[2013.10.24] 전사적 산업정보 보안관리 2일차

정보보안 관리(Information Security Management)

 

RFC(Request For Comments) - 비평을 기다리는 문서라는 의미

 

[대표적인 RFC]

RFC 2401 : Security Architecture for the Internet Protocol

RFC 1320 : THE MD5 Message - Digest Algorithm

RFC 2196 : Site Security Handbook

RFC 1087 : Ethics & Internet

 

무결성의 3가지 목표(Goals)

 (1) 비인가자에 의한 비 인가수정으로부터 데이터 보호

 (2) 인가된자에 의한 비 인가수정으로부터 데이터를 보호

 (3) 데이터는 내, 외부적으로 일관성이 유지되어야 함

 

Trust Models?!

 

[국내법]

정보통신망 이용촉진 및 정보보호 등에 관한 법률

정보호 촉진 기본법

정보통신 기반 보호법

개인정보 보호법

신용정보 이용 및 보호에 관한 법률

특허법(Patient)

 

[정책 Policy]

조직이 어떻게 운영되어야 하는가를 나타내는 관리 지시(명령)

   --> 무엇은 하면 되고, 무엇은 하면 안되는 거

 

전략 -> 정책 -> 표준 -> 권고(Guide Line) -> 프로세스, 절차

 

 

정책의 역할(Role of Policy)

1. 정책은 조직문화의 방향 설정을 제시

2. 무엇(What)을 왜(Why) 보호할 것인가를 명확하게 제시

3. 보호를 위한 책임(Responsibility) 명시

4. 우선적으로 보호해야 할 대상과 투자 우선 순위를 제시

5. 정책지원을 위한 조직의 기반구조 제시(Infra Structure)

문서화된 정책

지침서

표준

절차

책임 명시 문서

집행절차

위험 평가분석 절차

보안계획 수립절차

 

 

정책의 유형 1

1. 일반적 정책(General Policy)

2. 분야별 정책(이메일 등)

3. 단편적 정책

 

정책의 유형 2

1. 규제형 정책(Regulatory Type)

무엇을 하여야 한다

언제하여야 한다

누가 하여야 한다

2. 권고형 정책(Advisory Type)

잘모르는 사람들에게 가르쳐 주며 정책을 따르도록 하는 방법

어떠한 조치를 하고 어떤 방법을 사용하라는 권고

때로는 강력한 제안을 포함

3. 고지형 정책(Informative Type)

단순히 알리는 형태

고지형에는 묵시적 기대나 벌칙이 없음

 

 

정책의 구분 3

IT보안 분야별

정보통신 보안 정책

네트워크 보안 정책

S/W 보안 정책

데이터 보안 정책

암호정책

인증 정책

키 관리 정책

 

정책의 구분 4

1. 프로그램 정책

2. 각 이슈별 정책

3. 시스템 별 정책

 

 

훌륭한 정책의 핵심요소 정리

이해하기 쉽도록 해야

적용성이 있도록 해야

집행 가능 하도록 해야

단계적으로 시행할 수 있도록 해야

사전에 시행 해볼 수 있도록 해야

절대불변성을 피해야

사업 목표를 충족하도록 해야

 

 

자산은 그 중요성에 따라 일반적으로 3등급으로 구분하며, 비밀성, 무결성, 가용성을 고려하여야 함

비밀성(Confidentiality) - 정보의 소유자가 원하는대로 정보의 비밀이 유지되어야 함

무결성(integrity) - 비인가된 자에 의한 정보의 변경, 삭제, 생성 등으로부터 보호하여 정보의 정확성과 완전성이 보장되어야 함

가용성(Availability) - 정보시스템은 적절한 방법으로 작동되어야 하며, 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안됨

 

 

APT(Advanced Persistent Threat) : 지능형 지속 위협

 

보안관리 소홀할 수 있는 문제점 11가지

-관리자 PC 보안 미흡
-관리자 PC에 사내 서버 접속정보 보관
-서버 접근이 관리자 IP 이외에도 가능
-웹서버 보안 미흡(웹쉘 업로드 가능)
-보안 패치 미흡
-업데이트 파일의 무결성 검증 미흡
-업데이트 서버의 취약한 인증
-서버 내 방화벽 설정에서 타 서버 접근 허용
-개발 서버가 동일 망에 존재
-디폴트 비밀번호 사용
-불필요한 명령어 사용제한 없음
 

클라우드 시스템

데스크탑 가상화

- Public Cloud 보안 이슈?     VM 접근 인증

 

피싱은 사회공학

파밍은 공격기술

 

보이스피싱 < 메신저피싱 < 스미싱(smartphone) < 파밍(desktop)

*현재 대응책 : PC지정 & SMS 추가인증

 

EVSSL : 은행권 접속 시 URL 녹색으로 바뀌는거(도메인과 공인IP가 일치)

개인화 이미지 : 이전에 이미지를 업로드한 것이 맞는경우 서비스 이용 안전

 

MITM(Man-In-The-Middle)

http://ko.wikipedia.org/wiki/%EC%A4%91%EA%B0%84%EC%9E%90_%EA%B3%B5%EA%B2%A9

MITB(Man-In-The-Browser) 

http://en.wikipedia.org/wiki/Man-in-the-browser

 

06_국내_인터넷뱅킹_계좌이체에_대한_MITB_취약점_분석(맹영재_외).pdf

 

