SK Telecom 김인호Manager 1itfind.or.kr/smartkorea/2008/S6_4.pdf · 유비쿼터스혁명 1단계: 1960년대 2단계: 1980년대 3단계: 1995년이후 4단계: 2000년이후 §One

1

2008. 10. 30 (목)

SK Telecom

인 Manager

2

ⅠⅠ

ⅡⅡ

ⅢⅢ

3

I. 비즈니스 환경 변화

4

Main Frame

Computing

§ Many persons, One computer

§ 대형의 고가 컴퓨터를 거대 기업을중심으로 수많은 이용자가 공유

Personal

Computing

§ Fewer persons, One computer

§ PC가 단독 혹은 전용선으로 네트워화 됨

Network

Computing

§ One person, One computer

§ 컴퓨터와 사람의 대등관계, PC가 “도구에서 환경”으로, e-Business, Internet

Ubiquitous

Computing

(Pervasive)

PC

혁명

Internet

혁명

유비쿼터스혁명

1단계: 1960년대

2단계: 1980년대

3단계:1995년 이후

4단계:2000년 이후

§ One person, Many computers

§ 다양한 컴퓨터가 환경 도처에편재 됨: 사용자가 컴퓨터와 네트워 의

존재를 의식 하지 않게 되는시대, PDA, RFID, IPv6 ..

I. I. 비즈니스비즈니스 환경환경 변화변화I. I. 비즈니스비즈니스 환경환경 변화변화

IT IT 패러다임의패러다임의 변화변화

IT 기술 발달, 디지털 컨버전스, 웹 2.0 등으로 인한 패러다임 변화가 진행중

- 고도로 네트워크화된 미래사회는 개인, 기업, 조직, 가족, 정보 등 모든 시스템과 삶의

방식을 뒤바꾸며 새로운 가치를 창조해 낼 것 (앨빈 토플러)

- 5년 안에 PC와 TV에 새로운 혁명이 일어나며, 10년 안에 ‘웹 3.0’과 같이 파급효과가

큰 용어가 4개는 더 출현할 것 (빌 게이츠)

IT가 사회 구조 변화, 기업 Biz 변화의 동인(動因)으로 작용

5

윤리경영, 투명경영 등 기업의 사회적 책임(CSR) 요구 증가

- 지배구조 개선, 재무정보 투명성 강화

- 친환경적 제조 및 지역사회 환경보호

- 자원봉사 및 기부 등 사회 환원


기업에기업에 대한대한 사회적사회적 요구수준요구수준 변화변화

미츠비시, 불량제품 사용 사실이 발각되어 자동차 불매운동 확산, 경영위기

극복을 위해 다임러-크라이슬러에 경영권 이양 (2000)

소니, 플레이 스테이션에서 금지 물질인 카드뮴이 검출되어 2천억 이상의 손실

발생 및 이미지 추락 (2001)

엔론, 회계부정으로 기업 신뢰의 문제 야기, 2002년 파산

6


대규모대규모 정보유출정보유출 사고사고 발생발생 증가증가

보안 사고 증가와 사고발생시 리스크는 더욱 증대되는 추세

7


야후 BB, 인터넷 서비스 이용자 450만명의 개인정보 유출 (’04.6)

일본 내 개인정보보호에 대한 관심이 고조되고 개인정보보호법 시행 계기 마련

※일본의 개인정보보호법 시행 : ’05.4

신용정보회사 Choice Point, 약 14만명의 고객정보 유출 (’04.10)※ 유출 정보는 신용카드 위조 등에 불법 이용

FTC는 개인정보 취급에 대한 소비자 권리침해 등을 이유로 1천만달러 벌금 및

5백만 달러 손해배상(총 150억원)을 결정(’06.1) (※ 1인당 약 $107 배상)

K은행, 고객 3만 2천여명 이메일, 주민번호 등이 첨부된 메일 발송 ('06.3)

- 피해자 1천여명에 인당 20만원 (총 2억여원) 손해배상 판결 (’07.11, 2심 판결)

L사, 입사지원서 유출로 20만명의 개인정보 유출 (인당 70만원 배상판결)

정보보안에정보보안에 대한대한 고객의고객의 인인식변화식변화

8

정통망법

개정동향

개인정보

보호법

입법동향

• ’07년 개정을 통해 수집-보관-활용-파기 등 개인정보 관련 절차별 세부적

규제 강화 (’07.1 개정, ‘07.7 이후부터 시행)

• 이용자 편의제고 및 정책의 실효성 높이기 위한 법적 장치 마련으로 관리

및 처벌 강화 (’08.9 공청회, 11월 국회제출, ’09년 상반기 시행)

