보안 전공 대학생이 본 2013 기업 보안 이슈

현장속으로/세미나 2013. 3. 24. 21:04

3월 20일 코엑스 그랜드볼룸에서 (사)한국침해사고대응협의회가 주관한 'CONCERT FORECAST 2013 - 기업 정보보호 이슈 전망'에 다녀왔다. 



CONCERT FORECAST는 2007년부터 정보보호 사용자와 벤더의 입장에서 정보보호 이슈를 선정하여 매 년 세미나를 개최해왔다. 키노트 스피치에 이은 4가지 주제 발표와, 해커의 입장에서 본 2013년 이슈에 대해 패널들이 토론하는 프로그램이 진행되었다. 


시간 

프로그램 

발표자 

 09:30~09:50

행사등록 

 09:50~10:00

 경품 추천 및 행사안내

 10:00~10:40

 [Keynote] 기업 정보보안을 위한 최고경영자의 역할

김세헌 교수(KAIST) 

 10:40~11:40

 [Issue 1]기업보안과 통합 모니터링

A. 보안분석(모니터링)을 통한 개인정보 유출사고 예방

B. 시큐리티 인텔리전스의 활용을 통한 효과적인 통합 보안 모니터링 방안

김재수 팀장(LG전자)

나병준 차장(한국IBM)

 11:40~12:40

 [Issue 2] 개인정보보호화 컴플라이언스 대응

A. 네이트 손해배상 판결의 분석과 전망

B. 최근 판례로 보는 개인정보 유출사고 재발방지기능 소개

구태언 변호사(테크앤로)

최일훈 부사장(소만사) 

 12:40~14:00

 중식 및 부스관람

 14:00~15:00

 [Issue 3] 내부정보 유출방지와 DLP

A. 외부 파트너사 등의 효율적 관리를 위한 내부통제 설계방안

B. 법적 준거성 마련을 위한 공공기관 보안정책과 시스템 구현방향

신동혁 팀장(쿠팡)

김요셉 소령(방위사업청) 

 15:00~16:00

 [Issue 4] NAC/MDM/APT on BYOD

A. 차세대 위협사례 분석 및 보안 위협 대응 방안

B. BYOD를 위한 효율적인 모바일보안 구축방안과 사례

김현준 이사(파이어아이)

강정구 부장(지란지교 소프트) 

 16:00~16:20

coffee break 

 16:20~17:30

 Special Panel: Hacker's Thoughts on 2013

Panel:최상명 팀장(하우리), 이주호 중국지사장(CN시큐리티), 홍민표 대표(에스이웍스)

 17:30~18:00

 경품 추첨 및 폐회


































 





[키노트] 기업 정보보안을 위한 최고경영자의 역할 - 김세헌 교수(KAIST)

기조연설을 맡은 김세헌 교수는 기업의 정보보안을 위해서는 기술적 방비와 제도적 방비를 갖추어야 한다고 말문을 열었다. 이어서 "이제까지 정보보호는 주로 CIO(Chief Information Officer: IT 담당 중역)이 책임지고 있었지만 CIO가 정보보안을 전반적으로 통제하기 어렵기 때문에 경영 측면에서 CSO(Chief Security Officer: 정보보안 담당 중역)가 필요하다. IT 전담부서와 분리하기를 권한다."라고 말했다.


또한 CEO의 역할에 대해 2011년 가장 큰 보안 사건이었던 H사 해킹 사건과 N사 전산 장애 사건을 예로 들었다. 당시 H사는 42만 명의 고객 정보가 해킹되었으며, N사는 외부 업체 직원의 노트북을 통한 공격으로 전산 업무가 며칠 간 중단되었다.


김 교수는 두 회사의 CEO가 보안 사고를 보는 상반된 시각에 주목했다. H사 사장은 '보안 문제는 CIO와 CSO만의 문제가 아닌 CEO가 직접 챙겨야 할 문제이다. 보안만 전담하는 조직을 IT와 별도로 설립하겠다'며 정보보안 관리 체계가 적절히 운영될 수 있도록 경영 관리의 틀을 구축하였다. 반면 N사 회장은 인터뷰에서 "이렇게 (사건이) 생긴 것은 내가 알고 어떻게 할 수 있는 게 아니다."라고 말했다. 정보보안에 대한 CEO의 역할을 다시 한번 생각하게 해주는 사례였다.


