전사정보보호 강화를 위한 통합보안구축 사례 · 솔루션구현> 개발팀테스트> 현업tft 테스트> 콜센터업무지속성테스 트> 현업Open 6 과학적변화관리적용

2013 IBM Security Symposium

전사정보보호 강화를 위한

통합보안구축 사례

현대하이카다이렉트 / IT기획팀

류영석 과장


통합보안구축 프로젝트 목적

고객 정보 유출 위험 대응

강화되는 관련 법규 대응

내부 정보 자산 보호

보안 위협의 증가보안 위협의 증가

보안 Compliance강화

보안 Compliance강화

고객 정보 관리고객 정보 관리


통합보안구축 사업 전략• 솔루션 구축은 실용적인 정책에 따라 최소인력으로 통합 관리하는 방향으로 구축

• 솔루션간 연동은 SI수행역량을 바탕으로 효과적인 연동 개발하여 적시에 시스템을 구현

실용적이고 통합적인 정보보안 인프라 구축

경쟁력 있는 보안인프라 구축을 통한 보안 관리 수준 제고

솔루션구축전략

실용적인 보안 통제

최소인력으로 통합운영

보안관리 수준 향상

현대하이카다이렉트의

정보보안인프라

솔루션도입기준

현대하이카다이렉트의

정보보안인프라

솔루션도입기준

안정성 유연성 확장성 통합성

연동개발전략

로그통합모니터링

�글로벌 #1 로그통합솔루션구축

�통합로그관리구축경험을활용한

단계별통합관리방안수립

인증통합

� IT관리자를위한 2-Factor 인증

�사용자를위한보안솔루션인증통합

결재연동

�개인정보통제를위한워크플로우

연동개발

�문서보안의결재시스템과연계


프로젝트 범위 및 전략

개인정보개인정보개인정보개인정보위험도위험도위험도위험도분석분석분석분석

법법법법////규제규제규제규제대응대응대응대응가이드가이드가이드가이드

서버서버서버서버////인프라인프라인프라인프라

영역영역영역영역

추가인증추가인증추가인증추가인증

LTOLTOLTOLTO암호화암호화암호화암호화

사용자사용자사용자사용자 영역영역영역영역

무선통신망차단무선통신망차단무선통신망차단무선통신망차단

통합로그통합로그통합로그통합로그

문서보안문서보안문서보안문서보안(DRM)(DRM)(DRM)(DRM)

개인정보유출방지개인정보유출방지개인정보유출방지개인정보유출방지(DLP)(DLP)(DLP)(DLP)

네트워크접근제어네트워크접근제어네트워크접근제어네트워크접근제어(NAC)(NAC)(NAC)(NAC)

매체제어매체제어매체제어매체제어

요요요요

건건건건

정정정정

의의의의

////

정정정정

책책책책

수수수수

립립립립

변화변화변화변화

관리관리관리관리

수행수행수행수행

솔솔솔솔

루루루루

션션션션

통통통통

합합합합

////

구구구구

현현현현

보안 컨설팅

보안솔루션 구축

� 개인정보보호법개인정보보호법개인정보보호법개인정보보호법 DB DB DB DB 암호화암호화암호화암호화대응에대응에대응에대응에따른따른따른따른분석분석분석분석

� 기관기관기관기관기준기준기준기준 / / / / 개인정보개인정보개인정보개인정보처리시스템처리시스템처리시스템처리시스템기준기준기준기준

� 솔루션솔루션솔루션솔루션도입에도입에도입에도입에따른따른따른따른법법법법////규제규제규제규제대응력대응력대응력대응력분석분석분석분석

� 중장기중장기중장기중장기로드맵로드맵로드맵로드맵수립수립수립수립

11

22

11

22

33

44

55

66

77

88

사용자사용자사용자사용자

적응적응적응적응


프로젝트 일정

M1 M2 M3 M4 M5 M6

보안컨

설팅

보안컨

설팅

솔루션

구현

솔루션

구현

개인

정보 위험도 분석

• 현황 조사

• 개인정보 위험도 분석

• 개인정보 위험도 분석 결과서 작성

• 개인정보 위험도 분석 최종 보고

• 솔루션 단위 검증 테스트

• 현황분석 및 요건정의

• 아키텍처 설계

• 보안 운영 정책서 작성

• 솔루션 구현 위한 시스템 설치

• 정책기반 개별 솔루션 구현

• 시스템간의 연동 구현 및 테스트

- 기간계 사용자/조직/로그인 연동

- 문서보안과 업무시스템 연동

- 보안 로그 통합 관리

- 보안문서 승인/반출

아키텍쳐 수립/설계 솔루션 구현

착수보고

• 오픈 계획 수립

• 장애 대응 및 안정화

• 부분 오픈 및 안정화 보

고

• 전사 오픈 공지/교육

• 솔루션에이전트 배포

• 장애 대응 및 안정화

• 전사 오픈 및 안정화 보

고

법/규제 대응

로드맵 수립

• 현황 조사

• 대응 전략 도출

오픈 위한 사전준비

전체 오픈 및

안정화

완료보고

PMOPMO

• 시나리오 기반 현업

TFT 테스트

- 통합 인증/로그인

- 보안정책 기반 솔루션

별 테스트

- 보안문서 승인/반출

파일럿 테스트

중간 보고

변화관리(홍보, 교육 등)

