korean information security practices 보안 인식교육
DESCRIPTION
Courtesy of KISA.....TRANSCRIPT
송 태 호
CISA, CISM, CISSP, ISSAP, ISSMP, CCFP, Security+
보안 인식교육
1
SEC- -Y
교 육 개 요
보안관련 모든 임직원
보안 사고 발생원인의 이해
컴퓨터 사용 중에 주의해야 악성 코드의 이해
기업정보 유출 방지를 위한 보안 마인드 함양
교육대상
교육목적
성명: 송 태 호(CISA, CISM, CISSP, ISSAP, ISSMP, CCFP, Security+)
- 주요경력: 국제공인보안전문가 시험 감독, 한국정보보호 진흥원 강의,
청강문화산업대학 컴퓨터네트워크 학과 정보보호 강의, D 대학 보안 강의,
라이지움 국제공인 정보시스템 감사 및 보안전문가 강의, (ISC)2 한국챕터 교
육이사
- 기업 강의 경력
SK 생명/SK C&C 보안 교육(2003-2005), 한국행정연구원, KISA, KTF,
삼성전자 외
- Information Security Awards 수상 - (International Information Systems
Security Certification Consortium로부터 $12,500 상금 수상)
강 사 소 개
2
교 육 목 차
2006년 정보보호 동향 리뷰
사이버 위협 분석 및 전망
정보보호의 문제 발생 원인
해커와 사이버 범죄
보안관리의 방향
핵심 기술 유출의 경로 및 특징
3
1. 업무용 패스워드는 8자 이상을 영문자 & 숫자 조합을 사용한다. □ Yes / □ No
2. 패스워드는 적어도 반기별로 바꾼다. □ Yes / □ No
3. 사용한 서류는 분쇄기를 통해서 파기한다. □ Yes / □ No
4. 회사 서류를 집으로 가져가서 업무를 마무리하는 경우가 거의 없다. □ Yes / □ No
5. 회사의 보안 정책서를 읽어본 적이 있다. □ Yes / □ No
6. PC의 화면 보호기는 30 분 안에 암호가 걸려서 작동된다. □ Yes / □ No
7. 중요 데이터를 암호화하여 저장한다. □ Yes / □ No
8. P2P나 메신저를 업무 목적외에 사용을 하지 않는다. □ Yes / □ No
9. 현재 사용 중인 백신 프로그램은 최신버전인가? □ Yes / □ No
10. 이 메일에 첨부된 악성코드를 열어본 적이 없다. □ Yes / □ No
11. 휴대폰 피싱에 대해서 들어본 적이 있다. □ Yes / □ No
12. 업무와 무관한 소프트웨어, 컨텐츠를 PC에 설치해본 적이 없다. □ Yes / □ No
13. 어제 읽은 신문기사 중 보안과 관련된 기사가 떠오르는 것 이 있다. □ Yes / □ No
보안지수 점검 – 당신의 보안지수는?
4
당신은 조직의 보안수준을 향상 시키는 리더급에 해당됩니다.
이미 보안전문가입니다.^^
Yes문항 수 11개
이상 : 보안 리더 형
Yes문항 수 7-9개
보안의 중간자형
Yes문항 수 5개이하
보안사고의 원흉
큰 문제를 일으킬 가능성은 적지만, 자질구레한 보안 사고에 연루될 가
능성이
있는 사람입니다. 좀 더 분발해서 보안 지킴이 형이 되시기 바랍니다.
사내에서 발생하는 여러 보안사고에 당신은 항상 연루될 가능성이 있습
니다.
회사에서 본보기가 필요하다면 당신이 지목될 가능성도 매우 높습니다.
현재 직장을 오래 다니고 싶으시다면 오늘 강의를 열심히 들으시기 바랍
니다.
보안지수 점검
당신의 보안지수는?
5
'10년 후 억대 연봉을?' 유망직종 5선
취업-경력관리 포털 스카우트(www.scout.co.kr)는
한국고용정보원과 노동부 워크넷, 한국직업능력개발원의
자료를 토대로 임금, 안정성, 진입에의 유연성,
근무환경, 전문성의 항목을 고려, 10년 뒤 유망할
것으로 판단되는 5가지 직업을 선정했다.
보안 부분 종사자의 위상
사이버 정보보호 전문가
개인정보 보호
전문가 보안 전문가 IT 전문가
6
2005년 말 현재 ISACA에서 파악하고 있는 국내 CISA 자격 소지자와 CISM 자격 소지자는 각 1,798명과 50여명.
