팸메일 전송   변종이라 발견된 msiexec*.exe 중에는 wmcfg.exe를 생성 실행하고 있었으며, wmcfg.exe를 실행하게 되면, mstimer.dll을 생성하여 Windows Timer Service로 등록하여 스팸메일 전송 등의 공격을 수행하게 된다. 이외에 wversion.exe파일을 생성하게 된다.   4. 하드 디스크 파괴   wmcfg.exe에 의해 생성된 wversion.exe 파일은 mstimer.dll에 의해 다운된 flash.gif의 일부와 합쳐져 하드디스크 파괴를 수행하게 된다. wversion.exe는 mstimer.dll에 의해 특정 조건(2009. 7. 10)이 만족할 경우 수행하게 되며, 로컬 하드디스크의 A~Z까지 읽어 MBR 등을 파괴하게 된다. 파괴 전, doc, xml, ppt … 등 대부분의 중요한 확장자를 검사하여 파일을 암호화함으로 하드 디스크의 복구는 힘들게 된다.   III. 대응방안   DDoS의 특성상 기본적으로 PC의 보안이 강화되어야 하고, 악성패킷에 대한 필터링이 강화되어야 하며, DDoS 공격 발생시 피해를 최소화할 수 있는 협력 대응체계 구축이 필요한다.   1. PC 보안강화   도박, 불건전사이트 등 안전하지 않은 사이트의 접속은 피하고, 윈도우 최신 보안패치를 설치하며 바이러스 백신을 설치/운용하여야 한다.   금번 DDoS 악성코드에 감염된 PC는 안전모드로 부팅(F8)하여 시스템 시간을 2009. 7. 10 이전으로 설정하고 재 부팅하여 최신 업데이트 된 백신을 이용하여 치료할 수 있다.   2. 악성패킷 필터링   네트워크 앞단에 방화벽, IPS, Anti-DDoS 장비 등의 악성패킷을 필터링 할 수 있는 보안장비를 구축하여 악성패킷으로부터 네트워크를 보호할 수 있어야 한다. 단, TCP/UDP/ICMP/HTTP 등 다양한 DDoS 공격 패킷을 효과적으로 필터링 하기 위해서는 각 보안장비의 특성에 맞는 적절한 구성이 필요한다.   3. DDoS 대응체계 구축   DDoS에 대한 효과적 대응을 위해서 [그림 2]에서 보는 바와 같이 공격탐지에서부터 사고 대응에 이르기까지 대응 체계 및 절차를 사전에 마련하고, 사고 발생 시 관련 기관간 공조를 통한 신속한 대응이 필요한다.     [그림 2] DDoS 대응체계   [별첨] 주요 악성코드 분석   1. DDOS 공격(msiexec*.exe)   msiexec1.exe에는 wmiconf.dll을 생성하고 서비스를 등록하는 코드가 포함 되어 있었지만, msiexec2.exe와 msiexec3.exe은 단지 대상과 자신을 삭제하는vme.bat 파일을 만들어 실행하는 코드만 포함되어 있었다.     [그림 3] msiexec1.exe     [그림 4] WMI Performance Configuration Service   msiexec1, msiexec2에서 생성되는 대상은 각자 달랐으며, msiexec1에 의해 생성된 대상에 우리나라가 포함되어 있지 않았다.   아래 목록은 2차 공격에 사용된 것으로 파악되는 공격 리스트(msiexec2.exe에서 생성)이다.     [그림 5] msiexec2 – uregvs.nls 생성     [그림 6] uregvs.nls – 공격대상   마지막으로 msiexec*.exe에서 생성된 vme.bat 파일은 다운받은 파일이 삭제가 될 때까지 계속 삭제되도록 만들어져 있으며, 삭제가 되면 자신도 삭제하게 된다.   :L1 del "C:\Documents and Settings\...\msiexec\msiexec2.exe" if exist "C:\Documents and Settings\...\msiexec\msiexec2.exe" goto L1 del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vme.bat" [그림 7] vme.bat – 생성파일 삭제   2. DDoS 공격(wmiconf.dll)   wmiconf.dll은 msiexec1.exe를 통해 생성되었으며, WmiConfig라는 서비스로 등록되어 있으며, 해당 서비스에는 DDoS 공격에 사용한GET Flooding 루틴이 포함되어 있다.   공격대상 파일(uregvs.nls)를 읽어 해당 대상으로 공격을 시도하게 된다.   다음은 공격대상 파일(uregvs.nls)를 읽어 들여 공격에 사용할 HTTP GET packet을 만들어 내는 코드 이다. 효과적인 공격효과를 위해 response를 캐시에 저장하지 못하도록 Cache-Control: no-store, must-revalidate를 헤더에 추가하는 코드가 포함되어 있다.     [그림 8] wmiconf.dll – get flooding   3. 로컬 디스크 파괴(wmcfg.exe)   wmcfg.exe는 악성 메일을 전파하는 Windows Timer Service(mstimer.dll)를 생성하고, 악성코드에 의해 생성된 파일 등을 삭제하는 루틴이 포함되어 있다.   아래는 Service를 등록하는 코드와 윈도우 실제 실행되어 등록된 화면이다.     [그림 9] wmiconf.dll – get flooding     [그림 10] Windows Timer Service. 로컬 디스크 파괴(mstimer.dll)   Wmcfg.exe에 의해 생성된 mstimer.dll은 20byte의 첨부파일이 담긴 메일을 전송하는 기능을 가지고 있으며, 인터넷을 통해 다운받은 flash.gif에는 실행파일이 두 개의 실행파일이 들어있으며, 그 중 하나가 wversion.exe이며 특정 조건을 만족하게 되면 wversion.exe을 실행시키게 된다.     [그림11] flash.gif파일 안의 wversion.exe   flash.gif를 다운받으며, 이를 통해 wversion.exe을 실행시키게 된다. 또한, mstimer.dll이 보낸 메일은 다음과 같다. Memory.rar라는 이름을 가진 파일은 20byte로 네트워크에 부하를 주기 위한 것으로 보여지고 있다.     [그림12] mstimer.dll – mail   5. 로컬 디스크 파괴(wversion.exe)   wversion.exe에는 실제 하드디스크의 MBR 등을 “Memory of the Independence Day”로 Overwrite(로컬 하드디스크를 파괴하는 기능)하게 된다.     [그림 13] C 드라이브 MBR 파괴   ※ 본 기고글은 지난 2009년 8월 에이쓰리시큐리티 뉴스레터를 통해 공개된 내용으로 진행 중인 테스트 및 분석 중에 쓰여져 미흡한 부분이 있을 수 있음. 또한 본 문서는 당시의 보안취약점으로 인한 피해를 최소화하는데 도움이 되고자 작성된 만큼, 포함된 대응방안의 유효성이나 기타 예상치 못한 시스템의 오작동 발생에 대해서는 책임을 질 수 없음.
자세히보기
IT보안의 제도 및 의식적 개선 방향
2009.08.01
IT보안의 제도 및 의식적 개선 방향 file
영화 <시계태엽 오렌지>를 보면 치안 유지를 위한 새로운 범죄자 치료법으로 ‘루도비코 치료법’이 소개된다. 이는 범죄자를 감옥에 가두는 것 대신, 반 사회적인 내용을 보도록 하는 것으로, ‘악’을 ‘악’으로 맞서게 하면 ‘선’에 대한 욕구가 강해지고, 따라서 ‘악’에서 멀어지도록 한다는 치료법이다. 즉 범죄자는 ‘악’에 대한 본성을 잃고, 조건 반사적으로 폭력에 대해 거부반응을 일으키게 된다는 것이다. 영화에서처럼 극단적인 방법은 아닐지라도 IT보안에 대한 적극적인 사고의 변화가 필요한 시점이다.   IT산업의 발전과 함께 IT보안 산업은 빠른 속도로 성장해왔다. 날로 다양해지고 고도화되는 공격기법에 따라 보안형태 역시 여러 변화를 거듭해왔으며 현재 솔루션 중심의 일괄적 보안 형태에서 변화관리 및 의식관리 기반의 보안 형태로 탈바꿈하고 있다. 솔루션 기반의 기술적 대응의 한계를 경험하고 있는 현 시점에서 보안수준 향상을 위한 근본적인 방안으로 제도적․의식적 개선이 절실히 요구되고 있다.   그러면 IT보안의 제도적․의식적 개선 방안에는 어떤 것이 있을까? 현실성 및 적용 가능성에 대한 우선순위는 차치하고, 간략한 설명과 함께 몇 가지 방안을 들어보았다.   1. ‘조기정보윤리교육’   의식변화는 하루아침에 이뤄지는 것이 아니다. 이것은 의식의 문제이므로, 변화관리가 필요한 사안으로유아 때부터 체계적인 교육을 실시 함으로서 비로소 근본적인 의식변화를 이룰 수 있다.   교육 자원부에서 유치원/초등학교부터 윤리 교육을 수행하는 것처럼 ‘컴퓨터’ 교과, ‘도덕’ 교과에 ‘정보윤리교육’을 의무화 하거나, 과목으로 채택하는 등 어릴 때부터 주기적 보안 의식 교육을 의무화 하는 방안이 도입돼야 할 것이다. 프로이드는 3세부터 도덕적 판단을 하게 되는 ‘초자아’가 형성된다고 하였다. 가장 근본적인 방안으로 안전에 대한 올바른 의식 형성을 위해서 유치원 및 초등학교는 물론 가정에서도 PC사용에 대한 정보윤리 교육이 자리 잡아야 할 것이다.   2. 보안전문가 및 보안담당자 대상 ‘보안적성검사 제도’ 개발   보안전문가나 보안관리자가 되기 위한 필요조건으로 지식만을 포함해서는 안 될 것이다. 자격증을 획득하기 위한 선결조건으로 보안적성검사를 의무화하는 것이 필요하다.   보안담당자는 성격상 기업의 중요 정보에 접근할 수 있는 기회가 많을 수 밖에 없다. 역으로 보안담당자를 통해 기업의 중요정보가 유출될 수 있는 위험도 상존한다고 할 수 있다. 