4. 사이버보안의 유래
통신보안 (Co m m u n icatio n Secu rity) : 컴퓨터 없던 시기 암호통신 위주
컴퓨터보안 (Co m p u ter Secu rity) : 컴퓨터에 의한 전산작업시의 보안
네트워크보안 (Netw o rk Secu rity) : 통신 및 컴퓨터 보안
정보보안 (In fo rm atio n Secu rity) : IT 처리시 보안 * 현재 기업의 보안
사이버보안 (Cyb er Secu rity) : 인터넷 기반의 광범위한 보안
정보전 (In fo rm atio n Warfare) : 차세대 전쟁 , 정보 공격 및 방어
산업보안 (In d u stria l Sp y) : 기업비밀정보 유출
* In tern et Hackin g 이 변화의 주도적인 역할
재미 , 호기심 ,
영웅심
전세계 감염
영웅심리
돈벌이 ,
산업스파이
5. 정보전과 위협방어
침투(Pe n e tra tio n )
훼손 (Fab rica tio n )
유출 (Disclo su re)
방해 (In terfe re n ce )
수정 (Mo d ifica tio n )
Offe n se
사이버범죄
Cyber Crime
사이버테러
Cyber Terror
산업스파이
Spy Hackers
De fe n se
In cre a se a va ila b ility
p re ve n t a va ila b ility
d e cre a se in te g rity
e n su re in te g rity
d e cre a se a va ila b ility
e n su re a va ila b ility
Offe n sive a n d d e fe n sive In fo rm a tio n w a rfa re
7. 7. Psychological
Human
Factor
6. Custom (Habit)
Cognition
Behavior
5. Operation
4. Contents
Intangible
Rules
Data
3. OS/Application
2. Hardw are
Tangible
Semantic
Hack
(Cognitive
Hacking)
1. Physical
Softw are,
Syntax
Syntactic
Hack
Physical Hack
•Gosuke Takama, M eta Association, Papan, "Security, Privacy Data Protection, and
Perspectives of Counter Cyber Crime", CodeGate Conference, April, 2008, Seoul
•Cybenko, giani A., Thompson P., Cognitive Hacking: A Battle for M ind, IEEE Computer, Vol
35., No. 8, (2002) 50-56
8. 계 층
위협 사례
대 책
심리
피싱 , 파밍 , 인터넷사기
홍보교육 , 인식제고
관습 /습관
ID도용 , 파밍 , XSS 등
인식제고 , 디지털 서명 등
운영 관리
DOS, 스팸 , 사보타지 , 산업스파
이 , 랜썸웨어
필터링 , OPSEC, 사법 , 정책 , 인식
제고 등
콘텐츠
스니퍼 , 스팸 , 스파이웨어 , 컨텐츠
위변조 등
필터링 , 암호화 , 콘텐츠 감시 및 필
터링 , 호스트기반 IDS 등
OS/애플리케이션
DOS, Atta ck Scrip t, 봇넷 , 루트
킷 , 제로데이 공격
방화벽 , N-IDS, An ti-Viru s, IPS,
Pa tch & Au to Pa tch , UTM 등
하드웨어
부당접근 , 훼손 , 위변조 등
경계보안 , 훼손방지 , 포장
물리
시건장치 훼손 , 도난 , 파괴
CCTV 감시 , 경보 , 경보 알림
9. 심리적 보안체계
테러형 범죄
구분
계
해킹
일반형 범죄
바이러스
통신사기 명예훼손 개인정보
게임사기 성폭력등
침해
불법사이 불법복제
트 운영
판매
677
기타
'03년 51,722
8,844
47
26,875
2,976
2,015
1,719
8,569
'04년 63,384
10,955
38
30,288
3,751
2,065
2,410
1,244 12,633
'05년 72,421
15,831
43
33,112
6,338
2,889
1,850
1,233 11,125
'06년 70,545
15,934
45
26,711
7,109
2,327
7,322
2,284
'07년 78,890
13,988
49
28,081
9,164
3,741
5,505
8,167 10,195
8,813
유형별 비율
90,000
80,000
70,000
60,000
50,000
40,000
30,000
20,000
10,000
0
테러형
일반형
테러 사이버범죄
= Syntactic Hack
일반형 사이버범죄
= Semantic(Cognitive) Hack
2003년
2004년
2005년
2006년
2007년
임채호. 김지영, 최진혁, “심리적 보안관점에서의 사이버범죄 프로파일링” , 한국정보보호학회
10. 정보보안의 목표
•
정보보호의 목적과 프라이버시
– 비밀성 보장 (Co n fid en tiality)
• 개 인적 Em a il, 사적 통신 , 계좌번호 등
