21 세기 정보화 사회와 정보보호
DESCRIPTION
21 세기 정보화 사회와 정보보호. 2005. 10. 27. 이 홍 섭 한국정보보호진흥원. 목 차. 사회 패러다임 변화와 IT 발전. l. 세계 최고의 IT 인프라와 u-Korea. ll. 사이버 공격의 패러다임. lII. 역기능 현상과 대응. lV. 유비쿼터스 환경과 정보보호. V. 정보보호의 미래. Vl. 010100101101001. l. 사회 패러다임 변화와 IT 발전. 010100101101001. 사회 Paradigm 의 변화. 학교. 기업. 쇼핑몰. - PowerPoint PPT PresentationTRANSCRIPT
2121 세기 정보화 사회와 정보보호세기 정보화 사회와 정보보호2121 세기 정보화 사회와 정보보호세기 정보화 사회와 정보보호
이 홍 섭
한국정보보호진흥원
2005. 10. 27
2
목 차목 차목 차목 차
사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전
세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Korea세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Korea
사이버 공격의 패러다임사이버 공격의 패러다임사이버 공격의 패러다임사이버 공격의 패러다임
역기능 현상과 대응역기능 현상과 대응역기능 현상과 대응역기능 현상과 대응
유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호
정보보호의 미래정보보호의 미래정보보호의 미래정보보호의 미래
ll
llll
lIIlII
lVlV
VV
VlVl
3
l. l. 사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전l. l. 사회 패러다임 변화와 사회 패러다임 변화와 IT IT 발전발전
4
사회 사회 ParadigmParadigm 의 변화의 변화사회 사회 ParadigmParadigm 의 변화의 변화
은행
학교 기업 쇼핑몰
시청
• 대량생산 사회
• 물리공간 사회
학교 기업 쇼핑몰학교 기업 쇼핑몰
은행 시청
e- 은행 e- 시청
e- 학교e- 쇼핑
e- 기업
• 사이버 가상공간 출현
• 온라인 ( 전자정부 , 원격교육 등 )
동식물 자동차 가전
도로상품
칩 이식
• 전자태그 이식으로전자태그 이식으로
실제사회와 가상사회 통합실제사회와 가상사회 통합
• 시간시간 ·· 공간적 제약 극복공간적 제약 극복
유비쿼터스사회 (2010 이후 )정보화사회 (1990~2010)산업사회 ( ~1990 년대 이전 )
5
음성망 ( 모뎀 )
유선전화광대역통합망 (BcN)
비메모리 반도체 (IT-SoC)디스플레이
차세대 PC
차세대 이동통신 (4G)
디지털 컨버전스 시대디지털 시대아날로그 시대
생산 : 34 조원수출 : 202 억불GDP 비중 : 5.0% (’94 년 12월 )
생산 : 34 조원수출 : 202 억불GDP 비중 : 5.0% (’94 년 12월 )
생산 : 209 조원 수출 : 576 억불GDP 비중 : 15.6% (’03 년 12월 )
생산 : 209 조원 수출 : 576 억불GDP 비중 : 15.6% (’03 년 12월 )
생산 : 380 조원 수출 : 1100 억불GDP 비중 : 19.3% (2007 년 )
생산 : 380 조원 수출 : 1100 억불GDP 비중 : 19.3% (2007 년 )
초고속정보통신망 (ATM, xDSL)
반도체
컴퓨터
이동통신 (CDMA)
디스플레이
서 비 스
부 품네트워크
기 기
패러다임 변천
산업발전 Convergence 서비스
- 디지털방송 (DTV, DMB) - 텔레매틱스 - 홈 네트워킹 - 지능형 로봇 - 디지털콘텐츠
IT ParadigmIT Paradigm 의 변화와 산업 발전의 변화와 산업 발전IT ParadigmIT Paradigm 의 변화와 산업 발전의 변화와 산업 발전
6
Wearable computerSmart wearSmart dust
가정회사사회
교육
디지털 도서실원격 / 재택 교육개인화된 교육
모바일 전자상거래RFID 물류시스템
기업
의료전자진료기록 (u-EMR)전산처방시스템 (OCS)
의료영상 저장 및 전송 시스템u-Healthcare
금융
디지털 금융인터넷 뱅킹모바일 뱅킹
국방