따라서, 고양이에게 생선을 맡긴 격이 되지 않기 위해서는 도덕성을 겸비한 보안담당자가 필요하다.   많은 기업에서 인력 채용 시 적성검사를 실시하고 있다. 같은 맥락으로 보안담당자 채용 시 또는 정보보안 전문 자격증 제도 등에 활용할 수 있는 과학적인 ‘보안적성검사 제도’를 국가차원에서 개발하여 사전에 도덕적 해이를 방지하는 것이 필요하다.   3. 화이트해커 선발 제도 강화   과거, 보안과 관련하여 법적인 규제가 강화되기 전 크래커 중 유능한 인재를 기업에서 채용한 사례가 있다. 음성적인 크래킹을 방지하고 이들의 능력을 사회발전에 기여할 수 있도록 하기 위해서는 해킹대회 개최 확대 등을 통해 실력 있는 해커들을 합법적인 길로 인도하는 제도적 방안이 더욱 필요하겠다. 그리하여, 불법적인 크래커를 일벌백계로 응징하고 합법적 해킹대회를 통해 유능한 인재를 발굴하고 기용하여 국가 경쟁력 강화에 기여할 수 있도록 하는 것이 지식정보보안 선진국으로 가는데 있어서 필수적이다.   4. 공․사기업의 보안전문가 기용 의무화   보다 많은 기업에서 위에서 언급한 적성검사를 통과한 일정 부분을 자격을 갖춘 보안 전문가를 의무적으로 채용하도록 하는 제도마련이 필요하다.   지금까지 제도․의식적 변화를 위한 방안을 몇 가지 짚어보았다. Best Practice라는 말로 여태까지 보안 선진국의 뒤에서 따라가기 식 제도도입에 치중하였다면 이제부터는 우리 스스로 창의적인 보안관련 아이디어의 도출과 제도 및 의식의 개선을 통해 IT보안의 선진국이 되어야 할 것이다.   * 본 기고글은 지난 2009년 8월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
통합계정관리 솔루션
2009.08.01
통합계정관리 솔루션 file
e-비즈니스의 물결은 비즈니스 환경에 커다란 변화를 주고 있다. 내부 네트워크의 직원으로 한정되던 어플리케이션 환경이 인터넷을 통해 내부 직원은 물론 파트너와 고객까지 확대되면서 어플리케이션과 사용자가 급속도로 증가하고 있다. 이러한 IT환경의 변화 속에서 사용자는 다수의 어플리케이션 계정을 관리하는데 어려움이 있고, 서비스 부서는 이러한 계정관리에 대한 지원으로 많이 시간이 소요되고 있다.   통합계정관리 (Identity & Access Management) 솔루션은 이러한 이슈사항에 대응하기 위해서 개발된 솔루션이다. 통합계정관리 솔루션은 다양한 계정과 다양한 시스템의 접근 권한을 통합하여 효율적으로 관리할 수 있도록 한다. 사용자는 여러 시스템에 대해서 동일한 계정으로 접속하므로 편리하다.   각 시스템에 대한 접근 권한 관리는 관리자에 의해서 통합적으로 운영된다. 통합계정관리 솔루션은 운영관리(Operation management)와 인증(Authentication), 인가(Authorization), 감사(Audit) 등 4가지 주요 요소로 구성된다.   기능 설명 운영관리 (Operation management) •다양한 시스템에 분산된 직원, 비즈니스 파트너, 고객들의 수많은 계정과 속성, 접근권한을 효율적으로 관리할 수 있는 운영관리자 및 사용자 인터페이스 제공 •사용자 계정 생성, 변경, 폐기 등 사용자 주기를 포괄적으로 관리 인증 (Authentication) •시스템에 접속하고자 하는 사용자의 신원을 확인 •대상 시스템에서 인증된 계정 검증 인가 (Authorization) •중앙집중적 정책 관리 및 결정을 통해 사용자가 허가된 IT자원에 대한 접근 통제 감사(Audit) •사용자 계정 및 접근과 관련된 모든 행위들이 감시와 규제, 조사 목적을 달성하기 위해 기록   통합계정관리 솔루션은 각 정보시스템의 사용자(직원, 고객, 계약자 등)를 식별하고, 정의된 사용자 권한에 의해 정보시스템에서 제공하는 자원에 대한 접근을 제어하기 위한 포괄적 솔루션이다. 즉, 식별된 사용자가 권한을 가진 IT 자원에 접근(Access)할 수 있도록 한다. 통합계정관리 솔루션은 사용자 정보와 권한을 관리하기 위한 기술과 프로세스의 통합 프레임워크 내에 여러 요소가 결합되어야 하기 때문에 접근통제 기술과 업무분석 컨설팅, 관련 솔루션이 정의된 방법론에 따라 구축되어야 한다.   통합계정관리 솔루션은 통합계정 저장소, 프로비저닝, 워크플로우, 정책, SSO(Single Sign On)와 접근제어로 구성된다.   • 통합계정 저장소는 통합계정관리 솔루션의 중추에 해당한다. 통합 저장소는 인증과 인가를 위한 신원증명서, 각 개인의 역할, 연락처 등의 정보를 담고 있다. 새로운 시스템을 추가하거나 노후 시스템을 폐기 또는 교체할 때, 조직 변경의 경우 등과 같이 사용환경이 바뀔 때에도 계정 정보만 수정하면 되도록 유연한 구조를 제공하여야 한다.   • 프로비저닝은 통합 저장소에서 관리하고 있는 계정 정보를 기업의 모든 시스템과 애플리케이션에게 공급할 수 있는 채널을 구축하고 관리하는 역할을 수행하며, 어댑터는 각 시스템 또는 애플리케이션과 프로비저닝이 상호 커뮤니케이션 할 수 있는 통로 역할을 한다. 이같이 통합계정관리 솔루션이 프로비저닝을 통해 통합 저장소에서 변경된 계정 정보를 각 시스템과 애플리케이션에 자동으로 반영함으로 보안관리자는 한번의 작업으로 기업내 모든 시스템의 계정정보 관리업무를 수행할 수 있게 된다.   • 워크플로우는정책 적용, 정책과 역할 기반의 권한의 생성과 폐기, 정책 기반의 계정 생성과 폐기 등 크게 3개의 프로세스 군으로 구분할 수 있다. 워크플로우 엔진은 이같은 3개의 프로세스와 관련된 절차를 정의하고 자동화한다.   • 정책은 계정과 권한 관리에 대한 모든 프로세스와 프레임워크를 정의하기 위한 가이드를 제공한다. 정책은 통합계정관리 솔루션 구축을 위한 컨설팅 단계에서 수립되며, 정책에서는 비밀번호형식, 비밀번호와 권한변경, 이력, 사용자의 역할과 권한, 권한별 시간제한 등의 내용을 정의하고 있다.   • 권한 위임과 프로파일 센터(self-service)는 현업부서 관리자에게 계정 정보관리를 위한 인터페이스를 제한적으로 제공하고, 계정 관리를 관련 현업 부서의 관리자가 직접 수행할 수 있다.   • SSO(Single Sign On, 단일인증)은 기업 내의 모든 애플리케이션의 인증 프로세스에 하나의 계정으로 접근할 수 있도록 한다.   • 접근제어 컴포넌트는 기업과 부서 단위의 정책에 따라 비즈니스 서비스에 대한 사용 인가(Authorization)를 제어한다.   • 인증/인가 프로세스는 통합계정관리 솔루션의 프로비저닝을 통해 통합 저장소의 계정 정보를 참조하고 접근제어 컴포넌트를 통해 관리된다. 사용자는 인증을 통해서 자신의 계정 사용을 승인 받고 접근제어 컴포넌트의 인가를 통해 승인된 계정을 이용해 필요한 IT 자원을 사용할 수 있다.     [그림1] 인증/인가 매커니즘   통합계정관리 솔루션 구축은 다른 정보시스템이나 솔루션보다 복잡하고 어렵다.   사전에 비즈니스 요구에 따라 계정 정책과 접근제어, 권한 등을 정의하고 계획하여야 한다. 계정의 생성에서 소멸까지 일련의 생명주기에 걸쳐 정책을 수립하고 통합계정관리 솔루션에 적용할 수 있도록 하여야 한다.. 또한 타 시스템과의 연동성과 운용성을 고려하여 관련 조직과 상호 협업관계를 명확하게 설정해야 한다.   구축은 다음과 같이 6단계의 절차를 통해 이루어진다.     [그림2] IAM 설계 절차   ① 저장소 설계는 저장할 데이터의 종류와 성격에 따라 스키마 설계를 한다. IAM측면에서 저장해야 할 데이터는 사용자, 조직, 권한, 접근정책 등이다. 또한 이를 타 업무시스템에 제공해야 하므로 타 업무시스템의 요건에 따라 기능을 지원할 수 있어야 한다.   ② 인증관리는 저장소의 통합 개념이 필요한 아키텍처이다. 인증 자체를 위해서는 통합된 계정 저장소가 필요하며, 인증 관리 설계 시 계정 정책에 대한 설계가 기본이 된다. 대부분의 기업들은 업무 시스템마다 상이한 계정 정책을 갖고 있으나, 통합계정관리 솔루션의 인증 기본 개념은 일 인당 하나의 계정 정책에서 출발하기 때문에 이 부분에 대해 사전 설계 작업이 중요하다.   ③ 인가관리는 접근 대상이 되는 시스템에 대해서 접근 허용의 범위와 깊이를 관리하는 개념이다. 기존의 SSO은 시스템에 대한 접근 허용만을 범위로 하지만, 통합계정관리 솔루션은 시스템의 내부 자원의 계측적 하부 구조까지의 세부적인 접근관리를 한다. 인가관리는 이런 세부적인 접근통제 정책을 설계 과정에서 진행해야 한다.   ④ 타 시스템과의 연동은 통합계정관리 솔루션의 적용 범위에 영향을 미친다. 통합계정관리 솔루션은 독립적으로 운영할 수 없는 솔루션이다. 중앙에 집중된 기업의 공통 정보인 사용자, 조직, 그룹, 권한 등을 SSO의 통합 저장소로 활용하고, 타 업무시스템이 필요로 할 경우 그 정보를 전달하여 운용해야 한다. 이러한 아키텍처로 구성되어 타 시스템과의 연동은 중요하다. 초기 구축 이후 시스템 적용 범위 확장을 위해서 다양한 서버 환경, 어플리케이션의 형태에 적용이 가능해야 한다.   ⑤ 사용자관리는 통합계정관리 솔루션의 모든 관리를 하나의 사용자 인터페이스로 운영하는 것이다. 이때 중요한 부분은 관리 모델의 설계이다. 관리 모델은 계열사나 자회사가 다수 있는 경우 각 조직을 담당하는 관리자가 존재 할 수 있고, 지역별로 분산된 구조라면 지역별 관리자 모델이 존재 할 수 있다.   ⑥ 사용자 프로비저닝은 사용자, 시스템, 데이터 교환 내용 등에 대해 정의한다. 기업 내부의 계정 흐름에 대한 전반적인 사항을 파악하고 관련 업무 담당자들과의 공감대를 형성하여 요구사항에 대한 구체적인 설계를 진행한다. 계정 흐름에 대한 프로세스를 정의하고 설계한다. 설계된 프로세스는 각각의 워크플로우 엔진을 통해 자동으로 처리된다. 사용자 프로비저닝 설계는 기업의 계정 흐름에 대한 모든 것을 설계하는 것이고, 통합계정관리 솔루션이 동작하는 실제적인 모습을 나타내는 과정이다.   통합계정관리 솔루션 도입 효과는 기업의 비즈니스 편리성을 제공한다. 또한 비용절감, 운영의 효율화, IT위험관리 강화에도 도움을 준다. 고객, 파트너, 직원들이 얼마나 쉽고 빠르게 기업 정보에 접근할 수 있는지가 비즈니스의 경쟁력으로 이러한 기업의 고민에 대한 답은 통합계정관리 솔루션에 있다.   * 본 기고글은 지난 2009년 8월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