보안 부분 관련 자격증
국내 정보보호관련 자격증 현황
명칭 구분 주관기관
국내
정보보호전문가(SIS) 1급, 2급 한국정보보호 진흥원
정보시스템 감리사 한국전산원
인터넷 보안 전문가 1급, 2급 한국정보통신 자격협회
정보보안 관리사 1급, 2급 정보통신 컴퓨터 자격 관리 협회
국외
국제 공인 정보시스템 감리사(CISA) ISACA
국제 공인 정보시스템 관리자(CISM) (ISC)2
국제 공인 정보시스템 보안 전문가(CISSP)
7
정보보호 개념 확장
정보보호의 개념 확장
(이용자 신뢰요구)
홈네트워크
System + Network + Service
System + Network
System 안전성, 신뢰성, 건전성
기밀성, 무결성
많음 적음
협의
광의
(정보보호 보호대상)
네트워크 가용성
정보보호의 영역
기밀성 (Confidentiality): Unauthorized Access로부터 보호
무결성 (Integrity): Unauthorized Chang로부터 보호
가용성 (Availability): 정보/서비스의 이용이 항상 가능
기밀성
무결성
가용성
Malicious behavior에 대한 보호
프라이버시 신뢰(Trust)
보안(Security) 안전(Safe)
안전성
신뢰성
u-정보보호
이동성
8
2006년 정보보호 동향 리뷰
보안 트랜드
고성능 네트워크 지원
통합형 보안솔루션(UTM)의 요구
보안 벤더와 네트워크 벤더의 경쟁
국제 인증 체계(CC)의 도입
애플리케이션(서비스) 보안으로의 진화
확장 효율성과 최적화
보안 컨설팅 및 보안 서비스의 필요성 증대
침해사고 대응 기술의 요구
새로운 서비스 및 네트워크 환경에 대한 보안
VoIP, Wireless, IPv6, 유비쿼터스 환경 보안
10
정보보호 산업 분야
1. 정보보호 규모별 기업의 특성
2. 정보보호 기업의 자본금 규모
11
정보보호 산업 분야
3. 정보보호 기업의 매출 분포
12
정보보호 산업 분야
4. 정보보호 산업 매출 전망
정보보호 하드웨어, 정보보호 소프트웨어 및 정보보호 서비스는 2010년까지 전체 적으로 연평균 13.21%의 높은 성장이 예상된다. 국내 정보보호산업은 전체적으로 2008년도에 1조 원의 시장규모를 형성하고 2010년 정도에 1조 2,959억 원의 매출이 이루어질 것으로 예측된다. 보안 제품 판매 후 유료서비스로 진행되는 유지보수의 경우 전반적인 정보
보호에 대한 인식 강화 와 투자 증대로 높은 수준으로 증가할 전망.
<단위: 백만원>
13
정보보호 산업 분야
정보보호 업무 수행 방식 및 애로사항
1. 정보보호 업무 수행 중 애로사항 인식 분포
2. 전담조직 없는 사업체의 정보보호 업무수행방식
14
정보보호 산업 분야
정보보호 예산분야
15
국내 정보산업 현주소
최근 사이버 공격의 특징
사이버 공격의 지능화, 다양화, 복잡화 및 자동화
공격 대상 범위가 불특정 다수에서 특정 소수를 대상으로 변환
파일 공유, 메일, P2P 등을 통해 다른 시스템으로 매우 빠른 전파
사회공학적인 기법과 다양한 기술적 방법이 결합된 사이버 공격 도구 출현
방화벽 등을 정보보호 시스템을 우회하거나 무력화하는 공격 출현
보안 취약점이 공개되면 당일 이를 이용하는 공격도구 출현
금전적 이득을 위한 개인 정보를 유출하는 공격 출현
사이버 공격의 특징
18
Ransom-ware
정의
Pgpcoder라는 이름으로 명명된 랜섬웨어는 사용자의 컴퓨터에 설치되어
문서나 그림파일 등을 암호화해 열지 못하게 만든 뒤 해독용 키 프로그램을
전송해 준다며 금품을 요구하는 신종 악성 프로그램
컴퓨터 사용자의 문서를 인질로 잡고 돈을 요구한다고 해서 명명됨
2004년 최초로 발견
2005년 5월 해독을 미끼로 돈을 요구하는 사례 발생
19
피싱 등 사회공학적 기법
사회공학의 정의
현실 세계에서의 사기 수법과 동일한 것으로 기술에 의한 해킹이 아닌 사람
을 속이기 위한 메일 유포 등의 공격
사회공학의 대표적인 해킹 유형이 “피싱”
80’ 02’~
04
05’~
06
07~
1st 2nd 3rd 4th
캐빈미트닉의 전성시대 주로 전화를 이용 패스워드 취득이 목적
피싱 등장 금융 사기 등장 ____%가 응답
Spear Phishing 분산도스 협박 메신저를 통한 웜
전파 OO 은행 피해 사례
SMiShing ??? ????
20
Summary
올해는 해커의 해킹 의도가 과거 단순 자기과시에서 금전적인 이득 추구로 본격적으로 전환될
해로써, 정보유출을 목적으로 한 악성코드가 크게 증가하였으며 피싱 등 여러 사회공학적
방법과 유기적으로 결합한 사이버 공격 수법이 활개를 칠 해라고 전망할 수 있다.
사이버 위협 전망 2007
1. 정보 수집형 악성코드의 증가
금전적인 목적 스파이웨어, 트로이목마의 경계 모호 악성코드 전파수단의 다양화
2. 사회공학적 방법이 혼용된 위협 증가 윈도우 자동 패치 서비스등을 이용
3. VoIP에 대한 위협 가시화 06년도 33억 2007년 151억 달러까지 성장
4. 웹 해킹 위협의 증가 및 응용 프로그램을 대상으로 한 공격 증가
To be..
21
사이버위협 대응방안
앞으로의 사이버위협은 보다 고도화·다양화·은밀화를 지향할 것으로 예상이 되고 있
으며
그 피해는 전산망 장애에 국한되지 않고 기관, 기업의 중요자료, 개인정보 유출로 이
어질 것으로 전망된다. 이에 대한 적절한 대응을 위하여는 전문보안업체 및 침해사
고 대응기관의
노력이 우선되어야 하겠지만 각 기관의 정보보안 담당자를 비롯한 개인사용자 모두
가 책임의
식을 가지고 기본적인 보안지침을 준수하며 보안관리를 생활화 한다면 피해를 최소
화 할 수
있을 것이다.
사이버 위협 전망 2007
22
사이버안전대책 수립 및 역량강화
보안 솔루션 도입
보안 인식 강화 + +
정보보호의 문제 발생 원인
현재의 문제점
무엇이 문제인가?
