꿈을

https://www.youtube.com/watch?feature=player_embedded&v=CmQg5QXc-R0

달려라.

공격기법 및 IDS접근 통제를 우회할 수 있는 공격기법과 IDS의 탐지 원리에 대해 학습

접근 통제 모델(보안 모델)접근 통제 모델과 이에 기반한 보안 모델에 대하여 학습.

인 증인증 수단의 종류와 원리에 대해 학습.

접근통제접근 통제의 원리와 개념에 대해 학습.

전주리뷰

보안 읽어주는 남자

보안관리

Sercurityplus Union Academy

목 차 1. 보안 관리

2. 데이터 등급

3. 보안 프로그램

4. 위험 관리

5. 인사 보안

1. 보안관리

보안관리란 무엇일까요?한 번 살펴볼게요.

보안관리개요 (1)

1. 보안관리 (1/7)

프레임워크

경영

관리체계

틀

보안 관리는

중요한 자산(정보)를 하고,

보호하기 위한 일련의 관리체계를 하고

하고, 및 을 꾀하는 것

인식

수립

수행 점검 개선

보안관리개요 (2)

1. 보안관리 (1/7)

보안관리과정및개념 (1)

1. 보안관리 (2/7)

자산

나? 위협!

보안관리과정및개념 (2)

1. 보안관리 (2/7)

통제대책

취약점

위험

자산

위협원

위협

소유자

도입

인지 경감

가치부여최소화

경감

탐색 발생

기인기인손상

발생

보안의 기본원칙은 무엇일까요?계속 살펴볼게요.

보안기본원칙 (1)

1. 보안관리 (3/7)

자산

C

I A

기밀성

무결성 가용성

노출

훼손 중단

보안기본원칙 (2)

1. 보안관리 (3/7)

NIST에서말하는핵심원칙사이의의존관계

정보보호 원칙들간의 관계

기밀성

무결성

기밀성 무결성

가용성

무결성

기밀성

기밀성 무결성

책임추적성

지금부턴 보안의 목표를 확인하겠습니다.

천천히 살펴보죠.

보안목표 (1)

1. 보안관리 (4/7)

Information

Assurance

Information security

보안목표 (2)

1. 보안관리 (4/7)

1960년 ~ 1980년 ~ 1998년 ~

Computer SecurityInformation

SecurityInformation Assurance

비 교

컴퓨터 정보, 정보시스템 전체비즈니스

신뢰성 C, I, A whole

whole 목표

기밀성, 무결성, 가용성

부인 방지, 책임 추적성, 유용성, 신뢰성

비용효과성, 투명성, 효율성, 감사성

보안목표 (3)

1. 보안관리 (4/7)

보안목표 (4)

1. 보안관리 (4/7)

전기적 (주로) 전기적 모든타입

Computer SecurityInformation

SecurityInformation Assurance

비 교

기술적 기술적우세(인간, 관리요소일부포함)

시스템적접근

컴퓨터보안기술

기술적(인간, 조직 고려)

다각적(기술, 인간, 법)

보안목표 (5)

1. 보안관리 (4/7)

지원시스템 지원시스템(비즈니스를제한)

비즈니스통합

Computer SecurityInformation

SecurityInformation Assurance

비 교

기술직원전용직원기술직원

전용직원중간관리층

기술직원기술직원

전용중간관리층전직원

기술적 보안 비즈니스

정보보안의 목적은 무엇일까요?계속 살펴보겠습니다.

Residual Risk

1. 보안관리 (5/7)

잔여위험

보안은 위험 수준을 0 으로 만들지 못한다!

“ 정보보안의 목적은 잔여 위험 을

수용 가능한 위험 수준 으로 맞추는 것 ”

보안관리프로세스

1. 보안관리 (6/7)

기업 내중요자산파악

자산의위험파악

위험에대한대응책강구

보안프로그램시행

보안 관리 프로세스

보고 체계 모델은 왜 필요할까요?목적을 살펴보겠습니다.

보고체계모델

1. 보안관리 (7/7)

보안 관리의개념에

대해 감이 잡히나요?

이제부터, 자산 분류에

대해 알아봅시다.

2. 데이터 등급

우선, 데이터 등급은 왜 분류 하는 걸까요?

목적부터 살펴보겠습니다.