ITIT 기술에 의한 기술에 의한 Life Style Life Style 변화변화 (u-Life)(u-Life)ITIT 기술에 의한 기술에 의한 Life Style Life Style 변화변화 (u-Life)(u-Life)
MobilePersonalized
WearableDigital Convergence
MobilePersonalized
WearableDigital Convergence
키워드
7
임박한 미래임박한 미래 : : ““ 마이너리티 리포트”마이너리티 리포트” 임박한 미래임박한 미래 : : ““ 마이너리티 리포트”마이너리티 리포트”
8
임박한 미래임박한 미래 : : ““ 아일랜드”아일랜드” 임박한 미래임박한 미래 : : ““ 아일랜드”아일랜드”
9
ll. ll. 세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Koreall. ll. 세계 최고의 세계 최고의 IT IT 인프라와 인프라와 u-Koreau-Korea
10
국민의 인터넷 활용증가 , 디지털 경제의 확산 , 전자정부서비스(G4C) 확대 등 인터넷이 제 2 의 생활공간으로 정착
1999 2000 2001 2002 2003 2004
세계 최고의 인터넷 이용수준세계 최고의 인터넷 이용수준세계 최고의 인터넷 이용수준세계 최고의 인터넷 이용수준
< 인구 100 명당 초고속 인터넷 가입자수 >
0
5
10
20
25
15
한국
네덜란드
덴마크
아일랜드
스위스
캐나다
핀란드
22.5 21.8 21.7 20.319.2 18.7
(OECE,2005 6 월 )
25.530
11
첨단 첨단 IT IT 인프라인프라 첨단 첨단 IT IT 인프라인프라
1,1921,192 만 가입자만 가입자 , , 가구대비 가구대비 77%(’04.12)77%(’04.12)
보급률 세계 보급률 세계 11 위 위 (2003(2003 년 기준년 기준 , ITU), ITU)
1,1921,192 만 가입자만 가입자 , , 가구대비 가구대비 77%(’04.12)77%(’04.12)
보급률 세계 보급률 세계 11 위 위 (2003(2003 년 기준년 기준 , ITU), ITU)
UNUN 이 제시한 전자정부 지수에 따라이 제시한 전자정부 지수에 따라
세계 세계 55 위의 선도국 위의 선도국 (2004(2004 년도년도 , UN), UN)
UNUN 이 제시한 전자정부 지수에 따라이 제시한 전자정부 지수에 따라
세계 세계 55 위의 선도국 위의 선도국 (2004(2004 년도년도 , UN), UN)
3,1583,158 만명만명 , , 인구대비 인구대비 65.7%(’04.12)65.7%(’04.12) 이용률 세계 이용률 세계 22 위 위 (2004(2004 년 기준년 기준 , ITU), ITU)
3,1583,158 만명만명 , , 인구대비 인구대비 65.7%(’04.12)65.7%(’04.12) 이용률 세계 이용률 세계 22 위 위 (2004(2004 년 기준년 기준 , ITU), ITU)
3,6253,625 만명만명 , , 인구대비 인구대비 76%(’04.10)76%(’04.10)
미국 미국 53%, 53%, 일본 일본 62% (200362% (2003 년 기준년 기준 ))
3,6253,625 만명만명 , , 인구대비 인구대비 76%(’04.10)76%(’04.10)
미국 미국 53%, 53%, 일본 일본 62% (200362% (2003 년 기준년 기준 ))
초고속 인터넷 보급률초고속 인터넷 보급률
전자정부 선도국전자정부 선도국
인터넷 이용률인터넷 이용률
이동전화 보급률이동전화 보급률
한국의 한국의 IT IT 인프라 수준인프라 수준 한국의 한국의 IT IT 인프라 수준인프라 수준
“ 지난 40 여년간 한국이 이루어낸 정보통신 발전은 기적이며 ,
더 이상 권고할 것이 없는 나라” (ITU 보고서 , 2003. 4.)
12
국가정보화 상승 가속국가정보화 상승 가속국가정보화 상승 가속국가정보화 상승 가속
2004 년 국가정보화지수는 스웨덴과 미국에 이어 세계 3 위
※ 국가정보화지수는 국제전기통신연합 (ITU) 통계를 토대로 주요 50 개국의 인터넷 이용률 , 초고속인터넷 가입률 , 컴퓨터 보급률 등 7 개 항목을 평가하고 가중치를 감안해 산출
20
‘96 ‘97 ‘98 ‘99 2000 2001 2002 2003 2004
22 22 22
1914 14
12
7
