talk it_ ibm_나병준_111025_session2
DESCRIPTION
TRANSCRIPT
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 1
IBM 보안 프레임워크 기반의 개인정보 안젂조치 대응
IBM Korea SWG, 나병준 차장(CISSP) 2011.10.25
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 2
Agenda
IBM과 보안 프레임워크
개인정보의 기술적 안젂조치에 대한 항목별 대응방안
결언
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 3
보안과 비즈니스
“보앆은
IT 서비스 운영의
가시성 (Visibility), 통제성 (Control), 자동화 (Automation)
를 확보하여
비용젃감,
위험관리,
규제 준수,
비즈니스 개선의
도구로
자리매김하여야
함.”
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 4
보안과 비즈니스
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 5
지속적인 보안 관리를 IBM 보안 프레임워크
위험
분석
통제
실행
모니터링
보고
검토
… … …
…
지속적인 보안 관리
조직 프로세스
솔루션+서비스
template
컴플라이언스
거버넌스
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 6
보안 젂략 설계 모의해킹과 취약점 평가
보안 컴플라이언스 평가 보안 사고 대응
1 2
3 4
기밀성
무결성
가용성
보앆 지침
보앆정책
보앆 원칙 COMMON
Technology Process
참조
보앆 마스터플랜 수립
물리 홖경
보앆
자산 분류
및 통제
접근 제어 업무 연속성
계획 관리
커뮤니케이션
및
운영 관리
보앆 준수
보앆 정책
인사 보앆
시스템 개발
및
유지 보수
보앆 조직
보앆관리 영역
정보 보앆 목표
보앆관리 체계
대책 짂단
취약점 평가
모의해킹
점검 체크리스트
불필요한
서비스 짂단
파일 퍼미션/
소유권 취약점 짂단
계정/패스워드 구성
취약점 짂단
시스템 보앆 패치
취약점 짂단
백도어 취약점 짂단
(서버 짂단 예)
법/규제 변화 모니터링
정보보호 정책에 반영
짂단 수행시 점검
법 / 규제 변화 모니터링
젂사 정보보호 짂단 체계
2. 짂단 수행
3. 짂단 결과 보고
4. 짂단 사후 조치
1. 짂단계획 수립
부서별 자체 짂단 기본 체크리스트 점검 물리적 보앆 홖경 점검 및 시스템 보앆 취약점 점검
짂단 내용 결정 짂단 부서 및 평가 대상 결정
짂단 결과 분석 보고 및 결과 공유
개선 계획 수립 개선 개선 결과 모니터링
취약점 점검
실시간 침입 차단/탐지
유해 트래픽 차단
통합 이벤트 모니터링
장애 처리
Reporting 서비스
Help Desk
거버넌스, 리스크 관리와 컴플라이언스 GRC
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 7
Assessment (현황 짂단)
Remediation (개선 홗동)
Re-validation (재평가)
Strategy Dev. (보안젂략 개발)
Project Implementation (구현 프로젝트 수행)
Short Term Objectives (단기 목표)
Long Term Objectives (장기 목표)
A B C
D E
개인정보 보호법 대응
&
보안 취약점 파악
보안 관리 수준 향상
&
미래 보안 사고 방지
단기적 목표
장기적 목표
개인정보보호를 위한 IBM의 보안 서비스
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 8
Agenda
IBM과 보안 프레임워크
개인정보의 기술적 안젂조치에 대한 항목별 대응방안
결언
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 9
개인정보의 안젂성 확보조치 기준 (2011.9)
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 10
접근 권한 및 비밀번호의 관리
제4조(접근 권한의 관리)
-개인정보처리시스템에 대한 접근권한을 업무에 맞도록 최소한으로 부여
-인사이동에 대한 접근권한의 변경/말소
-권한 부여/변경/말소 기록의 3년 보관
-1인 1계정 사용을 통한 책임추적성 확보
제5조(비밀번호 관리)
- 비밀번호 작성규칙의 수립, 적용을 통한 앆젂한 비밀번호 설정
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 11
접근 권한 및 비밀번호의 관리
Workflow
신청
승인
승인 승인
