1 / 24

전자정부 보안을 위한 필수전략

전자정부 보안을 위한 필수전략. 2006. 5 . 16 조시행. 목 차. 사이버테러 동향 정보보호 이슈 및 보안기술 대국민 서비스의 보안현황 개인정보보호 침해유형 향후 발전 방향. 사이버테러 동향. 공격기법의 변화. Virus,Worm. 공격기법의 동향. 과거 현재 미래. Specific, ubiquitous. 목표. Specific, mainframe. Broadcast, PC.

armando-sykes
Download Presentation

전자정부 보안을 위한 필수전략

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 전자정부 보안을 위한 필수전략 2006. 5 . 16 조시행

  2. 목 차 • 사이버테러 동향 • 정보보호 이슈 및 보안기술 • 대국민 서비스의 보안현황 • 개인정보보호 침해유형 • 향후 발전 방향

  3. 사이버테러 동향

  4. 공격기법의 변화 Virus,Worm

  5. 공격기법의 동향 과거 현재 미래 Specific, ubiquitous 목표 Specific, mainframe Broadcast, PC A few people within an organization 기술 Combined social engineering, Zero Day attack Virus, Worm, Spyware Hacking 동기 Notoriety-motivated Financially-motivated, more organized

  6. 2005년 보안 사고의 특징(1/2) • 메신저 웜의 증가 • 통합된 신종 웜(Win32/Mytob.worm)의 등장과 피해 증가 • 온라인 게임의 사용자 계정을 탈취하는 악성코드 변형 증가 • uPnP 취약점(MS05-039)과 악성코드(Zotob.worm) 확산 • 홈페이지 변조를 통한 트로이목마 유포->트로이목마의 발 역할 • 다양한 유형의 트로이 목마 증가 • 산업스파이가 백도어를 이용해 정보 유출 • 은폐형 악성코드 • 8.15 중국해커 공격설 • 제로데이 공격(0-day), WMF 취약점 • 전세계 악성코드 증가, 한국은 감소->지역적 특성, 타겟별 공격 특성

  7. 2005년 보안 사고의 특징(2/2) • 법정 다툼에 오른 스파이웨어 논쟁 • 애드웨어와 악성코드의 결합 • 가짜 안티스파이웨어 기승 • Sony DRM 스파이웨어 논쟁 • 100개가 넘는 모바일 악성코드 등장 • MMS를 이용하여 전파되는 휴대폰 악성코드 보고 • 휴대용 게임기 악성코드의 등장 • 인터넷 뱅킹 보안 문제 • 인터넷 공문서 위, 변조 위험 논란

  8. 사이버 테러 유형 전자정부 시스템 마비 시도 • 전자정부통신망의 무력화를 통한 정보유통의 단절 • 전자정부시스템 주요정보에 대한 위∙변조 국가 주요정보 유출 기도 • 정부 특정업무 주요 시스템에 침투 • 특정부서의 DB에 접근하여 정보획득 시도 개인정보유출 해 킹 • 개인 PC 에서 Key Logger 를 이용해 비밀번호 • 획득 시도 • 관리자 PC 를 통해 서버 비밀번호 획득 시도 바이러스 개인정보 유출

  9. 정보보호 이슈 및 보안기술

  10. 전자정부의 정보 보호 이슈

  11. 보안의 필요성 • 보안은 보험이다. • 다들 하니까 • 무언가 불안해서 • 보안 위협이 생길 가능성이 있어서 • 보안은 보호할 IT 자산만큼의 가치가 있다. • 정보, 데이터베이스, 문서 • 컴퓨터 - 반도체 공장의 산업용 PC • 네트워크 - ISP • 보안이 가장 약한 곳의 수준이 그 기업의 보안 수준이다. • 인사관리, 급여관리 시스템? • 테스트용 PC, 옛날 PC, 노트북등 • 보안없는 연결은 재앙이다 • 사업, 서비스의 설계 때부터 보안을 고려해야 한다.

