1. 정보보호 트렌드 변화

2. 내부정보유출방지 대책

3. 공공부문 구축 사례

2009. 10. 26

LG엔시스/이성희

내부정보유출방지를 위한 통합관리방안

1. 정보보호 트렌드 변화

1. 정보보호 트렌드 변화

정보시스템 보안 영역은 물리적/네트워크/시스템(PC, 서버)/Data 등으로 구분할 수 있으며, 최근의 보안 위협은 개인정보 등 중요내부정보유출에 의한 금전적인 이득에 집중되고 있으며 이를 방지하기 위한 솔루션 도입 및 시스템통합 사업이 활발하게 진행 중임

정보보호 영역

1/19

출입통제시스템 네트워크 PC 서버

DB/보안 관리자시스템 운영자

비인가자

인가된 사용자

해커

최근의 보안 위협은 중요 Data 유출에 의한금전적 이득에 집중

Data

: 사이버안전센터 구축 영역(네트워크 + 시스템 보안)

: 통합인증 및개인정보상시관리 영역

업무용

비업무용

물리적 보안물리적 보안

CCTV생체인식(지문/홍채/음성)Key Lock Door

네트워크 보안네트워크 보안

침입차단/VPN침입방지Content Filtering(VirusWall/Anti-Spam)통합보안(UTM/TMS/ESA/ESM)취약성 Scanner(N/W)Anti-DDoS

Data 보안Data 보안

DB보안 (암호화/접근제어)DLPDRM

망분리 구축(업무/비업무)통합인증(SSO/IM/EAM) 구축개인정보상시관리(IAM/EAM)구축

시스템 보안시스템 보안

통합PC보안(Anti-Virus,매체보안)PMS

Secure OS주요 App. 보안(WAF)SSO/IM/EAM취약성 Scanner(Web/OS/App.)

PC 보안 서버/App. 보안

솔루션 도입

시스템통합 사업

1. 정보보호 트렌드 변화

정보유출사고 중 개인정보 유출은 금융분야에서 가장 많이 발생하였고 악성코드의 대부분이 사용자정보 외부 유출 및 키스트로크로깅 기능을 보유한 것으로 확인됨으로써 최근의 사이버 위협은 금전적 이득을 위한 최종 사용자의 감염에 집중되고 있음을 나타냄

최신 위협 및 악성코드 트렌드 분석

2008년 분야별 정보유출 및 개인정보 유출사고 발생 현황2008년 분야별 정보유출 및 개인정보 유출사고 발생 현황 정보유출 목적의 악성코드 세부 기능 분석정보유출 목적의 악성코드 세부 기능 분석

출처 : ISTR 14호, Symantec

2/19

1. 정보보호 트렌드 변화

2008년 개인정보침해 건수는 전년대비 대폭 증가(65%)하였으며, 이는 정보시스템 활용 업무의 증가, 온라인쇼핑 및 인터넷뱅킹대중화, 개인정보를 활용하는 기업 활동 등의 폭발적인 증가 대비, 관련 법/제도, 관리체계, 기술적 방안 등의 미흡에 기인함

국내 개인정보침해사고 발생 현황

3/19

연도별 개인정보침해 민원접수 현황연도별 개인정보침해 민원접수 현황

출처 : 2009 국가정보보호백서, 국가정보원 등

2009 정보보호 10대 이슈2009 정보보호 10대 이슈

1. 정보보호 트렌드 변화

'03년 이후 4년간 국내 산업기술의 유출 사건은 총 124건으로 '03년 이전에 비해 대폭 증가하였으며 대부분 전·현직 직원에 의한계획적인 사건으로 과거에 비해 기업화·대형화되는 경향을 보임

국내 산업기술 유출현황

4/19

경쟁력 있는 산업기술의 확보를 위하여 내부자와

산업스파이 등을 통해 계획적으로 기술정보 유출

전·현직 직원을 매수하여 산업기술을 유출하는 경우가 전체의

80% (124건 중 99건) 차지

(『첨단 산업기술 보호동향』, 국가정보원, '08.4 )

과거의 단순 생계형 기술 유출사건에서 현재는

기업화·대형화, 분야의 다양화 등의 추세로 변모

’07.12 현대자동차 자동변속기 기술을 중국업체에 유출

시도했으며 피해액은 4.6조로 예상

(『정보보호 Issue-Report 08-03』한국정보보호진흥원, '08.5)

산업스파이는 ‘21세기 가장 큰 산업 중 하나다.’