데이터등급분류의목적

2. 데이터등급 (1/5)

데이터분류체계의주요목적

기밀성 / 무결성 / 가용성 증진

정보에 대한 위협을 최소화!

“한 마디로, 민감한 데이터 를 더 잘 보호하기 위해서”

데이터등급분류의기준

2. 데이터등급 (2/5)

“데이터 등급 분류의 기준은 무엇일까?”

데이터 등급 결정의 제일요소는 와 이다.

Lifetime (일정 기간 후, 자동 분류 해제)

피해의 수준 (노출, 수정, 손상 발생 시)

책임 (접근, 관리)

장소 (데이터 보관)

법, 규제

가치 유용성

자산의가치결정이유

2. 데이터등급 (3/5)

“자산의 가치는 왜 결정할까?”

CBA (Cost Benefit Analysis) 수행

보안 대책 수립

보험 가입

Due care (Due diligence)를 만족

자산의분류

2. 데이터등급 (4/5)

분류수준/기준을 정의

데이터등급표시

관리자,매커니즘보안통제결정

문서화,폐기방안,교육

데이터 분류 과정

가능한 단순하게 ! 분류 레벨은 최소화 !

책임의계층

2. 데이터등급 (5/5)

“역할과 책임을 정의함으로써 얻는 이득은?”

혼란 감소 (경영진과의 소통)

업무조정, 책임추적 (부서 간, 개인 간)

법, 규정 준수 (법적 요구사항 대응)

감사 대응 (개선점 도출, 지속적 향상)

보안 인식 교육 (식별 가능)

자산 분류 에

대해 궁금한 거 없으세요?

이제부터, 보안 프로그램 에

대해 살펴봅니다.

5분만

쉴까요?

그 전에..

3. 보안 프로그램

정보보호거버넌스 (1)

3. 보안프로그램 (1/4)

“정보보호 거버넌스의 배경은 무엇일까?”

투자 목적 부합 (정보보호와 현업부서)

정보 기술의 가시성 (이사회, 경영진 요구 증대)

위험의 관리 감독 메커니즘 제공 (이사회, 경영진)

정보보호거버넌스 (2)

3. 보안프로그램 (1/4)

위험 감소 (적절한 수준)

정보보호 투자 보증 (적절한 방향)

정보보호 프로그램 효과성 (경영진에게 제공)

I T거버넌스

정보보호거버넌스

기업 거버넌스

보안프로그램 (1)

3. 보안프로그램 (2/4)

정 의

보안 정책 / 표준가이드 라인 / 절차

보안 인식 교육 / 컴플라이언스

모두 포함

보안프로그램 (2)

3. 보안프로그램 (2/4)

PlanAndorganize

ImplementOperateAndMaintain

MonitorAndEvaluate

보안 프로그램 개발 단계

경영진의 승인수립 및 획득

역할과 책임할당

보안 정책, 표준개발 및 SLA 관리

로그, 감사결과매트릭스, SLA 리뷰

보안정책

3. 보안프로그램 (3/4)

“프로그램의 계층적 구조를 한마디로 표현하면?”

정책- 기밀정보가 올바르게 보호되어야 한다.

표준- DB의 모든 고객 정보는 AES 알고리즘으로 암호화되어 저장되어야 하며,

암호화 기술을 사용하여 전송해야 한다.

절차- AES와 IPSEC을 실행하는 방법을 실행

지침- 전송 중 데이터가 우연히 암호가 풀리거나, 손상되거나, 침해되었을 경우 처리하는 방법

“무엇을 보호할 것인가?”

“어떻게 보호할 것인가?”

보안 인식교육 (1)

3. 보안프로그램 (4/4)

정 의

정보보호의 목표, 전략, 정책,필요성, 관련 책임, 역할 등을

직원, 파트너, 공급자에게

설명하기 위함

보안 인식교육 (2)

3. 보안프로그램 (4/4)

교 육 주 제

회사의 보안정책은 무엇인가?

회사의 보안정책은 왜 중요한가?

보안정책이 어떻게 내 직무에 적용되는가?

직원 스스로가 정보보호 정책을 왜 준수해야 하는가?

보안정책을 위반함으로써 얻게 되는 징계는 무엇인가?