3• 초고속인터넷 가입률 (1 위 ) • 인터넷 이용자수 (3 위 )• CATV 가입자수 (3 위 ) • PC 보급대수 (9 위 )• TV 보급대수 (25 위 )• 전화 회선수 (15 위 ) • 이동전화 가입자수 (24 위 )
15
10
5
1
25
순위 스 웨 덴미 국
한 국덴 마 크
스 위 스홍 콩
대 만
노 르 웨 이
영 국
네 덜 란 드
일 본
··
1
2
3
45
6
7
8
9
10
13
13
u-Korea u-Korea 건설을 위한 건설을 위한 IT839IT839 전략전략u-Korea u-Korea 건설을 위한 건설을 위한 IT839IT839 전략전략
IT839 전략은 신규 서비스 (8), 인프라구축 (3), 기기 (9) 의선순환 구조를 통해 국민소득 2 만불 달성
지능기반사회[u-Korea] 진입
지식 기반사회의 고도화 · 지능화지식 기반사회의 고도화 · 지능화
추진방법 비전
IT839 전략초고속 정보통신인프라구축
Ubiquitous 化
개인 · 가정의 정보화디지털홈디지털홈
기업 정보화 ·IT 화디지털기업디지털기업
정부 · 공공기관의 정보화전자정부전자정부
사물의 정보화 · 지능화사물과의 의사소통사물과의 의사소통
14
차세대 이동통신차세대 이동통신
디지털 디지털 TVTV
홈 네트워크홈 네트워크
IT SoCIT SoC
차세대 차세대 PCPC
임베디드 임베디드 S/W S/W
디지털콘텐츠디지털콘텐츠
텔레매틱스 텔레매틱스
지능형 로봇지능형 로봇
99 대 신성장동력대 신성장동력99 대 신성장동력대 신성장동력33 대 인프라대 인프라33 대 인프라대 인프라
광대역 통합망광대역 통합망 (BcN)(BcN)
U-U- 센서 네트워크 센서 네트워크 (USN)(USN)
IPv6IPv6 도입도입
88 대 신규서비스대 신규서비스88 대 신규서비스대 신규서비스
WiBro WiBro 서비스서비스
DMB DMB 서비스 서비스
Home Home 네트워크 서비스 네트워크 서비스
텔레매틱스 서비스텔레매틱스 서비스
RFID RFID 활용 서비스활용 서비스
W-CDMA W-CDMA 서비스서비스
지상파 지상파 DTVDTV
인터넷전화인터넷전화 (VoIP)(VoIP)
IT839IT839 전략 구성요소전략 구성요소IT839IT839 전략 구성요소전략 구성요소
15
lll. lll. 사이버 공격의 패러다임사이버 공격의 패러다임lll. lll. 사이버 공격의 패러다임사이버 공격의 패러다임
16
인터넷의 인터넷의 OpennessOpenness인터넷의 인터넷의 OpennessOpenness
Src. : www.caida.org
개방형 네트워크 구조
정보 송수신자간의 평등성 (Client/Server 환경 )
비대면성 , 익명성
인터넷의 특징
인터넷 취약성
인터넷 접속의 용이성 증대손쉬운 해킹기술 / 툴 대중화발신자 추적이 어려움S/W 에 수많은 버그 (bug) 의 존재관리자의 보안의식 / 능력 부족
17
네트워크의 보안 취약성네트워크의 보안 취약성네트워크의 보안 취약성네트워크의 보안 취약성
HDSL-RT
CPE
PeeringKRNET
….….ISP
VideoRP
DSLAM
WLL
ONU
CATVHead End
Router L/L
2W
4W
ISP Network
Gateway
ISP NISP5
ISP4ISP3ISP2
ISP1
GigaPOP
GigaPOP
GigaPOP
International InternetCM
Foreign ISP
DNS
DBMS
Web
FTP
Home
Splitter
Home
Cable Modem
D/UModem
Server Farm
Dial-Up
Web Mail
BINDBIND
BOFBOF
SendMailSendMail
Apache/Apache/IISIIS
SQLSQLExplorerExplorer
IOS/JuNOSIOS/JuNOS
MS :MS :TwC & NGSCTwC & NGSC
BB
Hijacking,Hijacking,Conf. ErrorConf. Error
BGP4
Open Open SWSW
18
소프트웨어의 보안 취약성소프트웨어의 보안 취약성소프트웨어의 보안 취약성소프트웨어의 보안 취약성
SW 개발 단계에서 보안성을 고려하는 것이 시스템을 구축한 후에 결함을
보완하는 것보다 효과적 (Gartner)
SW 개발 Life-cycle 은 기능구현에 중점 , 보안기능에
대한 고려 미비
소프트웨어 개발자 중 64% 가 스스로의 보안
어플리케이션 능력에 대해 확신 부족 (MicroSoft)
소프트웨어 개발
소프트웨어 개발자들이 자신이 작성한 코드 보안을 책임져야 ...