내부정보유출방지를 위한 방안
2009.07.01
내부정보유출방지를 위한 방안 file
내가 회사 업무 수행 중, 사용하거나 생성한 정보는 얼마만큼의 가치가 있는지, 혹은 유출되면 내 회사에 얼마나 피해가 있을 지 생각해 본 적 있으신가요? 기업의 중요 기술 정보 유출 시 예상되는 피해 금액은 이미 언론을 통해 보도된 바 있듯, 상상을 초월하는 막대한 금액이라고 합니다. 그렇다면 이렇게 내부 기술정보를 불법적으로 확보하는데 소요되는 비용은 얼마나 될까요? 알려진 바에 따르면 기술을 자체적으로 개발 또는 생성할 때 소요되는 비용과 비교하여 거의 비교가 불가능할 정도로 적다고 합니다. 이는 내 회사의 기밀 정보를 노리는 위협 요소들이 생각하는 것 보다 매우 클 수 있다는 것을 시사하기도 합니다.   시만텍이 포네몬 인스티튜트와 공동으로 2009년 퇴사자 1,000명에 대해 조사한 결과에 따르면 퇴사자 중 59%가 기밀정보를 유출했으며 유출 시 이용한 방법으로는 53%가 CD나 DVD를, 42%가 USB 메모리를, 38%가 개인 이메일을 이용했다고 합니다. 또한, 기밀정보를 유출하였다고 한 응답자 중 82%는 아무런 감사나 검토를 받지 않았으며 24%는 퇴사 후에도 회사의 정보시스템 및 네트워크에 접근할 수 있었다고 합니다. 더욱 심각한 것은 상당수의 임직원이 적은 액수의 금액으로도 회사의 기밀정보를 외부에 유출시킬 의향이 있는 것으로 조사되었습니다.   국내 경우는 방송통신위원회가 한국정보진흥원과 공동으로 실시한 결과에 따르면 조사대상 기업 중 33.4%만이 공식적으로 문서화된 정보보호 정책을 보유하고 있으며 정보보호책임자를 지정한 업체가 12.2%에 지나지 않았습니다. 또한 정보보안 사고가 발생할 경우 약 60% 정도는 이에 대해 아무런 대응을 하지 않는 것으로 조사되었습니다.   이러한 국내외적인 상황을 종합적으로 고려하면 기업이 보유하고 있는 내부 기밀정보를 안전하게 보호하기 위해서는 무엇보다 내부 단속이 매우 중요하다는 것을 시사하며 이를 위한 방안으로 다음 3가지를 제시합니다.   1. 정보보호관리체계의 수립   최근 옥션이나 GS칼텍스 등의 사례에서 보는 바와 같이 기업에서 개인정보 및 기밀정보 유출 사고가 발생하고 있으며 사고의 원인을 분석해보면 관리적 측면인 보안감사 및 이행점검 등 관리적 측면의 정보보호 프로세스가 수행되지 않아 발생하였습니다. 이러한 문제를 해결하기 위해서는 기술적 대책뿐 만 아니라 관리적/운영적 대책을 포괄하는 표준화된 정보보호 관리체계를 수립하여야 합니다.   정보보호관리체계란 기업의 보유하고 있는 정보자산에 대한 안정성과 보안 신뢰도를 제고하기 위한 절차를 수립, 문서화하고 이의 지속적인 관리와 운영을 통해 보안 목표를 달성하도록 하는 체계를 의미합니다.   이를 위해 기업이 소유하고 있는 정보자산에 대해 효과적으로 관리할 수 있는 지침 및 절차를 수립하여야 합니다. 즉, 내부정보를 보안등급에 따라 분류할 수 있는 기준과 등급별로 관리를 위한 보안요건 및 절차를 규정하여야 합니다. 또한 이렇게 수립된 요건 및 절차의 준수를 위해서는 보안감사를 지속적으로 실시하여야 합니다.   2. 정보보호 인식제고   정보보호 정책/지침이 수립되었다고 하더라도 이를 임직원이 준수를 하지 않는다면 무의미할 것입니다. 따라서 문서화된 정보보호 정책/지침에 대해서는 주기적으로 임직원에게 교육을 실시하여야 하며 특히 개인정보 및 내부 기밀정보를 취급하는 직원에게는 추가적인 직무 관련 교육이 실시되어야 합니다.   정보보안 인식을 제고하기 위한 활동은 정보보호 정책/지침에 대한 교육, 정보보안의 중요성에대한 인식제고 활동, 업무에 참고할 수 있는 보안가이드 북의 작성 및 활용 등 다양한 형태로 실시할 수 있습니다.   임직원들이 보안 통제를 고려하여 업무를 수행할 수 있도록 정보보호 인식교육을 실시하는 기업은 13.7%에 불과하며 교육 내용의 대부분은 일반 직원에 대한 정보보호 기초교육으로 나타났습니다. 따라서 임직원의 인식제고를 위해 다양한 정보보안 컨텐츠를 개발하여야 하며 특히 정보보호 정책을 임직원이 준수할 수 있도록 이에 대한 주기적이고 지속적인 교육을 실시하여야 합니다.   업무 중 자리 이석 시 발행할 수 있는 내부 정보유출을 방지하기 위해서는 Clean Desk 활동을 강화하여야 합니다. 업무 시간 중 잠시 자리를 비울 때 기밀정보가 있는 문서나 이동저장매체를 방치하면 외부 방문자나 비인가자에 의해 내부 정보가 유출될 수 있습니다. 특히 문서의 복사나 이동저장매체에 저장된 정보를 복사할 경우 로그가 남지 않으므로 유출 여부의 확인이 곤란합니다. 따라서 이러한 피해를 방지하기 위해서는 업무시간 중 잠시 자리를 비우거나 퇴근 시에는 기밀정보경우 잠금장치가 있는 서랍이나 캐비닛에 안전하게 보관하여야 합니다.   3. 내부정보유출 방지솔루션의 구축   내부정보의 유출을 효과적으로 통제하기 위해서는 관리적인 정보보호 내부정보를 유출할 수 있는 다양한 IT 인프라 경로에 대해 통제를 실시하여야 합니다. 기존에 도입된 정보보안 솔루션이 네트워크 보안에 국한되어 있다면 최종 사용자 측면에서는 보안 취약점이 존재할 수 있습니다.   이러한 문제를 해결하기 위해서는 최종 사용자의 PC에서 보안통제를 적용할 수 있는 솔루션을 구축하여야 하며 대표적으로 DLP(Data Loss Prevention) 솔루션이나 DRM 솔루션 등이 있습니다. 위와 같은 솔루션의 구축의 경우는 회사가 보유하고 있는 내부 중요정보에 충분한 분석이 있어야 하며 이에 대한 관리대책도 수립되어 있어야 합니다.   이상으로 기밀정보의 유출을 방지할 수 있는 보안 대책으로 정보보호관리체계의 수립, 정보보호 인식제고, 내부정보유출 방지솔루션의 구축 등에 대하여 살펴 보았습니다. 우리 속담에 ‘소 잃고 외양간 고친다’라는 말이 있습니다. 외양간을 허술하게 지었거나 지속적으로 외양간을 관리하지 않는다면 소를 잃어버릴 수 있습니다. 그렇다면 소를 잃지 않으려면 어떻게 해야 할까요? 당연한 얘기지만 처음부터 외양간을 튼튼하게 짓고 지속적으로 관리를 하면 됩니다. 기업도 마찬가지 입니다. 내부정보가 유출되기 전에 정보보호관리체계를 비롯하여 보호대책을 수립하고 지속적으로 이행한다면 기밀정보를 잃어버릴 확률은 줄어들 것 입니다.   * 본 기고글은 지난 2009년 7월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
MDM(Mobile Device Management) 솔루션
2009.07.01
MDM(Mobile Device Management) 솔루션 file
우리나라가 세계적 IT 분야에 강자로 군림하고 있는 분야 중에서 휴대폰 산업이 있다. 휴대폰 수출액 기준으로 삼성전자, LG전자 등 글로벌 1, 3위를 석권하고 있고 국가적 산업 기여도가 매우 높은 분야라고 할 수 있다. 하루에도 수백 가지 휴대폰 제품이 출시되고 있으며 최근에는 PC 운영체제와 유사한 기능을 가진 똑똑한 휴대폰 즉 스마트폰이 출시가 줄을 잇고 있다. 가트너, IDC 등 유수의 리서치 기관 조사에 따르면 향후 스마트폰은 매년 10~20%의 매우 높은 성장율을 유지하며 휴대폰의 주류가 될 것으로 예측하고 있다.   이런 스마트폰이주목을 받으면서 대두가 되고 있는 것 역시 바로 보안문제라고 할 수 있다. 모바일용 PC 운영체제가 휴대폰에 탑재되면서 발생하는 보안 문제가 최근 중요한 이슈가 되고 있으며 실제로 다양한 보안 위협이 나타나고 있다. 이에 금번 기고에서는 이런 휴대폰 기기의 보안 위협을 대처하기 다양한 보호대책의 필요성에 따라 모바일 기기의 관리 기술인 MDM(Moblie Device Management)에 대해서 소개하고자 한다.   1. MDM의 개념   MDM 개념은 OTA(휴대폰무선전송기술, Over The Air)을 이용하여 언제 어디서나 모바일기기가 Power On 상태로 있으면 원격에서 모바일 기기를 관리할 수 있는 시스템이다.   MDM(Mobile Device Management)의 원래 사용 목적은 원격에서 휴대폰 등 모바일 기기의 어플리케이션 배포, 데이터 및 환경설정 변경, 모바일 분실 및 장치 관리들을 통합적으로 관리해 주는 시스템으로 짧은 서비스 다운타임과 최소의 비용으로 모바일 보안과 기능을 최적화시켜주는 시스템이었으나 최근 보안 위협에 대한 강화대책으로 관리의 필요성이 대두되면서 모바일 보안의 핵심요소가 되고 있다.   