• 개인정보보호법 입법 예고(’08.8)

- 개인정보보호 범위 및 법 적용 대상의 확대(모든 개인정보처리자)

- 개인정보 수집/이용/제공 등 단계별 보호기준 강화

- 개인정보 유출 사실 인지 시 통지 의무

- 고유식별정보의 처리제한 강화

정보보호

주요 대책

• (방통위) ‘인터넷 정보보호 종합대책’ 발표 (’08.7)


• (행안부) 정보보호 중장기 종합계획 발표 (’08.7)

정보보정보보안안 관련관련 법법··제도제도 제제··개정개정 동향동향

국내외적으로 정보보호 관련 규제 및 제도가 강화되는 추세

9

구분 2006년 이 2006년 이후

인 환경개별망 반의 국지 비스

상 작용이 (靜的)인 웹1.0

방송통신 합, 지 컨버 스

상 작용이 많 동 (動的)인 웹2.0

주요 보안 인 웜, 웹사이트 변조 등 해킹,

DoS( 비스거부공격), 스

개인 보 해킹, 스 이웨어, ,

DDoS(분산 비스거부공격), 내부 보 출

공격 목심, 자 과시,

비스 가용 침해데이 탈취를 통한 이득

주체별

보안

이슈

국가 반시 , 국지 트워크 보안 All-IP망 반 범국가 인프라 보

업웹사이트 변조, 비스 장애,

보단말 가용 침해이용자 보 및 내부 보 출

개인 피해자 피해자인 동시에 가해자


지능화/고도화된 해킹 사고 지속, 중국발 해킹의 이슈화

개인정보 탈취, 금융사기 등 이용자의 자산과 안전을 위협하는 다양한 사이버 공격 출현

해킹 도구가 봇(Bot), 피싱, 스파이웨어 등으로 다양화되고, 웜/바이러스 결합으로 복합화

협력업체, 내부자에 의한 보안이슈 증대

사이버사이버 위협위협 패러다임의패러다임의 변화변화

10

사 죄 리한 면

ü 높

ü 적 저항

ü 낮 상 민감

ü 도피/은폐 용이

강력한 동기와 접근 가능한 시장의

결합으로 사이버 범죄 관련 비즈니스가

급속하게 성장하는 발판이 마련됨

손 쉬운 돈벌이는 특히 범죄자에게

강력한 동기를 부여

1

3

사 죄 해

훔친 데이터가 유통되는 시장이 없다면

사이버 범죄는 이루어지지 않을 것

2

§ 취약한 시스템이 많은 개인정보/기밀정보를 보유

§ 보안 침해시 시스템은 대항 능력이 없고 대부분

무엇이 발생했는지에 대한 기록을 유지하지 않음

§ 대개 시스템 소유자가 보안 침해 사실 발견때까지

장시간이 소요되며 범죄자는 장시간 동안 범죄의

시도가 가능

§ 범죄자의 도피나 사건의 은폐가 상대적으로 용이


자기 과시형 범죄에서 경제적 목적의 침해사고로 침해사고의 목적이 변화

à 사이버 범죄의 높은 경제적 가치로부터 기인

경제적경제적 이익이익 목적의목적의 침해사고침해사고 증가증가

11

II. 정보보안을 위한 노력

12

담당 •조직별 담당자 시기 •업무 분석 완료 후

INPUT •종합 보안 서비스 가이드 초안(도출된 SC 보안 서비스 아키텍처에 표시한 결과)

내용/방법

OUTPUT •종합 보안 서비스 가이드 초안(도출된 SC별 제공 수준 업데이트 완료 본)

양식

5.제공 수준 결정- 제공될 보안 서비스의제공 수준을 결정

- 필수/상시 제공/요청 제공으로 분류

6.보안 서비스 선정- 분류된 보안 서비스를보안 서비스 아키텍처에 표시

※ 표시할 색상은 추후 변경 예정

4.보안 서비스 추출- 보안 요건에 해당하는SSM에서 보안 서비스 추출- 추출된 모든 보안서비스의 합집합을 구성

[적합 보안 서비스 도출 결과 및 제공 수준 분류 결과]