(엘빈 토플러)

※ 03년 이후 124건 적발

00년 01년 02년 03년 04년 05년 06년 07년

6건10건

5건 6건

26건29건 31건 32건

출처 : 첨단 산업기술 보호동향, 국가정보원, ’08.4

원인별 분야별

산업스파이 적발 현황산업스파이 적발 현황 산업기술유출 경향산업기술유출 경향

접근관리, 통합PC보안, 인증제품 순으로 전년대비 매출액이 큰 폭으로 증가하였고 특히 접근관리의 경우 2013년까지의 CAGR이28% 이상으로 예상되는 등 내부정보유출방지를 위한 솔루션 도입 및 시스템통합 사업의 활성화가 예상됨

2008년 국내 정보보호 시장 동향1. 정보보호 트렌드 변화

5/19

2008년 국내 정보보호 제품 분류 및 제품별 매출액2008년 국내 정보보호 제품 분류 및 제품별 매출액

출처 : 2008년 국내 정보보호산업 시장 및 동향 조사, KISA

38.2% 증가

28.4% 증가

20.1% 증가

접근관리 매출 전망

2. 내부정보유출방지 대책

개인정보보호체계 수립 항목개인정보보호체계 수립 항목

2. 내부정보유출방지 대책

관련 법/제도 분석 및 해당 조직의 개인정보 보유 정보시스템 현황 파악 등의 개인정보운영실태점검을 수행하고 개인정보보호프레임워크 수립 등의 관리적 대책과 업무단말기 인증강화 및 개인정보상시모니터링 구축 등의 기술적 대책을 수립함

개인정보보호체계 수립 절차

4. 개인정보보호 교육 실시 방안3. 개인정보 업무 R&R 및 운영지표(KPI) 체계 수립• 개인정보 현황점검 및 침해대응 프로세스• 개인정보 수집/보관/이용/파기 프로세스2. 개인정보보호 핵심 프로세스 도출• 개인정보보호 정책/지침 체계 및 취급 가이드라인 작성• 개인정보보호 프레임워크1. 개인정보보호에 대한 정책/지침 체계 수립

II.개인정보보호프레임워크

수립

• 위협 취약성 분석 및 평가• 개인정보 위험 요소 도출

5. 개인정보 위험도 분석• 정보시스템 운영 현황파악• 정보시스템 분석 방법4. 개인정보 정보시스템 현황파악3.개인정보 생명주기(Life Cycle)에 따른 통제상태 점검• 개인정보 흐름도 분석• 개인정보 자산 및 취급부서 현황파악2. 개인정보 보유 현황 파악• 정책/지침 현황파악 항목• 개인정보보호 법적 요구사항 분석1. 법적 요구사항 분석 및 정책/지침 현황파악

I.개인정보

운영실태점검

목 차구 분

6/19

목 차구 분

2. 상세 이행전략 수립

1. 개인정보보호 수준 향상을 위한 중장기 대책IV. 중장기계획

수립

• 개인정보 모니터링 시스템 발전모델• 개인정보보호 Rule Set 체계 수립• 개인정보 모니터링 시스템 설계3. 개인정보 모니터링 체계 설계2. 보안 인프라 구축 방안• 업무단말기 보안 방안• 업무담당자 인증강화 방안• 개인정보 DB 보안강화 방안• 개인정보보호 보안 아키텍처 설계

1. 개인정보보호 기술적 보안 강화 방안

III.개인정보

모니터링 체계수립

2. 내부정보유출방지 대책

ISO27001, ISMS 등 개인정보보호를 위한 기반기술 및 프로세스를 정의한 국내외 표준 및 관련 법/제도 분석 결과를 반영한일반적인 개인정보보호 프레임워크을 제시함

개인정보보호 프레임워크

개인정보보호 프레임워크 수립개인정보보호 프레임워크 수립

7/19

2. 내부정보유출방지 대책

정보시스템 영역별, 정보보호 영역별 보안 요건을 충족하는 보안 대책(솔루션 도입, 시스템통합)을 강구하고 이를 예방, 탐지, 피드백에 이르는 업무 절차 흐름에 맞게 적절히 배치하여 필요한 보안시스템을 식별하고 단계별 구축 방안을 수립함

