Embed Size (px)
DESCRIPTION
2014년 10월 20일 여의도 전경련회관에서 안전행정부 주최로 개최된 "UN 전자정부 평가 세계 1위 기념식 및 학술 세미나"에서 고려대 김형중교수님이 발표한 "전자정부 3.0 프레임워크에서 빅데이터와 클라우드 보안이슈" 자료
Citation preview
전자정부 3.0에서클라우드•빅데이터 보안 이슈
2014. 10. 20
김형중
khj-korea.ac.kr
UN전자정부 발전 4단계
제한적정보제공
[1단계]착수
콘텐츠및
정보의주기적현행화
[2단계]발전
비자, 여권,출생기록 등온라인 발급
조세 및수수료 등전자납부
[3단계]전자거래
기관 간 경계없는 온라인서비스 제공
공공영역과민간서비스
융합
[4단계]통합처리
전자정부 발전 역사
단계 시기 핵심 추진내용
전자정부태동기
1987~1994 행정업무 전산화 주민,부동산, 자동차, 고용 등행정 DB구축
전산망 보급 확장과 이용촉진에관한 법률 제정 (1986)
전자정부기반 조성기
1995~2002 행정업무 정보화확산
조달, 특허, 국세, 관세, 여권발급등 단위업무별 행정 정보화 확대
G4C, 전자조달, 국가재정정보 등전자정부 11대 과제 추진
정보화촉진기본법 제정 (1995) 전자정부법 제정 (2001)
전자정부성장기
2003~2007 전자정부 고도화 정보공유 확대, 통합전산 환경등 범정부 차원 연계/통합 사업추진
전자정부성숙기
2008~현재 전자정부 성숙 민원서비스의 선진화, 전산자원통합 등 정보화자원 및 서비스통합 사업 추진
정부 3.0 기본계획 수립 및 추진(2013~)
전자정부 3.0
• 전자정부 3.0은 정보공개 확대, 공공정보의 개방,정부 내 협업시스템구축, 민관협업 확대, 지식경영시스템 구축, 맞춤형서비스 제공 등을통해 유능하고 투명하며 서비스적 정부를 구현
• 클라우드 컴퓨팅, 빅데이터 등 끊임없이 새로이 등장하는 신기술은전자정부를 지속적으로 진화, 발전시키는 원동력
클라우드•빅데이터 환경
• UN전자정부 평가 3회 연속 1위 달성 계기로 전자정부 패러다임을행정 내부 효율화, 대국민 온라인서비스 중심에서 수요자 맞춤형서비스, 클라우드 기반의 전자정부 구축으로 전환
• 기관간 시스템 및 데이터 연계통합을 확대하여 대국민 맞춤형서비스 제공하고 클라우드 및 빅데이터 기반의 과학적 행정체제구축
• 주요 대국민 서비스에 대한 정보보호 등급제 확대, 시스템연계통합에 따른 정보보호 등 안전한 전자정부 관리체계 확립
G-Cloud
• 정부통합전산센터는 47개 중앙행정 기관 18,000여대 정보자원의효율적 운용을 통해 24시간 365일, 중단 없는 행정 서비스 제공
• 제1센터(대전)에 국민 생활 관련 25개 기관, 제2센터(광주)에 사회질서 관련 22개 기관 입주
• G-Cloud 기술전담팀(TAC)을 통해 대전과 광주센터의 G-Cloud아키텍처 진단(시스템, 소프트웨어), 트래픽 경로 최적화 방안 등발전방향을 제시
• 미국 조달청(GSA)의 공공분야 cloud 보안인증 프로그램인 FedRAMP인증심사항목을 활용해 보안성 검증수행 및 개선방안을 도출하는한편, Cloud 전환을 위한 업무용 SW 개발도 지원
영국정부의 보안등급
보안분류 내용
공공데이터(Official)
• 공공 부문에 의해 생성되거나 처리되는 대다수의 정보• 분실, 도난 또는 언론에 공개되어도 피해가 거의 발생하지
않는 일상적인 데이터
중요 기밀 정보(Secret)
• 보호 수단이 요구되는 민감한(sensitive) 정보• 국방 시스템이나 국제관계에 심각한 타격을 입힐 수 있는
데이터 (대형 범죄 등과 관련된 중요 조사 자료 등 포함)
일급 기밀 정보(Top Secret)
• 정부 부처가 보유한 가장 민감도가 높은 정보• 데이터 유출 또는 확산 시 영국 국민 또는 동맹국의 경제
및 보안 체계에 심각한 위협이 될 수 있는 정보 포함
• 대다수 정부 자료들을 ‘공공 데이터’ 카테고리에 포함시켜 보다 자유로운데이터 활용 촉진 예정
• 정부 데이터의 약 90%에 해당하는 ‘공공 데이터’의 경우 상대적으로 엄격한보안 체계가 적용되지 않기 때문에, 이를 전문적으로 다루는 클라우드사업자가 다수 출현할 것으로 예상
SW개발보안
• 해킹 등 사이버공격의 원인인 보안약점을 개발 전체단계에서 사전에 제거, 안전한 SW로 개발하는 기법
• 근거: 정보시스템 구축·운영 지침(행정안전부고시제2012.25호)
• 행정기관 및 공공기관의 정보시스템 감리대상정보화사업에 SW개발보안 적용 (Secure Coding 적용)
• ('12.12월) 40억원이상 → ('14.1월) 20억원이상 → ('15.1월) 감리대상 전체
• 소스코드 (신규개발 전체 또는 유지보수로 변경된 부분) 중상용SW는 제외
• 진단기준은 SW 보안약점 기준 (SQL 삽입 등 43개 항목)