• 소극적 공격 즉 Sn iffin g , Tro ja n 등으로 쉽게 공
격 가능
Targets of
Information Security
– 무결성 보장 (In teg rity)
• 금융거래내역 , 잔고 , 신용정보 , 병력 , 개 인정보
• 적극적 공격 , Cra ck, 신원 위조 , 내용 변조 등의
방법
Confidentiality
– 가용성 보장 (Availab ility)
• 시스템 , 네트워크 및 응용 서비스 불통 등
• 소극적 공격인 Do S, DDo S, Wo rm 등 이용
•
데이터 및 시스템 (네트워크 )
–
–
데이터 보호 (프라이버시 ) ; Co n fid e n tia lity/In te g rity
시스템 보호 (네트워크 ) ; Ava ila b ility
Integrity
Availability
12. 보안 위협과 사례
사례 분석
• 정보통신부 , “을지연습”
• 청와대, “들판에 있는 인프라”
• 국가정보원, “사회공학적 메일”
• 국방기관 , “악성코드”
• 금융기관, “인터넷 뱅킹”
• 방산업체 , “북한 스파이 해커”
• 개인정보 피해 업체
* 정말 대단한 방법을 2004년에 시행
“진보연대”, “부정축재자 명단”
사회공학(Social Engineering, Cognitive, Semantic)
13. 보안 위협과 사례
•
Gap
– 공격기술 > 정보보호기술
– 공격기술
• Ma l w a r e A t t a c k s
• Social En gin e e r in g
• Ze r o - D a y A t t a c k s
기술
공격기술
gap
– 정보보호기술
• An om aly De t e ct ion
• Ma n a g e m e n t / P r o c e s s
• Aw ar e n e s s
정보보호기술/
방어기술
14. 보안 위협과 사례
•
악성코드에 의한 종합적인 위협
– 가용성 보안 웜에 의한 네트워크 불통
• Code Re d, Slam m e r , Bot 등
– 비밀성 / 무결성 보안 공공기관 , 뱅킹 , 민원서류 위 변조
• 트로이목마 ,
• K e y s t r o k e 감시 ,
• Cove r t Ch an n e l
Availability
DDoS
Confidentiality
Integrity
CodeRed
Slammer
악성코드의 세계
2000
2001
2002
악성코드
종합적 윈도우
공격
1:1
유닉스 공격
Bot/Botnet
Peep 변종
2003
2004
Unknown Worm
KeyStroke Logger
Spyware, Adware
2007
2006
2005
15. 보안 위협과 사례
• 인터넷 뱅킹 해킹
– 포털 사이트 게시판 “재테크 ” 게시 – 사회공학 공격
– 피해자 접속하여 Ke y Stro ke 감시 프로그램 설치
• Tro jan Ho rse
• 공인인증비밀번호 , 아이디 , 패스워드 , 5 개 의 보안카드번호
감시
– 3 0 개 의 비밀번호를 알기 위하여 매번 로그인 하면서 반복
• 평균 15 회만 반복해도 알게 됨
– 5 0 ,0 0 0 천원 공범에게 이체함
• 금융이체 방법은 항상 탄로남
– 대응방안
•
•
•
•
사용자 교육 (Secu rity Aw aren ess)
공인인증서 발급 /재발급 철저
An o m aly Detectio n 기법 적용
In te llig en ce 적용 (도구 탐지 , Sig n atu re개 발 )
(조선일보보도)
16. 보안 위협과 사례
트로이목마(Tro jan Ho rse )
2 0 0 4 . 6 중국에서의 국내 정부공공기관 해킹
PC에서 정보 추출 가능
변종 Pe e p Tro ja n Ho rse
피해기관의 PC에 8 0 포트를 이용하여 몰래 잠입한
특수한 Tro ja n Ho rse
– 2 0 0 종 이상의 Tro ja n Ho rse , BO2 K, Se 7 e n 등 유
명
–
–
–
–
NetBus Client
Peep
Config
Peep Server at Target
Peep Viewer (Client)
17. 보안 위협과 사례
• Phishing
– ' 개인정보(p riva te d a ta)' 와 ' 낚시
(fish in g )' 의 합성어로 ,
"개 인 정보를 낚는다 "는 컴퓨터 해커들
의 용어
e-mail로 고객의
개인정보 입력 요구
(계좌번호, 신용카드번호 등)
e-mail 상에서
개인정보 입력시
"위장 홈페이지"에 저장
수집된 개인정보를
각종 범죄에 이용
18. 보안 위협과 사례
• 스파이웨어/애드웨어
– 악성프로그램의 하나로서
– 기업의 기밀정보를 빼내는 스파이웨어 (Sp y-w are )의 일종인
– 광고를 위한 애드웨어 (Ad -w are) 등으로 개 인정보 유출
19. 보안 위협과 사례
•
Bot/BotNet
– Robot 의 준말 , 침입자에 의해 제어 당하는 시스템
– 제어를 위하여 IRC (In tern et Re la y Ch a t)이용
• 메시지 공유 , 파일전송 및 명령어 교환
– Bo tNe t, Bo t들이 IRC 등으로 연결된 경우
• Ag o Bo t, rb o t, rxb o t, sd b o t 등도 합법적 IRC이용
– 악성행위