기술보안 아키텍처 및 보안 요건 정의

기술보안 아키텍처 및 보안요건 정의기술보안 아키텍처 및 보안요건 정의

8/19

개인정보보호체계 수립을 위한 기술적 대책개인정보보호체계 수립을 위한 기술적 대책

내부정보유출방지를 위한 기술적 대책 구분

개인정보보호 보안 아키텍처 설계

- 요소 기능을 포함한 통합패키지 설계

개인정보 DB 보안강화 방안

- 주요 개인정보 암호화 및 접근제어 구축

업무담당자 인증강화 방안

- SSO/IM/EAM 구축

- 신뢰수준관리를 통한 인증수단 차등 적용

차세대통합인증체계구축 사업의주요 범위

개인정보 모니터링 시스템 설계

- 통합 개인정보상시관리시스템 구축

개인정보보호 Rule Set 체계 수립

- 업무시스템별 이상징후 임계치 설정

- 관제센터 연계를 통한 실시간 모니터링

통합개인정보상시모니터링 구축사업의 주요

범위

업무단말기 보안 방안

- 통합PC보안(매체/출력제어 등)

* 키보드보안, EDMS, DRM 구축

단품 솔루션도입 범위

2. 내부정보유출방지 대책

기술적 대책 수립의 내용을 상세화하여 적용 가능한 솔루션 및 시스템통합 사업을 통해 구현할 필수 기능을 식별하고 이를개인정보운영 실태 점검 결과와 비교 분석하여 사업의 우선순위를 정의함

내부정보유출방지를 위한 기술적 대책

목 차구 분

2. 상세 이행전략 수립

1. 개인정보보호 수준 향상을 위한중장기 대책중장기계획

수립

• 개인정보 모니터링 시스템 발전모델

• 개인정보보호 Rule Set 체계 수립

• 개인정보 모니터링 시스템 설계

3. 개인정보 모니터링 체계 설계

2. 보안 인프라 구축 방안

• 업무단말기 보안 방안

• 업무담당자 인증강화 방안

• 개인정보 DB 보안강화 방안

• 개인정보보호 보안 아키텍처 설계

1. 개인정보보호 기술적 보안 강화 방안

개인정보모니터링 체계

수립

9/19

3. 공공부문 구축 사례

인증 방법에 따른 인증기술의 특징인증 방법에 따른 인증기술의 특징

출처 : 공공부문 단일사용승인 구축방안 연구, 한국전산원, 2004.12.

3. 공공부문 구축 사례차세대 통합인증체계 구축 사업

10/19

신체Something You Are

소유Something You Have

지식 / 기억Something You Know

•디지털 정보로 변활될 경우분실에 대한 영구적 사용불가•오류율 존재로 인한 100% 보안 신뢰가 어려움

•메커티즘 복잡

•추가장비, 인프라 필요

•노출에 대한 공격에 취약

•기억으로 인한 분실

단점

•위조가 매우 어려움

•물리적 보안에서접근통제를 위한신원확인에 적합

•강한 인증 메커니즘으로안전성 제공

•원격 신원확인에 매우 적합

•메커티즘이 단순

•기존 시스템에 널리사용되어져 친숙

장점예인증방법

•지문, 동공, 홍채, 목소리

•DNA등

•스마트카드

•신분증

•전자서명

• ID/패스워드

•PIN

3. 공공부문 구축 사례

사업 추진 배경

차세대 통합인증체계 구축 사업

11/19

통합인증F/W 및인증G/W 시범적용

대국민 서비스통합인증 개발

OTP통합인증센터구축

사업목표

사업방향성

사업배경

범부처측면

범 부처적 정보보호대책 수립 필요

웹을 통한 전자정부서비스 보안강화 필요

기존 인증체계 개선 및 고도화

공공기관측면

기존 인증방식의 확대 및 개선 필요

기도입 SSO / EAM 간 상호 연동 필요

단순 SSO도입·운영으로 인한 보안 위협 제거

사용자측면

인증방식, 접근권한, 계정관리 기준 미비

일관된 권한정책 적용에 어려움

유비쿼터스 환경을 고려한 인증방식 다양화 필요

3. 공공부문 구축 사례

목표시스템 개념도

차세대 통합인증체계 구축 사업

인증대상

일반국민

기업인

공무원

공공기관사용자

인증수단(현재)