클라우드 보안
네트워크 보안
SSL, VPN 등을 암호화 통신 프로토콜을이용하여 안전하게 데이터 송·수신
DoS, DDoS, EDoS 등 클라우드 서비스의 가용성을 방해하는 각종 네트워크공격에 대응 요구됨
네트워크를 통하여 전파되는 악성코드등에 대응하며, 침입탐지시스템 도입
클라이언트 디바이스 보안
클라우드 시스템과 네트워크 뿐만아니라 클라우드를 이용 클라이언트디바이스 역시 보안성 유지가 요구됨
악성코드 감염과 이에 따른 루트킷 및백도어 등이 설치될 경우 이를 통하여클라우드 내 데이터 유출 가능
클라우드 아키텍처 및 시스템 보안
시스템의 경우 보안 업데이트 유지와식별되는 취약성에 대한 대응 요구됨
새로운 데이터가 들어올 경우 데이터가안전한 데이터인지에 대한 검증 요구
하이퍼바이저 등 가상화 시스템 역시자원 공유로 인하여 취약할 수 있으므로, 악성코드 등에 대하여 대응 요구
암호화, 인증 및 접근제어
통신시뿐만아니라클라우드에보관하는데이터역시기밀성확보를위해반드시암호화가요구됨
클라우드에접근하기위한사용자인증이올바르게설정및 관리되어야하며, 접근계정에대하여권한이상의접근이되지않도록접근제어가요구됨
클라우드 컴퓨팅보안을 위한
기술적 고려사항
클라우드 보안
업체선정시관할권, 법률체계고려
데이터 이전에 따라 데이터 소재지의국가 혹은 기관과 우리나라와의 사법관할권에 대하여 사전에 고려 필요
해당 국가 혹은 기관의 법·제도 준거성확보를 위하여 사전에 이용 목적과이용 범위, 해당 국가 법체계 등에 대한 충분한 고려 및 검토가 요구됨
클라이언트 이용정책 마련
기존 업무 환경에서 변화함에 따라클라우드 환경을 고려한 정보보호정책및 클라우드 이용정책이 요구됨
데이터 통제권 상실에 따른 위험이있는 자료, 국외 이전이 허용되지 않는금융 및 민감개인정보 등은 클라우드환경을 이용하지 않도록 통제 필요
데이터 통제권, 가용성 고려 계약
클라우드 업체 선정에 따른 종속성과데이터 통제권 상실에 따른 위험 등을방지하기 위하여 클라우드 서비스계약시 이런 문제를 고려하여 계약
서비스 가용성 문제가 발생할 경우이에 대한 대응 및 보상을 위하여SLA(Service Level Agreement) 계약
BCP, DRP 등 사고 대응책 마련
클라우드에 저장된 데이터가 손상 혹은파기당할 수 있으므로 데이터에 대한백업 등 대응책이 반드시 필요
비즈니스 연속성 확보를 위한 BCP와각종 사고에 대응하기 위한 DRP 등을통하여 사고 발생시 효율적으로 대응하여서비스복구에필요한시간최소화
클라우드 컴퓨팅보안을 위한
정책적 고려사항
빅데이터 보안
동의 없는 개인정보 수집·활용
개인정보를 수집·활용 시 보유 및 이용에 대한 동의를 받으나, 동의 목적 외이용 및 보유기간을 초과하여 개인정보를 보유하고 활용할 가능성
SNS 등 공개된 곳에 올린 정보를 활용함에 있어 사용자의 동의 미획득 문제
정보 집적화에 따른
정보 유출 위험 문제
빅데이터 처리를 위하여 수집한 대규모정보가 한 곳에 집중되어 보관됨에 따라 해당 정보 유출 시 대규모 정보 유출의 위험성 존재
개인정보, 기밀정보의 유출 위험성
암호화·익명화 미처리 문제
조직 내부의 정보 등을 처리함에 있어암호화, 랜덤화 등이 처리되지 않을 경우 기밀 정보의 유출 위험성
개인정보를 처리함에 있어 익명화하지않을 경우 특정 개인의 취향 정보 수집등 개인정보 침해 문제 발생 우려
잊혀질 권리 보장 문제
정보주체가제공하거나생성한정보에대하여자기정보통제권에의하여삭제를요구하는‘잊혀질권리’ 보장이슈
수집한정보에대한재산권과정보주체의저작권, 개인정보자기통제권과충돌함에따라잊혀질권리가보장되지못할위험
빅데이터
보안 이슈
빅데이터 보안
암호화, 익명화 기술 적용
처리하는 정보의 유출에 따른 위험을 방지
하기 위하여 수집한 정보 및 트랜잭션 정보
암호화
개인정보 침해 방지를 위한 익명화
기술적 고려사항
개인정보 수집·활용 정책 마련
빅데이터 활용을 위하여 개인정보 수집 및
활용에 있어 수집항목, 보유기간 등에
대하여 정책 마련
잊혀질 권리 보장을 위한 창구, 절차 마련
정책적 고려사항
내부통제·감사, 컴플라이언스 준수
내부통제 방안 마련 및 정기적인 감사 수행
각 사업 영역에서 요구하는 컴플라이언스
식별 및 이를 준수하기 위한 정책 마련
권한 관리, 정보유출방지 솔루션
내부자에 의한 정보유출 위험을 방지하기
위하여 권한 관리 시스템 도입
정보유출을 방지하기 위한 DLP 솔루션 도입
결어
• IOT, 모바일, 빅데이터 등 첨단 IT기술과의 연동으로 시스템이더욱 복잡해져 취약점에 노출될 가능성 점증
• 적대적 데이터마이닝 (adversarial data mining)에 신경 써야
• 시큐어코딩, 오픈소스, 가상화, 분산처리 등 대비책과 취약점분석에 더 많은 자원 투입 필요
감사합니다