• 대부분의 보안업계가 기업의 환경에 대해 이해 부족
• 쉽게 팔 수 있는 제품만을 개발, 기업 보안에 꼭 필요한 보안을 위한 제품에 대한 미흡
• 한 면만을 고려한 보안 구현
단일화된 보안 제품 중심의 보안 구현
• 기업의 목표 달성을 위해 현업과 융화되지 못한 보안 종사자만을 위한 보안 활동
보안 종사자 만을 위한 정보보안
• 가장 좋은 방화벽, 가장 잘 잡는 안티 바이러스 백신
• 최고의 평가를 받는 업체의 제품만을 설치하면 그만
지나친 기술 의존
• 높아가는 규정집, 무관심한 임직원
보안정책은 종이 호랑이
24
75% 25%
15% 58%
내부 외부
인가자 비인가자
전문가 비전문가 전문가 비전문가
인가자 비인가자
전문가 비전문가 전문가 비전문가
17% 10%
위험도
파급도
발생비율
위험도
파급도
발생비율
※ KISA 자료
산업스파이, 해커를 걱정하기 이전에 일반 사용자, 직원들의 보안에 대한 무관심, 실수, 불만,
고의적 사고 등이 보안의 최대 원인입니다.
내부 직원으로 인한 보안 문제 발생
25
인터넷 접속의 급격한 증가 시스템 및 환경 보안관리 미흡 정보보호에 대한 잘못된 인식
해킹기술 습득 용이
해킹기술의 고도화, 전문화
컴퓨터 소프트웨어나 장비의
보안 취약성 정보 공유
정보시스템 개방화와 정보
자산 노출
기업업무의 정보시스템에
대한 의존도 증가
보안시스템 운영정책 부족
보안시스템을 설치했으므로
우리는 안전하다
보안은 보안담당자만 ..
우리직원은 믿어도 된다
보안은 비효율적이다
보안에 대한 이해 부족으로 문제 발생
예산 부족
정책 집행의 무관심
형식상의 결재
기술에 대한 거부감
관리 인원의 부족
시행상의 의구심
26
Disk 외부 반출
무단 출력물 반출
기밀 직접 접근 포터블 디바이스 무단반출
무단복사
전화
팩스전송 모바일전송 E-mail 및 네트워크 발신
휴지통
노트북 무단 반출
기밀 정보 자산
절도
물리적 결함으로 인한 보안 문제 발생
27
사례 . D사의 신제품 개발 정보 유출 사
건
D사는 전자제품 전문 업체로서, 본사에서는 신제품의 연구, 개발, 마케팅, 판매를 담당하고, 제품의 생산
은 하청
업체를 통해서 처리한다.
2년간 50 여억원을 투자해서 연구, 개발한 가마솥밥솥의 시판 직전에 경쟁업체에서 먼저 관련 특허를
출원하고
제품을 제작, 판매하여 막대한 연구 투자비에 대한 손실과 더불어 사업기회를 잃게 되었다.
D사
D사 하청업체
관리적 결함으로 인한 보안 문제 발생
사고내용
CIO 판단
28
스팸과 웜, 바이러스들은 새로운 기법과 기술을 이용하여 퍼지고 있음.
Zombies
Hacker BOT
Pornware Phishing
Keyboard Loggers
Identity Theft Distributed Denial Of Service Attacks
Spyware
HOAX
PHISH
Others
HOAX
PORN Adware
Spyware
Worm
Hacking Virus
악성코드/악성프로그램?
29
30 2 6 8 0
• Infections doubled every 8.5 seconds • Infected 75,000 hosts in first 11 minutes • Caused network outages, cancelled airline
flights and ATM failures
Minutes after Release
슬래머
트로이 목마
최초의 트로이 목마 발견
1985년 미국의 어느 실험실에서 바이러스 발견 “Arf Arfl got you”라는
메시지 출력
트로이 목마 정의
사용자 파일에 손상을 주고 정보를 유출하고 심지어 PC를 공격자 마음대로
조작하기 위한 백도어 기능을 가지고 있는 악성 프로그램
1993년 3월 서울 모대학교 L군은 과기대의 네트워크를 대상으로 PC용 해킹
프로그램이 설치되어 있는 컴퓨터를 조사한 후 트로이목마를 이용하여 감염된
컴퓨터로부터 “우리별3호”에 대한 정보 등을 탈취하였다. 또한 과기대로부터
탈취한 자료를 자유 게시판에 게시하기도 하였다. 31
6개 국가기관이 해킹을 당한지 한 달이 채 지나지 않아 국회를 비롯한 10개 국가기관에 무더기로 해킹
사고가 발생했다. 국가정보원은 국회, 해양경찰청, 원자력 연구소 등 10개 국가기관의 컴퓨터 211대가
‘변종 핍 (PEEP)’과 변종 ‘리박(Revacc)’등 해외로 부터 유입되는 2종의 해킹 프로그램에 감염
됐다고 13일 밝혔다.
(중략)
① 국회의 경우 전.현직 국회의원과 국회사무처 직원 등 총 122명의 아이디가 도용당함.
② 민간 부문에서도 기업과 대학, 언론사 등에서 모두 67대의 컴퓨터 가 피해를 당한 것으로 밝혀짐.
국정원은 변종 피프 유입을 개인 차원이 아니라 일정 규모의 조직이 개입된 국가안보위협 사건으로 판
단하고 외교 통상부, 정보통신부, 기무사령부, 경찰청 등과 공조해 적극 대응한다는 방침이다.