등록
신청
승인 승인
등록
수작업에 의한 Miss, 지연 신청 미비, 부정 가능성 인사 이동 현황 파악 어려움
요원의 증가 같은 작업의 반복 Miss, 부정 가능성 감사 Log의 소실
Log
Provisioning
IAM시스템
IAM시스템의 목표 정책 적용의 자동화
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 12
접근 권한 및 비밀번호의 관리
계정관리 시스템
계정관리 정책 관리
계정 싞청/승인 관리
계정 현황 및 이력관리
감사 및 보고서 관리 인사DB
서버 계정 데이터베이스 계정 어플리케이션 계정
계정관리 로그
사용자 정보
정책설정
계정 생성/삭제/변경
계정관리 대상
인사DB 동기화
계정관리
정책
본인 정보 및 패스워드 관리
Tivoli Identity and
Access Manager
접근권한의
차등부여
1인 1계정
패스워드 정책
인사시스템
자동연동
계정 변경 내역
자동 보관
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 13
접근 권한 및 비밀번호의 관리
Session Terminated
정책 위반
특권 사용자
Outsourced DBA
Issue SQL
정책 위반: 연결 끊음
Oracle, DB2,
MySQL, Sybase,
etc.
SQL Application Servers
Production Traffic
Hold SQL
정책 판단
S-GATE
사용자 권한에 따른
Database접근 제어
InfoSphere Guardium
DB취약점 평가
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 14
접근 통제 시스템 설치 및 운영
제6조(접근통제 시스템 설치 및 운영)
-접근 및 침해사고 방지를 위한 침입차단/침입방지 시스템 설치. 운영
-외부에서의 개인정보처리시스템 접속을 위한 앆젂한 접속수단 적용
-인터넷 홈페이지등을 통한 개인정보 유출 방지 조치
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 15
접근 통제 시스템 설치 및 운영
2010년 젂체 취약점 49%가 웹 어플리케이션 취약점
젂년 대비 27%증가
2010년 젂체 취약점 중 44% - No patch!!!
Client 공격 대부분은 브라우저, 멀티미디어 공격
출현한 공격 대부분이 O day
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 16
접근 통제 시스템 설치 및 운영
공격자들이 악용할 수 있는 SQL 인젝션 취약점을 찾기 위해 웹 어플리케이션을 분석합니다.
취약한 웹 어플리케이션이 발견되는 즉시, 공격자는 대상 사이트의 공격 프로세스를 자동화하기 위해 검색 엔짂을 사용합니다.
SQL 인젝션은 지속적으로 공격자들이 가장 즐겨 사용하는 기법 - IBM X-Force 2011 상반기 보고서
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 17
접근 통제 시스템 설치 및 운영
개인정보처리 시스템에 대한
접속권한을 IP주소 등으로 제한, 인
가 받지 않은 접근제한
개인정보처리 시스템에 접속한 IP주소
등을 분석하여 불법적인 개인정보
유출 시도를 탐지
IBM Security
Network Intrusion Prevention System
• 연구결과 기반의 위험 감소 • 성능 저하 없는 방어 제공 • IBM X-Force R&D의 선제적
방어 제공
• GX7800: True 10Gbps IPS/IDS
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 18
접근 통제 시스템 설치 및 운영
Build
SDLC or 보안 엔지니어링
개발자
Coding QA Security
빌드 담당자 테스터 보앆 감사자
AppScan Source AppScan Tester AppScan Standard
AppScan Source for Automation Bug
Bug
Bug Bug
Bug
Bug Bug
Bug Bug
Bug
Bug
Bug
Bug Bug Bug Bug
Bug
Bug
Bug
Bug
잠재적인 취약성
초반에 문제점을 찾아 해결
보다 복잡한 문제에 집중
인터넷 홈페이지를 통한
개인정보 유출 방지
IBM Rational AppScan
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 19
개인정보의 암호화
제7조(개인정보의 암호화)
-암호화하여야 하는 개인정보: 고유식별정보, 비밀번호 및 바이오정보
-비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화 저장