- 전 백악관 사이버범죄 고문
19
사이버 공격의 패러다임 변화사이버 공격의 패러다임 변화사이버 공격의 패러다임 변화사이버 공격의 패러다임 변화
공격목적
필요지식
확산시간
피해지역
경제적 이득지적 능력과시호기심
자동공격도구의 공개로 초보자도 공격가능
바이러스제작방법을 인터넷에 공개
소수 전문가의 바이러스 제작
수시간 , 수십분수개월 , 수일수년
범지구적국가적지엽적
시스템 및 네트워크시스템 및 네트워크단일 시스템공격대상
Botnet 을 통한자동전파
PC 통신 , e-mail 을 통한 확산
디스켓을 통한 감염파일의 확산공격특성
2004~1997~20031980~1996
20
사이버 공격의 지능화사이버 공격의 지능화사이버 공격의 지능화사이버 공격의 지능화
1992 1993 .. 1996 .. 1998 1999 2005 2000 1999 1998 ... 1995 … 1987
해킹기법의 정교화
바이러스의 악성화
DDOS Agent
접목된 기법접목된 기법
DDoS공격
Mellisa
매크로 바이러스
(c)Brain
Stone
Michelangelo
윈도우 공격트로이 (BO)
E-mail 을 통한악성 코드 전파
Hijacking자동
스캔 공격
서비스거부
IP 스푸핑
스니퍼
Advanced 스캔도구
Mellisa
윈도우 공격트로이 (BO)
트로이목마확산
•해킹과 웝 바이러스의 결합
Botnet
21
lV. lV. 역기능 현상과 대응역기능 현상과 대응lV. lV. 역기능 현상과 대응역기능 현상과 대응
22
순위 국가 비율1 미국 372 중국 / 대만 283 한국 114 기타 24
순위 국 가 사례 비율1 미국 35,466 392 독일 11,898 233 스페인 9,709 114 영국 9,092 105 이탈리아 7,378 86 한국 4,812 5
순위 국가 감염된 IP 비율1 한국 63,314 232 미국 54,030 203 중국 51,900 194 일본 12,714 5
Source: www.krcert.or.krSource: www.antiphishing.org
홈페이지 변조홈페이지 변조 (’04)(’04)홈페이지 변조홈페이지 변조 (’04)(’04)
BOT BOT 감염률 감염률 (’04)(’04)BOT BOT 감염률 감염률 (’04)(’04)피싱 경유 서버피싱 경유 서버 (’05(’05 년 년 22 월월 ))피싱 경유 서버피싱 경유 서버 (’05(’05 년 년 22 월월 ))
해킹 증가 추세해킹 증가 추세해킹 증가 추세해킹 증가 추세
인터넷 사고 왕국인터넷 사고 왕국인터넷 사고 왕국인터넷 사고 왕국
23
사이버 위협의 유형사이버 위협의 유형사이버 위협의 유형사이버 위협의 유형
인터넷인터넷
해 킹해 킹
인터넷 뱅킹 해킹 사고인터넷 민원서류 위변조
홈페이지 변조홈페이지 변조
05’ 년 1 분기 작년에 비해 20 배 증가정치적 , 이념적 목적
개인정보침해개인정보침해홈페이지의 개인정보 관리허술금융기관 , 통신회사 등을 통한 개인정보유출
스파이웨어스파이웨어
피싱 & 파밍피싱 & 파밍
개인정보 유출 , 인터넷 금융 사기’04 년 세계 피해규모 약 1 억 5 천만 달러
스팸메일스팸메일
생산성 손실바이러스의 숙주
-
진단하기 어려운 은폐기법을 사용일반 PC 의 67% 가 감염
24
인터넷 뱅킹 해킹사고인터넷 뱅킹 해킹사고인터넷 뱅킹 해킹사고인터넷 뱅킹 해킹사고
인 터 넷 포 털 사 이 트 재 테 크
관 련 게 시 물 등 록
인 터 넷 포 털 사 이 트 재 테 크
관 련 게 시 물 등 록
해 킹 프 로 그 램 자 동 설 치해 킹 프 로 그 램 자 동 설 치
인 터 넷 뱅 킹 계 좌 번 호
공 인 인 증 서 비 밀 번 호,
보 안 카 드 번 호 실 시 간 전 송
인 터 넷 뱅 킹 계 좌 번 호
공 인 인 증 서 비 밀 번 호,
보 안 카 드 번 호 실 시 간 전 송
인 터 넷 뱅 킹 으 로 이 용 자 계 좌 에 서
불 법 이 체
인 터 넷 뱅 킹 으 로 이 용 자 계 좌 에 서
불 법 이 체
이용자 클릭
범행 과정범행 과정
25
일회용비밀번호보안프로그램 설치의무화
보안카드 유효 비밀번호 확대 PC 용 보안프로그램 설치 의무화 등 해킹방지 기능 강화 - 키보드해킹방지 , 개인방화벽 제공 의무화
금융부문 해킹대응을 위한 전담조직 구축 검토 ( 금융감독원 )
현재 35 → 1,190 개 - 보안카드의 2 개 번호를 제시하여 첫 번째 번호의 앞 2 자리 , 두 번째 번호의 뒤 2 자리 조합
일회용비밀번호 도입
(OTP: One Time Password) - 금융거래시마다 새로운
비밀번호 룰 발생
하나의 OTP 로 모든 금융거래
가능하도록 통합인증 체계 구축
보안프로그램 의무적 제공 , 금융부문의 해킹 대응 전담조직 신설 등 해킹에 대한 선제적 대응 능력 강화보안카드의 비밀번호 입력방법 개선 , 일회용 비밀번호 도입
