어떻게 대응할 것인가2015.03.06

넥슨코리아 여성구 (bar4mi@gmail.com)

FICON 2015

발표자 소개

발표자 소개

Penetration TesterSecurity Consultant

Security ManagerTechnical Part

IS AuditorInformation System

Security Practitioner

KNOWLEDGEOver Experience

상황

‣

‣

‣

‣

‣

타임라인

사건발생����������� ������������������  시점

유포����������� ������������������  시점

인지����������� ������������������  시점

확인����������� ������������������  시점

신고����������� ������������������  시점

?����������� ������������������  시점

사고����������� ������������������  대응사건 피해 확산 방지

징후 파악 & 분석

보고 & 신고 & 통지

내부 및 외부 대응

1

2

3

징후 파악외부 제보 내부 인지

• 고객 • 언론 • KISA • 외부 보안 전문가 • 경찰 등

• 침해사고 대응 중 • 정기 점검 중 • 운영 모니터링 중 • 정기 로그 분석 중 • 외부 보안 정보 등

분석

데이터 검증 유출 경로 파악

데이터 검증

정말 내부 데이터인가?1

언제적 데이터인가?2

데이터 양은 얼마나 되는가?3

- 어떤 데이터, 전체 or 일부, 짜맞춰진 데이터 여부

- From ~ To ~

- 개인정보호법 시행령 제39조: 1만명 이상 - 정보통신망법: 규모가 없음

보고 라인에 따라 최고경영진까지

내부 TF 조직 구성

보고

내부 TF <대외 협조자>

<대외 이해관계자>

<대내 협조자>• 경영진 • IT 운영 조직 • 보안 조직 • 법무 조직 • 대외 협력 조직 • 고객대응 조직

• 법률 자문 • 보안 정보 회사

• KISA (방통위, 행자부) • 경찰, 검찰 • 언론 • 고객 • 비즈니스 파트너

2

24Hours

활용 가능 정보

시스템 네트워크 보안시스템

• 로그 (OS, 웹 등) • 파일(악성코드 등) • 작업(Job, Task) • 레지스터리 • 시작 프로그램 • 메모리 • 도메인 서버 로그

(인증 등)

• 라우팅 경로 • 트래픽 현황(MRTG) • 세션 로그

• 방화벽 로그 • IDS·IPS 로그 • 백신 로그 • 컨텐츠 정보(L7) • DB Audit • 웹 방화벽 • DLP • DRM

긴급 조치

• 피해 확산 방지

• 증거 보존

• 피해 범위 파악

사고 대응 디지털 포렌식vs“피해 복구” “증거 보존”

“증거����������� ������������������  보존”도����������� ������������������  중요하지만����������� ������������������  ����������� ������������������  대응����������� ������������������  과정에서는����������� ������������������  피해����������� ������������������  확산����������� ������������������  방지가����������� ������������������  우선

신고 및 통지

• KISA 신고 (방송통신위원회)

• 정보주체에게 개인정보 누출 통지

• 경찰/검찰 신고

정보통신망법 제27조의3 (개인정보 누출 등의 통지·신고)

정보통신망법 제27조의3 (개인정보 누출 등의 통지·신고)

개인정보보호법 제34조 (개인정보 유출 통지 등)

개인정보보호법 제34조 (개인정보 유출 통지 등)

개인정보 노출 확인 시 주의사항

암호화 통신(SSL) 실시

기존 탈퇴자 고려

확인 사이트의 보안성 검토

대외 대응

개인정보 노출이 확인된 시점에서

가장 큰 리스크는 무엇인가?

회사

언론KISA(방통위)경찰, 검찰

고객

“마녀사냥” “형사처벌·행정처분”

“피해보상(민사소송)”

피해자 피의자&“현재 어떤 입장인가?”

정보통신망법(방송통신위원회)

신용정보법(금융위원회)

개인정보보호법(행정자치부)

개인정보보호법정보통신망법 신용정보법

•내부 관리 계획

•접근통제

•접속 기록의 위·변조 방지

(망분리 포함)

•개인정보의 암호화

•악성프로그램 방지

•출력·복사시 보호조치

•개인정보 표시 제한 보호조치

•내부 관리 계획

•접근 권한의 관리

•접근통제

•개인정보의 암호화

•접속기록의 보관 및 점검

•악성프로그램 등 방지

•물리적 접근 방지

(물리적 보관장소 및 잠금장치)

•개인정보의 파기

<기술적·물리적 보안대책>

•접근통제, 접속기록의 위·변조방지

•개인신용정보의 암호화

•컴퓨터바이러스 방지

•출력, 복사시 보호조치

<관리적 보안대책>

•신용정보관리·보호인

•개인신용정보의 조회권한 구분

•제재기준 마련

출처: 인셉션

길고 긴 참고인 조사...피의자 조사...

민·관합동조사단 조사

내부 조사 및 설명외부 협조자 정보 제공

사후����������� ������������������  대응복구&강화

- GAP분석 (기술적·관리적)

- 균형적인 단계별 적용

- 업무 프로세스 개선 (취약한 업무 관행 개선)

- 보안 관련 기술 및 관리 역량 강화

- 경영진의 의지 개선

- 임직원의 보안 의식 개선

사전����������� ������������������  대응사고 예방

컴플라이언스 확보

내부 환경 개선

보험 가입 (위험 위임)

+

“나 자신을 알자”

데이터

업무 흐름

정상 행위

개인정보 유출 책임보험

고객 손해배상금, 변호사비용 등의 기업 비용

서면을 통한 검증 후 회원 수에 따라 비용 책정

내부 임직원의 고의 또는 범죄행위, 2차 피해는 미보상

0

20

40

60

80

2010년 2011년 2012년 2013년 2014년

15

2635

54

73

개인정보유출 배상책임보험 수익 (10개사)출처: 아시아경제 2015.01.15

(추정)

• 사건 대응

• 사후 대응

• 사전 대응

인지 데이터 검증 경로 파악 & 긴급조치

신고 및 통지

대외 대응

보안 의식 제고, 보안 전략 수립 & 적용, 보안 역량 강화

컴플라이언스 확보 (외부&내부), 내부 환경 개선, 보험 가입

전투엔 패했더라도

에선 승리해야 한다전쟁“개인정보가����������� ������������������  노출되었다”하더라도����������� ������������������  ����������� ������������������  

더����������� ������������������  이상의����������� ������������������  피해가����������� ������������������  발생하지����������� ������������������  않도록����������� ������������������  해야����������� ������������������  한다.

Q&A