[Issue 1] 기업 보안과 통합 모니터링
 

모니터링이란 로그, 정보 유출, 관제 등 대상에 따라 다양하게 나타낼 수 있는 개념이다. 올해의 기업 정보보호 이슈에 모니터링이 포함된 것은 늘어나는 보안 위협으로 인해 실시간으로 모니터링을 해야 한다고 느낄 만큼 긴장감이 고도로 증가했다는 의미를 반영한다. 특히 개인정보가 유출되는 사고를 모니터링한다는 것은 까다로운 일이다. 


김재수 팀장은 "LG전자는 그에 대한 예방책으로 다양한 보안 로그와 보안 정책, 취약점을 통합 분석하여 통합 보안 분석 시스템을 구축하였고, 위험인자와 패턴을 분석하여 위험 관리 대상으로 분류했다. 내부자로 인해 개인정보가 유출되는 것을 방지하기 위해 자동으로 모니터링 시스템에 등록하는 모델을 구축했다."라고 소개했다.


나병준 차장은 한국IBM의 보안 인텔리전스 솔루션을 소개했다. 그는 "최근 APT 공격과 같이 지능화한 공격으로 인해 모니터링의 중요성이 증가하고 있다. 따라서 과거의 로그와 패턴 기반 분석의 모니터링에서 발전하여 현재는 실시간 모니터링이 요구된다. 맥락(context) 인식을 기반으로 악의적인 행위를 탐지하는 모니터링을 보안 인텔리전스라고 한다."라고 설명했다.


[Issue 2] 개인정보보호와 컴플라이언스 대응


구태언 변호사는 2011년 대형 포털의 고객 정보가 대거 유출된 사고의 판결을 설명했다. 당시 3500만 명의 ID, 비밀번호, 이름, 주민등록번호 등 개인정보가 해킹되었다. 이에 보안상 관리 책임을 묻는 집단 손해배상 소송이 이루어졌다. 


그는 1, 2차 판결을 다음과 같이 요약했다.

 

 1차 판결

2차 판결 

 해킹사고방지 주의 의무

 기술/관리적 조치의무 위반 없음

 개인정보 보호의무 위반, 과실인정

 개인정보 불법 유출탐지

 주의의무 위반 없음

 주의의무 위반 인정

 공개용 알집 SW  사용

 상당 인과관계 부정

 상당 인과관계 인정

 손해배상 책임범위

 해당사항 없음

 정신적 손해 : 200,000원

 결론

 원고 청구 기각

 원고 청구 인용


이어서 "이전에 발생한 개인정보유출 사고의 1차 판결과는 다르게 원고 청구를 인정해준 상황이다. 그러나 정보보호의무와 관련하여 의도된 공격에 대해 법적인 책임을 가할 수 있는지 의문이다. 또한 과도한 책임의 부여로 신규 시장 진입을 막는 계기가 될 수도 있다."라고 말했다.


다음으로 최일훈 부사장(소만사)은 개인정보 유출 사고가 재발되지 않기 위한 기술적 보호 조치를 소개했다.


[Issue 3] 내부정보 유출방지와 DLP

 

기업의 정보에 위협을 가하는 요소는 해킹 같은 외부 환경 요소도 있지만, 내부자에 의한 정보 유출도 있을 수 있다. 고객 정보만이 아닌 기업 내부의 기밀 정보나 기술에 대한 위험은 예전부터 있어왔다. DLP (Data Loss Prevention; 내부정보 유출방지) 솔루션은 이의 대응 솔루션이다. 이 세션에서는 내부정보유출 방지 이슈를 기업 내부의 통제와, 보안 정책의 시점에서 설명했다.


신동혁 팀장(쿠팡)은 "기업의 비즈니스 환경과 컴플라이언스는 지속적으로 변한다. 개인정보보호법과 정보통신망법이 개정되었고, 다양한 통제 항목이 존재해 많은 보안 담당자가 운영의 어려움을 느낀다."라고 운을 뗐다. 