인터넷 뱅킹 사고예방 대책인터넷 뱅킹 사고예방 대책인터넷 뱅킹 사고예방 대책인터넷 뱅킹 사고예방 대책
26
인터넷 민원서류 위변조인터넷 민원서류 위변조인터넷 민원서류 위변조인터넷 민원서류 위변조
행 자 부 인 터 넷 홈 페 이 지 에 서
개 인 정 보 입 력 후 발 급 신 청
행 자 부 인 터 넷 홈 페 이 지 에 서
개 인 정 보 입 력 후 발 급 신 청
해 킹 프 로 그 램 실 행해 킹 프 로 그 램 실 행
전 송 된 암 호 정 보 를 해 독 해
PC 에 파 일 형 태 로 저 장
전 송 된 암 호 정 보 를 해 독 해
PC 에 파 일 형 태 로 저 장
그 래 픽 · 문 서 작 성 프 로 그 램 으 로
저 장 된 정 보 수 정
그 래 픽 · 문 서 작 성 프 로 그 램 으 로
저 장 된 정 보 수 정
위 · 변조 방식위 · 변조 방식
위 · 변조된 서류 출력
27
문서 위변조 대응문서 위변조 대응문서 위변조 대응문서 위변조 대응
전자정부 : 위변조가 방지 기술이 적용 전용 프로그램 제작 - 수신데이타의 무결성 : 데이터 위변조를 방지하기 위하여 중요 데이터 교환시 데이터를 암호화하고 ,
수신된 데이터가 변조되지 않았음을 검증하기 위한 기법 ( 워터마킹 ) 적용
- 데이터 출력 : 민원서류 출력용 전용프로그램에 데이터 위변조 여부를 검증하는 기능을 적용함으로서
위변조된 공문서 출력 방지 가능
대법원 : 문서 출력 부분에서 가상 프린터를 이용한 출력물 저장 기능 방지
통신 / 증명서내용 암호화
워터마킹 적용
증명서 내용검증
( 워터마킹 적용 )
28
휴대전화 스팸은 사전수신동의제 시행 (’05.4.1) 이후 감소하였으나 , 내용과 전송기법은 다 양화
이메일 스팸은 2005 년 일평균 스팸수신량 15.3 통
이메일스팸 이메일스팸 & & 전화스팸 전화스팸
2003 2004 2005
29.1
일평균 스팸수신량 (KISA)
13.8 15.3
이메일스팸 이메일스팸 & & 전화스팸전화스팸이메일스팸 이메일스팸 & & 전화스팸전화스팸
- 연간 전세계 스팸 피해액 : 123억 달러 (OECD) ( 동남아 쓰나미 피해 12억달러 ) - 연간 우리나라 스팸 피해액 : 2 조 5천억원 ( 상암경기장 13곳 건설비용 )
스팸대응 스팸대응
전화스팸 발송자 적발 Trap시스템 개발 - 1,000 개 휴대전화 가상번호를 이용한 스팸
정보 수집
휴대전화 스팸 간편신고 방안수립 - 메뉴방식을 이용한 신고 자동화
메일서버등록제 (SPF) 를 포탈에 적용하여 미등록 메일서버 차단 - 이메일 스팸 15~20% 감소 예상
이메일 실시간 스팸 차단리스트 (RBL) 적용 - 이메일 스팸 10~20% 감소 예상
이메일스팸 전화스팸
29
개인정보침해 상담 중 주민번호 , ID 도용 등 타인정보 도용 민원이 지속적으로 증가
개인정보 실태점검 결과 (’05. 8 월 , 2 만 4천개 대상 ) - 개인정보를 수집하는 온라인사업자 비율은 약 30%
신규 IT 서비스의 프라이버시 보호대책에 대한 사회적 요구 증대 - RFID, 텔레매틱스 , 위치정보 등
2003 년2003 년 2004 년2004 년 2005. 8 월2005. 8 월총 접수건수총 접수건수 21,585 23,036 12,457
주민번호 ·ID 도용 등주민번호 ·ID 도용 등 8,058 9,163 6,709
개인정보침해개인정보침해개인정보침해개인정보침해
개인정보침해 대응 개인정보침해 대응
개인정보침해 개인정보침해
P2P, 검색엔진 , 미니홈피 , 인터넷 커뮤니티 등 인터넷을 통한 개인정보 유출 방지 - 2 만 4천개 온라인사업자 개인정보 관리 실 태조사
- 인터넷상 주민번호 노출 점검 및 삭제 조치 (33,950 명 )
과도한 개인정보 수집 및 개인정보침해 신고 상담 접수 및 처리 ․
- 분쟁조정 및 침해신고 업무의 상담 /절차 일원화
RFID 등 신규 IT 서비스 프라이버시 보호방안 마련
30
피싱 피싱 & & 파밍파밍피싱 피싱 & & 파밍파밍
피싱 피싱 & & 파밍파밍
- 2004 년 세계 피해규모 약 1 억 5 천만 달러
피싱 (Phishing) 은 ‘개인정보 (Private data) 를
낚는다 (Fishing)’ 는 의미를 지닌 합성어
금 융 기 관 , 전 자 상 거 래 업 체 등 의
위 장 웹 사 이 트 를 구 축
금 융 기 관 , 전 자 상 거 래 업 체 등 의
위 장 웹 사 이 트 를 구 축
이 메 일 을 보 내 이 용 자 를 유 인 하 여
신 용 카 드, 금 융 계 좌 비 밀 번 호 등 록 유 도
이 메 일 을 보 내 이 용 자 를 유 인 하 여
신 용 카 드, 금 융 계 좌 비 밀 번 호 등 록 유 도
받 아 진 금 융 정 보 로 금 융 기 관 에
접 속 하 여 재 산 도 난
받 아 진 금 융 정 보 로 금 융 기 관 에