•
•
•
•
DDo S 공격 가능
정보 유출 , 피싱에 이용
불법 거래 , 백도어
와레즈 사이트 운영 등
krCERT/CC-TR-2004
20. 보안 위협과 사례
사회공학(So cia l Eng ine e rin g )
사기 및 유혹
악성코드 받을 가능성 농후
C/I/V
신원위장 (Im p erso n a l)
ID패스워드 추측 /위장
Cra ck, 추측 공격 , 서버 /포탈 해킹 시
C/I/A
데이터 기반공격 (Da ta
Drive n ),
악성프로그램
Viru s, Tro jan , Wo rm , Bo t, Sp yw a re, Ad w a re ,
sn iffe r 등
C/I/A
취약점공격 (Exp lo its)
SW취약성 공격
Sca n n e r 및 e xp lo its 도구 이용
C/I/A
서비스거부공격
(De n ia l o f Se rvice)
서비스 불능 /고장 유발
Do S, DDo S, Wo rm 등
A
구조적 결함 (In fra stru ctu re)
TCP/IP 설계 결함
Syn Flo o d in g , Sm u rf, IP Sp o o f
A
Sp e e d Up Au to m a tic Atta ck s
Wo rm , DDo S 등 , Co d e Re d , Sla m m e r
C/I/A
To o ls in Co m p le x
DDo S To o ls, Pe e p
C/I/A
Ve ry Qu ick Vu ln e ra b ilitie s
Ba g le , Ag o Bo t 는 소스 공 개
C/I/A
Fire w a ll Frie n d
Tro ja n Ho rse , 메일 첨부 , 사회공학
C/I/A
Asym m e tric Atta cks
내부망 감염 , Mo b ile 환경 , 노트북 등
C/I/A
In fra stru ctu re Atta cks
Sla m m e r, DDo S 등
A
21. 보안 위협과 사례
SYSTEM
(OS)
Win NT/2000
Linux / Unix
root
Service
Application
(IIS , Apache ,
Sendmail …)
Service Attack
(RPC
, M essenger
,LSASS…)
Warhol
w orm
Financial
M onster
Who is Next?
(M onster–Bot)
Commercial
Application
Language
( PHP ,JSP , ASP… )
23. 신뢰적 보안체계
Yes or
No?
• “Security in Computing”
Secure
Trusted
안전한가? 아닌가?
신뢰의 정도(Level)
발표자의 의지
고객이 판단
보안의 특성 중요
증거와 원인 분석
절대적 관점
사용결과 상대적 평가
보안의 목표 중요
보안의 특징 중요
“시장은 수요자가 결정한다”
Profiling
24. FISMA
연방정보보안 관리법(FISM A)
분류
통제항목 선택
커스터마이징
문서화
FIPS 19 9
SP 8 0 0 -6 0
FIPS 2 0 0
SP 8 0 0 -5 3
FIPS 2 0 0
SP 8 0 0 -5 3 ,SP 8 0 0 -3 0
SP 8 0 0 -18
정보시스템의 중요도 /
민감도에 따른 분류
최소 통제항목 선택
점검항목 적용
위험평가 기반의 통제항목
보완 , 기관별 점검항목
구성
보안통제 항목 문서화 및
표준양식 제시
실행
SP 8 0 0 -7 0
보안통제항목 실행
평가 (심의 )
모니터링
결과활용
SP 8 0 0 -5 3 A
SP 8 0 0 -2 6 , SP 8 0 0 -3 7
SP 8 0 0 -3 7
FISMA
통제항목 유효성평가
객관화 기준 제시
위험과 위험 감내도 결정
보안통제 항목
모니터링
자체평가 결과 OMB제출
25. FISMA NIST SP-53, Security Control
* Security Control, Family, Class, Identifier (NIST SP-53)
Class : 계층적 관리 중요 개 념
• Ma n a g em en t
• Te ch n ical
• Op e ratio n al
• “경영 /보안책임 /보안실무 ”
Identifier
Family
Class
Access Control
Technical
2
AT
Awareness & Training
Operational
3
AU
Audit & Accountability
Technical
4
CA
Certification, Accreditation, Security Assessment
Management
5
CM
Configuration Management
Operational
CP
Contingency Planning
Operational
7
IA
Identification & Authentication
Technical
8
IR
Incident Response
Operational
9
MA
Maintenance
Operational
10
MP
Media Protection
Operational
11
Id e n tifier : Co d e 화
• 자동관리가 가능함
• 자동화된 도구 가능
AC
6
Fa m ily : 보안 기술
• 이미 알고 있지만
• 왜 한국은 통합되지 않나 ?
