고객 초청 2014년 DB보안 세미나

1. 2014년금융권IT보안핵심트렌드-DB암호화세미나
- 부제: 정보보안관련정책동향및시사점
2014.3.25

2. 2014년 정보보안 트렌드
정보보안, 안녕들 하십니까?
Contents
정보보안 관련 정책/법규 동향
마무리

3. 정보보안, 안녕들 하십니까?
다양하게 진화하는 보안의 위협

4. 정보보안, 안녕들 하십니까?
다양하게 진화하는 보안의 위협
– 정보유출(개인정보, 기밀문서), 장애유발, 파괴등 다양해짐
위
험
성
정교함
StatefulFirewall
IntrusionDetection(IDS)
IntrusionPrevention(IPS)
UnifiedThreat
Management(UTM)
NetworkAccess
Control(NAC)
EmailandWebContent
Filtering
Anti-Virus
SecurityInformationand
EventManager(SEIM)
NetworkSecurityAnalytics
NextGenerationFirewall
취미/장난형태
- 악성코드 등장
- 개인적인 호기심
- 기술적인 과시
조직/범죄형태
- 범죄적 요소 포함
- 금전적인 목적
- 개인정보 탈취
산업 스파이 형태
- 경제적인 목적
- 지적 재산 탈취
- 기업 기밀 문서 탈취
APT
(Advanced Persistent Threat)
- 지속적이고 정교한 타켓 공격
- 정부/정치단체 테러
- 경제적 목적 위협
- 조직적, 경제적 지원을 바탕
1990 2000 2011 ~

5. 정보보안, 안녕들 하십니까?
2013년 주요 사고
– 3.20 전산대란, 6.25 사이버테러, 8월 메모리 해킹 주의보, 10월 포털/
언론사 DDoS 공격

6. 정보보안, 안녕들 하십니까?
카드사 고객정보 유출(2014.1.8)

7. 정보보안, 안녕들 하십니까?
기존의 도구
및 기술
정교함
ㆍ금융 관련 대상 해킹
ㆍDDoS 공격
ㆍLulzSec 및 익명
(핵티비스트)
ㆍ지속적인 고도의 위협 (APT)
ㆍ조직화되고 국가가 지원하는 팀
ㆍ새로운 제로 데이 취약성 발견
ㆍ전례 없는 공격 기술
ㆍ무차별
ㆍ고급 기술 스킬 부족
ㆍ공격 및 맬웨어 킷 도구 사용
ㆍ보트넷 빌더
ㆍ금전적 동기로 맬웨어 활동
ㆍ스팸 및 Dos
ㆍ사이버 전쟁
폭넓음 특정 대상
출처: IBM X-Force® Research
시사점: 공격의 형태와 동기는 변하지 않았음

8. 2014년 정보보안 트렌드 전망
주요 기관 IT 10대 전망 비교(2013 vs 2014)
8
출처: 주요기관 IT 10대 전망 비교 분석, 마이크로소프트웨어, 2014.1

9. 2014년 정보보안 트렌드
개인정보보호 Top 10 이슈(한국정보화진흥원, 2013.3)
출처: 개인정보보호 트렌드전망 2014, NIA, 2014.3

10. 2014년 정보보안 트렌드
개인정보보호 Top 10 이슈 중요도(한국정보화진흥원, 2013.3)
출처: 개인정보보호 트렌드전망 2014, NIA, 2014.3

11. 정보보안 관련 정책/법규 동향
금융전산 보안강화 종합 대책(금융위원회, 2013.7.11)