모바일 VPN 통해을 안전하게 보안된 통신을 제공하여, 기업의 메시징 시스템 혹은 기간계 인트라 시스템에 접근하여 실 업무 환경에서 데이터가 유출될 수 있는 메일, 웹, 그룹웨어, USB 저장매체 등 다양한 통신 채널에 대해 포괄적 보호기능을 제공함과 동시에 중앙 관리 콘솔을 통해 전사적 모니터링 및 사용자 환경에 대한 통제를 수행할 수 있다.   주요 기능을 간단히 요약하면 다음과 같다.   • 디바이스 관리(Device Management) - Mobile Device에 대한 정보 수집/배포 관리(모바일 기기 ID로 식별(IMEI 규격) • 사용 등록 및 추적관리(Enrollment Management) - 모바일 기기에 대한 등록/승인/회수 기능 - 분실/도난시 모바일 기기 사용중지 기능 • 조직 내부의 Active Directory 에 모바일 디바이스를 조인하여, 그룹정책을 이용한 보안정책 수립, 정책적용 • 디바이스 관리 서버를 통해 소프트웨어 배포   2. OMA(Open Mobile Alliance)   MDM 기술과 관련 솔루션을 이야기할 때 빠지지 않는 것이 바로 OMA라고 할 수 있다. 오픈 모바일 연합(OMA)으로 통칭되는 이 OMA는 모바일 데이터 서비스의 범세계적 활성화를 위해 기술 규격 개발 및 상호 운용성을 검증하기 위해 노키아사가 설립한 OMA(Open Mobile Architecture Initiative)와 마이크로소프트사가 구성원이었던 WAP(Wireless Architecture Protocol) 포럼이 주축이 되어 설립된 모바일 표준화 단체모바일 디바이스 표준 (OMA DM) 제정 단체로 최근에는 국내 삼성전자, SKT등 업체들도 참여하여 모바일 기기 표준 관리를 지원하는 각종 스택이나 규격을 만들고 있다. OMA는 모바일 기기 관리를 위한 다양한 표준 기술을 제시하고 있다.   몇 가지를 요약하면 다음과 같다.   • Device 설정 기능을 원격에서 작동, 미작동 전환 기능 • 모바일 기기의 셋팅과 파라미터들 변경 원격 지원 기능 • 버그가 고쳐지거나 새로운 device들에 대한 소프트웨어 업그레이드 원격 배포 설치 • Device의 오류 보고서나, 상태에 대한 요청 기능, 분실, 도난시 원격 모바일 기기 관리   현재 OMA 기구에 참여하고 있는 업체로는 AT&T, 마이크로소프트, 알카텔-루슨트, 인텔, IBM, 모토로라, 삼성, SK 텔레콤, 노키아, 필립스, 에릭슨, HP, 소니, KTF, ETRI, KISA, 마크애니, LGT 등 약 317개 업체들이 회원사로 활동하고 있다.   [표 1] MDM 개요 및 주요 기능       3. MDM(Moblie DeviceManagement) 구성   MDM 솔루션은 휴대폰 운영체제에 따라 다양한 제품이 있으며 2008년 마이크로소프트사는의 윈도우 모바일 6.1 운영체제를 지원하는 SCMDM 2008(Security Center Mobiel Device Manamgent)를 발표하였다.   [그림-1]은 마이크로소프트사의 SCMDM 구성도로서 DMZ 존 구역에 MDM 게이트웨이와 원격지 모바일 안에 있는 MDM 에이전트가 통신이 이루어 진다. SCMDM 구성은 MDM 에이전트, MDM 게이트웨이 서버, MDM 관리 서버, 모바일 등록서버(Mobile Enrollment Server) 등 4개로 구성된다.       [그림-1] MDM의 구성   MDM의 각 구성요소에 대한 설명은 다음과 같다.   - 게이트웨이(MDM Gateway) 서버 : 사내 네트워크의 모바일 관리서버와 모바일 기기 간의 통신 연결 및 인증 암호화/모바일 VPN 인증서 기반의 사용자 인증 및 통신 암호화 - 모바일 관리서버(MDM 서버) : 모바일 기기 관리 운영, 보안정책 및 소프트웨어 배포 기능 - MDM 등록 서버(Enrollment Server) : 모바일 기기 등록/승인/변경/회수 처리 및 보안 소프트웨어 배포 및 설치, 분실/도난시 원격 정보삭제기기 모니터링, 사용자 모바일 VPN 지원 - MDM 에이전트 : 모바일 기기 내부에 에이전트가 설치되어 MDM 서버와 통신   3.1 게이트웨이 서버   게이트웨이 서버는 모바일 에이전트와 통신 연결 관리를 담당하며 주로 모바일 VPN 및 공중 이동통신망을 통해서 접속을 하게 된다. 게이트웨이 서버는 모바일 기기와 사내 네트워크의 모바일 관리서버 간의 통신 연결/인증/ 암호화 및 통신 암호화 및 모바일 VPN(IPSec 통신 암호화)에 인증서 기반의 사용자 인증 기능을 담당한다. Gateway 주요 컴포넌트 구성에 대한 설명은 다음과 같다.   - 전자서명 저장소(Certificate store) : 전자서명 인증서 저장 모듈 - 모바일 VPN 정책엔진 : VPN 정책 설정 - MDM Alerter 에이전트 : OMA(Open Mobile Alliance) 디바이스 구동 에이전트 - MDM VPN 에이전트 : VPN 구동 에이전트 - 모바일 VPN 드라이버 : - IIS(Internet Information Server) : Windows 운영체제 웹 서버       [그림-2] MDM 게이트웨이 컴포넌트 구성   3.2 MDM 서버   MDM 서버는 실제적으로 모바일 기기를 관리하는 핵심 서비스(Administration Services)로서 다음과 같은 주요 기능과 역할을 수행한다.   - MDM 시스템의 통합관리 및 관리자 도구 - 모바일 기기 및 기타 MDM 관련 시스템 환경설정 변경 - 모바일 기기 상태 관리(분실/도난, 모바일 작동여부, 밧데리 상태) - 원격에서 모바일 기기의 등록여부/회수 등 변경작업 관리 - 모바일 소프트웨어 배포 현황관리 - 어플리케이션 소프트웨어 배포 관리 - 모바일 어플리케이션 및 소프트웨어 배포 및 설치관리 - 보안 소프트웨어 배포 및 패치적용 - 모바일 펌웨어 업그레이드   또한 사내 보안정책을 효율적인 관리를 위해서 액티브디렉터리를 구성하여 그룹 보안 정책 관리을 할 수도 있다.   - 모바일 기기를 그룹별(부서별, 업무별) 관리 기능 - 사내 AD 연동을 통한 그룹 보안정책을 이용한 수립과 적용    예) 보안정책에 위배되는 기능 통제(카메라, 블루투스 기능 제한, 패스워드 설정 정책 적용 등) - 사용자 동기화 및 모니터링(불법 소프트웨어 설치, 저장 파일 목록, 원격 저장 데이터 삭제)       [그림-3] MDM 관리서버 컴포넌트 구성   3.3 모바일 등록(Enrollment)서버   모바일 등록서버는 모바일 기기의 사용자및 기기 등록을 담당하는 구성요소로서 모바일 등록 서비스 과정은 다음과 같이 이루어진다. 모바일 등록 서비스 과정은 다음과 같다.   - 모바일 신규 등록 신청(모바일 기기에서 도메인 등록 신청) - 모바일 기기- 등록 서버 간에 인증(One-time 등록 패스워드 생성) - MDM 등록 서버가 Active Diretory에 모바일 기기 등록     [그림-4] MDM 등록서버 컴포넌트 구성   아래 그림은 실제 모바일 기기 등록을 위한 웹 UI 화면과 스마트폰 기기의 사용 모습이다.     [그림-5] MDM 등록 화면 및 도메인 등록화면 아이콘   3.4 MDM 에이전트   MDM 에이전트는 모바일 기기 운영체제 내부에 에이전트로 설치되어 언제든지 MDM 서버와 통신하여 기기의 위치 및 등록 여부를 확인할 수 있도록 해준다.   1) 모바일 등록 에이전트   - 모바일 등록(Enrollment) 서버와 통신하여 모바일 기기 등록 및 설정정보를 전송 - 모바일 기기 등록 및 상태 정보를 주기적으로 MDM 관리서버로 전송   2) 소프트웨어 다운로드   - 사내 보안정책에 따라 보안 소프트웨어 설치, 패치 다운로드 후 자동 설치 기능 지원 - 사내 업무용 비즈니스 어플리케이션 다운로드 및 설치 기능 지원   3) 모바일 VPN   - MDM 등록시 인증서 기반으로 모바일 VPN 암호화 통신을 통해 모바일 기기의 상태 정보 및 소프트웨어를 다운로드 받음   [그림-6] MDM Agenet(Windoiws Mobliel 6.1) 컴포넌트 구성   [표 2] MDM 솔루션 종류     4. 맺음말   위와 같이 MDM솔루션에 대해 간략하게 알아보았다. MDM은 기업내의 모바일을 이용한 비즈니스에 없어서는 안될 필수 보안 조건이 되고 있다. 스마트폰은 PC와 동일한 환경에서 일어나는 보안사고를 답습할 수 있는 외부의 해커들에게는 좋은 먹잇감인 셈이다. 따라서 보호대책 수립과 보안방안을 수립하기 전에 우선 기기에 대한 관리가 선행되어야 스마트폰 등 모바일 기기를 이용한 해킹이나 보안사고를 예방할 수 있다.   * 본 기고글은 지난 2009년 7월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
국내 기업의 글로벌 환경 적용을 위한 개인정보보호 거버넌스 체계 수립 요소
2009.06.01
국내 기업의 글로벌 환경 적용을 위한 개인정보보호 거버넌스 체계 수립 요소 file