접 속 하 여 재 산 도 난
피싱 사기피싱 사기
Phishing
Private Data
( 개인정보 )
Fishing (낚시 )+
파밍 (Pharming) 인터넷 도메인을 탈취하거나
도메인네임을 속여 사용자들이 진짜 사이트로
오인하도록 유도 , 개인정보를 취득
- 은행 , 쇼핑몰 도메인 탈취시 대규모 피해 우려
피싱 피싱 & & 파밍 대응파밍 대응
국내 피싱 경유지로 사용되는 서버의 보안기능 강화 및
피싱사이트 폐쇄
팝업창을 이용하여 이용자에게 피싱 정보를 제공 - 기술적 솔루션으로는 한계 , 이용자 자신이 개인정보를 보호할
수 있도록 계도
31
애드웨어 애드웨어 & & 스파이웨어스파이웨어애드웨어 애드웨어 & & 스파이웨어스파이웨어
애드웨어 (Adware) 는컴퓨터 설정을 바꾸거나 인터넷을
사용하지 않을 때도 배너광고가 뜨는 현상이 발생
스파이웨어 (Spyware) 는 공개 SW, 배너광고 등을 통해
인터넷 사용자의 컴퓨터에 잠입하여 개인정보 또는
기업정보를 빼가거나 인터넷 사용형태를 추적하는
프로그램
- 일반 PC 의 67% 가 감염된 것으로 조사 (IDC, ’04. 12)
스파이웨어 대응스파이웨어 대응
애드웨어 애드웨어 & & 스파이웨어스파이웨어
스파이웨어의 7 개 기준정의를 통한 처벌기준 마련
- 이용자 동의 없이 홈페이지 설정 , 검색설정 , 시스템 설정
을 변경하는 행위 등
사용자 스스로 예방 / 대응을 할 수 있도록 대응요 령
홍보 - 안티 스파이웨어의 이용 방법 소개
32
홈페이지 변조 홈페이지 변조 홈페이지 변조 홈페이지 변조
독도 사이버 테러독도 사이버 테러
’05 년 10 월 22 일 일본인 해커가 ‘사이버
독도’ 사이트를 12 시간 넘게 공격
초기화면의 공지사항 일부가 일본어로
바뀌고 , 독도가 일본령로 표시
일본으로부터의 접속을 차단하여 사이트
정상 운영 가능
Secure Code 를 이용한 Home Page 구축
- 웹 애플리케이션 개발시 보안을 고려한 설계
사전 보안 Test 및 정기적 패치 업데이트 - 공개 S/W 의 보안 취약점 패치
홈페이지 변조 대응홈페이지 변조 대응
33
PC 의 파일들을 암호화한 후 해독용 프로그램을 보내주는 대신 돈을 요구
컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구하는 신종범죄
바이러스와 스파이웨어에 이어 새로운 위협요소로 부상
해킹 , 바이러스의 목적이 호기심이나 자기과시에서 금전적 이익으로 변화
랜섬웨어랜섬웨어
랜섬웨어랜섬웨어랜섬웨어랜섬웨어
랜섬웨어 대응랜섬웨어 대응
중요 문서의 암호화
34
정보화역기능 관련 처벌법규정보화역기능 관련 처벌법규정보화역기능 관련 처벌법규정보화역기능 관련 처벌법규
역기능 유형 법률위반 행위 처벌
해킹 •정당한 접근권한 없이 또는 허용된 전급권한을 초과하여 정보통신망에 침입한 자 ( 정보통신망법 63 조 )
3 년이하 징역 또는 3천만원이하 벌금
악성프로그램 전달 · 유포
•정당한 사유업이 정보통신 시스템 , 데이터 또는 프로그램 등을 훼손 멸실 . 변경 , 위조 또는 그 운용을 발해할 수 있는 프로그램 (악성프로그램 ) 을 전달 또는 유포한 자 (정보통신망법 62 조 )
5 년이하 징역 또는 5천만원이하 벌금
스팸메일 전송 •영리의 목적으로 광고를 전송을 목적으로 전자 우편 주소를 자동으로 등록하는 조치 ( 정보통신망법 65 조 ) 1천만원이하 벌금
개인정보 침해•이용자의 개인정보를 취급하거나 취급하였던 자로서 직무상 알게 된 당해 이용자의 개인 정보를 훼손침해 또는 누설한 자 ( 정보통신망법 62 조 )
5 년이하 징역 또는 5천만원이하 벌금
위치정보 침해
•개인위치정보주체의 동의를 얻지 아니하거나 동의의 범위를 넘어 개인위치정보를 수집 ·이용 또는 제공한 위치정보사업자 또는 위치기반서비스사업자와 그 정을 알고 영리 또는 부정한 목적으로 개인위치정보를 제공 받은 자 ( 위치정보법 39 조 )
5 년이하 징역 또는 5천만원이하 벌금
35
역기능 대응의 과제역기능 대응의 과제역기능 대응의 과제역기능 대응의 과제
실세계 사회 현상이 Cyber Space 에서 재현
- Internet 의 외부성 (Network effect) 으로 사회적 파급효과 , 영향 증폭
- Internet 을 이용한 금전적 이득 , 사이버 범죄 증가일로
기술적 솔루션만으로는 한계
- Internet 의 사업적 이용에 대한 사회적 규범 , 규율 필요
스팸 , 스파이웨어 , 개인정보가 Internet 의 Profitable Business
- 가장 저렴한 마케팅 도구로 이메일 스팸 및 전화스팸이 이용
- 스파이웨어를 이용한 구매패턴 및 관심분야 파악
- 개인정보의 마케팅 가치 $17.5 (KISDI, 2004)
36