정보보안정보보안 서비스서비스 아키텍처아키텍처 정립정립

II. II. 정보보안을정보보안을 위한위한 노력노력II. II. 정보보안을정보보안을 위한위한 노력노력

13

정보보안정보보안 중장기중장기 추진추진 계획계획 수립수립


텍스트 입력ㅋ텍스트 입력ㅋ1. 전사 정보보안 전략 정립1. 전사 정보보안 전략 정립

텍스트 입력ㅋ텍스트 입력ㅋ2. 사고/이슈 관리 체계 확립2. 사고/이슈 관리 체계 확립

텍스트 입력ㅋ텍스트 입력ㅋ3. 과제별 실행력 강화3. 과제별 실행력 강화

Policy and Compliance

Security Change Management

Service Security

Technical Security

Manage and Monitor Contorl

분야별 과제 선정이행과제 선정 방향추진 목표

• 마스터플랜 수립을 통한 전략방향 정립

• 정보보안 연간 수행 계획 수립

• 부문별 보안총괄의 실질적인정보보안 활동

• 마스터플랜 수립을 통한 전략방향 정립

• 정보보안 연간 수행 계획 수립

• 부문별 보안총괄의 실질적인정보보안 활동

• Risk 관리 체계 확립

• 침해대응 보고 체계 확립

• 분야별 보안 점검/감사 및효율적인 사고 대응

• Risk 관리 체계 확립

• 침해대응 보고 체계 확립

• 분야별 보안 점검/감사 및효율적인 사고 대응

• 정보보안 전략에 따른 부문별보안총괄 조직 실무팀 및실무자의 실행 역량 강화

• 전사 및 대외 업무에 대한정보보안 서비스 수준 향상

• 정보보안 전략에 따른 부문별보안총괄 조직 실무팀 및실무자의 실행 역량 강화

• 전사 및 대외 업무에 대한정보보안 서비스 수준 향상

ISS-P SSF

14

End Point End Point 보안보안 강화를강화를 위한위한 NAC (Network Access Control)NAC (Network Access Control) 적용적용


내부 네트워크

Server Farm스위치

NAC Legacy System

인사DB Legacy 보안서버(PMS/AV/기타)

인증서버

SPM 서버DB 서버

LAN Enforcer

Active Active Active Active Active

15

보안문서보안문서 사외발송사외발송 시스템시스템 구축구축


메일 클라이언트와 연계하여 편지 작성시 “보안파일 첨부” 메뉴 생성

업로드된 첨부 파일은 URL형태로 첨부되어 발송

16

개인정보영향평가개인정보영향평가((Privacy Impact AssessmentPrivacy Impact Assessment)) 실시실시 및및 시스템화시스템화


향평가청

향평가수행

행점검 리

행 리

향평가상확

개인정보영향평가

프로세스

영향평가 수행 단계

• 민감한개 정보를취 하는

사업 함 로

개 정보 향평가 상여 를확

이행관리 단계

영향평가 요청 단계

이행점검 관리 단계( 경 생)

• 정보화사업 형 , 프로젝트

개 정리, 조직 프라정보정리,

취 개 정보확 , 터흐름

업무 , 점검표에 한보안 책

적 수준에 한현황파악등 수행

• 평가담당 지정

• 평가담당 는 청 를

검토/보 후 향평가를

수행하여평가결과보고 를전달

• 평가결과 출된

개 필 사항에 해

행계획 수립

• 행계획에 른결과보고

• 행결과보고를 로 비스

중 행률등 근거로

중 비스에 하여점검 상

정하여 행점검 실시

대상확인 단계

고객정보를 라이프 사이클별로 5단계로 나누어 각 단계별 위험 요소를

분석하고 요소별 보호체계를 시스템화

17

고객정보보호센터고객정보보호센터(SOC, Security Operation Center)(SOC, Security Operation Center) 구축구축


고객정보의 파괴, 변조, 유출 등을 차단하기 위한 Security Operation

Center 구축, 운영

고객정보 DB 보호를 위해 별도로 정해진 공간에서 고객정보를 총괄하면서,

제반 보안 대책을 적용

18

고객정보전송관리시스템고객정보전송관리시스템(CDTS) (CDTS) 구축구축


고객정보

내 ·직원

Messenger

E-mail

USB 등저

타전 수단 내 ·직원

협력사

◎ 현행 프로세스

고객정보

내 ·직원

내 ·직원

협력사

승

◎ 변경 프로세스

• 관리/통제 통합화 및 일원화 구현

• 암호화 전송경로 제공

• 고객정보 전송 규정 위반 시 통제 근거 확보

◈ 기존 고객정보 전송 업무 프로세스 Vs. CDTS 구축 후 업무 프로세스

19

정보보안정보보안 마인드마인드 제고제고 및및 인식인식 확산확산


구성원 정보보안 인식 제고 정기/수시 교육

변화관리를 위한 홍보, 캠페인 실시

윤리경영 강령에 고객정보보호 명시

사내 방송을 통한 구성원 정보보안 마인드 제고

20

Biz. PartnerBiz. Partner 보안보안 인식제고인식제고 (T Information Security Conference)(T Information Security Conference)