• 변화관리 방안 수립

• 홍보 콘텐츠 개발

• 교육 및 홍보내용 전파


개인정보 위험도 분석

� 위험도 분석 기간 : 약 3주 (19일)

� 위험도 분석 참여 기관 : 한국 IBM (개인정보 영향평가 기관)

� 개인정보 취급 현황 : **개의 개인정보 파일에 총 ** 건의 데이터가 존재함

�� ** 시스템 내 개인정보 파일에 대해 기관 보호 조치 (11개 항목) 및 개인정보처리시스템 보호조치 (15개 항목)에 대한 준거 여부 분석

법/규제 대응 가이드

� 목 적 : 기술적인 관점에서 관련 법규제 사항을 분석하고 대응가이드를 제시함

� 작 성 기 간 : 약 2주 (12일)

� 관련 법규제 : 전자금융 감독규정과 개인정보보호법

�� 관련 법규제 (전자금융감독규정/ 개인정보보호법) 에 대한 대응 수준/SI사업 전후 비교/ 개선방안 제공

개인정보보호법, 전자금융거래법 등 관련 법규를 기반으로 보안 준거성을 확보하기 위해 위험도 분석 및 법/규제

대응력을 분석해서 보안규제 준수 수준의 단계적 향상을 위한 로드맵 수립

보안컨설팅


보안정책 수립

개인 정보취급 제한

개인 정보취급

무제한출력

통신 기반자료 교환

작업 위치제약 없음

웹하드자료 저장

� 문서암호화

매체반출제한

메일/메신저

자료교환

제한

출력물통제

로그 및모니터링

작업 위치제한

� 워터마크

� 매체제어

(USB 등)

� 통합 로그/인증�문서암호화

�비인가자네트

워크접근차단

�개인정보

검색및

유출차단

개인 정보 유출에 대한 통제프로세스 구현

문서암호화통제


다양한 솔루션의 구축 효과 및 관리의 효율성을 제고하기 위해, 안정성, 유연성, 확장성, 통합성을 기준으로

솔루션의 연동, 인증 통합, 로그 통합, 결재 통합, 성능 최적화, 법/규제 준거성 등을 확보

보안SI 구축 전략 및 방안

최소인력으로통합운영

실용적인보안통제

보안관리수준향상

솔루션의통합인증

솔루션의유기적연동

개인정보통제관련결제시스템구현

솔루션의현업적용배포

시스템구성

로그통합관리

솔루션의효율적운영

성능최적화

IT 컴플라이언스준거성확보

안정성

유연성

확장성

통합성

통합보안 상세구축 방안


구 분 구축 내용

매체제어 �개인 PC의 USB 및 기타 디바이스( 모바일 포함) 사용 통제

정보 검색유출 차단�웹 메일, 메신저, 웹 하드, HTTPS기반의 주요정보 유출 탐지 및 차단

�문서보안 솔루션과 정보 검색유출 차단 솔루션 연동

네트워크 모니터링�HTTP, FTP, SMTP 등 프로토콜 기반의 네트워크 모니터링

�고객정보 연동을 통한 유출 탐지 시스템

문서 보안

�중요 문서에 대한 암호화 및 불법복제 차단

�문서 유출 차단 및 사용자 접근통제, 워터마크를 통한 문서 출력 통제

�문서에 대한 승인/반출 결재 기능 구현 및 연동

PC보안관리�개인 PC의 암호 정책 통제 및 사용정책 통제

�개인 PC의 패치, 배포 정책 통제( O/S, 백신 등)

