concert forecast 보안분석…concert.or.kr/2013forecast/pdf/forecast2013_1_1.pdf · 일일...
TRANSCRIPT
Ⅰ. 통합 보안분석 시스템Ⅱ. 정보유출 패턴 분석
목 차
CONCERT FORECASTCONCERT FORECAST
보안분석보안분석((모니터링모니터링))을을 통한통한 개인정보개인정보 유출유출 예방예방
CONCERT
2013. 03. 20
LG전자 김 재 수
Ⅱ. 정보유출 패턴 분석Ⅲ. 보안분석 ProcessⅣ. 통합 보안분석 시스템 구성
• KIM JAE SOO
• 2007~2013 현재LG전자 본사 정보보안팀장
• 2003~2007 LG전자 한국마케팅 보안 총괄
강사 소개
CONCERT
LG전자 한국마케팅 보안 총괄• 1990~2004 국방부(육군 소령 예편)
• 개인정보보호 관리사• ISO27001선임심사원• 산업보안 관리사
Ⅰ.통합 보안분석 시스템
통합 보안분석 시스템을 구축함으로써 보다 빠르고 효율적이며 Smart 한 보안분석을 통해개인정보 및 경영정보 유출을 예방하는 한편 신속한 사고대응체계를 마련함.
통합 보안 분석(모니터링) 시스템통합 보안 분석(모니터링) 시스템
기존 보안 시스템 로그들의
CONCERT
☞ 효율성 저하 및 신속대응 불가
- 장시간 방대한 로그 분석
- 운영 인력 부족
- 실시간 유출 발견/대응 불가
☞ 취약점 통합분석 어려움
- 보안시스템별 보안정책 상이
- 정보유출 징후 포착 어려움
- 담당자 주관적 Risk 판단
모니터링 일일 보고체계 구축 취약요소 관리 도구 활용
☞ 정보 유출 경로 파악의 한계
- 개별 보안시스템 로그분석
- 정보유출자 조기 선별 곤란
기존 보안 시스템 로그들의통합/효율적 분석
다양한 보안 로그의 통합 및 정보유출 시나리오를 바탕으로 체계적인 보안분석 시스템 구현
메일 모니터링 시스템
메신저/웹/ VPN
Security Portal
PC 모니터링
Optimus System Optimus System
Ⅰ.통합 보안분석 시스템
CONCERT
메신저/웹/ VPN 모니터링 시스템 복합기 모니터링
FAX 모니터링출입통제 시스템
Optimus System (통합보안 분석시스템)
Optimus System (통합보안 분석시스템)
다양한 보안 로그의 통합 및 정보유출 시나리오를 바탕으로 체계적인 보안분석 시스템 구현
Mail-I,MSG-i
도입 전
Data요청
Data제공시스템별Log 취합
Issue별, 각 시스템 Log 가 분산되고, 반복적인 분석 활동
로그분석, 사실확인, 결과보고, 사후관리 결과 분산 관리
→ Issue자에 대한 장기적 사후 관리 어려움
도입 후
①
②
③
④
각 시스템별 Log 취합 → 통합 Data Base 구축
운영 DB 구축 -> 일 단위 분석 및 사후조치 관리
로그분석 → 사실확인 → 결과보고 → 사후관리의 One cycle
사실조사결과보고
Ⅰ.통합 보안분석 시스템
CONCERT
PC PLUS
i-FAX
출력보안시스템
출입통제시스템
Security Portal
Data요청
Data제공
징계/보안지수
적용
사후관리
사고자/이상 징후자
확인
⑤
⑥
Optimus Sys’
통합Data로그 분석(일)
시나리오 위반사실확인
사후관리
통합로그DB
시나리오 분석
운영DB
일일점검
분석 결과일일/누적
보고
보안담당자
Process
시나리오 확인
원시로그 확인
사실여부 검증
시스템 구성
시나리오 등록/매핑
- 단일 시나리오- 복합 시나리오
분석 결과
자동 보고
운영DB
Ⅰ.통합 보안분석 시스템
CONCERT
PC PlusSecurity
Portal 복합기 출입
통제메일 FAX
보안
로그 취합
통합 DB(각 사업장 로그)
메신저
VPN
사실여부 검증
징계
보고
종료
NoYes
추적관리위험관리그룹 설정
- 퇴직 신청자- 유출혐의자- 핵심인력 등
- 복합 시나리오- 패턴 시나리오
중점관리
정보유출 시나리오분석 Tool
운영DB
Optimus Sys’