ID/PWD

PKI

인증수단(미래)

OTP

전자신분증

차세대ID카드차세대ID카드

바이오인증

서비스대상

중앙부처

지방자치단체

공공기관

개인인증 기기인증 보안강화 매체

유비쿼터스

인증서비스

ID/패스워드

전자신분증

OTP 바이오인증

PKI

기기OTP

기기인증서 전자ID 지갑

보안토큰HSM

통합인증

게이트웨이

기관게이트웨이 센터게이트웨이

통합계정관리 통합인증

통합권한관리 신뢰수준관리

운영관리 및 감사 모니터링

계정관리

권한관리

신뢰관계관리

통합인증

프레임워크

통합인증권한관리 참조모델

계정 및 인증관리 모델 권한관리 모델

서비스신뢰수준 도출 절차 통합인증권한관리

표준요건통합인증권한관리레벨화 절차

표준기술

정책요소

법·제도

규정/지침

관리요소

조직체계

운영프로세스

가이드

자동화 도구

12/19

3. 공공부문 구축 사례

통합인증게이트웨이 개념도

차세대 통합인증체계 구축 사업

사용자

인증기관

인증정보검증요청

인증정보검증결과

OTP

기타

PKI

차세대ID카드차세대ID카드

ID/PWD

공무원

민원인

GPKI

NPKI

OTP

기타

기관 게이트웨이기관 게이트웨이

단일인증신뢰수준관리

공통코드관리

서비스관리

기준데이터 관계관리

신뢰수준별 인증수단연계

인증수단 연계

SSO 서비스

인증정책 관리

신뢰수준 연계

인증정보 연계

계정관리 권한관리

통합자원관리

역할관리

권한 신청/승인 관리

권한정책관리

접근권한 서비스 연계

사용자관리

계정신청/승인관리

계정정책관리

계정정보 동기화

통합저장소

사용자/계정 정보

자원 정보

역할/권한정보

인증/권한정책

감사로그

통합관리 및 감사 모니터링

서비스 모니터링감사로그 및 통계관리자 도구

암호화

구간 암호화인증정보 암호화DB 암호화

기관내부정보자산

데이터베이스

시스템

응용서비스

기관외부서비스(공용서비스)

나라장터

행정정보공동이용시스템

...

센터 게이트웨이센터 게이트웨이

계정관리 권한관리 신뢰관계관리 통합저장소

사용자 정보공용서비스권한정보신뢰리스트(기관,서비스)

기관게이트웨이(타기관)

•통합인증•계정관리•신뢰수준관리

•암호화•권한관리

인증

및

권한정보연계

표준

인증/권한 정보 동기화 인증/권한연계

인증/권한연계

인증/권한정보동기화

13/19

일반적 개인정보의 유형과 종류일반적 개인정보의 유형과 종류

출처 : 개인정보 백서

3. 공공부문 구축 사례통합 개인정보보호 상시모니터링시스템 구축 사업

14/19

신체 정보

법적 정보

신용정보

기타수익정보

소득 정보

동산 정보

부동산정보

병역 정보

교육 정보

가족 정보

개인정보의 종류유형 구분

지문, 홍채, DNA, 신장, 가슴둘레 등

가족병력기록, 과거의료기록, 정신질환기록, 각종 의료정보의료 정보

전과기록, 자동차 교통위반기록, 구속기록, 이혼기록, 납세

대부잔액 및 지불 상황, 저당, 신용카드, 압류 통보 기록

보험(건강, 생명 등) 강비 현황, 회사의 판공비, 퇴직프로그램

현재 봉급, 봉급 경력, 보너스 및 수수료, 이자소득, 사업소득

보유현금, 저축 현황, 현금카드, 주식, 채권, 예술품, 보석

소유 주택, 토지, 자동차, 기타 소유 차량, 상점 및 건물 등

군번 및 계급, 제대 유형, 주특기, 근무부대

학력 사항, 기술자격증 및 전문면허, 상벌 사항

가족 구성원들의 이름, 출생지, 생년원일, 직업, 전화번호

이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 성별일반 정보

타인정보의 훼손 ·침해 ·도용사례 세부 분류타인정보의 훼손 ·침해 ·도용사례 세부 분류

주민번호 도용7,830 (72%)

주민등록법개정관련 문의

202(2%)

전화번호 도용

261(2%)

아이템 도용

122(1%)

아이디비번도용

615(6%)

기타

1,805 (17%)

출처 : <2006년 개인정보 피해구제 및 상담 사례분석>,한국정보보호진흥원 2006.