  12. 5대 정보보호 기술 네트워크 보안 기술 유비쿼터스 보안 기술 바이오 보안 기술 핵심 보안침셋 기술 개인정보보호 기술 BcN Security RFID/USN Security Bio Recognition & Sensing Security Security IP/SoC for Mobile U3P Security Service 전자정부 적용 분야 유비쿼터스 정부 인프라 전자정부통합망 - IPv6 구축 - 광대역무선망 - VoIP etc 전자주민증 선원신분증명서 전자여권 지문감식시스템 공항출입통제시스템 공무원재택근무 전자 행정 서비스 etc

  13. 대국민 서비스의 보안현황

  14. 대국민 서비스 시스템의 주요 취약점 개선방안 웹 어플리케이션 취약점 수정 버전 개발 웹 보안 솔루션 도입 어플리케이션 개발 프로세스에서 보안 감사 강화 주요 취약점 취약점 파급효과 입력 값 조작을 통하여 시스템, 관리자 권한 및 개인 정보 획득 가능 정보 노출/조작 • 개인정보의 노출 • 전자민원서류의 조작 가능 • 민원/행정 업무 시스템의 관리자 • 권한 획득 • 사이버 유언비어 확산 가능 입력 값 조작으로 DB 명령어 실행이 가능하여 개인정보와 데이터베이스 획득 가능 SQL Injection 입력 값을 조작하여 시스템 주요 파일을 다운로드 하여 시스템 권한 획득 가능 파일 다운로드 시스템과 애플리케이션 설정 오류로 인해 시스템 접근 및 권한 획득 가능 설정 오류

  15. 대응 방안 단기대책 중기대책 장기대책 • 개발 단계에서 사전 보안 검토 규졍화 • 보안전문업체를 통한 정기적 보안감사 • 정부기관간 보안정보 공유체계 확립 • 웹 프로그래밍 보안강화 수정 • 보안관제센터를 통한 모니터링 • 보안전문업체를 통한 보안정기점검 보안성 3 2 • 웹 보안시스템 도입 • 대표적 웹어플리케이션 취약점에 긴급 수정 조치 • OS별 시스템 긴급패치 적용 1 Time

  16. 개인정보보호 침해유형

  17. 일본의 개인정보보호법 발효 후 변화 직원의 고객 정보 및 산업 기밀 정보 유출 시, 경영자에게 까지 법률적 책임이 있음 일본 개인정보보호법은 본인의 동의 없이 어떤 경우에도 다른 사람에게 개인 정보를 제공할 수 없음 병원에서 진찰 대기자 이름을 부를 수 없음 사내에 노트북·CD와 같은 개인 정보저장장치를 일절 갖고 들어오지 못하도록 막는 곳이 늘어나고 있음 새 휴대전화를 사면서 반납한 휴대전화는 거기에 든 신상정보가 유출되지 않도록 고객이 보는 앞에서 분쇄시킨다

  18. 개인 정보보호 침해 유형

  19. 개인 정보보호 침해 시나리오 및 대응방안

  20. 향후 발전 방향

  21. 2006년 이후 악성코드(1/2) • BotNet의 피해… • 더욱 많은 변형 증가 예상, 더욱 복잡하게 발전할 것임 • 공격목적에 따라 국지적 피해 예상 : 특정 IP대역 • 스파이웨어/애드웨어의 피해 지속 • 금전적 이익 • 기술적 발전, 다양한 배포방법, 조직적/체계적 • Mobile 위협-스마트 폰, PDA… • 다양한 보안 문제에대응 필요 • 무선인터넷 사용자증가 • 다양한 모바일 디바이스의 보급 • 모바일 플랫폼 표준 및망 개방등 • 한국의 피해 발생은 시기가 문제일 뿐…

  22. 2006년 이후 악성코드(2/2) • 온라인 게임과 관련한 악성코드 및 해킹 • 2005년 급속한 증가로 심각한 수준에 다다름 • 게임 아이템 거래로 인한 금전적인 목적으로 지속될 전망 • 취약점 노린 Zero-Day공격 현실화 • 취약점 보안패치까지는 시간이 소요 • 보통, 취약점 발표와 동시에 보안 패치가 이루어지나… • 개인 정보 유출 문제 • 검색 엔진 강화 : PC자체 정보 검색 정보의 과잉 노출 역기능 수반 • 백도어, 키로거, 원격제어, 피싱, P2P, 스파이웨어 등 • 유비쿼터스 환경의 보안 • 보안 대상의 증가 • 서비스에 특화된 보안 필요

  23. 향후 발전 방향 실생활에서 혜택을 느낄 수 있는찾아가는 정부서비스 구현 부처간 정보공유 기반마련 유비쿼터스 정보보호제도 도입 개인정보 보안통제 체계 강화 서비스 시스템 보안감사체계 표준화 정보보호체계 수립 CERT/GISAC • 정보화 인력 강화 및 국가 정책적 차원의 과감한 투자 • 개인정보보호 강화 및 정보공유체계 확립 Information Super-Highway (전자정부 고도화 & 유/무선 통합서비스 기반 & 유비쿼터스 기술)

  24. 안전에 필요한 최소한의 노력과 투자가 필요

More Related