개인정보의 유출사고는 국내 뿐 아니라 전 세계적으로도 심각한 사회문제로 대두되고 있다.   지난 한해 동안 개인정보 대량 유출 사건들이 연이어 발생하면서 사회적 파장으로 이어졌고 이는 관련 기업들에게 막대한 금전적 손실과 함께 이미지 실추를 초래하였다. 현재 많은 기업 및 공공기관들은 개인정보보호의 필요성을 실감하고 관련된 방안을 모색하고 있다. 해외 상황도 마찬가지다. ‘독일-은행계좌 포함된 150만명 개인정보 불법 유출’, ‘세계 최대 다국적 호텔 체인인 '베스트 웨스턴'의 온라인 예약 시스템 해킹, 800만 명 고객 정보 유출’, ‘홍콩-지난 5월 한 달 동안 정부기관 기밀자료 및 일반인 개인정보 누출’, ‘HSBC- 고객정보 저장된 서버 도난’ 등, 해외 곳곳에서 크고 작은 개인정보 유출사고들이 발생하였고 각 나라별로 우리와 비슷한 고민에 빠져있다.   이와 관련하여 다국적 기업 즉 해외에 현지 법인을 갖고 있는 국내 기업들을 주목할 필요가 있다. 전 세계에 걸쳐 개인정보 관련 사고들이 발생하면서 이와 같은 다국적 기업에서는 본사와 해외 지점 간에 개인정보의 수집, 저장, 제공, 이용, 폐기와 관련하여 다양한 이슈들이 증가하고 있다. 그나마 선진국에 진출한 사업장의 경우 취약점이 있긴 하지만 비교적 개인정보보호와 관련된 법과 제도가 잘 구성되어 있기 때문에 개인정보보호를 위한 체계 수립이 용이한 편이다. 하지만 국내 기업이 가장 많이 진출해 있는 중국, 동남아시아, 동유럽 같은 개발도상국들은 개인정보에 대한 제도가 극히 미비한 수준이다. 이런 경우 국내 기업들은 글로벌 환경에서 적용할 수 있는 개인정보보호 거버넌스 체계 구축이 필요하다.   필자는 여기서 이러한 다국적 기업들이 본사의 개인정보보호 정책을 바탕으로 글로벌 비즈니스 환경에 공통으로 적용할 수 있는 개인정보보호 거버넌스 체계 수립을 휘하여 필요한 요건을 정책 및 계획 수립, 조직구성, 교육 및 문화형성, 유지관리 방안 마련으로 나누어 다음과 같이 제시하고자 한다.   1. 범용적인 정책기준 및 계획 수립   국내에 들어와 있는 글로벌 기업들은 현재 국회에 계류중인 개인정보보호법(안)(이하 법(안).)의 최근 법(안)에 대한 공청회를 실시하였다. 그 결과, 개인정보 감독기구에 대한 협의안이 조정될 경우 금년 정기국회에서 재상정되어 통과될 가능성이 높기 때문에 각 기업 및 기관들은 법(안)에 따른 개인정보보호 강화를 위하여 대응방안 수립을 준비해야 한다. 향후 새로운 법(안)에 따른 법적 요구사항과 방송통신위원회(이하 방통위.)에서 요구하는 기술적/관리적 보호조치를 각 기업에서는 기존의 개인정보보호 정책 및 지침에 반영하여야 한다.   상기 사항은 해외로 진출하고 있는 국내 기업들도 해당된다. 현지의 법과 제도를 준용하지만 부족하다고 판단이 될 경우 현지의 법과 제도를 준용하는 정책 수립이 필요하다. 이러한 정책의 수립 이전에 본사에서는 해외 어디에서도 적용할 수 있는 범용적인 개인정보보호 정책을 수립해야 할 것이다.   예를 들어, 해외 지점을 가지고 있는 본사에서 개인정보보호와 관련된 보안정책 지침을 수립할 경우 글로벌 스탠더드인 OECD(Organization for Economic Cooperation and Development) 8대 원칙을 통하여 해외 법인에서 준용할 수 있는 범용적인 정책 기준을 마련해야 할 것이다. 개인정보보호 정책의 경우 OECD의 8대 원칙을 기본 프레임워크로 하여 국내외 사업장에서 개인정보보호 지침을 수립하기 위한 공통적인 기준 및 방향을 제시해야 한다. 개인정보보호 지침에서는 사내의 정책, 지침, 조직, 교육 및 홍보, 개인정보자산분류, 개인정보 취급실태점검, 침해사고대응절차를 포함한 개인정보관리 정책을 현지 사정에 맞도록 수립해야 한다.   그리고 기업은 개인정보보호관리 프로세스에 해당되는 해외 환경에 적합한 개인정보보호 정책을 수립 할 때 세부 사항으로 해당 사업에 관련되는상ㆍ벌칙 조항도 포함시켜야 한다. 예를 들어 국내 전기통신사업자의 개인정보 유출 사례에서 볼 수 있듯이 개인정보 유출 법률 위반 시 과징금을 부과하여 회사의 매출에 부정적인 영향을 미칠 수가 있는 것을 볼 수 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 제64조의3 (과징금의 부과 등)에 보면 “이용자의 동의를 받지 아니하고 개인정보를 수집한 경우 등에 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과할 수 있다”라고 정의하고 있다. 이와 같은 상황을 예방하기 위하여 회사규정 상에 개인정보보호의 위반 사항에 대한 강력한 제제조치를 마련하여 고객 및 내부의 개인정보를 보호해야 한다. 또한 개인정보보호 체계를 잘하고 있는 해외 법인 사업장에는 포상을 하여 해외 사업장에서도 자발적으로 개인정보보호 노력을 할 수 있는 동기를 부여해야 한다. 이러한 회사 내부 규정이 해외의 현지 법인에 전달될 때는 해당 국가의 법과 제도, 경제ㆍ사회적 문화를 고려하여 적절하게 상ㆍ벌의 수준이 결정되어야 할 것이다.   범용적 개인정보 정책이수립되었다면 정책에서 정의한 표준 항목과 수집, 저장, 제공, 이용, 폐기에 이르는 개인정보보호 프로세스를 적용할 수 있는 표준 가이드를 정의해야 한다. 개인정보를 취급 시 개인정보 취급자나 사용자가 고려해야 하는 준수 사항에 대한 사례 항목을 내용, 근거, 적용범위, 적용예시로 구분하여 실무적인 가이드로 작성해야 할 것이다.   2. 현지 CPO(Chief Privacy Officer)의 임명 및 개인정보보호 조직 구성   개인정보보호를위한 전담 부서로서 경영지원의 부서조직이 아닌 임원급 이상의 현지상황에 능통한 CPO를 선정해야 한다. 적절한 CPO의 임명으로 향후 개인정보노출이나 침해사고에 능동적인 예방 대책이 가능하다. 또한 현지 법인 개인정보보호를 위한 전담 부서가 조직되어야 하며 개인정보보호 조직의 구성원인 개인정보관리책임자와 개인정보보호 취급자의 명확한 역할 구분이 필요하다.   3. 개인정보보호를 위한 문화형성 및 교육방안 수립   기업이 해외 시장 진출에있어 타국가의 문화와 전통을 이해하고 이를 바탕으로 적극적인 현지화를 펼쳐야 하는 것은 글로벌화의 필수 요인이 되었다. 기업이 해외 시장에 진출하여 현지화에 성공하기 위해서는 누구나 공유할 수 있는 문화와 시스템이 필요하다. 언어와 문화는 달라도 해당 기업의 구성원 누구나 수용 할 수 있는 합리적이고 수평적인 기업 문화가 필요한 것이다. 이러한 문화는 구전이나 해당 지역 사무소 일부의 노력같은 비공식적인 채널을 통해 전수되는 게 아니고, 긴 시간 동안 서로간의 이해와 노력으로 명문화되어 인종과 언어를 초월해 공유되어야 한다.   글로벌화에 성공한 기업들의 대부분은 진출한해당 국가의 국민들이 그 기업을 국내 기업처럼 인식하고 호의적으로 바라보고 있으며, 그 기업이 오랫동안 함께 하기를 원하는 모습을 볼 수 있다. 하지만 현지화가 제대로 되지 않고 단지 그 나라의 값싼 자원이나 시장만을 보고 진출한 기업들에게는 배타적인 이미지를 가지며, 심지어 기업을 퇴출시키기 위한 활동을 전개하는 것을 볼 수 있다.   이러한 현상을 개인정보보호 측면에서도 볼 수있다. 개인정보는 특성상 내부인에 의해 유출되는 경우가 많기 때문에 현지인을 다수 고용해야 하는 글로벌 기업의 특성 상 현지 직원들 및 해당 국민들과의 유대관계가 중요하다고 볼 수 있다. 그렇기 때문에 중앙의 본사가 중심이 되어 해외 현지 법인과의 지속적인 커뮤니케이션을 통해 해당 나라의 법과 제도, 일반적인 사회 통념 등을 파악하고 해당 국가에서 회사의 이미지가 우호적으로 보일 수 있도록 지속적인 활동을 펼쳐야 할 것이다. 또한 이 모든 것이 고려된 개인정보보호 정책, 계획, 교육 및 실행 등의 활동이 이루어져야 할 것이다.   앞에서도 언급했듯이 현재 국내의 기업들이 진출하고 있는 나라 중에는 경제 발전을 서두르고 있는 개발도상국이 많다. 이러한 나라들은 경제발전을 목적으로 하고 있기 때문에 개인정보보호에 대한 인식이 전체적으로 낮다. 현지 법인이 사업을 수행할 때 현지인들의 고용을 주로 하게 되는데 현지인들은 개인정보보호의 중요성을 인식하지 못하는 경우가 대부분이므로 개인정보보호의 중요성을 인식하고 자체적으로 개인정보보호에 대해 노력할 수 있도록 지속적인 문화형성과 교육이 필요하다.   또한 개인정보를 다루는 개인정보 취급자나 사용자가 쉽게 이해할 수 있는 교육 등의 개인정보보호 인식 제고를 위한 기회가 많이 마련되어야 할 것이다. CPO에 대한 책임 및 역할, 법적 요건에 대한 인식, 개인정보 취급자에 대한 조직의 정책•지침 및 법적 요건, 업무에서 개인정보 취급 시 주의사항 등이 주기적으로 교육 되어야 한다. 또한 개인정보 취급자에게 지침을 준수하라고 하면 너무 어렵게 느낄 수 있기 때문에 쉽게 풀어 쓴 생활 개인정보 보안가이드 및 동영상 등을 회사 환경이나 실무에 맞게 컨텐츠를 제작하여 개인정보를 다루는 취급자나 사용자가 손쉽게 이해할 수 있도록 교육이 되어야 한다.   4. 개인정보관리실태 평가기준을 통한 지속적인 유지관리 방안 마련   개인정보보호관리체계에 대한 준거 여부를 상시 모니터링하고 실행할 수 있는 준거성 기반의 개인정보보호 점검표를 마련해야 한다. 국내의 경우에는 개인정보보호 점검표에 기술적/관리적 보호조치 및 준거성 여부에 따라 개인정보를 다루는 부서에서 미리 점검할 수 있는 정기적인 개인정보 감사 체계를 구축하여 평가하고 있다. 해외 법인에서도 개인정보관리실태를 평가 할 수 있는 기준을 마련하고 자체적 내부 감사와 본사에서의 중앙 감사를 통해 개인정보관리실태를 점검하고 개선사항을 발견하는 활동을 수행해야 한다.   발견된 개선 사항들은 정책 단계부터 계획 및 실행 단계에 이르기까지 모든 임직원들에게 공표되고, 교육되어야 한다.   지금까지 국내 기업이 글로벌 비즈니스 환경에서 개인정보보호 거버넌스 체계 수립에 필요한 요소를 정책 및 계획수립, 조직화, 문화형성 및 교육, 유지관리 측면에서 살펴보았다. 개인정보의 유출 경로는 워낙 다양해서 좋은 계획이라도 유출 사고를 완벽히 방지할 수는 없을 것이다. 하지만 개인정보 유출을 최소화 하기 위해서 CEO의 강력한 리더십 하에 전사적으로 개인정보보호라는 목적을 가지고 수립된 계획을 행동으로 옮기는 것이 가장 중요하다. 법 규제 등 외부환경, 내부조직 및 업무 프로세스 등의 변화에 따라 발생가능한 새로운 개인정보 유출경로를 파악하여 개인정보보호 계획을 보완하고 교육을 실시하는 등 일련의 유지관리 활동도 병행되어야 한다.   무엇보다 일률적인 개인정보보호 정책이 아닌 비즈니스 활동이 수행되고 있는 현지의 상황을 잘 고려하여 개인정보보호 대책을 현지화 하는 것이 중요하다.   * 본 기고글은 지난 2009년 6월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