채널/조직 영업 마케팅 기술개발 … IT
DB 권한 × 권한 ○ 권한 × … 권한 ○
PC 권한 ○ 권한 ○ 권한 ○ … 권한 ○
Messenger 권한 × 권한 ○ 권한 × … 권한 ○
전통적 보안관리
고객정보
영업
기술정보
…
대상정보의암호화
행위패턴 분석기반보안관리
개인정보유출패턴
영업정보
DB
전통적 보안관리 방법(조직/대상별 정보의 권한관리를 통해 내부정보 유출 여부 모니터링)→ 권한자 및 위험자의 정보유출 행위패턴 분석을 통해 개인정보 등의 유출 여부를 확인
Ⅱ. 정보 유출 패턴 분석
CONCERT
Messenger 권한 × 권한 ○ 권한 × … 권한 ○
Web Mail 권한 × 권한 × 권한 × … 권한 ○
USB 권한 × 권한 × 권한 ○ … 권한 ○
저장매체 권한 × 권한 ○ 권한 ○ … 권한 ○
… … … … … …
DB
영업정보
…
운용시스템의권한관리
영업정보유출패턴
기술정보유출패턴
…
정보유출혐의자에 관련된 모든 행위를 정의하고, 정의된 행위에서 발생할 수 있는 모든유출행위를 패턴으로 도출함.
동기 발생
퇴직 예정자진급 누락자이직 예정자
혐의자혐의자혐의자혐의자
1.퇴직 예정자/진급 누락자이다.
2.사내 비 협조자이다.
3.최근 주요 정보에 대한 접근 및조회 문의를 한적이 있다.
4.평균 이상의 일과 외 시간에 접근및 조회를 시도한다.
도출된 정보유출행위 패턴(예)
프로세스 패턴–전/후처리절차 존재
정보유출 혐의자 행위분석도
Ⅱ. 정보 유출 패턴 분석
CONCERT
유출 모의유출할 정보의접근 및활용에 대한내용 사전문의
이직 예정자비 협조자
및 조회를 시도한다.
5.일정 기간 반복되게 접근 및조회를 시도한다.
6.지정 장소 이외의 자리에서 접근및 조회를 시도한다.
7.정보 유출을 위한 특정 유형과동일한 방법으로 정보에 접근 및조회를 시도한다.
8.평균처리 Data 량 이상의 정보를운용한다.
9.황급히 퇴사한다.
유출 시간유출 빈도유출 장소유출 유형유출 정보유출 규모
유출
유출 후 행위급히 퇴사경쟁사 입사
여부
이벤트 패턴–의심이벤트발생 여부
–이벤트 발생횟수/빈도
위험관리대상/시나리오에 따른 원문로그 검색, 소명요청 및 집중관리 등 보안 분석을용이하게 할 수 있도록 Business Logic을 구현하고 분석엔진을 통해 위반자를 추출함.
Ⅲ. 보안 분석 Process
시나리오검색
원문• 원문로그 검색 및 검색결과 저장
• 다양한 대상별 (중점관리, 시나리오, 패턴분석 등) 시나리오검색
시나리오
위험관리대상설정
• 시나리오 등록
• 시나리오 검증
①
②
④
⑤• 시나리오/원문로그 동시 검색
• 시나리오별 검색 결과 저장, 파일 확인, 보관함 기능 등
• 퇴직신청자, 퇴직자 대상 등록• 유출협의자, 인사징계자, 퇴직우려자 등 관리 대상자 설정
대상자별 차별화된 모니터링
CONCERT
원문로그검색
소명 요청 및집중관리 • 웹 메일 / 메신저 ID 정보 관리
• HTML 다운로드 및 키워드 강조
• 혐의자(부서장) 소명 요청 및집중등록관리
시나리오설정
통합관제
• Dash Board 형태의 모니터링
• 세부 내용 조회에 대한 One-Click 기능 구현
• 시나리오 검증
• 관리자 자동 메일링
• 시나리오별, 중점관리대상별, 패턴분석별 현황 조회
• 파일 확인(저장 또는 링크)
②
③
⑤
• 유동 IP 사용자 IP 매핑 관리
• 시나리오/원문로그 동시 검색
⑥
위험관리
퇴직 신청자부서장 의뢰
퇴직 신청자 / 면담 실시자
퇴직우려자
부서장 의뢰
채용사이트 접속, 이력서 제출자
시나리오 위반자, 보안지수 상위자
위험관리대상설정
• 코드관리를 통한 관리대상 설정
• 개인별 또는 조직별 위험관리대상 설정→ 중복 설정
• 시나리오 위반자 및 보안지수상위자 식별을 통한 집중 모니터링 여부 판단
위험관리 대상 설정(예)
개인정보 취급자, 퇴직신청자/우려자, 인사징계자, 정보유출혐의자 등 관리대상을 별도그룹핑하여 관리하도록 구성하며, 인사 Database 등 업무시스템과 연계해야 효율적임.