3. 공공부문 구축 사례

사업 추진 배경

통합 개인정보보호 상시모니터링시스템 구축 사업

15/19

개인정보 중요성확산 및 심리적

보안강화

사고발생시신속한 대처 및

소명처리 체계 구축

개인정보 오남용감시 및 사전예방

체계 구축

사업목표

사업방향성

사업배경

대외환경

개인정보 유출사고 다수 발생

개인정보 유출 시 책임 강화

대내환경

ooo기관의 경우 다량의 개인정보를 보유

개인정보 관련 정보 유출 위험 증가 및 상시 감시 체계 구축 필요

3. 공공부문 구축 사례

유형별 시스템

통합 개인정보보호 상시모니터링시스템 구축 사업

구분 구축 전 구축 후 비고

1개기관자체 상시모니터링 중(자동화 시스템 구축 운영 중)

자체 모니터링

중앙센터 2단계 모니터링A형

2개기관자체 상시모니터링 중(수작업 운영 중)

자체 모니터링

중앙센터 2단계 모니터링A 형

3개기관 모니터링 없음 중앙센터에서 상시 모니터링 진행 B 형

※ A형, B형 구분은 로그 데이터량 및 모니터링 대상 직원 수에 의해 구분

16/19

3. 공공부문 구축 사례

세부 구축 방안 (추출조건)

통합 개인정보보호 상시모니터링시스템 구축 사업

구 분 내 용

주요 자료조회

주요인사 성명조회

개인정보 열람건수 임계치 초과

특정시간대 조회(새벽, 공휴일 등)

보안 취약자

퇴직예정자

직원비정상 업무접속

관할지사 외 특정업무 처리

암호화 위반

암호화문서 열람 임계치 초과

업무시간 외 암호화문서 열람

암호화문서 매체저장

※ 추출조건은 주요인사 성명조회 등 44종

17/19

3. 공공부문 구축 사례

세부 구축 방안 (소명프로세스)

통합 개인정보보호 상시모니터링시스템 구축 사업

소명처리 프로세스소명처리 프로세스

② 자동탐지① 오남용 의심 상황 발생

⑧ 조사/조치/징계

⑥위반행위인가?

추출조건 적용

③ 모니터링

개인정보보호상시모니터링시스템

개인정보 담당자

개인정보 열람자

결과 통보Yes

④ 소명등록

⑤ 소명판정

18/19

3. 공공부문 구축 사례

기대 효과

통합 개인정보보호 상시모니터링시스템 구축 사업

19/19

00분야 개인정보 관리 효율성 제고00분야 개인정보 관리 효율성 제고 개인정보 유출/오남용 대응체제 확립개인정보 유출/오남용 대응체제 확립

00분야 전반에 걸친 개인정보 상시 관리체계구축을 통한 개인정보 관리 효율화

신규 추진되는 업무 및 보안시스템에도 적용할수 있는 시스템 확장성 확보

다양한 개인정보 유출 경로 및 가능성을 분석, 사전 예방체계 확립

개인정보의 부정 취득, 열람, 오남용을 원천 차단

내부 직원 보안의식 고취내부 직원 보안의식 고취 정보공유를 통한 유사 사건 재발 방지정보공유를 통한 유사 사건 재발 방지

내부 직원에 대한 개인정보보호 의식 고취 및강화

상시적인 정보유출사례 공유 및 전파 체제수립을 통해 개인정보 유출 및 오남용 예방

산하/소속 기관 간 오남용 탐지 패턴 공유를통한 탐지 효율성 향상

기관관 개인정보 유출 사례 공유를 통해 유사한사건 재발 방지