이와 함께 중국 대사관을 통해 중국측에 수사 협조를 요청하는 것은 물론, 해커 조직 색출을 위해 인
트로이 목마 사고 사례
32
해커와 사이버 범죄
1. 1970 년대 해커들
1971년 존 드래퍼
시리얼 박스에 든 호각이 2600hz의 소리를 내 AT&T의 장거리 전화 시스템에 접근하게
해 준 것을 알게 됨.
사이버 범죄자…
1971년 월남전 참전시 군용식량 꾸러미에 들은 플라스틱 호각을 불면 2600 MHz의 주파수가 발생 이 피리소리를 전화기에 이용하면 무료통화도 가능하다는 사실을 발견, 이 사건을 계기로 주파수 조작을 통한 공짜 통화현상이 유행처럼 퍼져 폰 프리킹의 시조가 된 전설적인 인물. 십대였을 때 이미 어떻게 하면 유료전화를 사용하고 나서 집어넣은 동전을 회수할 수 있을까를 연구했다고 한다
34
1975년 빌 게이츠 – 마이크로 소프트 사 설립
1979년 스티브 워즈니악, 스티브 잡스 – 애플 컴퓨터사 탄생
폰 프리킹의 고조 할아버지 – 조 엔그레시아
1969년 휘파람을 불어서 전화를 공짜로 걸게 됨.
사이버 범죄자…
1970년대는 폰 프리킹의 대중화 시대 (프리커의 논리) 전화회사는 수입이 많다. 전화회사는 미국 정부의 끄나풀이다. 장거리 전화를 하기에 돈이 부족하다. 내가 공짜 전화를 쓰는 동안 아무도 전화회선을 사용하고 있지 않다면 나는 아무 것도 훔치는 것이 아니다. 나는 아무에게도 해를 주지 않는다.
35
2. 1980 년대 해커들
1980년 빌게이츠(19세) –MS, 베이직/도스 개발
1981년 Ian Murphy – AT&T의 컴퓨터 시스템을 침입해 내부 시계를 바꾸어 심야
요금이 낮에 적용되도록 조작. 재판을 받은 최초의 해커 – 영화 스니커즈의 기반이 됨.
1982년 414 갱단 검거 – 6명의 십대 해커들을 FBI가 검거
암센터, 로스알라모스 국립 연구소를 포함 60개의 컴퓨터 시스템에 침입
1984년 2600 - 뉴욕에서 해커 계간지 2600 창립
1988년 모리스 웜 – 11월 22일 미국 전역의 컴퓨터가 정체 불명의 웜에 감염
사이버 범죄자…
1989년 뻐꾸기 알 사건 1987년 구 동독 해커들이 미 국방부 컴퓨터에 침입해 각종 군사 정보를 빼내 서 구 소련과 동독에 제공하다 체포된 사건이 발생했다. 이들을 잡는데 가장 큰 공을 세운 사람은 미국의 클리포드 스톨임. 36
3. 90년대 해커들
1990년 6월 1일 – 케빈 폴슨
포울슨이 계약직으로 국방부에서 근무한 사실이 있고 근무기간 중 기밀사항
취급허가권을 획득했다는 것을 알게 된 FBI는 이후 해커 처벌 법규에 산업스파이를
추가했다. 그의 도주가 시작되었다. 1989년 11월 Poulsen은 사기, 도청, 돈세탁 등등 총 19개의 죄목으로 개소되었다.
그러나 이것이 그의 컴퓨터에 대한 열정을 막지는 못했다.
사이버 범죄자…
"금요일에 포르쉐를!" 이라는 타이틀로, 이번주 금요일에 어떤 노래가 방송될 것이라고
미리 알려준다. 그 노래가 방송되고 나서 청취자의 전화를 받는데 정확히
102번째로 전화한 청취자에게 5만불의 포르쉐 자동차와 하와이에서 휴가를 보낼 수
있는 티켓과 숙박권이 선물로 주어진다. 37
1994년 1월 13일 - 블라디미르 레빈
러시아 상트 페테부르크 공대 출신의 수학자. 미국 시티뱅크에서 1천만 달러를 빼냈던
러시아 해커 그룹의 배후 조종자로 지목되어 1995년 영국 런던 히드로 공항에서 체포됐
다. 러시아 해커 마피아의 총수. 재판 과정 때 변호를 맡은 사람이 미 FBI요원이라는
설이 있을 정도로 가공할 만한 인물
케빈 미트닉
FBI 영구 리스트에 오른 최초의 해커..말이 필요없는 최고의 해커..
해킹으로 잡히면 복역을 하고, 출옥하면 다시 해킹하는 '상습범' 으로 잘 알려져 있음.
'사이버 공간의 미아'라는 별명을 갖고있는 미트닉은 어린시절 불우한 가정환경으로
PC가 없었음에도 불구하고 고장난 라디오를 수리하고 모뎀을 부착해 1대1 컴퓨터
사이버 범죄자…
38
1991년 1월
걸프전에서 미국은 이라크에 컴퓨터 바이러스를 전파해 전쟁을 승리로 이끌었다.
네덜란드 십대들이 국방부 컴퓨터에 침입해 군작전 및 무기 이동에 관한 기밀을 빼내었다.
사이버 범죄자…
1998년
중국 정부 해커에게 사형선고
쌍둥이 형재 중국해커 Hao Jinglong과 Hao Jingwen은 중국 은행 컴퓨터를 해킹해
720,000 위한($87,000)을 빼내어 가명 구좌에 입금시켰고 1998년 9월 26,000위안
($31,400)을 인출했다.