보안 인식교육 (3)

3. 보안프로그램 (4/4)

경영진을 자극할 수 있는 Motivator

FUD : Fear, Uncertainty, Doubt (의구심)

Due care : 법적 책임 강조

Productivity : 생산성에 대한 이슈

Team up : 실무자 및 법무팀과 동행

보안 인식교육 (4)

3. 보안프로그램 (4/4)

항목 보안인식 활동 보안 훈련 보안 교육

관점 무엇을 WHAT 어떻게 HOW 왜 WHY

교육 수준 정보 제공 지식 제공 통찰력 제공

교육 목적 인지 기술 이해

교육 방법매체 이용

(비디오, 뉴스레터)실질적 교육

(강의, 워크샵)이론적 교육

(토론, 세미나)

평가 척도 배운 내용 확인 배운 내용 응용 배운 내용 설명

교육 영향 단기 중기 장기

교육 ?

훈련 ?

“사람 안에 있는 것을 끄집어 내는 것”“주입 반복을 통해 그 사람에게 입력 시키는 것”

보안 프로그램 별로 어렵지 않죠?

4. 위험 관리

46

위험관리개요

4. 위험관리 (1/5)

위험 관리의 목표

위험을 수용 가능한 수준 으로 감소시키는 것

위험 식별

정성적 분석

정량적 분석위험대응

계획

위험 모니터및 보고

위험분석 (1)

4. 위험관리 (2/5)

위험 분석의 목표

1. IT 자산에 대한 위험을 측정하고,

측정된 위험이 허용 가능한 수준인지 아닌지

판단할 수 있는 근거를 제공하는 것

2. 잠재적 위협의 영향을 계량화

3. 위협에 대한 보호를 위한 통제의 연간 비용과

예상되는 손실에 대한 비용을 비교한 비용/이익 비교를 제공

4. 위험의 영향과 통제비용의 경제적 균형을 제공

위험분석 (2)

4. 위험관리 (2/5)

정성적 위험 분석위험의 구성요소와 손실에 대하여 정확한 숫자나 화폐적 가치를 부여하지 않고,

위험 가능성 시나리오에 자산의 중요성, 위협, 취약성의 심각성을 등급 또는

순위에 의해 상대적으로 비교하는 방법

자산가치를 나타내기 위해 high, medium, low등의 Rate로 표현 (판단, 직관 포함)

장점

a. 계산이 단순

b. 계산 과정과 보고가 유연함

단점

a. 숫자 값으로 표현하지 않음 (경영진에게 신뢰성 있는 데이터를 제공하지 못함)

위험분석 (3)

4. 위험관리 (2/5)

정량적 위험분석

정보시스템 및 관련자산에 대한 위협 발생 확률과 잠재적 손실 크기를

곱해서 이를 화폐가치로 환산하여 위험의 정도를 측정하는 방법

공식적인 CBA(Cost Benefit Analysis) 제공

장점

a. 의미있는 통계적 분석이 지원되며, 정보의 가치를 이해하기 쉽게 표현함

b. 객관성 있는 데이터 제공 -> 경영진 설득이 용이

단점

a. 계산이 복잡하며, 자동화 툴이 없으면 매우 힘듦

b. 정성적인 item을 정량화하기 어려우며, 주관적 판단이 들어가서 정확성 떨어짐

위험분석 (4)

4. 위험관리 (2/5)

정량적 위험분석 단계

자산에가치부여

잠재적손실계산

1년 ARO개별 ALE계산

위험완화 전략채택

위험 분석 단계

위험분석 (5)

4. 위험관리 (2/5)

정성적, 정량적 위험 분석 비교특 징 정성적 정량적

복잡한 계산 X ○

Cost/Benefit 분석 X ○

추측 작업 요구 ○ X

자동화 지원 (Tool) X ○

대량의 정보와 관계됨 X ○

객관적 Metrics X ○

주관적 의견 사용 ○ X

상당한 시간과 노력을 요구 X ○

위험에대한대책

4. 위험관리 (3/5)

“위험 분석을 한 후에 파악된 Risk에 대하여

가장 효율적인 보안대책을 수립”