이어서 "최근 지능적 공격이 급증하는 추세이지만 해킹에 의한 사고는 15% 내외에 그친다고 한다. 대부분의 기업에 가장 큰 피해를 주는 것은 내부 직원 혹은 퇴직 직원이 일으키는 정보유출 사고이다. 따라서 내부 통제 설계가 중요하다."라고 강조했다.  


또한 내부 통제에 정책적, 기술적 운영 및 모니터링과 아웃소싱 관리 방법에 관해 업무 현황을 반영한 통제 정책이 필요하며, 최적화한 지속적인 관리가 필요하다고 말했다.



다음으로 김요셉 소령(방위사업청)은 "내부정보가 유출되는 관점이 기업은 정보의 보호인 반면, 공공기관에서는 통제의 관점을 가진다. 따라서 공공기관은 기업과 달리 이슈 대응이 아닌 불법적인 정보의 활용을 차단하고자 하며, 가용성 기반의 정보보호를 추구한다."라고 설명했다. 


[Issue 4] NAC/MDM/APT on BYOD


BYOD(Bring Your Own Device)는 모바일 기기가 대중화하는 요즘 뜨는 단어다. 개인용 기기인 스마트폰, 태블릿PC 등이 기업 안에서 사용됨에 따라, 다양한 모바일 보안 위협에 어떻게 대응할지 알아보는 시간이었다.


김현준 이사(파이어아이)는 최근 규모가 컸던 보안 위협 사례를 설명했다. 뉴욕타임즈, 워싱턴포스트, 월스트리트저널을 겨냥한 APT 비롯해 애플과 페이스북의 Mac OS 해킹 사례, RSA 스피어피싱, 러시아대 산하 우주과학연구소 해킹 사고를 언급했다.


강정구 부장(지란지교소프트)은 대다수 모바일 보안 위협의 대안으로 모바일 단말관리 솔루션인 MDM(Mobile Device Management) 솔루션을 소개했다. MDM은 최근 금융권과 공공기관에서 적극 도입하는 솔루션이다.


모바일 보안 위헙 요소의 대책



기업의 정보보호 이슈에 대한 주제라 학생으로서 소화하기에는 다소 어려웠던 게 사실이다. 하지만, 장차 기업에서 보안 업무를 담당하고 싶은 나에게 이번 세미나는 올해 기업에서 관심을 갖는 보안 이슈에 대한 정보와 값진 경험을 주었다. Ahn




대학생기자 이수진 / 순천향대 정보보호학과


그럴 만한 가치가 있는 사람이 되자!

언젠가 제 일에 대하여 대가를 얻을 때, 

"저 사람은 그럴 만한 가치가 있는 사람이야."

라는 말이 아깝지 않을 만큼 스스로를 성장시키겠습니다.

댓글을 달아 주세요

삼성의 정보유출 방지대책, 모범 답안인가

현장속으로/세미나 2011. 6. 30. 10:11
얼마 전 KBS 마감 뉴스인 '뉴스라인'에 안철수연구소 김홍선 대표가 출연했다. 보안 이슈로 보안 회사 CEO가 전국 마감 뉴스에 출연하는 것은 매우 드문 일이다. 잇단 금융권 보안 사고로 그만큼 보안이 핫이슈가 된 것이다. 이런 가운데 6월 23일 금융위원회와 금융감독원은 ‘금융회사 IT 보안강화 종합대책’을 발표했다. 최고경영자의 IT 투자 계획 승인 및 이행 여부 확인 강화, 정보보호책임자(CISO) 지정 의무화, IT 보안 인력·예산 확충, IT 실태 평가 강화와 제재 수준 상향, IT 보안 인프라와 내부통제 개선, IT 아웃소싱 관리 강화 등이 주요 내용이다. 