39
4. 21세기 해커들
2000년 4월 마피아 보이 검거 - 캐나다 십대 소년 마피아 보이는 2001년 9월
12일 8개월형을 선고 받았다. - 야후, CNN, 이베이, DELL 외
2000년 11월 7일 - Dimitri(19세 네덜란드 해커) 에 의해 MS의 내부 웹서버가
3번 해킹 당함. MS가 패치를 제대로 하지 않는다는 것을 보여주기 위해
2001년 5월 1일 - 분노한 중국 해커
미국정찰기가 중국 전투기와 충돌해 중국인 기장이 죽은 사건을 미국이 사과하지
않은 것에 대한 분노로 약 만개의 미국 사이트를 변조
2001년 9월 11일 – WTC 테러 참사 / 스테가노 그래피 기법이 화두에 오름.
사이버 범죄자…
40
국민의 경제∙사회∙문화 전부문의 파급여파 증가
차세대 인터넷기술 등 이용, 세계적으로 유래없는 신종 범죄 급증
범죄의 고도화ㆍ조직화ㆍ국제화 경향 심화
증거삭제, 추적회피 기술의 발달로 수사상 어려움 증가
자동화 고도화된 공격으로 정보통신기반 위협
30,000개 PC방 등을 통한 청소년 등 범죄 심각성 심화
우리나라의 사이버범죄 양상, 수법, 대응체제는 세계인의 관심 대상
주요 개인 정보의 집약 회원 수가 인터넷 기업체의 평가기준
사이버 범죄 환경
41
사이버 범죄 분류
해킹 , 바이러스 유포와 같이 고도의 기술적인 요소가 포함되어 정보통신망 자체에 대한 공격행위를 통해 이루어지는 것은 사이버테러형범죄
전자상거래 사기 , 프로그램 불법복제 , 불법사이트 운영 , 개인정보침해 등과 같이 사이버공간이 범죄의 수단으로 사용된 유형은 일반사이버범죄
42
피해 컴퓨터
(1천 여대)
우회용 컴퓨터
이씨 컴퓨터 경유 컴퓨
터
침투 침투
자료열람 정보유출
채팅 통해 해킹 (원격 조정)
원격 조정
컴퓨터 범죄 사례
1. 보안전문가에 의한 국내 대학 해킹
43
컴퓨터 범죄 사례
2. 경쟁업체 서버에 침입한 보안업체 및 직원 9명 검거
- 보안서버 접속 ID와 PW를 불법으로 자사 제품에 이용 -
경찰청 사이버테러대응센터는 경쟁업체의 보안서비스를 이용하는 H통신업체의 새로운 보안
관제시스템을 구축, 관리하는 과정에서 알게 된 경쟁업체 서버 접속 ID와 비밀번호를 돌려
가며 불법으로 접속하여 ‘악성코드 DB’ 등 취약성 정보를 열람하고, 이를 자사제품에
적용, 판매한 국내 유명 보안업체 직원 9명 및 법인을 검거하였다.
특히 피의자들 중 2명은 취약성 분석팀의 팀장 및 연구원으로 홈페이지를 다운로드받
을 수 있는 프로그램으로 경쟁업체 서버 홈페이지를 모두 다운받아 업무에 사용하려고
하였으며, 도용된 접속 ID와 비밀번호를 이용하여 경쟁업체의 DB에서 자동으로 취약성 정보
가 업데이트 되도록 설정한 자사의 통합보안시스템 검색로봇을 판매함으로써 자동으로 3,900
여회 가량 무단 접속하게 한 것으로 밝혀졌다
44
컴퓨터 범죄 사례
3. 안전거래사이트 위장한 신종 사기범 검거
- 광고를 통해 포탈사이트에서 1순위로 검색되도록 조작 -
개인간 물품 직거래의 안전을 담보해주는 안전거래사이트로 위장하여 광고를 통해 포털 검색
창에 “안전거래” 1순위로 검색되도록 조작한 후, 물건을 싸게 매매한다는 글을 거짓으로
게시하고, 이를 보고 연락한 피해자들에게 의심하지 못하도록 거래의 안전을 이유로 피의자가
개설한 사이트로 접속을 유도하여 금품과 물품 등 47명으로부터 총 5,500만원을 가로챈 신
종 사기수법 피의자 1명을 구속하였다고 밝혔다. ※ 안전거래사이트(escrow) : 전자상거래의 안전성을 높이기 위해 거래대금을 제3자에
게 맡긴 후 물품 배송을 확인하고 판매자에게 대금을 지불하는 제도
45
컴퓨터 범죄 사례
4. 상대 인터넷통신사 해킹하여 가입자 정보 빼내
- 확보한 가입자정보로 타 통신사 가입유치까지 –
국내 유명 인터넷 통신사의 가입자 관리 사이트에 보안 취약점이 있는 점을 악용하여 약 11
만명의 고객정보를 빼낸 뒤 이를 이용하여 타 인터넷 통신사에 가입토록 텔레마케팅으로
약 8천만원의 부당이득을 올린 피의자 4명을 검거하여 그중 2명을 구속하였다.
그간 인터넷 통신사의 가입자 정보 유출 사례는 있었으나 가입자 관리 서버의 취약점을 이용
하여 직접 해킹으로 정보를 빼내는 것은 첫 사례이며 더군다나 이들은 직원을 고용, 조직적
으로 해킹하도록 하고 빼낸 가입자 정보를 DB로 정리한 뒤 텔레마케팅으로 재차 다른 통신
사의 전환 가입 유치를 한 것으로 밝혀졌다.