12. 정보보안 관련 정책/법규 동향
금융 분야 개인정보 유출 재발방지 종합대책(2014.3.10)
– 4가지 기본방향
 개인정보의 ‘수집-보유·활용-파기’ 등 단계별로 금융소비자의 권리
보호 및 금융회사 책임을 대폭 강화
– 구체적인 기술적보안방안에 있어서는 자율권을부여
– 유출사고 발생시에는 금융회사에 엄정히 책임을 물어 형식적 기준과 절차만 준
수하면 사고가 발생해도제재를 받지 않는 문제 방지
 금융회사가 확실하게 책임지는 구조를 확립
– CEO 등의 책임을 강화하고 모집인과 제3자에게 제공한 정보에 대해서도 금융
회사에 관리책임을부과
– 징벌적 과징금 도입, 형벌과 행정제재 상향을 통해 개인정보보호법 등 정보보호
의 일반법보다 책임을한층 강화
 외부로부터의 전자적 침해행위에 대해서도 기존 대책(2003.7월 발표) 보강
– 주기적인 보안 이행실태 점검·보안전담기구 설치 등으로 상시적인 보안체계
구축
 이미 계열사와 제3자에 제공되었거나 외부 유출된 정보로 인해 잠재적으로
피해가 발생할 가능성에 대해서도 대응방안 강구

13. 정보보안 관련 정책/법규 동향
시사점 및 과제
– 3.20 사이버공격 1년… 무엇이 달라졌나(디지털타임스, 2014.3.19)
 보안구멍 그대로 면피성 대응 급급… 구체적 대책 세운 곳 없어
– “개인정보보호법 통합” 목소리에 관계 부처는 ‘글쎄’(전자신문,
3.23)
 다른 법들 때문에 개인정보보호법이 무력화(ex. 특별법 우선 원칙, 1995년
제정된 정보통신망법에 개인정보보호법은 밀림)
– 개인정보 종합대책 국회서 발목 잡히나(디지털타임스, 2014.3.17)
 신용정보법ㆍ전자금융거래법ㆍ금융지주사법 등 개정 필수
 상반기 국회 통과 녹록지 않아… 지방선거 변수 우려도
– KT 개인정보 보호 소홀 혐의 적용…보안팀장 입건(연합뉴스,
2014.3.14)
 국내 개인정보 유출사건으로는 개인정보 유출 기업에 대한 첫 처벌 사례
– 금융기관 예외없이 주민번호 암호화(디지털타임스, 2014.3.19)
 금융분야 개인정보 유출 재발방지 종합대책
 금융회사 정보시스템 중 현재 외부망와 DMZ라는 중간망은 암호화가 돼 있
고 내부망에 대해서는 위험도 평가를 통해 암호화를 유예하는 조치가 내려
지고 있는데 앞으로는 내부망에 대해서도 모두 암호화를 적용

14. 마무리
기업의 보안 현실: 보안 침해 사고 분석 해보니…
침해사고중76%의네트워크
침입은
 취약하거나훔친자격증명을
이용하여발생
 엄격한정책적용을통해쉽게
예방가능
보안침해사고는
 69%는외부기관에
의해발견
 9%는고객에의해발견
보안침해사고중
 이메일,전화통화및소셜
기법은전체보안공격의29%
출처: 2013 데이터 보안 침해 조사 보고서, Verizon, 2013

15. 마무리
기업의 보안 현실: 보안 침해 기간
Source: 2013 데이터 보안 침해 조사 보고서, Verizon, 2013
보안 침해 중 66%는
발견하는 데 수개월에서
수년
84% 의 사 고 에 서
수시간 이내에 초기
유출
보안 침해가 발생한 영역을
격리하는 데 수개월(22%)

16. 마무리
기업의 보안 현실: 보안 침해 기간
– Analysis of zero-day attacks that go undetected
출처: Big Data Analytics for Security Intelligence, CSA, 2013.9
평균 10 개월 소요,
60%의 취약점은 이전에
파악된 적이 없음

17. 기업 보안 현실: 정보보안 영역
마무리
Data
Intranet
Services
DB암호화
전송정보 암호화
문서암호화중요정보유출차단 출력물보안통합PC보안 네트워크접근제어사용자인증
접속기록관리
메일 저널링
정기감사
정보유출감사
웹취약점 차단
사용자인증 네트워크접근제어 중요정보유출차단
네트워크접근제어
사용자인증
웹/메일공격차단
좀비PC탐지차단
개인정보유출차단

18. 마무리
정보보안의 Goal은 간단
– Identify attacks / attackers beforethey hit
– Find previously unknownattacks (zero days)
– Find attacks that are in progress
– Understand the impactof a successful attack
– Attack(er) = external OR internal