사실 보안 사고가 터질 때마다 논의만 무성하고 실질적인 대책 마련에 필요한 투자는 미흡했던 게 현실이다. 최근의 분위기가 실제 보안 수준을 높이는 결과로 이어지기를 바라며 얼마 전 열린 차세대 기업 정보보안 세미나 'NES 2011'에서 다루어진 내용을 정리해본다. 삼성SDS 김문진 수석 컨설턴트는 삼성의 보안 대책 사례를 발표했다. 또한 파수닷컴 안혜연 부사장은 단말기가 다양해지고 클라우드(가상화), 모바일, 엔드포인트 등 새로운 화두가 등장하는 흐름에서 보안은 정보(데이터) 자체에 집중해야 한다고 강조했다.  

삼성은 정보 유출 어떻게 방지할까? / 삼성SDS 김문진 수석 컨설턴트

위는 작년에 있었던 보안 사고이다. 일반적으로 H중공업의 잘못이라고 생각하는데 사실은 협력업체를 통해서 유출이 되었던 사건이다. 자사뿐 아니라
협력업체의 보안도 신경
써야 한다는 것을 보여주는 단적인 사례이다.  

글로벌 기업인 삼성은 보안 측면에서 많은 투자를 하고 많은 보안 인력이 산업 현장에서 근무한다. 그 동안 들어본 보안 솔루션들은 전부 다 들어와 있다고 생각해도 된다. 모든 것이 삼성 내부에 있는 시스템을 보호하기 위해 들어와 있고 효과적으로 설치, 운영된다.
 그 중 최근 화두인 클라우드를 어떻게 활용하고 있을까? 클라우드는 여러 가지 형태의 제품이 있는데, 삼성은 그 중 SBC(서버 기반 컴퓨팅), 클라이언트 가상화, 가상 디스크를 사용한다.
우선, 외부 출장자, 재택 근무자는 내부 시스템에 접근하기 위해 클라우드 서비스를 사용한다. 협력사도 클라우드 서비스를 사용한다. 제조 라인에 대한 보안도 클라우드 서비스를 이용해 강화한다. 먼저 사용자가 밖에서 내부 시스템으로 들어올 때에는 SBC, 를 통해 작업을 한 뒤 시스템에 업데이트를 한다. 작업을 마치면 사용자 PC에는 아무것도 남지 않게 된다. 만약 사용자가 작업을 하던 노트북을 잃어버리거나 PC가 해킹을 당해도 그 안에는 업무 관련 자료가 없으니 피해가 없다. 이처럼 사용자의 실수까지 케어를 해준다. 
 
다음으로 협력업체에 사내 정보를 제공하는 경우는 클라이언트 PC 가상화를 적용한다. 가상 영역에 정보(설계도면, 매뉴얼, 심안서)를 올려주면 협력업체에서 그 자료를 받아서 작업 후에 다시 서버에 업데이트를 하는 형태이다. 리얼 PC에서는 해당 정보는 보이지 않는다. 빼내가려고 해도 빼내갈 수 없는 구조인 것이다.

또한 제조 라인의 경우 365일 24시간 작동되어야 한다. 그런데 제조 라인에 내장된(임베디드) 컴퓨터 대부분이 윈도우 기반으로 네트워크로 연결되어 있다. 그래서 바이러스가 침투할 수 있어서 멈춰버리는 경우도 생길 수 있다. 이에 대비하기 위해 사내망 또는 인터넷과 연결된 부분을 가상화 PC로 구성한다. 업무 자료는 가상 PC와 리얼 PC가 분리되기 때문에 악성코드가 침투하더라도 리얼 PC에는 영향을 못 미친다. 때문에 제조 라인 전체가 안전하다.
 
마지막으로 연구소나 기밀 업무를 하는 쪽은 가상 디스크를 사용한다. 이런 부서는 중요 문서를 개인 PC나 노트북에 저장을 못 하게 하는 것이다. 
그 결과 개인 PC가 악성코드에 감염이 되어도 내부의 중요 문서가 유출되지 않는다.
 

보안, 정보 자체에 집중해야 / 파수닷컴 안혜연 부사장


요즘 단말기에 한계가 있다는 분은 없을 것 같다. 그만큼 기술이 빨리 진화한다. 요즘 클라우드(가상화), 모바일, 엔드포인트가 화두이다. 여기에 그린 IT까지. 이런 변화 속에서 보안은 어떻게 바뀌어야 할까?
 