21

KISAKISA와의와의 MOU MOU 체결체결 (’08.9)(’08.9)


<MOU 주요 내용>

▲ 침해 사고 발생 시 휴대폰을 통한 보안공지

▲ 이통망 침해사고 발생 시 공동대응

▲ 이동통신 가입자정보 보호

▲ 공동 캠페인을 통한 가입자 보안인식 제고

무선 인터넷 이용 확산, 유무선 통합 가속화 등 IT 환경변화에 따라

이통사와 정보보호 전문기관(KISA) 간의 보다 긴밀한 협력 필요성 대두

MOU 목적 : 사이버 침해사고 발생시 이동통신서비스 가입자 피해 최소화

☞ 사고 발생 시 SMS를 발송해 가입자의 피해 확산 방지를 위한 시스템 구축중

22

III. 맺음말 (함께 고민해 볼 이슈)

23

1. 산발적/이벤트성 보안관리, 개별 보안 제품의 설치

2. 붉은 여왕 효과(Red Queen Effect)

3. Document-oriented, 규제 통과가 목표??

4. Technology Myopia, Security Myopia

5. 인가된 이용자에 의한 보안사고

6. 전당포 주인을 처벌할 것인가? 도둑을 처벌할 것인가?

III. III. 맺음말맺음말III. III. 맺음말맺음말

정보보안을정보보안을 둘러싼둘러싼 고민과고민과 이슈이슈

24

지금은 관리하기조차 힘겨운 데이터를 안전하게 지켜야 하는 시기

- 아웃소싱, 무선 단말기 등의 각종 신규 정보기기 사용 확산 등

정보보안은 단순한 IT 인프라에 대한 보안을 넘어 조직의 연속성 확보와 조직

전체의 위험 관리(risk management)의 핵심 모듈로 진화

※ 정보보안는 '이용자 보호', '지속 가능한 경영'의 중요 요소

정보보안은 단순히 시스템에 보안 프로그램을 설치만이 아닌 프로세스 중심의

보안관리, 통합 보안관리의 중요성이 대두


IT IT 보안보안

개별개별 보안보안 제품제품 도입도입

네트워크네트워크, , 시스템시스템 중심중심 보안보안

리스크리스크 관리관리

통합통합 보안관리보안관리 체계체계 구축구축

정보정보 중심중심 보안보안

정보보안정보보안 패러다임의패러다임의 변화변화

25


1. 천재급 디자인 인재를 확보하라

2. CDO(Chief Design Officer)에게 전폭적인 권한을 위임하라

3. 디자인팀을 지속적으로 모니터링 하라

4. 성공적인 디자인에 대해 보상을 아끼지 마라

5. CEO 스스로 디자인에 대한 안목을 쌓아라

6. 고유한 디자인 철학을 수립하라

7. 실패를 두려워하지 마라

1. 천재급 디자인 인재를 확보하라

2. CDO(Chief Design Officer)에게 전폭적인 권한을 위임하라

3. 디자인팀을 지속적으로 모니터링 하라

4. 성공적인 디자인에 대해 보상을 아끼지 마라

5. CEO 스스로 디자인에 대한 안목을 쌓아라

6. 고유한 디자인 철학을 수립하라

7. 실패를 두려워하지 마라

<디자인 혁신을 위한 7계명>

※ 출처 : ‘디자인 혁신을 위한 7계명’, SERI(08.2)

정보보안정보보안 강화를강화를 위한위한 77계명계명

1. 최고급 정보보안 인력을 확보, 육성하라

2. CSO(Chief Security Officer)에게 전폭적인 권한을 위임하라

3. 성공적인 정보보안에 대해서는 적극적으로 보상하라

4. CEO 스스로 정보보안에 대한 중요성을 인식하라

5. 고유한 정보보안 철학을 수립하라

6. 실패를 사전에 인지, 대응할 수 있는 체계를 구축하라

7. 문제도 해답도 현장에 있다는 것을 명심하라

1. 최고급 정보보안 인력을 확보, 육성하라

2. CSO(Chief Security Officer)에게 전폭적인 권한을 위임하라

3. 성공적인 정보보안에 대해서는 적극적으로 보상하라

4. CEO 스스로 정보보안에 대한 중요성을 인식하라

5. 고유한 정보보안 철학을 수립하라

6. 실패를 사전에 인지, 대응할 수 있는 체계를 구축하라

7. 문제도 해답도 현장에 있다는 것을 명심하라

26

Documents

SK Telecom 김인호Manager 1itfind.or.kr/smartkorea/2008/S6_4.pdf · 유비쿼터스혁명 1단계: 1960년대 2단계: 1980년대 3단계: 1995년이후 4단계: 2000년이후 §One