- pc, 출력물 매체 웹, db, 네트워크...

(주)컴트루테크놀로지 김영기 팀장 [email protected] 02-396-7005

구간별로 살펴보는 개인정보보호 전략 - PC, 출력물, 매체, 웹, DB, 네트워크, 제공위탁 -

기업 정보보호 이슈 전망

CONCERT FORECAST 2014

mailto:[email protected]

ComTrue Technologies 2 Ⓒ 2013 ComTrue Technologies. All rights reserved.

개인정보보호 강화 방안의 필요성 증대

개인정보

유출 사건, 향후 개인정보보호 대응 방안은?


개인정보의 파기(제21조)

개인정보 유출 통지 및 정보주체의 권리 보장(제34조~제39조)

안전조치의무-기술적·관리적·물리적 조치(제29조)

개인정보 처리방침의 공개 및 보호책임자의 지정(제30조, 제31조)

개인정보파일의 등록 및 공개(제32조)

개인정보의 수집/이용 및 수집 제한(제15조, 제16조)

고유식별번호 및 민감정보의 처리 제한(제24조, 제23조)

영상정보처리기기의 설치/운영 제한(제25조)

개인정보의 제공 및 제한(제17조~제20조)

업무위탁, 영업양도 시의 개인정보 처리 제한(제26조, 제27조)

개인정보의 Life Cycle과 보안

개인정보의 라이프 사이클과 정보 보안 전략

수집/이용

저장/관리

제공/위탁

파기/유출

* 개인정보보호법


개인정보의 Life Cycle

개인정보의 Life Cycle과 구간에 따른 보안 전략

Ⓒ 2013 ComTrue Technologies. All rights reserved.