46
컴퓨터 범죄 사례
47
회원 4,400명, 수준별 조직적 멤버 관리 해킹기술 공유 및 90개 사이트 해킹
압수 전 HDD 교체 및 서비자료 삭제
HDD 정밀 분석 후
증거확보
와우 해커그룹 수사결과 13명 사법처리
와우해커 그룹 사건
48
• 삭제파일 미리보기 기능을 통한 내용확인 삭제파일을 복구하지 않고도 파일에 마우스만 대면 미리보기가 자동실행되어 내용을 즉석에서 확인할 수 있음
– 문서파일(HWP, DOC, PPT, XLS, GUL, PDF), 이미지파일(JPG, BMP) 등 주요 파일의 내용을 즉석에서 미리보기 가능
삭제파일 미리보기
직원에 의한 사내 기밀 유출 경우 의 처벌의 근거가 되는 법
부정경쟁 방지 및 영업 비밀보호에 관한 법률 제18조
영업비밀 등을 정당한 이유 없이 누설 등 : 7년 이하의 징역 또는 1억원 이하의
별금
신용정보 유출 경우 의 처벌의 근거가 되는 법
신용정보 이용 및 보호에 관한 법률 제33조
신용정보를 허용한 목적 이외에 이용한 자 : 5년 이하의 징역 또는 5천만원 이하의
벌금
정보의 가용성, 무결성, 기밀성 침해 행위
50
권한없는 자가 정보를 열람 또는 엿듣는 경우 의 처벌의 근거가 되는 법
비밀침해 (형법 제316조 2)
권한없이 타인의 전자기록 등의 내용을 알아낸 경우 : 3년 이하의 징역이나
금고 또는 500만원 이하의 벌금
통신내용 도청 금지 (통신비밀보호법 제16조)
권한없이 타인의 대화나 통신을 녹음, 누설한 경우 : 7년 이하의 징역
무단 감청 (정보통신망 이용 촉진 등에 관한 법률 제22조, 28조)
권한없이 정보통신망에 처리, 보관되는 타인의 비밀을 도용, 누설 : 5년 이하의
징역 또는 5천만원 이하의 벌금
신용정보 : 신용정보 이용 및 보호에 관한 법률 제32조 11
권한 없이 신용정보 시스템의 신용정보를 검색, 복제 : 3년 이하의 징역 또는
3천만원 이하의 벌금
정보의 가용성, 무결성, 기밀성 침해 행위
51
사용자 아이디 도용이나 사칭의 경우 의 처벌의 근거가 되는 법
컴퓨터 사기(형법 347조2. 컴퓨터 등 사용 사기)
컴퓨터 등에 허위나 부정한 명령으로 재산상 이익을 얻는 경우 : 10년 이하의
징역 또는 2천만원 이하의 별금
남의 전자서명을 도용, 유출 : 전자서명법 제31조
3년 이하의 징역 또는 3천만원 이하의 벌금
남의 주민등록번호 사용 및 허위 주민등록번호 프로그램 배포 : 주민
등록법 제21조
3년 이하의 징역 또는 1천만원 이하의 벌금
사용자 사칭이나 아이디를 도용하는 행위
52
A는 자신이 거래하고 있는 B은행의 주컴퓨터에 침입하여 자신의 계정에 1억이 입금된
것처럼 바꾼 다음, 곧바로 은행에 가서 1억을 인출하였다.
A는 컴퓨터등 사용사기죄 (형법 제 347조의 2)에 의해 10년이하의 징역 또는 2천만 원 이하의 벌금에 처해진다.
A는 B와 연인이다. A는 B가 자신이 모르는 사이 컴퓨터 채팅으로 C와 연인이 된 것을 알았다. 이에 분개한 A는 B에게 이를 추궁하기 위해 C와의 1:1 채팅 내용을 몰래
알아내 파일로 만들어 두었다.
A는 통신비밀보호법 (제 16조제1호)에 의해 7년 이하의 징역에 처해진다
법률 적용 사례
53
보안 관리의 방향
보안 관리의 방향
전담 정보 보안팀 및 정보보호
프로그램 수립
물리적 보안책임
통합
기업의 위험 관리 및 준수
기능과 통합화 프라이버시
와 보안의 통합
비 전담 정보보호조
직
55
보안 관리의 방향
주요 방어 수단(사이버 보안에서의 약점을 해결하기 위한 주요 수단)
표준과 인증 채택
모범사례 (Best Practice)와 지침(Guideline) 보급
벤치마크와 체크리스트 활용
감사 활용
교육과 훈련의 개선
기업구조의 보안 강화
위험관리 활용
측정(Metrics) 활용 56
미국 기업의 사이버 보안 전략
• 모든 기업들은 경영 절차에 사이버 보안을 포함시킬 수 있도록 정보보안 경영
체제를 도입해야 한다.
권고사항 1
• 모든 기업은 정보보안 경영체제를 도입하여 이에 따라 시스템을 가동한다는 것을
인터넷 홈페이지를 통해 공지해야 한다.
권고사항 2
• 모든 기업은 그들의 성과를 측정하기 위해 정보보안 경영 특별 TFT에 의해 개발
된 툴을 사용할 것이라는 약속을 홈페이지에 명시하고, 그 결과를 이사회에 보고
권고사항 3
57
미국 기업의 사이버 보안 전략
58
핵심기술 유출의 경로 및 특징
산업보안의식 설문조사
조사대상 : 전국 500개 산업체·연구소 임직원 1,000명 조사시기 : ’05.12~’06.2 조사기관 : (주)월드리서치(대한상공회의소 주관)
산업 보안에 대한 인식 및 태도
‘산업보안의 개념이나 대상’(79.7%)
등 산업보안 기초지식에 관한 이해도는
높았지만, ‘보안관리 실무요령’(64.0%)
이나 ‘보안 사고시 대응방안 및
절차’(57.0%) 등 실무지식에 관한
이해도는 상대적으로 낮은 것으로 나타남
60
분야별 보안 관리수준을 살펴보면,
‘시설 보안관리’(66.1%),
‘문서 보안 관리’(64.9%),
‘전산·통신 보안관리’(64.3%) 순으로
나타났으며,‘인원 보안관리’는 52.4%로 가장 낮았음
산업보안의식 설문조사
61
산업보안의식 설문조사
산업기밀 유출의 주체로는 과반수 이상의 업체들이 퇴직사원을 지적
퇴직 사원의 비중이 점차 증가하는 것으로 나타나, 기업들의 퇴직
사원에 대한 체계적 관리와 사전대비 대응방안 마련이 중요과제로 지적
62
산업보안의식 설문조사
산업기밀 유출시 대응 조치를 실행하는 경우는 절반 정도
산업기밀 유출 피해 경험업체 대다수가 적극적으로 대처하지 못하고 있음.