네트워크 접근통제 �유무선 네트워크 접근통제

무선통신망 차단 �허가 받지 않은 WIFI 통신 차단

LTO 암호화 백업 �LTO 라이브러리 암호화 백업

추가인증 수단 구현 �시스템 사용자 2-factor 인증 구현

분야별 솔루션의 통합성, 유연성, 확장성 및 안정성을

기본적인 구현 방향으로 하여 구축 사업 수행

통합성

안정성

확장성

유연성

통합보안 상세구축 범위

보안SI 구축 전략 및 방안


시스템 테스트

시스템 통합 테스트 파일럿 테스트 콜센터 운영 테스트

• 솔루션별 단위 테스트

• 사용자 PC환경 구현 테스트

• 솔루션의 PC 성능 영향도 점검

• 솔루션들 간의 충돌 검증

• 업무시스템과의 충돌 검증

• 솔루션별 단위 테스트


• 솔루션의 PC 성능 영향도 점검

• 솔루션들 간의 충돌 검증

• 업무시스템과의 충돌 검증

• 솔루션의 통합 테스트

• 시나리오 기반 테스트


• PC 성능 영향도 점검

• 솔루션 간의 통합/연동성 검증

• 보안 운영 정책에 대한 솔루션

정합성 검증

• 솔루션의 통합 테스트






정합성 검증

• 업무흐름 관점의 통합 테스트


• 현업 TFT 요원이 수행




정합성 검증

• 업무흐름 관점의 통합 테스트


• 현업 TFT 요원이 수행




정합성 검증

• 콜센터 업무의 지속성 테스트

• 테스트용 콜센터 운영환경 셋업

• 보안 정책의 실제 콜센터

환경에서 운용성 테스트

• 보안 정책 적용 후 콜센터

업무의 지속성 테스트

• IT 담당자 테스트 수행

• 콜센터 업무의 지속성 테스트

• 테스트용 콜센터 운영환경 셋업

• 보안 정책의 실제 콜센터

환경에서 운용성 테스트

• 보안 정책 적용 후 콜센터

업무의 지속성 테스트

• IT 담당자 테스트 수행

기능 테스트


� 사내 보안 강화에 따라 발생하는 업무영향 완화

� 보안의식 고취 및 임직원의 보안 정책에 따른 변화에 순응하고 동참유도

� 최고경영자가 변화를 주도하고 꾸준히 관심을 가지는 것이 핵심 성공요인임

� 보안SI사업을 통하여 수립된 PC보안 정책 사내전파

� 보안정책 적용전 변화관리를 통해 직원 스스로 관리하고 방법 제시

� 보안의식 향상 및 보안의 생활화로 보안에 대한 새로운 기업문화 정착

� 시스템보안 뿐만 아니라 인적보안에 대한 취약점을 깨닫게 하여 의식 제고

변화관리 수행

변화관리의 사유

변화관리의 효과

현업 직원 뿐만 아니라 전 직원 대상으로 보안 SI 사업의 목적 및 내용 안내, 정보보안 교육, 보안 솔루션 및

업무의 제한 성 홍보


� 접수분류: 총 268 콜 (솔루션관련: 199콜 / 그외: 69콜)

� 콜접수추이:

� 콜접수증가요인:

하이카다이렉트 Helpdesk 진행개요

4%

6%

12%

20%

40%3%

15%

NAC DRM DLP 매체제어 공통 사용자관련 기타

(109)

(41)

(31)

(54)

솔루션별콜접수분포도

34

37

7

10

17

5

12

44

35

13

1921

14

0

5

10

15

20

25

30

35

40

45

50

5/7 5/8 5/9 5/10 5/11 5/12 5/13 5/14 5/15 5/16 5/17 5/18 5/19 5/20 5/21 5/22 5/23 5/24

DRM의로그인실패및사용자미숙 �로그인모듈개선

매체제어프린터처리모듈문제 �프린터처리기수정모듈적용

출장자공유기사용시네트워크차단�공유기접속정책재정의

Helpdesk 운영

약 3주간의 안정화 기간을 거쳤으며, Helpdesk 운영을 통해 안정적인 운영에 필요한 추가적인 개선 방안 수립


하이카다이렉트

개인정보 보호 강화

임.직원의 보안 의식 수준 제고11

비 인가 SW 사용 차단33

외부 문서 반출 정보 통계 확보55

개인 정보 보유 문서의 흐름 현황 파악44

법/규제에 대한 정확하고, 신속한 대응력 확보22

추 진 효 과

통합보안구축사업 추진 효과 및 성공요인


고객 Top down 접근11 보안 업무 특성을 고려 고객의 경영층의 관심과 지원

고객 PMO Leadership22 고객의 개인정보 보안 운영 정책의 단순화 및 일관성 유지 노력

원활한 협업체계 유지33 고객을 포함 프로젝트 팀 전체의 열정, 상호신뢰 및 상호기술적 보완

솔루션 사전 검증44프로젝트 초기 각 솔루션들의 특성 파악 및 사용자 PC 환경에서 실행 적합성검증 테스트

다양 한 테스트 수행55솔루션 구현 > 개발팀 테스트 > 현업 TFT 테스트 > 콜센터업무 지속성 테스트 > 현업 Open

과학적 변화관리 적용66 eDM, 스토리텔링 만화 컷 시리즈 전파(1개월) (IBM HQ/GTS MKT지원)

사용자 교육 강화77 임.직원대상 보안 SI 프로젝트 홍보 및 사용자 교육

IBM 관리적/기술적Leadership

88 솔루션간의 기술적 연동 리드 및 지원(기간계 – NAC – DRM – DLP - DCS)

사업 성공 요인

통합보안구축사업 추진 효과 및 성공요인


THANKS

Documents

전사정보보호 강화를 위한 통합보안구축 사례 · 솔루션구현> 개발팀테스트> 현업tft 테스트> 콜센터업무지속성테스 트> 현업Open 6 과학적변화관리적용