무어의 법칙 (Moore’s Law)무어의 법칙 (Moore’s Law)- 마이크로 칩 처리 능력은 18 개월마다 2 배로 증가한다
메트컬프의 법칙 (Metcalfe’s Law)메트컬프의 법칙 (Metcalfe’s Law)
가치사슬의 법칙가치사슬의 법칙
- 네트워크의 가치는 참여자 수의 제곱에 비례한다
- 조직은 계속적으로 거래비용이 적게 드는 쪽으로 변해간다
- 인터넷 바이러스는 2 년에 2 배씩 증가 한다11 법칙
- 인터넷 역기능의 피해는 인터넷 이용자수의 제곱에 비례한다
22 법칙
- 보안취약점 위협기간 (Vulnerability Window) 는 매년 3 배씩 단축된다
33 법칙
- 예방은 대응보다 10 배 효과적이다44 법칙
- 편리성이 보안성을 우선한다
55 법칙
11
22
33
인터넷 역기능 인터넷 역기능 55 현상현상인터넷 역기능 인터넷 역기능 55 현상현상
인터넷 경제 3 원칙인터넷 경제 3 원칙 인터넷 역기능 5 현상인터넷 역기능 5 현상
37
V. V. 유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호V. V. 유비쿼터스 환경과 정보보호유비쿼터스 환경과 정보보호
38
Eye in the Sky: Eye in the Sky: 비밀없는 사회비밀없는 사회 ??Eye in the Sky: Eye in the Sky: 비밀없는 사회비밀없는 사회 ??
- 미국 플로리다 탐파시 36 대의 감시카메라 설치
- 얼굴의 특징을 나타내는 14~22 개의 점들로 인식
- 감시지역 범죄율 34% 감소 , 주변지역 증가
행인들과 범죄자의 사진 대조 시스템
공공과 사적 공간에 대한 인식
데이터 수집 , 저장 , 폐기 과정에서 Privacy 보호
- 미국의 주요건물 예외 , 세계 각국의 보안시설 공개
- 테러리스트의 정보 수집 도구로 이용 우려
- 기술 발전에 따라 개인의 사생활 침해 우려
구글 위성사진 서비스
새로운 사회적 규범 (Norm)새로운 사회적 규범 (Norm)
39
정보보호의 보편화 현상정보보호의 보편화 현상정보보호의 보편화 현상정보보호의 보편화 현상
인터넷 뱅킹 사고 등 특정 케이스에 국한 되었던 것이 일상 생활화
생활에 필요한 모든 시스템에 대한 안정적인 운영이 요구
홈페이지 변조
서비스거부
인터넷 뱅킹 사고
특정 시스템 공격특정 시스템 공격 일상의 모든 대상이 공격 가능일상의 모든 대상이 공격 가능
Next
40
유비쿼터스 사회에서의 정보보호 개념유비쿼터스 사회에서의 정보보호 개념유비쿼터스 사회에서의 정보보호 개념유비쿼터스 사회에서의 정보보호 개념
정보보호의 개념 확장
( 이용자신뢰요구 )
홈네트워크
System + Network + Service
System + Network
System 안전성 , 신뢰성 , 건전성
기밀성 , 무결성
많음적음협의
광의
( 정보보호 보호대상 )
네트워크 가용성
정보보호의 영역
기밀성 (Confidentiality): Unauthorized Access 로부터 보호 무결성 (Integrity): Unauthorized Chang 로부터 보호 가용성 (Availability): 정보 / 서비스의 이용이 항상 가능
기밀성 무결성 가용성
Maliciousbehavior 에
대한 보호
프라이버시신뢰 (Trust)
보안 (Security)안전 (Safe)
안전성
신뢰성
u- 정보보호
이동성
41
Vl. Vl. 정보보호의 미래정보보호의 미래Vl. Vl. 정보보호의 미래정보보호의 미래
42
정보보호 철학정보보호 철학 : : 예방 예방 vs. vs. 대응 대응 정보보호 철학정보보호 철학 : : 예방 예방 vs. vs. 대응 대응
시스템 개발 이후 정보보호 기능의 사후적 추가
- 보안 취약점 해소를 위한 끝없는 Patching
- 사용자에게 보안에 대한 지속적 부담
새로운 Security Model, Method 필요
- Principal of mutual suspicion vs. Concept of perimeter defense
- 네트워크 시스템 차원에서의 end-to-end Security
사고전제의 예방 및 복구시스템의 구축
- 사고의 필연성으로 100% 사전 예방책은 불가능
- 발생한 사고에 대한 고 회복력 , 피해 국지화
사전 예방사전 예방 빠른빠른
사후 복구사후 복구
43
보안 , 비용 , 편의성 간의 trade-off 존재
적합한 수준의 보안 필요
( 어느정도의 위협 , 정보자산의 가치 ,
위험의 수용정도 고려 )
성능 , 사용성 저하 등의 관리비용 고려
Only the right people get access at any time to the right information with the best possible performance and at the lowest possible cost
Access!Speed!