 DB(DataBase) 보안 솔루션
2009.06.01
DB(DataBase) 보안 솔루션 file
지난 2008년은 개인정보와 내부정보 유출 등 다양한 보안 사고가 발생하여 기업 및 개인에게 정보보호의 중요성이 주요 이슈로 떠오른 한 해였다. 2009년에는 정보통신망법이 개정되어 시행됨으로써 개인정보처리시스템에 대한 불법적인 접근을 막기 위해 정부와 공기업은 물론 금융기관, 통신업체, 일반 대기업까지 대책마련이 시급한 상황이다. 이에 따라 보안사고를 당한 기업과 개인정보를 다루는 일부 기업에서 보안에 대한 대책이 조금씩 나오고 있으며, 이제 더 이상 데이터베이스 보안 시스템의 도입이 늦춰져서는 안 된다는 것이 전반적인 흐름이 됐다.   현재 일부 정부기관이나 기업들이 도입하고 있는 보안시스템은 사용자의 접근을 통제하는 접근통제 솔루션이 대부분이다. 이는 설치의 편리함과 비용, 솔루션 운영 시 서버에 부하를 주지 않아 가용성을 헤치지 않기 때문이다.   이미 가까운 일본에서는 개인정보보호법이 실행돼 각종 내부보안 솔루션들이 속속 구축되고있는 실정이며 미국, 유럽 등에서도 샤베인옥슬리(Sarbanes-Oxley) 법안, 바젤 Ⅱ 등으로 기업, 금융 등에 프라이버시, 비즈니스 정보 등 각종 분야별 정보리스크에 대한 대비를 촉구하고 있다. 업계의 전문가들은 “완벽한 보안이란 불가능하며 결국 정보의 누출은 불가피할지 모른다”며 “따라서 정보가 누출될 수 있는 가능성을 최소화하며 설혹 누출되더라도 피해를 최소화할 수 있도록 시스템적인 보완이 필수다”고 언급하고 있다.   그렇다면 기업의 주요 자산인 데이터베이스를 보호할 수 있는 데이터베이스 보안 솔루션(이하 ‘DB보안솔루션’이라 함)이란 무엇일까?   DB보안솔루션은 중요 정보를 데이터베이스에 보관할 시 특정 필드에 암호화를 적용하거나 사용자의 접근을 제어해 해킹 및 허가받지 않는 내부자에 의한 불법적인 정보유출을 방지하는 솔루션이다. 내부에 위치한 중요 정보에 대하여 외부로의 유출 차단 및 악의적 목적을 가진 행동에 의한 내부로의 접근을 차단하기 위하여 아래 그림과 같이 계층별 보안솔루션이 적용되어야 하며, DB보안 솔루션은 DB의 최종적 보안성을 유지하기 위한 수단으로써 데이터를 암호화 하거나 접근통제를 수행하는 마지막 관문으로 볼 수 있다. [DB보안솔루션의 통제 활동 범위]   DB보안은 크게 DB 자체를 암·복호화하는 방식과 DB 사용자의 접근을 제어하는 방식으로 나뉘는데, DB접근 제어 방식의 DBMS Auditing 기능은 DB 사용자의 행동을 감시하여 누가 어떤 테이블을 언제 사용하고, 어떤 작업을 하는지를 기록하여 사후 보안 감사기능을 강력하게 지원해준다. 또한 DB암호화 솔루션은 DB내의 중요 데이터(개인정보)를 직접 암호화함으로 써 데이터 유출 시 해독이 불가능하고 추가적인 Auditing 기능을 지원하기도 한다. 하지만 두 가지 방식 모두 Auditing 및 암호화 적용 범위에 따라 시스템의 과부하를 줄 있기 때문에 적용범위에 대한 적용 범위에 대한 신중한 고려가 요구된다. 주요 특징을 살펴보면 아래와 같다.     [DB보안솔루션의 종류 및 특징]   DB 보안 솔루션은 종류 및 특징에 따라 각기 보호하는 영역이 정해져 있다. 접근제어 및 감사 제품의 경우 DB 전체 데이터 및 DB로의 접근 시도에 대한 통제를 통하여 보안위협을 줄일 수 있으나, Data유출에 대한 원천방지를 막을 수는 없다. Data암호화 제품의 경우 암호화된 데이터에 대한 접근제어 및 접근감사 기록에 대한 기능을 일부 지원하고, Data 를 암호화 함으로써 정보 유출에 대한 원천방지 기능을 제공한다. 각기 제품별 특성에 따라 보안위협에 대한 위험감소 기능이 분류된다. 솔루션의 기능별 주요 보안영역을 구분해 보면 아래 그림과 같다.   [DB보안 제품의 위험감소 범위]   암호화 솔루션과 접근제어 솔루션은 상호 보완적인 관계 속에서 필요해 보이며, 암호화 솔루션은 접근제어 솔루션의 간편성과 적용성에 비해 다소 복잡할 수 있으나, 암호화를 통해 얻을 수 있는 이점이 많다. 따라서 최근 접근제어 솔루션이 대세를 이루며 구축 되고 있지만, 향후 1~2년 안에 암호화 솔루션에 대한 관심과 적용 범위가 확대될 전망이며, DB보안의 최종 목표는 암호화와 접근제어를 동시에 이루는 일이다. 사용 DATA의 성격과 운용 시스템에 따라 암호화를 기본으로 하고 접근제어 기능을 포함 하는 솔루션을 구축 하느냐, 암호화와 접근제어를 별개로 구축 하느냐, 접근제어만 구축 하느냐는 보안의 경중과, 시스템의 성격에 따라 우선 순위를 두고 구축해야 할 것으로 보인다.    * 박현수 책임 컨설턴트 | A3Security 컨설팅사업본부* 본 기고글은 지난 2009년 6월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
위험관리솔루션을 통한 정보보호 관리체계 운영
2009.05.19
위험관리솔루션을 통한 정보보호 관리체계 운영 file
위험관리솔루션을 통한 정보보호 관리체계 운영지난 몇 년 간 많은 조직에서 수행된 ‘정보보호 관리체계 구축’을 위한 프로젝트에 구성원으로, 때론 입회인으로 참여해왔다. 프로젝트 수행하면서 ‘Best Practice’와 실제 기업 환경과의 차이를 접할 때마다 정보보호 관리체계 운영에 대한 의문점을 갖곤 한다. “이게 잘 운영이 될까? 당장 6개월 동안의 운영에는 문제가 없을까? 몇 해 지나면 흐지부지 되는 건 아닐까?” 보통 기업의 보안 담당자는 정보보호 관리체계 구축 프로젝트를 진행하기 위해서 구축의 필요성을 담당 임원, 때로는 최고 경영층에 수시로 보고 하는 것은 물론이고, 프로젝트 예상 비용이나 프로젝트 업체에 대한 시장의 평판을 꾸준히 알아보며, 효과를 극대화시키기 위해 필요한 조직 내부 항목들을 정리하고, 프로젝트 진행을 위한 공간을 마련하는 등 많은 준비작업을 갖는다. 프로젝트가 시작된 후에는 진행 기간 내내 비용에 대한 압박을 받는 동시에, 투입된 예산에 걸맞은 수준으로 프로젝트의 가시적인 성과를 도출하기 위해 전전긍긍 한다. 결국 프로젝트를 통해 조직이 현재 가지고 있는 취약점들을 파악하고, 이를 해결하기 위해 제시된 프로세스들을 수립함으로써 정보보호 관리체계를 구축한다. 필요에 따라서는 많은 홍보가 이루어진다. “보안은 프로세스다”라는 말에서처럼 정보보호 관리체계의 구축은 구성원들에게 보안 프로세스 준수에 대한 많은 추가 업무들을 요구한다. 이러한 부분들로 인해 처음 기획 때와는 다르게 정보보호 관리체계의 유지가 쉽지 않다. 특히 요즘처럼 본인 직무에 대한 부담이 높은 때에, 추가 업무를 가중시키는 듯한 보안업무에 대한 협조는 쉽지 않다. 그나마 공감대가 잘 형성된 조직에서는 높은 당위성에 호소하여 적극적인 참여를 기대할 수 있지만, 그렇지 못한 경우에는 구성원들의 반발이나 무시가 많고, 정보보호 관리체계 운영을 위한 기본 요건을 맞추려는 보안 담당자들의 노력을 참으로 어렵게 만든다. 이러한 이유들로 인해서, 구성원들의 보안의식을 고취시키기 위한 '변화관리'가 중요한 도구로 새로이 이슈화되는지 모르겠다. 일반적으로 정보보호 관리체계의 가장 근간이 되는 것은 ‘위험 분석’이라고 하는 일련의 프로세스이고, 위험 분석의 기초가 되는 것이 ‘자산 분석’, 즉 자산 목록의 작성이다. 위험 분석 프로세스는 특히나 현업의 참여가 많이 필요한데, 자산 목록의 경우 기본적으로 정보자산의 발생 부서에서 작성을 하도록 하고 있어 현업에 적지 않은 부담이 된다. 따라서 구성원의 자발적 참여가 높지 않은 조직에서는 자산 목록의 갱신이 정보보호 관리체계의 유지를 위한 큰 걸림돌 중 하나이다. 더욱이 자산분석을 개별 전자파일, 개별 보고서와 같이 깊이 있게 실시한 곳에서 자산 목록 갱신은 경영층의 지원 없이는 불가능할 수도 있다. 올해 초 제법 규모가 큰 제조 업종의 모 회사에서 보안 컨설팅을 수행한 적이 있다. 두 곳 이상의 지역에 사업장을 가지고 있는 회사는, 최신 제조 기술에 대한 보안이 중요한 이슈였고, 경영층에서도 보안을 중요한 부분으로 판단을 하여 아낌없이 지원을 해주었다. 당연히 연구소를 대상으로 정보보호 관리체계가 구축 되어 운영에 대한 충분한 노하우가 있었으며, 금번의 컨설팅을 통하여 전 사업장으로 구축 범위를 확대하려고 하였다. 여느 프로젝트에서와 마찬가지로 담당자의 보안운영과 관련한 아이디어를 들을 수 있었는데, 전 사업장으로 확대를 위한 중요 이슈 중 하나가 자산 분석, 위험 분석에 대한 시스템화였다. 담당자는 정보보호 관리체계의 운영에 있어 가장 힘들다고 판단했던 자산 분석, 위험 분석 관련 프로세스를 시스템화 하였다. 그 결과 전국에 걸쳐 있는 사업장에서 각 부문별 보안담당자들은 쉽게 접근하여 표준화된 프로세스로 위험 분석을 실시할 수 있을 것으로 예상된다. 조직 내부의 프로세스적인 통제와 더불어 시스템화 된 솔루션은 체계적인 보안관리에 많은 도움을 준다. 특히 위험관리 솔루션의 구축은 시행착오를 통한 조직의 거부감을 최소화하기 위하여 정보보호관리체계에 대한 지식과 회사의 조직구조 등 경영환경이 충분히 고려된다면, 단순 반복적인 업무를 자동화 하여 회사의 보안 활동에 많은 수고를 덜게 해주는 훌륭한 도구가 될 것이다. * 글 | A3Security 컨설팅사업본부 이남규 수석 컨설턴트 * 본 기고글은 지난 2009년 5월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