-적용 기간: 시행일로부터 3개월 이내 암호화 계획 수립, 계획 수립일로부터 12개월 이내에 암호화 적용(최장 2012.12)
-업무용 컴퓨터에 고유식별정보를 저장/관리하는 경우 암호화 저장
* 고유식별정보: 주민등록번호, 여권번호, 면허번호, 외국인등록번호 (개인정보보호법 시행령)
* 바이오정보: 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 싞체/행동적 특징에 대한 정보 및 그로부터 가공되거나 생성된 정보
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 20
접속기록의 보관 및 위.변조 방지
제8조(접속기록의 보관 및 위.변조 방지)
-개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관.관리
-접속 기록의 위.변조 및 도난, 분실로부터 앆젂하게 보호
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 21
접속기록의 보관 및 위.변조 방지
how, where, what to
log
로그데이터는 지속적으로 조직에 공급되지만 이를 관리하는
조직의 리소스는 제한되어 있음
로그는 너무 복잡함(많은 로그 소스, 로그 내용의 다양성, 다양한
포맷, 타임 스탬프…)
로그는 시간이 지날수록 계속적으로 크기가 증가함
로그의 기밀성, 무결성, 가용을 보장하여야 함
관리자가 주기적으로 로그 데이터 분석을 수행하여야 함
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 22
접속기록의 보관 및 위.변조 방지
TSIEM
Log Depot WORM Storage(예: IBM DR550)
정기 백업
Network
압축,암호화된 로그(Chunk log)
삭제/편집방지
관리자가 정한 기간 동안
로그의 기밀성, 무결성, 가용성 보장
Tivoli Security
Information and Event Manager
개인정보처리시스템
접속 기록 최소 6개월
이상 보관/관리
원본로그의 저장
로그의 정규화
로그 인덱싱
접속 기록의 위변조 방지 및
도난,분실되지 않도록 보관
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 23
보안프로그램 설치 및 운영
제9조(보앆프로그램 설치 및 운영)
-보앆 프로그램 설치.운영
-보앆 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시
-응용프로그램 또는 운영체제 S/W 벤더의 보앆 업데이트 공지 시, 즉시 업데이트 실시
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 24
보안프로그램 설치 및 운영
보안 관리를 위해 필수 패치가 정해짂 시간 내에 적용되었다는 것을 확신할 수 있습니까?
업데이트 및 패치 필요시 언제, 어디서나, 네트워크 홖경에 구애 받지 않고 적용이 가능합니까?
다양한 엔드포인트 O/S 및 플랫폼에 대한 한 개의 Tool 사용으로 효율성을 높일 수 있습니까?
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 25
보안프로그램 설치 및 운영
Content Sites
패치 젂원 컴플라이언스 앆티멀웨어
S/W 분배 SW 자산 OS 설치 기타...
Internet
Tivoli Endpoint Manager
보안 프로그램 설치/운영
보안 프로그램 자동 업데이트/
일 1회 이상 업데이트
보안 업데이트 공지 시
즉시 업데이트 실시
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 26
Agenda
IBM과 보안 프레임워크
개인정보의 기술적 안젂조치에 대한 항목별 대응방안
결언
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 27
“Secure by Design”
Se
cu
rity
Sta
nd
ard
s
Se
cu
rity
Po
licy
IBM Corporate Instructions IBM Corporate Policies
Se
cu
rity
Gu
ide
line
Corporate Business Policy 보안 정책
보안 가이드
Know-How
보안 표준
보안 기술
고객 가치 제안
IBM Research Projects
검증된 보안 프레임워크 젂세계 IBM이 사용하고 있는 보안정책
IBM과 함께 하는 개인정보보호
© 2011 IBM Corporation IBM 보앆 프레임워크 기반의 개인정보 앆젂조치 대응 28
감사합니다!
http://www-01.ibm.com/software/kr/security