위험회피- 자산 매각이나 설계변경 등 다른 대안을 선택하여 해당 위험이 실현되지 않도록 하는 것

위험전가- 위험을 보험회사와 같이 다른 개체에 전이하는 것으로 위험 전이는 비용을 동반

위험완화- 화재진압 시스템, 방화벽 등을 통하여 위험 수준을 제거하거나 감소시키는 것

위험수용- 비용 대비 효과를 고려하여 비즈니스 목적상 위험을 그대로 수용하는 것

비용대비투자효과분석

4. 위험관리 (4/5)

CBA(cost-benefit analysis) ‘비용 편익 분석’

투입되는 비용과 산출량의 상관 관계를 고려하여 편익이 큰 것을

기준으로 대안 선택 여부 혹은 우선 순위를 명백히 하는 것을 의미

EF (Exposure Factor : 노출계수)

= 자산의 가치에 대한 손실이나 영향의 크기를 측정한 값, 손실율(%)

SLE (Single Loss Expectancy : 단일 손실 예상액 )

= 자산 x EF

ARO (Annualized rate of occurrence : 연간 발생 빈도)

= 매년 위험이 발생할 가능성에 대한 빈도수

ALE (Annualized Loss Expectancy : 연간 예상 손실액)

= SLE x ARO

보안투자수익율

4. 위험관리 (5/5)

ROSI(Return on Security Investment) 의 필요성

SROI(Soft Return On Investment) : 정성적 답을 제공HROI(Hard Return On Investment) : 정량적 답을 제공

경영진은 위험을 정량화하길 원하고,

사고 발생 전에 보안 투자를 받기는 쉽지 않으므로

보안 통제가 없을 경우의 재정적 피해를 예측해서

보안 투자를 받기 위함.

위험 관리 는

조금 어려울 수 있지만,중요한 부분이에요.

조금만 더 힘내서, 인사 보안 에

대해 알아봅시다.

5. 인사 보안

57

인적관리

5. 인사보안 (1/4)

정 의

기업의 정보 시스템과 관련된모든 직원들과 외주직원, 퇴직자들은직무 상 알게 되었던 정보시스템 관련

비밀을 지킬 의무가 있음을 주지 시키고,

그 내용을 담고 있는 서약서에 서명하도록 함.

고용실무

5. 인사보안 (2/4)

“인사 보안을 위한 고용 실무”

직무기술서- 직무의 책임, 직무에 필요한 교육, 경험에 대한 내용을 포함

고용계약서- 직원이 재직 및 퇴직시 직원의 비윤리적 행동으로 인한 소송으로부터 조직을 보호

기밀유지협약서- 조직의 영업비밀, 지적재산권 보호의 내용을 담고 있음

배경조사- 위험 완화, 충분한 능력을 갖춘 직원에 대한 확신, 고용 비용 감소, 이직률 감소 효과

인사통제

5. 인사보안 (3/4)

“인사 통제를 위한 보안 원칙”

직무분리- 조직의 어느 누구도 시스템 보안 전반에 걸친 절대적인 권한 소유 불가(의도적인 시스템과 자원의 남용 위험을 감소)

직무순환- 지식에 대한 백업, 부정 적발, 동료 간 감사 기능

강제휴가- 1~2주 정도 직원의 업무와 특권을 감사, 횡령 예방 효과

“공모”는 직무분리를 우회한다.

직무순환은 “공모”를 적발한다.

사회공학 (1)

5. 인사보안 (4/4)

정 의

사람을 속여서 민감한 정보를 유출하게

하는 기술로서 설득과 감언이설을 통해

자신의 신분을 속이거나 사람들을

교묘히 조종하는 것

주요 공격 대상은 보안 사슬에서

가장 약한 연결 고리인 사람

사회공학 (2)

5. 인사보안 (4/4)

주요 위협원

외부 위협 : 경쟁사, 호기심 많은 해커나 개인신뢰 위협 : 협력사, 컨설턴트내부 위협 : 정직원, 계약직 사원

공격의 예 : 어깨 넘어 훔쳐보기(Shoulder Surfing)협박 메일(Block Mail),따라 들어가기(Piggybacking, Tailgating)

인사 보안사람에 대한 고용과 사회공학에서의 위협을 학습.

위험 관리위험 분석의 목표와 정량적, 정성적 분석 방법 및 대책을 학습.

보안 프로그램보안정책, 보안 인식 교육의 목적과 방법을 학습.

데이터 등급자산 분류를 위한 데이터 등급 분류의 목적과 방법을 학습.

최종요약

암

호학