 DLP(Data Loss Prevention) 솔루션
2009.05.01
DLP(Data Loss Prevention) 솔루션 file
최근 들어 개인정보 유출 사고를 포함하여 기업 내부정보 유출로 인한 문제가 점점 심각해지고 있다.    빈발하는 대형 정보유출 사고들이 개인은 물론 기업과 국가 경쟁력에 악영향을 미치면서, 고객정보 및 내부핵심정보와 같은 기업내부정보보안에 대한 중요성과 관심이 갈수록 증대되고 있다.   그 동안 대다수 기업들은 정보보호 활동에 대한 핵심 역량을 외부의 악의적인 해커들로부터 내부 정보자산을 지키는데 편중시키고, 내부 직원에 의한 정보유출 발생 가능성에 대해서는 간과하는 경향을 보여왔다. 오히려 내부 직원들이 불편 없이 네트워크를 이용할 수 있도록 배려해왔다. 한 예로, 국내에서 정보보호에 대한 필요성이 대두되면서 2000년대 초반부터 집중적으로 도입된 침입차단시스템 경우를 살펴보면, 내부 직원들이 인터넷 등을 사용하는 Out-bound 패킷에 대해서 명시적으로 거부하는 일부 정책을 제외하고는 모두 허용(Allow all)하는 사용자 편의 위주의 보안 정책을 많이 보아 왔다.   중기청에서발표한 ‘2008년 상반기 산업기밀관리실태조사보고서’에 의하면 이러한 유출 사건의 80% 이상은 내부 전·현직 직원에 의한 것으로, 2003년부터 적발된 145건의 사건 중 120건이 전·현직 직원에 의해 유출된 것으로 파악됐다. 국가정보원 산업기밀보호센터 자료에 따르면 그 피해액이 자그마치 188조5000억 원에 육박한 것으로 추정되었다.     피해의 지속적인 증가와 함께 전·현직 임직원과 관계자들에 의한 내부 정보 유출은 심각한 문제로 대두되었고 핵심 기술 유출 하나로 치명적인 기업 존폐 위기를 초래하거나, 회복할 수 없는 대외 이미지 손상 등 사안의 중대성으로 인하여 문제에 대한 경각심이 더욱 요구되고 있다.     정보보호 솔루션 업체들은 보다 안전하게 정보가 보관되고 유통되도록 하여 내부 정보 유출을 막을 수 있는 다양한 방법을 제시하고 있다. 그 다양한 방법에는 DLP 솔루션, SBC(서버기반컴퓨팅), DRM(디지털저작권관리), 인증, 메일보안, DB보안, NBA(Network Behavior Analysis), 매체보안, 물리보안 등이 포함된다.     필자는 이 가운데에서 이제 막 시장을 형성하기 시작하여 올해 내부정보유출방지 시장의 핵심 솔루션으로 화두가 되고 있는 DLP(Data Loss Prevention) 솔루션에 대해 소개하고자 한다.    DLP 란, Data Loss Prevention(기업 데이터 유출 방지)를 의미하며 사용자가 사무실, 현장 및 집 어느 곳에서 업무 중이라도 사용자의 PC에서 기업 내 기밀 데이터가 외부로 반출되는 것을 항시 감시하고 기록하며, 정책에 따라 유출을 차단시키는 것을 주기능으로 구현한 솔루션이다.     즉, 실 업무 환경에서 데이터가 유출될 수 있는 메일, 웹, 그룹웨어, USB 저장매체 등 다양한 통신 채널에 대해 포괄적 보호기능을 제공함과 동시에 중앙 관리 콘솔을 통해 전사적 모니터링 및 사용자 환경에 대한 통제를 수행할 수 있다.    [그림-1] DLP솔루션의 구성  DLP솔루션은 제조사와 특성에 따라 다양한 구성방식을 나타내고 있으나 [그림-1]과 같이 DLP 정책을 수립하고 감사/모니터링을 제공하는 DLP관리서버와 Endpoint에서 동작하는 Agent로 구성되는 경우가 일반적이다.   DLP관리서버는 각 Agent와 실시간 연결되어 중앙 집중적인 관리를 제공하며, 대외비 사항 선별, 정책 수립 및 배포, 이벤트 모니터링, 감사/포렌직/리포팅을 제공한다. 사용자 PC에 설치된 Agent는 관리서버에서 배포한 정책을 통해 실제 매체통제, 대외비 탐지/차단, 이벤트 기록 등을 담당한다.    [표-1] DLP 솔루션의 주요 기능 구 분 기 능 Data 분류 - 파일 저장 위치 별 분류 – 파일서버 특정폴더 - Contents에 따른 분류 – 키워드, 정규식, 임계치 등 - 파일 유형에 따른 분류 – 확장자, 어플리케이션 - Fingerprint - 관리자에 의한 복합 기준 분류 Data 유출방지 - USB 메모리 등 모든 물리적 장치 - 분류 등급에 따른 외부 복사제어 - 인쇄 모니터링 또는 차단 - 복사 & 붙여 넣기 화면 캡처 - 메일 클라이언트를 통한 유출 차단 - 네트워크 어플리케이션을 통한 유출 방지 - 윈도우 제공 네트워크 경로차단 - 웹 브라우저를 통한 웹 포스팅 차단 - 외부 웹 메일 사용시 차단 가시성 확보 - Forensic 로그 및 분석 - 유출 시도 증거물 수집 (Automatic Evidence Collection) - 실시간 경고 (POP-UP MESSAGE) - ‘Bypass’ 옵션 - 정책 예외 설정 ​[표-1] DLP 솔루션의 주요 기능에서 보 듯, DLP솔루션은 회사 내부정보를 사내 환경에 적합하고, 명확하게 분류하는데 다양한 분류 방법을 제공한다. 회사에서 보호해야 하는 내부정보가 어떤 파일에 포함되어 있는지 알아야 솔루션이 가진 목적을 달성할 수 있기 때문이다.    내부정보를 분류를 통해 어떤 정보를 보호할 것인지가명확히 한 다음 사용자들이 실수하거나, 또는 악의적으로 이용되는 경로, 방법, 장치 등에 대해 통제하는 기능을 제공한다.    마지막으로 사용자들의 행위에 대한 탐지 및 기록 기능을 제공하여 실수에 의하거나 의도적인 정보유출에 대해 지속적으로 경고하고, 향후 책임 추적을 위한 근거를 준비한다.    [그림-2] DLP솔루션의 동작 방식   [그림-2]의 DLP 동작 방식은 대외비 분류 기준에 의해 대외비로 구분(태깅)된 데이터가 Endpoint인 사용자 PC에서 파일 이름, 포맷 등이 변경되거나, 복사, 압축/아카이빙, 암호화 등의 변화에도 불구하고 이전 대외비 속성이 똑같이 부여됨을 보여주고 있다.    [그림-3] 감사/로깅 화면    DLP솔루션의 데이터 분류 기능에서 어떤 내부정보들을 보호할 것인가에 대해 명확히 분류하였다면 [그림-3] DLP솔루션의 감사/로깅 기능은 어떤 사용자가 어떤 정보를 가지고 어떠한 행위를 하였는지의 모든 정보들을 기록한다.    이를 통해 보안관리자는 사내 정책의 위반, 정보유출의 시도 여부를 파악할 수 있을 뿐만 아니라, 향후 정보 유출에 대한 법적 증적 자료로 활용할 수도 있다. 사용자의 입장에서도 다양한 실수에 의한 정보유출을 사전에 예방할 수 있을 것이다.    이상으로 DLP솔루션에 대해 간략하게 알아보았다. 내부 정보유출을 방지하는 기술은 DLP솔루션과 같이 정보가 전송되는 경로를 관리하는 기술뿐만 아니라 정보를 암호화하는 기술, 정보보호 관리체계 등도 이에 해당 할 수 있다. DLP는 USB 저장매체나 메신저·메일·웹하드 등의 경로를 통해 정보가 유출되는 것을 막을 수 있다. 만약 문서·도면·DB와 같은 정보 자체를 암호화하는 기술이 DLP를 보완한다면, 만에 하나 파일이 유출된다 해도 정보 자체는 열어볼 수 없을 것이다. 또한, 보안솔루션은 체계적이고 완벽한 보안정책이 뒷받침 되지 않으면, 내부 직원들은 보안에 대한 의식이 개선되기 보다는 불편함만을 호소하게 되어 결국 완전한 통제 기능을 사용하지 못할 것이다. 따라서 DLP 기술과 암호화, 체계적인 보안정책 등이 상호 보완적으로 동작한다면, 내부 정보 유출 방지의 목적을 좀 더 효과적으로 달성 할 수 있을 것이다.[관련 문의 02 6292 3001] * 김정덕 책임 컨설턴트 | A3Security 컨설팅사업본부* 본 기고글은 지난 2009년 5월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
IPTV의 일반적 공격형태 및 보안대책
2009.04.13
IPTV의 일반적 공격형태 및 보안대책 file