PC개인정보보호 출력물보안 매체보안 제공∙위탁관리

EndPoint 개인정보보호



PC개인정보보호를 위한 검출과 전수조사

개인 PC별 검사

검출/암호화/삭제/격리

각 PC별 검출내역 확인

통계기능을 통한 보고서 출력

개인정보 탐지정책 전송

PC스캔 에이전트 PC스캔 관리서버

개인정보 검색결과 전송

PC개인정보보호


PC 개인정보보호

복구 불가능한 방법으로 완전 삭제 국제기준 적용 <US DoD 5220.22-M (8-306;;E C & E)>

개인정보 수집 시 체크 사항


개인정보의 수집과 파기 방안

금융위원회 (14/2/13) 정보 유출 재발방지 대책 중 수집 정보 최소화 대책


PC에 보관할 파일에 대한 암호화 조치

시행령 제30조 / 안전성 확보조치기준고시 제7조 제6항

비밀번호 입력



PC 개인정보보호를 위한 암호화 방안

일정 시간 후 미처리 파일에 대한

강제 암호화

자동 암·복호화

Password 생략 활용

강제 암호화



강력한 개인정보 취급자 정책 개인정보 비취급자 정책

서버

개인정보 비취급자 개인정보 취급자

클라이언트

개인정보를 승인 하에 가지고 있는 그룹 • 유저 : 검출/격리/암호화/완전삭제 • 관리자 : 강제암호화 • 유저 : 완전삭제

관리자 검사 후 일정기간 후 미처리된 파일에 대한 강제 암호화 수행

개인정보를 가지고 있으면 안 되는 그룹

3일 후 까지 파일 관리

전사 PC 개인정보 파일 암호화 수행 PC개인정보보호

강제 암호화


구분 내용 내용

도입기관

도입시기 및 사업기간

2011.10 / 60일 2011.6 / 30일

사용 PC 대수 6,300여대 4,000여대

특징 실시간 감시 기능 활성화, 추이분석 그래프 활용,

GPKI 연동 업무용 PC 및 홈페이지 개인정보 동시 스캔 제공

배포방법 V3통한 일괄 배포 NAC 통한 일괄 배포

구분 내용 내용

도입기관

도입시기 및 사업기간

2012 하반기 2012 하반기

특징 PC 개인정보보호 솔루션인 PC스캔과 출력물 보안을 함께 도입

개인정보가 포함된 전자적 문서 및 종이 문서를 한 에이전트에서 동시에 관리

셜록홈즈 PC스캔

셜록홈즈 PC스캔 + 출력물 보안

주요 구축 사례 PC개인정보보호


주요 레퍼런스 (총 250여 기관/기업 구축 완료) PC개인정보보호


관리자

정책전송

로그기록

출력

WM

워터마크삽입 출력차단 OR

출력물 보안 출력물 보안

개인정보 중요정보 내부정보 내부직원


내용인식

기반 출력차단

출력물

워터마킹 출력로그

출력물 보안 필수 체크 사항 출력물 보안

개인정보보호와 내부정보유출방지를 위한 출력물보안


사용자 지정 텍스트 입력

워터마크 삽입

출력정보 사용자, IP, 출력시간 등

워터마크를 통한 출력물 개인정보보호 출력물 보안

워터마크를 통한 개인정보보호


전자문서와 종이문서 모두 보안한 구축 사례

개인정보 검출/암호화/격리/완전삭제

출력물보안(옵션기능) 개인정보 출력물 차단 워터마크 삽입

개인정보 탐지 정책 전송

개인정보 검출 결과 전송

개인정보 출력 이력 전송

개인정보 출력

관리서버 에이전트

• PC 개인정보보호 솔루션인 PC스캔관 출력물보안을 함게 도입하여 전자적 문서와 종이 문서의 보호

를 동시에 관리 / 한 에이전트에서 동시에 관리하므로 관리 포인트 감소 및 통합 운영 가능

출력물 보안


개인정보 중요정보 내부정보 관리자

정책전송

로그기록

내부직원

매체이동 시도

암호화 이동

(외부열람불가)

실시간 차단 OR

매체보안 출력물 보안


매체보안 필수 체크 사항

내용인식

기반 이동차단

암호화

이동

세부

매체정책

매체보안

개인정보보호와 내부정보유출방지를 위한 매체보안


매체별 통제 + 프로세스 및 확장자 통제

매체 별 통제

프로세스 및 확장자 별

통제

매체보안

빈틈없는 매체보안 방안


• 암호화 이동 된 파일은 사내에서는 열람,수정이 자유로움 (비밀번호 기입 없음)

• USB 분실/도난 시에도 내부 내용은 안전하게 보호 됨 (외부 열람 불가)

• 사내 열람 가능 • 외부 열람 불가

암호화 이동을 통한 매체보안 매체보안

암호화 이동 (외부열람 제한)


매체보안 활용 사례

02 특정 파일(문서)에 대한 매체 유출 차단

그래픽, 도면 파일에 대해 매체 이동 원천 차단 Office 문서는 암호화 저장하여 사내에서만 활용하도록 정책 적용

01 개인정보/내부정보 검출 문서 반출 차단

개인정보/내부정보가 검출된 문서에 한하여 매체 반출을 차단 일반 문서에 대해서는 허용하여 개인정보보호 환경 구축

매체보안


제공/위탁 관련 법조항

개인정보보호법 제24조

개인정보를 제공/위탁하는 경우 계획수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 취해야 함.

• 개인정보 처리 업무 위탁 시 문서로 계약/정보주체에게 공개 • 수탁자 교육은 의무 • 개인정보 처리 업무 타 기관 이전 시 정보주체에게 통지

제공/위탁

제공∙위탁관리


위탁과 관리 책임 관계

구분 업무위탁 이용

관련조항 제26조 제15조

내용 위탁자의 처리 목적을 위해 개인정보를 주는 경우 정보 주체 동의가 있을 경우

수집한 개인정보를 목적 내 이용

예시 우리 기업의 TM, eDM 마케팅 건을 다른 업체에 외주로 줌

개인정보를 수집한 개인정보처리자가

본사(부서간 이동 포함) 내에서 개인정보를 활용

관리감독 책임 위탁자 책임 개인정보처리자 책임

손해배상책임 위탁자 부담(사용자 책임) 개인정보처리자 부담

안전행정부, 개인정보보호법 해설서

• 개인정보를 취급하는 외주 인력도 보안 관리 대상

• 근로 형태와 무관하게 고객 정보를 위탁하여 업무를 보고 있다면 관리∙감독 및 책임 대상!