태블렛 PC와 같은 모바일 디바이스, 클라우드 서비스가 나오게 되었다. 이런 기술을 단지 보안 문제로 사용하지 않을 수 있을까? 업무의 효율을 높이기 위해서는 사용할 수밖에 없다. 이런 오픈된 환경에 맞게 기존 보안 모델이 바뀌어야 한다. 30년 동안 유지된 정보 보안 아키텍처가 어떻게 바뀌어야 할까? 
정보(데이터) 자체에 집중해야 한다.

예전에는 PC에서 데이터가 생성되면 내부 망에서 공유되거나 정보와 관련된 사람에게 이메일로 공유되었다. 하지만 지금은 공유할 수 있는 장이 넓어졌다. 그 결과 관리자는 해당 데이터에 대한 권한이 없는 사람이 볼 수 있느냐 없느냐를 고민하게 되었다. 여기저기서 생성되고 운영되는 자료를 얼마나 잘 컨트롤하느냐를 고민해야 한다.
컨트롤하기 쉽지가 않기 때문에 우리는 좀더 스마트해져야 한다. 예를 들면 어느 파일이 생성된 뒤 그것이 이동할 때는 권한 레벨이 자동으로 유지되게 해야 한다. 
 
우리가 집중할 부분은 엔드포인트(사용자 PC, 각종 모바일 장치와 같이 네트워크에 최종적으로 연결된 IT 장치) 보안이다. 이 부분은 그 동안 안 해온 것은 아니다. 그런데 스마트폰 유저가 점점 많아지는 이 시대에 스마트폰 이용 자체가 문제가 될 수 있다. 접근 가능한 정보가 중요한 경우가 있기 때문이다. 엔드포인트에서 정보의 중요도에 따른  컨트롤이 되어야 한다. 추후에 나아가야 되는 IT 정보의 흐름 아닐까 하는 생각이 든다.

과연 클라우드, 모바일 환경에서 중요한 것은 무엇일까? 영업, 관리, 시스템, 회계 등등 클라우드 아웃소싱이 일어나고 있다. 중요한 정보가 클라우드 서비스로 올라가게 된다. 우리가 알 수 없는 서버에 데이터가 올라가는 것이다. 이렇게 올라간 데이터는 다른 서버로 복제되기도 하고 내려받기도 한다. 그리고 단말기로 접속한 영업사원이 이용을 할 수도 있다. 어떤 정보는 모바일 디바이스로는 접근 불가(컨트롤) 되어야 한다. 이런
제약 사항
이 생겨야 보안에 대해 믿을 수 있을 것이다. 

아이패드에서 보안 문서를 연 경우

아이패드에서 일반 문서는 무방비로 열린다. 이번에는 보안 문서를 열어보자. 이 경우에는 암호를 넣어야 한다. 권한이 있는 사람만 보는 것이다. 
이메일로 받은 파일도 마찬가지이다. 받은 파일을 특정 뷰어로 보는 경우 시간에 제약을 주는 것이다. 가령 일정 시간 내에서는 인증을 묻지 않고 작업을 진행시키고 아무 작업 없이 10분이 지나가면 다시 인증을 거치는 것이다. 

엔드포인트에서의 또 다른 예제는 내부에서 사용하는 프린터가 될 수 있다. 프린터가 똑똑해져서 MFP(멀티 펑션 프린터)가 생긴다. 파일을 전송할 수도 있고 공유도 가능하고 스캔도 된다. 이런 기기가 보편화하는 데 어떤 보안이 필요할지 생각해야 한다. Ahn
 
 
대학생기자 김재기 / 한양대 안산 컴퓨터공학과


해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.


댓글을 달아 주세요

  1. jjongmi 2011.07.01 21:19  Address |  Modify / Delete |  Reply

    다른 세미나에서 삼성의 기업보안에 대해서 들은 적이 있는데 클라우딩을 활용한다는 건 처음듣네요^^~ 잘 읽었습니다!