1. 개요   IPTV(Internet Protocol Television)란 초고속 인터넷 망을 이용하여 제공되는 양방향 디지털 텔레비전 서비스로, 세계 20여 개국에서 이미 상용화가 되었으며 방송과 통신이 융합된 새로운 서비스 형태로서 큰 관심을 받고 있다. 우리나라는 IPTV 시장 창출에 유리한 환경을 확보하고 있고, 각종 영상정보, 음성 및 데이터 정보들이 융합된 새로운 서비스로서 산업 활성화가 가능할 전망이다. 그러나, 시장의 활성화를 위해서는 서비스의 안정성이 제고되어야 하며, IPTV 특성상 부가서비스에 대한 과금 등 영역에서 보안은 필수적이라고 할 수 있다. 에이쓰리시큐리티에서는 IPTV 서비스에 대한 다수의 모의해킹 및 보안대책 수립 컨설팅을 수행한 바 있으며 이에 본지에서는 그동안의 경험을 바탕으로 IPTV 보안에 대한 몇 가지 기본적인 사항을 언급하고자 한다. 2. IPTV 서비스 개요   즉, 컨텐츠 접속 권한 인증, 컨텐츠 보호(CAS/DRM), CODEC, 양방향 서비스 제어, 가입자 관리, 과금 등의 서비스에 대한 모든 기능은 헤더엔드와 단말 간에 이루어진다. 망은 멀티캐스트 스트리밍을 전달하고, 필요에 따라 사용자가 원하는 채널을 엑세스망에서 브렌칭하는 기능을 담당한다. [출처] 정보통신연구진흥원, IPTV 서비스 기술 현황 및 단계별 발전 전망(주간기술동향 1286호) 3. IPTV 일반적 취약점 공격 형태 IPTV의 취약점 공격과 관련하여 에이쓰리시큐리티에서는 다양한 시나리오를 보유하고 있으며, 이러한 시나리오를 기반으로 정밀한 보안대책이 가능하도록 하고 있다. 본지에서는 에이쓰리시큐리티에서 보유하고 있는 다양한 시나리오 중 일부만 간략히 소개하고자 한다.    3.1 서비스 오남용 취약점 공격   IPTV서비스에서는 유료 서비스의 불법적인 서비스 오남용이나 유료 컨텐츠의 불법적인 무료 사용 취약점이 가장 민감한 이슈라고 할 수 있다. 유료 컨텐츠의 불법 다운로드나 인증 우회를 통한 불법 사용, 그리고 유료 서비스에 대한 과금 우회 등은 IPTV 서비스 업체의 수익성을 악화시키는 것 뿐만 아니라 IPTV 서비스 자체의 신뢰도를 약화시켜 전반적으로 IPTV 사업에 악영향을 미칠 수 있다. 유료 서비스의 서비스 오남용 공격 형태는 크게 다음과 같다. l 유료 컨텐츠의 무료 재생 : 유료 컨텐츠의 재생 관련 환경을 조작하여 무료로 유료 컨텐츠를 재생하는 공격 l 유료 서비스의 타 사용자 요금 부과 : 유료 서비스의 결재 과정에서 타 사용자의 정보로 조작하여 타 사용자에게 과금되도록 하는 공격 l 유료 서비스의 결재 우회 : 유료 컨텐츠의 결재 과정에서 결재 관련 인자 값을 조작하는 공격   3.2 IPTV 인프라 취약점 공격   IPTV서비스에서도 여타 다른 서비스 영역의 보안과 마찬가지로 인프라 영역에 대한 취약점 공격이 중요한 이슈이다. 셋탑박스(STB)를 통해서 획득한 정보를 바탕으로 공격자는 IPTV 인프라에 대한 공격을 수행할 수 있으며, IPTV 인프라 자체가 보안에 취약할 경우 불법적인 접근, 이를 이용한 서비스 오남용 및 서비스 거부(방해) 등의 공격이 가능할 수 있다. IPTV 인프라 취약점 공격 형태는 크게 다음과 같다. l 인프라 서버의 관리자 권한 획득 : NMS, 인증서버 등 주요 인프라 서버의 관리자 권한 획득 공격 l DB의 중요 정보 위변조 : DBMS의 과금정보 등 중요 정보를 유출 및 조작하기 위한 공격 l 서버 및 네트워크 중요 정보 유출 : 서버 및 네트워크 장비의 중요 정보를 유출하기 위한 공격   4. IPTV 일반적 보안대책 IPTV의 보안 대책은 기존의 인프라 관점의 보안 대책에 추가적으로 IPTV 환경에 대한 보안 대책도 같이 강구해야 한다. 자세한 보안대책은 컨설팅을 통해서 고객의 환경에 최적화된 대책으로 나와야 할 것이며, 본지에서는 일반적인 보안대책으로 한정하여 알아보도록 하자.   l 인증 처리 강화 : 과금이나 기타 유료 서비스 제공 시 중요 트랜잭션 및 세션의 인증을 강화해야 한다. 특히 파라미터에 대한 무결성 검증이나 replay attack에 대한 방지 대책이 필요하다. l 접근통제 강화 : 인프라 주요 정보 자산에 대한 접근통제를 강화하여야 한다. 특히 관리서비스에 대한 인증 및 접근통제를 강화하고, 셋탑 박스나 가입자 단에서 인프라 단으로의 접근을 통제하여야 한다. l 불필요한 서비스 및 파일 통제 : 취약점은 대부분 설정이나 운영 실수에 의하여 생기는 경우가 많다. 따라서 불필요한 서비스나 파일에 대한 통제에 대하여 주기적으로 점검해야 하며, 운영상 필요한 최소한의 서비스만 구동하여야 한다.   5. 맺음말   이상으로 IPTV에 대한 일반적 공격 형태와 보안대책을 간략히 알아 보았다.   IPTV가 향후 국가 전략산업으로 관심이 증대되고 있는 요즘, IPTV 보안에 대해서도 많은 관심이 필요하고, 이러한 관심이 그 동안 IPTV 모의해킹 컨설팅이나 IPTV 종합 보안대책 컨설팅 등으로 표출되었다. 기술발전과 맞물린 영역이 전부 그렇듯, IPTV 서비스 기술이 지속적으로 발전하고 있기 때문에 향후에도 IPTV 서비스에 대한 보안성 검토 및 보안대책 마련 작업은 계속되어야 할 것이다.    * A3 Security | 컨설팅사업본부 주세홍 컨설턴트 * 본 기고글은 지난 2009년 4월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
 USS(Ubiquitous Security Service) 'IAM 스마트카드'
2009.04.13
USS(Ubiquitous Security Service) 'IAM 스마트카드' file
개요개인정보 및 내부중요정보 유출 사고는 내부 및 협력 업체 직원들의 중요 서버에 대한 접근통제, 감사 및 로깅 관리가 미흡하여 발생하였으며, 인터넷을 통한 금융거래 보안사고는 인터넷 또는 개인PC의 취약점을 이용하여 ID와 비밀번호를 획득하고, 포털사이트에 접속 후 피해자 e-메일을 열어 보관 중이던 공인인증서 또는 보안카드를 절취하는 방식으로 발생하였다. 이런 보안사고들에 대응하기 위해서는 중요 서버의 접근에 대한 통제, 감사 및 로그분석을 강화할 필요가 있으며, 일반 사용자들에 대한 PC 보안과 개인 신원 인증을 위해 보다 강력하고 편리한 인증 방법이 필요하다. 그렇다면, 위에서 언급된 대안들에 대해서 좀 더 효과적으로 예방할 수 있는 솔루션은 없을까? 필자는 보안솔루션의 운명이 가전제품이나 핸드폰 같은 생활필수품의 운명을 갖게 될 날을 기다리며, 다양한 기술과의 접목, 사용자 중심의 보안강화, 안정성 및 편리성을 확보한 보안 스마트카드를 소개하겠다. 보안 스마트카드란? [그림1]보안 스마트카드 외형 신용카드 크기의 보안 스마트카드는 지문인식 기술과 스마트카드를 결합한 이동형 통합 보안 솔루션이다. 이 스마트카드에는 지문인증을 위한 생체인식 지문센서와 다기능 어플리케이션(VPN 클라이언트, 감사 PC 보안 Agent 등) 이 탑재되어 있고, 전용 CPU와 OS가 탑재되어 있어 Client PC의 리소스를 활용하지 않는다. 인증 프로세스로 비밀번호를 이용하지 않고 지문을 사용하고, 공인인증서를 내장하여 추가로 인증 처리 실시가 가능하며, 지문 인증 후에는 지정된 특정 프로그램(VPN 클라이언트, 감사 PC 보안 Agent 등)이 자동 실행된다.   VPN 사용 및 서버 접근 통제보안 스마트카드는 사전에 등록된 자신의 지문과 공인인증서 암호로 접속과 동시에 VPN이 열려 암호화된 터널링을 제공해 준다. 이는 키보드 및 메모리 해킹 등의 공격 차단이 가능하여, 입력정보를 해킹한 후 인터넷 뱅킹으로 예금을 이체해가는 사고를 방지할 수 있게 된다. 또한, 패스워드 및 공인 인증서와 같은 중요 인증정보를 편의상 USB, 웹 메일, 웹 하드 등을 통해 보관하여 절취 당하는 사고는 발생할 수가 없을 것이다. 스마트카드에 탑재 된 VPN 클라이언트 프로그램은 제로터치방식으로 램 상주형태로만 구동되고 VPN 관리 서버(G/W 형태의 보안 중계서버)에서는 중요 서버에 대한 접근통제 정책 설정이 가능하여 기업에서 사용한다면 사용자별 실시간 접근 기록 및 접속정보(IP/계정 정보/시간 등)에 대한 로깅 및 모니터링을 수행할 수 있다. [그림2] VPN 사용 및 서버 접근 통제 과정 사용자는 이 스마트카드를 사용할 경우 인터넷 뱅킹을 비롯한 증권거래, 국세청 등의 공인인증서를 이용한 서비스, 회사내의 그룹웨어, 이메일 등을 집이나 PC방 및 국내외 출장지에서 안전하게 사용할 수 있다.외부/내부 사용자의 접속정보에 대한 수집 및 분석   보안 스마트카드 기능을 더욱 확장해서 기업에서 활용할 경우, 포렌식 및 PC 보안 기능의 모듈을 탑재하여 사용하면 사용자별 일괄적인 보안관리와 통제를 수행할 수 있다. 보안 스마트카드에 감사 Agent를 탑재하여 구동하게 하고, 이 스마트카드를 통해서만 PC사용을 가능케 하면 감사 Agent가 “사용 기록 및 증적 정보”를 수집하여 감사 기록 일체를 저장소(스토리지)에 자동 기록한다.  [그림3] PC 사용자 접속정보 수집 및 저장 과정      이렇게 수집된 정보는 통합모니터링 서버를 이용하여 모니터링 할 수 있으며, 사용자 접근 내역에 대하여 주기적으로 검토한다면 내부 정보 유출 및 부정행위 감시를 할 수 있고, 사고 발생 시 법정 증거자료로 활용할 수 있을 것이다.[관련 문의 02 6292 3001]  * A3Security | 컨설팅사업본부 이영주 선임 컨설턴트* 본 기고글은 지난 2009년 4월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.
자세히보기
TOPTOP