Confidence& Control보안 비용
CIO
편의성
Trade-off
정보보호 철학정보보호 철학 : : 보안 보안 vs. vs. 사용성 사용성 정보보호 철학정보보호 철학 : : 보안 보안 vs. vs. 사용성 사용성
44
정보보호 영역 정보보호 영역 정보보호 영역 정보보호 영역
시스템 보호 네트워크 보호 서비스 보호
차세대 이동통신 RFID
VoIP Inf Appliance
지능형 로봇
RFID 활용 위치기반
생체인식
ITS
하이패스T-money
텔레메틱스 네비게이션Hot-spot
홈네트워크 차세대 PC
신용카드 Smart Card
디지털콘텐츠 IT SoCPost PC 이동통신DTV 내장형
S/W지능형
홈네트워크
USN 망
텔레매틱스
방송망유무선통합망
45
IT IT 산업의 블루오션 산업의 블루오션 IT IT 산업의 블루오션 산업의 블루오션
‘레드오션전략’ - 기존의 시장에서 어떻게 경 쟁자를 앞지를 수 있는가에 대한 ‘시장경쟁전략’‘ 블루오션전략’ - 경쟁을 피하기 위해 이미 설정된 시장 경계를 어떻게 벗어날 수 있는가에 대한 ‘시장창조전략’
정보보호 산업 성장 가속
IT IT 시스템 보안기술 시스템 보안기술 IT IT 서비스 보안기술서비스 보안기술 개인정보보호개인정보보호 기업 정보 보호기업 정보 보호 사회 네트워크 보안기술사회 네트워크 보안기술
IT IT 시스템 보안기술 시스템 보안기술 IT IT 서비스 보안기술서비스 보안기술 개인정보보호개인정보보호 기업 정보 보호기업 정보 보호 사회 네트워크 보안기술사회 네트워크 보안기술
IT 인프라 IT839 전략
기업 IT 투자 IT 신뢰성 확보
인터넷 보급률 인터넷 보급률 11 위 등 위 등 IT IT 인프라 강국인프라 강국
ITIT 를 국가전략산업으로 를 국가전략산업으로 육성육성
ITIT 를 활용한 기업이윤 를 활용한 기업이윤 창출 노력 활발창출 노력 활발
유비쿼터스 사회 유비쿼터스 사회 신뢰성 확보 신뢰성 확보
정보보호산업성장토대
46
ITIT 의 핵심 의 핵심 Infra: SecurityInfra: SecurityITIT 의 핵심 의 핵심 Infra: SecurityInfra: Security
미래 IT System 의 핵심 Infra 기술 : Security - 상호 연결된 상호 의존적 네트워크의 Basic function - 뱅킹 , 전력 , 교통 등 Sensitive System 의 신뢰성 , 보안 기능 제공
IT 관련 모 든 학과 , 사회과학분야의 필수과목 - 인터넷의 안전성 , 프라이버시 보호
Network
ServiceSystem
정보보호
전통적으로 Security 는 수학과 , Computer Science 의 일부 분야로 존재 - u-Security를 위한 훈련된 기술 , 실무인력 부족
Security
47
윈도우즈 보안 패치 자동 업데이트 설정하기1
바이러스 백신 및 스파이웨어 제거 프로그램 설치하기2
윈도우 로그인 패스워드 설정하기3
패스워드는 8 자리 이상의 영문과 숫자로 만들고 3 개월마다 변경하기4
신뢰할 수 있는 웹사이트에서 제공하는 프로그램만 설치하기5
인터넷에서 다운로드 받은 파일은 바이러스 검사하기6
출처가 불분명한 메일은 바로 삭제하기7
메신저 사용 중 수신된 파일은 바이러스 검사하기8
인터넷상에서 개인 및 금융 정보를 알려주지 않기9
중요 문서 파일은 암호를 설정하고 백업 생활화하기10
정보보호 정보보호 1010 대 실천수칙대 실천수칙정보보호 정보보호 1010 대 실천수칙대 실천수칙