위탁과 이용의 비교


위탁뷰어를 통한 안전한 개인정보 제공 및 위탁 제공∙위탁관리

[개인정보 위탁업체] [개인정보 수탁업체]

• 변환 파일 반출∙승인 • 열람 권한 제어 • 캡쳐, 다운로드 방지 • 로그 및 통계 감사

• 비밀번호 인증 접속 • 개인정보 파일 열람 • 한정된 활용 권한

안전한 제공위탁을 위한 보안 방안


위탁뷰어를 통한 안전한 개인정보 제공 및 위탁


안전한 위탁제공을 위한 보안 방안


네트워크 DLP를 통한 개인정보보호 SMTP/웹메일/메신저/HTTP/FTP 웹서버 개인정보보호

Network 개인정보보호



네트워크 개인정보보호

네트워크를 통한 개인정보유출방지

방안은?

네트워크 DLP


당신이 도둑이라면 어떤 집을 선택할 것인가?

외부와 연결된 통로가 많을수록 보안에 취약하다!

네트워크 DLP


네트워크를 통한 개인정보 ∙ 내부정보 유출방지 - 단계별 통제로 보안 hole의 최소화

사내

② IPS / IDS

① DDoS 방어장비

/ 방화벽

Internet

③ 웹 방화벽

외부공격

외부공격

외부공격

외부공격

외부공격

네트워크 DLP


- 단계별 통제로 보안 hole의 최소화

사내

감사 (증거자료)

① 어플리케이션 통제 ② 컨텐츠 필터링 ③ 모니터링

④ 내부감사

비허용 프로토콜

비허용 프로토콜

조건 차단 프로토콜

조건 차단 프로토콜

기밀자료 개인정보

기밀자료 개인정보

허용 프로토콜

Internet

네트워크를 통한 개인정보 ∙ 내부정보 유출방지 네트워크 DLP


어플리케이션 차단

셜록홈즈 NetCenter - Network DLP

컨텐츠 필터링

모니터링

네트워크 DLP


통제

사용

차단 - 1단계 - 어플리케이션 통제

어플리케이션

메신저

사용

통제

1. 어플리케이션 통제

네트워크 DLP


차단 - 2단계 - 컨텐츠필터링

Secret

주민등록번호

기타 개인정보

기밀 키워드

2. 컨텐츠 필터링 (개인정보보호)

네트워크 DLP


모니터링 - 3단계 - 모니터링

1차 모니터링 2차 모니터링

개인블로그

커뮤니티

?

분석되지 않은 메일 ?

?

http에 대한 모든 로그 모니터링

3. 모니터링

네트워크 DLP


2010년

모니터링 - 4단계 - 내부감사

2011년 2012년 2013년

인덱싱 저장

4. 내부감사 (아카이빙)

아카이빙


아카이빙 구축사례

아카이빙을 활용한 통합 모니터링 사례

통합 모니터링

업무용 메일

업무용 메신저

포털 메일 /메신저

아카이빙


■ 인증 현황 CC(Common Criteria) 인증 제품 GS(GOOD Software) 인증 제품 ■ 인증 예정 조달 등록 예정

NetCenter 제품 인증 현황 네트워크 DLP


주요 레퍼런스 네트워크 DLP


홈페이지 개인정보노출 주원인은 부주의

사람의 힘만으론 홈페이지 관리의 어려움

개인정보보호법에 의거한 기술적 조치 필요

홈페이지 개인정보보호 시스템 운용

개인정보 노출 원인 및 대응방안

.

.

.