 

 

[시설관리]

공용구역(접견실)

일반구역(사무실, 회의실)

제한구역(장비실, 전기실) : 설비들의 훼손, 파괴, 오작동 등으로 유출 및 침해가 발생할 수 있음

통제구역(연구소) : 근무자 이외는 출입 금지, 관련자&일반직원은 반드시 승인필요, 외부인 출입 절대금지

 

CPTED(Crime Prevention Through Environmental Design)

 - 적절한 물리적 환경 설계를 통해 직접적으로 사람 행동에 대해 영향을 미쳐 범죄를 줄이거나 예방하는 것

3가지 원리

* 자연스런 감시(natural surveillance)

* 자연스런 접근 통제(natural access control)

* 관할영역 강화(territorial reinforcement)

 

 

 

[IT보안관리]

PC관리

*패스워드 관리

*화면보호기 사용 및 전용 패스워드 설정

*PC 보안용 소프트웨어 설치 : 라이선스 없는 불법S/W 사용금지

*백신 프로그램 일정한 시간 점검 실시, 자동 업데이트 및 예약점검 실시

*PC에서 작업한 중요문서는 평문 조회가 불가능하도록 암호화하여 데이터베이스에 저장

 

보조기억매체

국가정보원에서 2007년 4월 제정한 'USB 등 보조기억매체 보안관리지침'이 존재 

USB메모리등_보조기억매체_보안관리지침.pdf

 

 

정보관리시스템

DRM(Digital Rights Management, 디지털저작권관리) : 사용자 권한별 접근 분리

*인증처리 시스템

*암호화 처리 기술

*다양한 사용 권한 관리 기술

*크래킹 방지 기술

*사용자의 다양한 환경 및 응용소프트웨어를 지원할 수 있는 모듈 기술

*출력자 및 유출자 추적 기술

 

DLP(Data Loss Prevention) : 유출방지

통합인증권한관리(EAM) 시스템 : SSO 필수

 

지식관리시스템(KMS) : 조직내의 인적자원들이 축적하고 개별적인 지식을 체계화하여 공유

그러나 내가 가진 지식은 내꺼다 인식이 강함

 

백업(복원)시스템

 

무선네트워크 보안 : 관리가 어렵다, 보안관리 철저해야함

1. Hidden AP(SSID)

2. WPA2 Password

3. Client MAC 인증

  - 위 3가지 방법도 최근엔 취약할 수 있다.

 

VPN 보안

계정관리 철저(기간명시 등)

- 긴급용 계정 발급

 

 

 

기업내 보안관리

통제의 3가지 유형

-관리적 통제(Administrative controls)

-기술적 통제(Technical controls)

-물리적 통제(Physical controls)

 

계층화 방어 모델(Layered Defense Model)

 - 물리적 보안의 기반 모델 : 하나의 보안기술보다 둘 이상의 보안이 훨씬 우수

 

보안 프레임워크는 필요한 통제와 대응책으로 구성

 

 

문(Doors)

보안성 갖는 문 설계시 : 방향성, 문 2개 운영

 

자동문 기본값

fail open : 전력공급 중단 시 자동으로 열림(인명이 중요할 경우)

fail closed : 전력공급 중단 시 자동으로 닫힘(자산이 중요할 경우)

 

 

 

 

일반적인 공격기법

*쿠키(Cookie) 방식

-Persistent and Secure : HTTPS나 SSL/TLS를 통하여 쿠키 전송(텍스트 파일로 쿠키 저장)

-Persistent and Non-Secure : 일반 HTTP를 통해 쿠키 전송(텍스트 파일로 쿠키 저장)

-Non-Persistent and Secure : HTTPS나 SSL/TLS를 통하여 쿠키 전송(메모리에 쿠키 저장)

-Non-Persistent and Non-Secure : 일반 HTTP를 통해 쿠키 전송(메모리에 쿠키 저장)

 

*Programming/Data Attacks

-Data Diddling : 원시 서류 자체를 위,변조하여 끼워 넣거나 바꿔치기하는 수법

(온라인에서는 데이터의 입력 전후를 기해 데이터를 변조하는것을 의미)

-Salami attack

-Logic bomb

-Mistakes

-Boundary errors : Buffer Overflow의 원인

 

*DB 보안 위협

-집성(Aggregation) : 낮은 등급의 정보 조각을 조합하여 높은 등급의 정보를 알아내는 것

-추론(Inference) : 보안등급이 없는 일반 사용자가 보안으로 분류되지 않은 정보에 정당하게 접근, 기밀유추

ex) ID/PW 둘다 모를경우 브루트포스 어택 시 ID 입력 횟수 제한 or 'ID 또는 PW가 올바르지 않다'

 

 

Dos - 3rd Handshaking 악용, SYN 다량 전송, SYN-ACK 수신안함

DNS Attack - 파밍 전제조건(DNS가 해당서버 IP정보를 가지고있는데 이때 해커가 조작)

세션 하이재킹 - 접속 불가 시스템에 자신을 속여 접근, 시퀀스넘버(예약번호)

Cross Site Scription(XSS) - 서버 경유해서 다른 이에게 명령을 내릴수 있는 취약점 있음

SQL Injection - Admin 로그인 시

  ex) SELECT * FROM product WHERE id=admin AND passwd='1234' or 1=1-- (1=1이므로 항상 참)