대응 조치의 경우 ‘관계자/관계사 고소, 고발(23.8%)이 가장 높음
63
산업보안의식 설문조사
산업기밀 유출사고의 발생원인으로 ‘일선 업무담당자의 보안인식 부족’이
핵심원인
보안인식교육을 통한 보안의식 제고가 선행되어야 함.
64
① 인력이동
□ 해외 경쟁업체가 국내에 지사를 설치하고 고액연봉과 인센티브를 조건으로 핵심인력을 스카우트
- 국내에 지사를 설립하여 경쟁사 직원을 유인하거나, 제품 시연 등을 위해 해외출장 중인 국내
엔지니어를 매수
- 직원과 친분이 있는 국내거점의 한국인 사장과 임원들이 불법 스카우트나 기밀 입수를 주도
- 선진국 경쟁업체들은 국내 연구원들이 미국, 유럽 등에 거주하고 싶어하는 심리를 이용
□ 인력관리가 상대적으로 어려운 해외 현지법인 종업원에 의한 유출이 증가
- 국내에서 연수를 받은 해외법인 근무 외국인 직원이 현지의 경쟁사로 전직하는 사례가 많음
연수 과정에서 재료, 부품 등의 제조업체명, 제품 사양 및 번호를 메모하여 이직
- 현지 종업원이 직접 창업을 하여 모방제품을 저렴한 가격에 판매하는 사례도 빈번하게 발생 불법 스카우트가 증가하는 이유
인력 스카우트에 드는 비용은 해당 개인에게는 파격적인 액수이지만 개발비와 비교해서는
미미한 수준. 2004년 5월 적발된 스카우트 사건의 경우 국내업체가 205억 원을 투입해 개
발한 최신 휴대폰기술을 얻기 위해 홍콩 Q社가 8명에게 지급한 스카우트비와 연봉은 11억
6천만 원 정도- 『 시사저널 』, 2004.6.10
핵심 정보 유출 경로
65
② 부품 장비의 노하우 이전
□ 협력업체가 부품 장비를 수출하는 과정에서 기술 및 노하우가 경쟁업체로 유출
- 국내 협력업체가 외국기업에게 핵심 부품 장비를 납품한 후에 국산제품과 유사한 제품이 해외에서 출시됨
한국의 반도체, 디스플레이 등도 일본으로부터 장비를 도입하는 과정에서 많은 노하우를 획득
- 협력업체가 자사의 외국 거래업체에게 도움을 주기 위해 국내 완제품, 설비업체 등의 기술 정보를 수집하여 제공하는 경우도 있음
□ 해외공장이 현재 부품 장비 업체들과 거래하는 과정에서 노하우 유출
- 장비 보수, 금형 제작 등을 의뢰 받은 현지 업체가 위탁기업의 노하우를 경쟁업체에게 제공
- 국내기업이 해외업체에게 생산을 위탁하면서 설비를 제공하기도 하는데, 하청업체가 현지 기계업체에게 관련 정보를 넘겨 장비를 복제
핵심 정보 유출 경로
66
중국에 나도는 한국의 선박 설계도
“마음만 먹으면 한국 조선소에서 사용하는 도면을 얼마든지 구할 수 있다. 한국 설계업체에 돈만 주면 기본설계 도면부터 세부도면까지 구할 수 있고 직접 설계를 의뢰하면 똑같은 설계도면을 받기도 한다” (중국 조선소 관계자) 『 매일경제 』, 2004.3.20
PDP 도난 사건
- 2000년 2월 LG전자가 개발한 60인치 PDP TV가 독일 하노버에서 개최
된 첨단 전자제품 전시회(세빗 2000)에 전시한 후 뉴델리로 이송 중 도난
- 2001년 4월 삼성전자의 63인치 PDP TV가 미국 라스베가스에서 개최
되는 세계 방송장비쇼(NAB)에 전시할 목적으로 힐튼호텔로 이송 중 도난
- 『 동아일보 』, 2000.2.23, 『 한국일보 』, 2001.4.27
핵심 정보 유출 경로
67
무선단말기 기술 유출 사례 - 국가정보원『 산업스파이 사건 재조명 』, 2004.7
기술보유 업체
(한국A사)
거래업체 (외국R사)
한국합작회사 설립
① 무선단말기 공급 및 기술이전계약
합법 불법
A사의 경쟁사 B
② 인력 이동
④ 계약파기
③ 기술거래
□ 지적재산 보호가 엉성한 국가의 기업에게 기술을 이전하는 경우, 계약을 위반하거나 일방적으로 파기하는 사례가 다발
- 기술을 이전 받은 해외 업체가 무단으로 다른 기업에게 기술을 공여하거나 제3국 기업과 라이센스 계약을 체결
핵심 정보 유출 경로
68
④ 인수합병
□ 외국기업이 국내기업 인수를 통해 기술을 획득하는 것은 합법적인데, 국가 차원에서 보면 중대한 기술이 유출되는 경우가 있음
- 최근 중국기업들은 자동차, 반도체, LCD 등 첨단기술을 확보하기 위해 한국을 포함한 全세계 기업들에 대한 M&A를 적극 추진
중국 정부는 중국 기업의 해외진출 강화를 위해 67개 국가에 대한 산업별 대외 투자 방침을 설정
- 2000년 대우자동차 인수를 시도했던 포드자동차의 경우 방대한 양의 정보만 입수한 채 인수를 포기