Ⅲ. 보안 분석 Process
CONCERT
관리대상
시나리오 위반자, 보안지수 상위자
정보유출 혐의자
보안시스템(PC보안, DRM 등) 미설치자
시나리오 위반자, 보안지수 상위자
핵심인력 핵심부서, 주요업무수행 등
인사징계자 인사부서
퇴직(신청)자
관리
• 퇴직신청자 또는 퇴직자관리시스템과의 연동을 통한 관리
• 사용자 정보의 수작업 입력을통한 관리
터링 여부 판단
시나리오 설정(예)
위험관리 대상별로 단일/복합/패턴 시나리오 설정을 하여 식별을 용이하게 하고, 시나리오추가를 위한 검증을 안정적이고 체계적으로 할 수 있도록 구성함.
분류
단일
PC보안
이동저장장치에 파일을 저장하는 경우
이동저장장치에 파일을 복호화하는 경우
이동저장장치를 USB Port에 접속하는 경우
메일받는 사람이 자사 도메인이 아니고 첨부파일이 있는 경우
시나리오등록관리
시나리오항목관리
시나리오검증관리
Ⅲ. 보안 분석 Process
CONCERT
일메일
모니터링
시스템
받는 사람이 자사 도메인이 아니고 첨부파일이 있는 경우
받는 사람이 자사 도메인이 아니고 첨부파일이 2개 이상인 경우
받는 사람 또는 참조한 사람 계정이 보낸 사람 메일 계정과 동일한 경우
복합
PC보안 미설치 사용자가 Web을 통해 파일을 첨부하여 발송하는 경우
공휴일에 출입하여 Web을 이용하여 파일을 전송하는 경우
퇴직자가 퇴직일자 기준 이후로 퇴직자 계정으로 VPN을 사용하는 경우
패턴
일정기간 VPN 접속 사용이 없다가 갑자기 VPN 접속 횟수가 많아지는경우 (1개월 기준으로 횟수 분석)
Key Word 설정(예)
점검 대상 정보별 패턴에 적합한 Key Word를 조합한 시나리오를 구성하여, 고객 개인정보및 기업 정보 유출 여부를 파악하도록 구성함.
점검대상 정보 Keyword 정책
고객의 개인정보가 인터넷에노출되었는지 점검
고객
개인정보
개인정보패턴– “주민번호”, “계좌번호”, “휴대폰”, ”이메일” 등 Keyword
2
1
기밀자료– “Confidential”, “대외비”, “비밀”, “社內限” 등 Keyword
기업중요자료
Ⅲ. 보안 분석 Process
CONCERT
기업 내부용 대외비 및 기밀자료가 인터넷에 노출되었는지점검
기업
기밀자료
대리점, 유통점, 외부기관 등기업 외부 특정 인원에게제한적으로 배포된 자료가노출되었는지 점검
제한적
배포자료
6
5
4
3
고객사 특화정보– 고객사명, 브랜드명, 제품명을 기반으로 한 고객사 특화
Keyword
웹사이트 관리 취약– 구글해킹기법을 결합하여 웹사이트 취약점으로 인해 노출된
자료 점검을 위한 Keyword
기업중요자료– “매출”, “인사” , “○○” 등 일반적인 기업 중요자료 점검을
위한 Keyword
내부용어– 대리점 등 특정 조직에서 사용하는 용어를 기반으로 한
Keyword
Ⅳ. 통합 보안분석 시스템 구성 Main Screen
CONCERT
통계/보고서
통계관리 보고서관리
통계의 경우, 시스템별 / 시나리오별 / 백분위상위자별 / 부서별 등 다양한 그래프와 횟수/ 현황을 제공하고, 일일 / 주간 / 월간 다양한 보고서 및 결재보고가 가능함.
Ⅳ. 통합 보안분석 시스템 구성
CONCERT
