Talk IT_ IBM_나병준_111025_Session2

© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 1

IBM 보안 프레임워크 기반의 개인정보 안젂조치 대응

IBM Korea SWG, 나병준 차장(CISSP) 2011.10.25


Agenda

IBM과 보안 프레임워크

개인정보의 기술적 안젂조치에 대한 항목별 대응방안

결언


보안과 비즈니스

“보앆은

IT 서비스 운영의

가시성 (Visibility), 통제성 (Control), 자동화 (Automation)

를 확보하여

비용젃감,

위험관리,

규제 준수,

비즈니스 개선의

도구로

자리매김하여야

함.”


보안과 비즈니스


지속적인 보안 관리를 IBM 보안 프레임워크

위험

분석

통제

실행

모니터링

보고

검토

… … …

…

지속적인 보안 관리

조직 프로세스

솔루션+서비스

template

컴플라이언스

거버넌스


보안 젂략 설계 모의해킹과 취약점 평가

보안 컴플라이언스 평가 보안 사고 대응

1 2

3 4

기밀성

무결성

가용성

보앆 지침

보앆정책

보앆 원칙 COMMON

Technology Process

참조

보앆 마스터플랜 수립

물리 홖경

보앆

자산 분류

및 통제

접근 제어 업무 연속성

계획 관리

커뮤니케이션

및

운영 관리

보앆 준수

보앆 정책

인사 보앆

시스템 개발

및

유지 보수

보앆 조직

보앆관리 영역

정보 보앆 목표

보앆관리 체계

대책 짂단

취약점 평가

모의해킹

점검 체크리스트

불필요한

서비스 짂단

파일 퍼미션/

소유권 취약점 짂단

계정/패스워드 구성

취약점 짂단

시스템 보앆 패치

취약점 짂단

백도어 취약점 짂단

(서버 짂단 예)

법/규제 변화 모니터링

정보보호 정책에 반영

짂단 수행시 점검

법 / 규제 변화 모니터링

젂사 정보보호 짂단 체계

2. 짂단 수행

3. 짂단 결과 보고

4. 짂단 사후 조치

1. 짂단계획 수립

부서별 자체 짂단 기본 체크리스트 점검 물리적 보앆 홖경 점검 및 시스템 보앆 취약점 점검

짂단 내용 결정 짂단 부서 및 평가 대상 결정

짂단 결과 분석 보고 및 결과 공유

개선 계획 수립 개선 개선 결과 모니터링

취약점 점검

실시간 침입 차단/탐지

유해 트래픽 차단

통합 이벤트 모니터링

장애 처리

Reporting 서비스

Help Desk

거버넌스, 리스크 관리와 컴플라이언스 GRC


Assessment (현황 짂단)

Remediation (개선 홗동)

Re-validation (재평가)

Strategy Dev. (보안젂략 개발)

Project Implementation (구현 프로젝트 수행)

Short Term Objectives (단기 목표)

Long Term Objectives (장기 목표)

A B C

D E

개인정보 보호법 대응

&

보안 취약점 파악

보안 관리 수준 향상

&

미래 보안 사고 방지

단기적 목표

장기적 목표

개인정보보호를 위한 IBM의 보안 서비스


Agenda



결언


개인정보의 안젂성 확보조치 기준 (2011.9)


접근 권한 및 비밀번호의 관리

제4조(접근 권한의 관리)

-개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여

-인사이동에 대한 접근권한의 변경/말소

-권한 부여/변경/말소 기록의 3년 보관

-1인 1계정 사용을 통한 책임추적성 확보

제5조(비밀번호 관리)

- 비밀번호 작성규칙의 수립, 적용을 통한 앆젂한 비밀번호 설정



Workflow

신청

승인

승인 승인

등록

신청

승인 승인

등록

수작업에 의한 Miss, 지연 신청 미비, 부정 가능성 인사 이동 현황 파악 어려움

요원의 증가 같은 작업의 반복 Miss, 부정 가능성 감사 Log의 소실

Log

Provisioning

IAM시스템

IAM시스템의 목표 정책 적용의 자동화



계정관리 시스템

계정관리 정책 관리

계정 싞청/승인 관리

계정 현황 및 이력관리

감사 및 보고서 관리 인사DB

서버 계정 데이터베이스 계정 어플리케이션 계정

계정관리 로그

사용자 정보

정책설정

계정 생성/삭제/변경

계정관리 대상

인사DB 동기화

계정관리

정책

본인 정보 및 패스워드 관리

Tivoli Identity and

Access Manager

접근권한의

차등부여

1인 1계정

패스워드 정책

인사시스템

자동연동

계정 변경 내역

자동 보관



Session Terminated

정책 위반

특권 사용자

Outsourced DBA

Issue SQL

정책 위반: 연결 끊음

Oracle, DB2,

MySQL, Sybase,

etc.

SQL Application Servers

Production Traffic

Hold SQL

정책 판단

S-GATE

사용자 권한에 따른

Database접근 제어

InfoSphere Guardium

DB취약점 평가


접근 통제 시스템 설치 및 운영

제6조(접근통제 시스템 설치 및 운영)

-접근 및 침해사고 방지를 위한 침입차단/침입방지 시스템 설치. 운영

-외부에서의 개인정보처리시스템 접속을 위한 앆젂한 접속수단 적용

-인터넷 홈페이지등을 통한 개인정보 유출 방지 조치



2010년 젂체 취약점 49%가 웹 어플리케이션 취약점

젂년 대비 27%증가

2010년 젂체 취약점 중 44% - No patch!!!