포드는 실사과정에서 대우車의 16개 공장(국내 5개, 해외 11개), 25개 국외판매회사, 300여 개 부품업체 등에 관한 7만 여건의 정보 획득
핵심 정보 유출 경로
69
⑤ 산업스파이 활동
□ 경쟁업체가 내부인력 포섭, 위장취업 등의 방법으로 불법 스파이 활동을 전개
- 국내 기업에 연구원, 기술고문 등으로 근무하는 외국인이 자국 정보기관이나
업체의 요청을 받고 기밀을 입수 □ 해킹, 절취 등 불법 행위에 의한 기술 유출도 증가
- 네트워크 전산망을 해킹하여 핵심 기술자료를 유출
국내기업이 개발한 온라인 게임의 복제판이 중국에서 유통되고 있는데,
이는 소스 PG의 해킹에 의한 것으로 추정
- 해외 출장자가 제품설명회 등의 목적으로 휴대한 자료 또는 시제품을 무단 복
사하거나 절취
- 컨설팅회사가 업무수행과 관련 없이 수집한 정보를 영업활동에 불법적으로 사용
국내 자동차 회사의 컨설팅을 담당한 미국 컨설팅회사가 불법으로 취
핵심 정보 유출 경로
70
대응 사례
선진기업의 해외 활동 시 보안 규정
보잉 : 민감한 데이터를 팩스로 전송하는 것을 금지
HP : 기밀정보가 든 노트북을 빈 호텔 객실에 두지 않도록 교육
노텔 : 비밀 교섭, 전략 토론과 같은 기밀정보는 반드시 귀국 후 보고
샤프 : LCD 장비업체가 제품을 납품하면 공장입구까지만 운반하게 하고
생산라인에는 샤프 직원이 직접 운반
국내 기업의 대응 사례
삼성 SDI : 사내 보안을 담당하는 직원을 보안 어사로 임명하고 불시에
사내 보안 점검을 실시. 위반사항이 나오면 사장에게 보안보고서 제출
C사(PDP제조회사) : 정기·비정기 보안 교육과 보안 캠페인을 실시하고
주 1회 문서폐기 활동과 월 1회보안의 날을 운영, 부서간 크로스체크를 실시
하는
등 시스템적인 보안활동 강화 71
기술 유출 유형별 대응방안
우리는 어떻게 해야 하는가?
유형 대응방안 유의사항
인력 이동 • 비밀유지 서약서 작성 • 핵심 인력 관리 및 보상 강화
이직 자유와의 조화
부품 / 장비 기밀유지 관련 조항을 계약서에 삽입 협력업체와의 상생의 파트너쉽 형성
해외 진출한 협력 업체 감독
기술거래 국가별 지적 재산 보호 수준에 따라 전략 차별화 기술이전 과정에 대한 관리 감독 강화
계약 이외의 기술유출 차단
인수합병 국가 핵심기술을 지정하여 체계적으로 관리
해당 산업에의 영향을 고려
산업스파이 보안 체계를 상시적으로 점검하고 보완 전체 직원에게 정기적인 보안 교육 실시
불법행위 감시
72
내부자에 의한 기업보안위협 방지책
73
내부자에 의한 기업보안위협 방지책
위협요인에 대해 파악하라
내부자를 파악하라
보안교육 실시와 이해를 시켜라
자료를 분류하라 접근을 제한하라
암호화하라
내부자를 통제하라
74
공수래 공수거하라 : 빈 손으로 출근해 빈 손으로 퇴근하라 1
삼고초려하라 : 퇴직 예정자를 보살펴라 2
수구여병(守口如甁)하라 : 입조심하라 3
세 사람이 알면 더 이상 비밀이 아니다 4
기술인력은 움직이는 재산이다. 5
인터넷에서 다운로드 받은 파일은 바이러스 검사하기 6
제한구역은 알 필요도, 갈 필요도 없다. 7
보안의 강도와 회사의 수명은 정비례한다. 8
모든 보안 사고는 “나”로 인해 발생된다. 9
보안에는 예외가 없다. 10
안전한 회사를 만들자 - 결론
75
Information Security Management Handbook 5th … Tipton
정보보안 이론과 실제 – 마크 스탬프
디지털 보안의 비밀과 거짓말 … 브루스 슈나이어
사이버 범죄 소탕작전 컴퓨터 포렌식 핸드북
Security in Computing 4th
해킹 속임수의 예술 … 캐빈 미트닉
Security and Usability
Official Guide CISSP-CBK… 2007 edition
Good Reference Books
76
http://www.ncsc.go.kr/
http://www.sans.org
http://www.securitydocs.com/
http://cist.korea.ac.kr/~kewis/main/index.php?c_time=1111934658
http://www.kisa.or.kr/index.jsp
http://www.securityfocus.com/
http://csrc.nist.gov/publications/
http://www.certcc.or.kr/
http://www.shinsoojung.pe.kr/main_security.htm
Good Reference Sites
77
수고하셨습니다!
경청해 주셔서 감사 드립니다.