1
PE
Physical & Environment Protection
Operational
12
PL
Planning
Management
13
PS
Personal Security
Operational
14
RA
Risk Assessment
Management
15
SA
System & Service Acquisition
Management
16
SC
System & Communication Protection
Technical
17
SI
System & Information Integrity
Operational
26. FISMA NIST SP-5 3 , Se cu rity Co n tro l
Identifier
Fa m ily
Cla ss
1
AC
Acce ss Co n tro l
Te ch n ical
2
AT
Aw a re n e ss & Tra in in g
Op e ra tio n a l
3
AU
Au d it & Acco u n ta b ility
Te ch n ical
4
CA
Ce rtifica tio n , Accre d itatio n , Secu rity Asse ssm e n t
Ma n a g e m e n t
5
CM
Co n fig u ra tio n Ma n a g e m e nt
Op e ra tio n a l
6
CP
Co n tin g e n cy Pla n n in g
Op e ra tio n a l
7
IA
Id e n tifica tion & Au th e n tica tio n
Te ch n ical
8
IR
In cid e n t Re sp o n se
Op e ra tio n a l
9
MA
Ma in te n a n ce
Op e ra tio n a l
10
MP
Me d ia Pro te ctio n
Op e ra tio n a l
11
PE
Ph ysica l & En viro n m en t Pro te ctio n
Op e ra tio n a l
12
PL
Pla n n in g
Ma n a g e m en t
13
PS
Pe rso n a l Se cu rity
Op e ra tio n a l
14
RA
Risk Asse ssm e n t
Ma n a g e m en t
15
SA
Syste m & Se rvice Acq u isitio n
Ma n a g e m en t
16
SC
Syste m & Co m m u n ica tio n Pro te ctio n
Te ch n ical
17
SI
Syste m & In fo rm a tio n In te g rity
Op e ra tio n a l
28. 보안 직업
Jo b s
보안 관리자
분석 전문가
보안 개 발자
보안 컨설턴트
보안오퍼레이터
민간조사단
산업보안 전문가
디지털 법 분석
보안 정책가
물리보안 담당
정보보안 감사
정보전사
M onitor
De scrip tio n
Se cu rity Ad m in istra to rs
Se cu rity An a lyst & In cid e n t Re sp o n se
Se cu rity De ve lo p e r
Se cu rity Co n su lta n ts
Se cu rity Op e ra to r
Pe rso n a l In ve stig a tio n
In d u stria l Se cu rity Ma n a g e rs
Dig ita l Fo re n sics
Se cu rity Po licy Ma n a g e r
Ph ysica l Se cu rity Op e ra to r
Se cu rity Au d ito r
In fo Wo rrie r
An a lysis
Re m a rks
(민 ),(관 ),
(민 ),(업 ),
(업 )
(업 ), (민 )
(민 ), (업 )
(업 )
(민 )
(민 ), (법 )
(민 )
(업 )
(민 ), (업 ), (법 )
(군 )
Re sp o n se
34. 정보보안관리자의 목표와 책임/Information Security Officer
AIM of ISO
To be proficiency in Information
Security skills
To maintain the expertise of the
proficiency
Responsibility of ISO
ISO AIM is daunting task
ISO learning is lifelong for
Information security professional
The people aspects is most
important in Information security
So many Additional factors will be
needed
To become the principal advisor on IT
Security Issues to corporation
To ensure running of IS programs
To make IS policy to be
enforcement
To become the Security contact point for
the organization
To update and advise top management on
security direction and issues
To ensure the design and improvement in
the IS Policy from time to time
To perform either formal or informal Risk
Assessments
To conduct regular audits on IS facilities
To ensure Disaster Recovery and Business
Continuity Plans are in place and effective
To ensure internal IS training and security
awareness program are conducted to
various level of users in the organization
유능한 정보보안관리자가 되는 길
- Ways to become an effective Information security professional –
- 충남대학교 컴퓨터과학과 박사과정 김범수(KT대전연구소)