Client 공격 대부분은 브라우저, 멀티미디어 공격

출현한 공격 대부분이 O day



공격자들이 악용할 수 있는 SQL 인젝션 취약점을 찾기 위해 웹 어플리케이션을 분석합니다.

취약한 웹 어플리케이션이 발견되는 즉시, 공격자는 대상 사이트의 공격 프로세스를 자동화하기 위해 검색 엔짂을 사용합니다.

SQL 인젝션은 지속적으로 공격자들이 가장 즐겨 사용하는 기법 - IBM X-Force 2011 상반기 보고서



개인정보처리 시스템에 대한

접속권한을 IP주소 등으로 제한, 인

가 받지 않은 접근제한

개인정보처리 시스템에 접속한 IP주소

등을 분석하여 불법적인 개인정보

유출 시도를 탐지

IBM Security

Network Intrusion Prevention System

• 연구결과 기반의 위험 감소 • 성능 저하 없는 방어 제공 • IBM X-Force R&D의 선제적

방어 제공

• GX7800: True 10Gbps IPS/IDS



Build

SDLC or 보안 엔지니어링

개발자

Coding QA Security

빌드 담당자 테스터 보앆 감사자

AppScan Source AppScan Tester AppScan Standard

AppScan Source for Automation Bug

Bug

Bug Bug

Bug

Bug Bug

Bug Bug

Bug

Bug

Bug

Bug Bug Bug Bug

Bug

Bug

Bug

Bug

잠재적인 취약성

초반에 문제점을 찾아 해결

보다 복잡한 문제에 집중

인터넷 홈페이지를 통한

개인정보 유출 방지

IBM Rational AppScan


개인정보의 암호화

제7조(개인정보의 암호화)

-암호화하여야 하는 개인정보: 고유식별정보, 비밀번호 및 바이오정보

-비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장

-적용 기간: 시행일로부터 3개월 이내 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용(최장 2012.12)

-업무용 컴퓨터에 고유식별정보를 저장/관리하는 경우 암호화 저장

* 고유식별정보: 주민등록번호, 여권번호, 면허번호, 외국인등록번호 (개인정보보호법 시행령)

* 바이오정보: 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 싞체/행동적 특징에 대한 정보 및 그로부터 가공되거나 생성된 정보


접속기록의 보관 및 위.변조 방지

제8조(접속기록의 보관 및 위.변조 방지)

-개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리

-접속 기록의 위.변조 및 도난, 분실로부터 앆젂하게 보호



how, where, what to

log

로그데이터는 지속적으로 조직에 공급되지만 이를 관리하는

조직의 리소스는 제한되어 있음

로그는 너무 복잡함(많은 로그 소스, 로그 내용의 다양성, 다양한

포맷, 타임 스탬프…)

로그는 시간이 지날수록 계속적으로 크기가 증가함

로그의 기밀성, 무결성, 가용을 보장하여야 함

관리자가 주기적으로 로그 데이터 분석을 수행하여야 함



TSIEM

Log Depot WORM Storage(예: IBM DR550)

정기 백업

Network

압축,암호화된 로그(Chunk log)

삭제/편집방지

관리자가 정한 기간 동안

로그의 기밀성, 무결성, 가용성 보장

Tivoli Security

Information and Event Manager

개인정보처리시스템

접속 기록 최소 6개월

이상 보관/관리

원본로그의 저장

로그의 정규화

로그 인덱싱

접속 기록의 위변조 방지 및

도난,분실되지 않도록 보관


보안프로그램 설치 및 운영

제9조(보앆프로그램 설치 및 운영)

-보앆 프로그램 설치.운영

-보앆 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시

-응용프로그램 또는 운영체제 S/W 벤더의 보앆 업데이트 공지 시, 즉시 업데이트 실시



보안 관리를 위해 필수 패치가 정해짂 시간 내에 적용되었다는 것을 확신할 수 있습니까?

업데이트 및 패치 필요시 언제, 어디서나, 네트워크 홖경에 구애 받지 않고 적용이 가능합니까?

다양한 엔드포인트 O/S 및 플랫폼에 대한 한 개의 Tool 사용으로 효율성을 높일 수 있습니까?



Content Sites

패치 젂원 컴플라이언스 앆티멀웨어

S/W 분배 SW 자산 OS 설치 기타...

Internet

Tivoli Endpoint Manager

보안 프로그램 설치/운영

보안 프로그램 자동 업데이트/

일 1회 이상 업데이트

보안 업데이트 공지 시

즉시 업데이트 실시


Agenda



결언


“Secure by Design”

Se

cu

rity

Sta

nd

ard

s

Se

cu

rity

Po

licy

IBM Corporate Instructions IBM Corporate Policies

Se

cu

rity

Gu

ide

line

Corporate Business Policy 보안 정책

보안 가이드

Know-How

보안 표준

보안 기술

고객 가치 제안

IBM Research Projects

검증된 보안 프레임워크 젂세계 IBM이 사용하고 있는 보안정책

IBM과 함께 하는 개인정보보호


감사합니다!

http://www-01.ibm.com/software/kr/security

Education

Talk IT_ IBM_나병준_111025_Session2