웹서버 개인정보보호


개인정보보호 시스템의 필요 기능

개인정보 차단

불건전 게시물 차단

개인정보 진단 (홈페이지)

개인정보 진단 (검색엔진)

개인정보 치환



개인정보보호 시스템 – 셜록홈즈 PrivacyCenter

CC 인증 제품

GS 인증 제품

조달등록제품 (조달단가계약체결)

행정업무용 소프트웨어 선정 제품



개인정보보호 시스템 시장추이

2013년 10월 기준

출처 – 보안뉴스 (www.boannews.com)

홈페이지 개인정보보호 솔루션

조달판매 1위

시장점유율 1위



셜록홈즈 PrivacyCenter – 개인정보 차단

홈페이지

인바운드 차단

웹게시판

블로그

카페

주민등록번호

휴대폰번호

신용카드번호

은행계좌번호

여권번호

불건전키워드 아웃바운드 차단

개인정보보호시스템

아웃바운드 치환



셜록홈즈 PrivacyCenter – 개인정보 진단

홈페이지

개인정보 진단

웹게시판

블로그

카페

주민등록번호

은행계좌번호

여권번호

불건전키워드



구축사례 - 건강보험심사평가원

하위 담당자 시스템 관리자

5,000여 개 홈페이지

SMS, 이메일시스템

진단신청

진단결과 통보

웹서버 개인정보 진단

진단결과 통계,리포트 제공

진단설정



주요 구축 사례 웹서버 개인정보보호


DB접근제어 DB암호화

DB 보안



DB보안의 목적과 방안

DB보안 개요

DB접근제어 DB암호화

내용 DB접근제어 DB암호화 셜록홈즈 DB보안

1

제6조 / 제8조

접근통제 시스템 설치 및 운영

접속기록의 보관 및 위∙변조방지

적합 부적합 적합

2 제7조

개인정보의 암호화 부적합 적합 적합

개인정보보호법 ‘개인정보의 안전성 확보조치 기준 고시’

DB보안


DB암호화

데이터 암호화 진행으로 안전한 보관 및

정보유출피해방지

DB접근제어

DB에 대한 사용자의 접근 및 권한을 제어하여

유출위협을 최소화

접속 제어

권한 제어

마스킹 지원

로그 및

통계

선택적 암호화

빠른 성능

DB 무중단

권한 통제

셜록홈즈 DB보안 - DB접근제어 + DB암호화 = 통합 DB보안 솔루션

DB보안


셜록홈즈 DB보안 - 접근제어

DB접근제어 - 접속제어

조건에 따른 로그인 허용/차단을 개인&그룹 별 정책 부여 1인1계정, 별도 인증 절차 등 사용자 식별 절차 진행

DB접근제어



DB접근제어 - 권한제어 (SQL 통제)

SQL 명령어 권한에 따라 허용/차단/세션종료 수행 열람/생성/수정/삭제 등 세분화된 권한 제어 가능

DB접근제어



DB접근제어 - 권한제어 (개인정보보호)

개인정보스캔 다운로드 차단

그룹웨어, CRM, ERP

DB서버에서 파일 다운로드 시 개인정보 마스킹 및 개인정보파일 다운로드 차단

DB접근제어


셜록홈즈 DB 암호화

주요 특징

• DB Plan 변경 없음 (무중단 지원) • DB CPU, Memory 영향 없음 • DB 부하 발생 거의 없음 • API 방식 대비 어플리케이션 최소화 수정 • 구축기간 단축 및 유지보수 용이

새로운 DB 암호화 방식 Trend

셜록홈즈 DB보안 - 암호화 DB암호화


기존 데이터 암호화 신규 데이터 암호화

셜록홈즈 DB보안

타사

셜록홈즈 DB보안 - 암호화

NEW 최소화 수정

• 기존 및 신규 데이터 암호화 방법 동일

DB암호화 - 기존 데이터 / 신규 데이터 암호화 방안

개인정보 필드 탐지 후

원클릭 암호화

암호화 함수 삽입 (상용툴 사용가능)

Plug-in API

대량

수정

• DB암호화대상 분석 • DB영향도 분석

DB암호화


셜록홈즈 보안 솔루션 라인업

개인정보 & 내부정보유출방지 솔루션

감사합니다 Thank you for your attention

- pc, 출력물 매체 웹, db, 네트워크...

Documents