4. 2. 보안의 중요성
보안의 중요성을 이해하고 있는가?
컴퓨터 보안사고 유형별 피해규모
$170,827,000
(약 1,700억원)
$115,753,000 (약 1,150억원)
$50,099,000 (약 500억원)
$49,979,000 (약 500억원)
$18,370,500 (약 180억원)
$15,134,000 (약 150억원)
$13,055,000 (약 130억원)
$11,766,500 (118억원)
$6,015,000 (약 60억원)
$4,503,000 (약 45억원)
0 20M$
기밀 정보 유출
금융
사기
내부 네트워크 남용
바이러스
서비스 거부
시스템 파괴
시스템 침투
노트북 절도
전화 사기
비인가자 불법 접근
40M$ 60M$ 100M$ 160M$
4
5. 보안의 중요성을 이해하고 있는가?
정보유출 피해 건수
신분별분야별
건
수
방법별구
분
출처 : 국가정보원 (2006년 산업보안 관련 분석보고)
5
2. 보안의 중요성
6. 정보보호의 방법 및 절차를 이해하고 있는가?
기업과 구성원 간 정보인정
=> 기업은 모든 구성원이 회사의 자산이며, 직원은 내가 취급하는 정보는 회사의 자산이며, 이에
따른 기업의 보호행위를 인정 : 관련규정 제정 및 손질 => 주기적인 교육/감사 강화, 적절한 상/벌
제도 운영
서로를 인정하며,
공동운명체 의식 함양
외부로부터의 유혹에
기업방어 자부심 형성
기업 정보보호 행위에
대한 내부 공감대 형성
내부공감대,제도적
기반형성
•보안 및 사용자 교육 • 기술적 보완요소 결정
안정적 정책운영
• 취약성, 위험요소 파악
• 근거마련 및 합의 도출
• 미비점 보안
• 적용 정책 파악
정책적용 기반형성
6
절차
2. 보안의 중요성
7. 구축 전/후 보안효과 분석
7
번호 기능 보안시스템 구축 전 보안시스템 구축 후
1 이동저장장치
● 자유롭게 사용
● 내부유통 시 평문 상태로 자유롭게 이용
● 로그관리 부족
● 사용여부 및 복호화(반출) 통제
● 저장시점 자동 암호화
- 내부공유 시 암호상태 유통 유도
● 로그관리 강화
- 사용자, 일시, 파일명, 사유, 파일원본
2 CD-RW ● 자유롭게 사용 ● 사용여부 및 반출 통제
3 내부 네트워크 공유 ● 자유롭게 허용 ● 보안그룹별 통제 (보안그룹 외 차단)
4 FTP 파일 업로드 ● 자유롭게 이용 ● 파일 업로드 통제 (등록된 FTP 서버)
5 포트 사용
● 네트워크 방화벽에서 차단되지 않은
포트사용 가능
● 네트워크 방화벽에서 허용된 포트 제어
6 프린터 제어 ● 자유롭게 사용
● 사용여부 통제 및 문서실명제 유도
● 로그관리 가능 (파일명, 인쇄내용)
7 SMTP 메일
● 자유롭게 사용
● 스팸메일서버를 통한 로그관리
● 파일첨부 통제 (차단/허용)
● 로그관리 강화 (반출사유, 파일원본)
8 Web 메일 ● 자유롭게 사용
● 파일첨부 통제 (차단/허용/파일 암호화)
● 로그관리 강화 (반출사유, 파일원본)
9 보안화면 ● 사용자 설정으로 강제적용 곤란 ● 관리자에 의해 강제 적용
10 노트북 통제 ● 외부 사용 시 위험 노출 ● 보안시스템 출장모드 정책 수행
11 인터넷 제어 ● IE 환경에서 자유롭게 사용 ● 사이트 / 메신저 / P2P 차단 가능
12 개인 폴더암호화 ● 개인별 프로그램 구입에 따른 사용 ● 보안정책에 의거 일괄제공
종합
본인의
정보유출 억제력
● 본인의 심리적 동기변화에 민감 ● 1년 365일 높은 보안의식 유지
2. 보안의 중요성
8. 보안 ROI (Return On Investment)를 이해하고 있는가?
8
2. 보안의 중요성
보호하고자 하는 정보자산에 관한 철저한 위험성 평가(Risk Assessment)
RISK = 취약성(Vulnerability) * 위협(Threat) * 자산 (Asset)
정보절취 또는 분실에 따른 손실(5%)
정보누설에 따른 손실(15%)
프린터 또는 복사장치를 이용한 불법 정보유출 손실(20%)
Off-Line에 의한 이동저장매체를 이용한 불법 정보유출 손실(30%)
On-Line에 의한 메일이나 유/무선 통신을 이용한 불법 정보유출 손실(30%)
정보를 취급하고 있는 구성원의 수
고객이 평가한 정보의 자산 가치(금액)
취약성 위험
자산
RISK 종합(1,000만원 가치의 정보를 취급하는 구성원이 10명이라고 가정)
1. 정보절취 또는 분실에 따른 RISK = 0.05*10*1000 = 500 만원
2. 정보누설에 따른 RISK = 0.15*10*1000 = 1500 만원
3. 프린터 또는 복사장치를 이용한 불법 정보유출 RISK = 0.2*10*1000 = 2000 만원
4. Off-Line에 의한 이동저장매체를 이용한 불법 정보유출 RISK = 0.3*10*1000 = 3000 만원
5. On-Line에 의한 메일이나 유/무선 통신을 이용한 불법 정보유출 RISK = 0.3*10*1000 = 3000 만원
1억원
+
α
핵심 위협만을 고려하더라도 전체 RISK 120명일 시 정보자산 약12억 + α
9. 보안의 중요성을 이해하고 있는가?
전산환경 개선 및 비용절감 효과 (300명 기준)
9
2. 보안의 중요성
항목 구축 전 구축 후 효과 비고
네트워크 트래픽 평균 80~90% 이상 평균 60% 수준 유지 약 30% 향상
업무 외적 웹서핑 자제,
불필요한 파일공유 근절
사무용품
구매
프린터 토너, 카트리지 교체 주기 평균 2개월 평균 3개월 약 50% 절감
불필요한 출력(인쇄) 근절
프린터 인쇄용지 1개월 소모량 평균 6~7 Box 평균 4~5 Box 약 35% 절감
11. 3. 직원과 회사를 보호하는 방법
지켜야 할 것
11
○ 빈손으로 출근, 빈손으로 퇴근한다.
○ 불요불급하지 않는 문서는 복사하지 않는다.
○ 비밀이 포함된 문서나 자료 또는 폐지, 휴지는 반드시 폐기하며 단 한 장이라도
함부로 버리지 않는다.
○ 입 조심하기를 마치 병마개 같이 하여 “말로만의 보안”을 강조하거나,
“너만 알고 있어”라며 비밀을 흘리지 않는다.
○ 작은 정보라도 경쟁사에 큰 도움이 될 수 있다는 것을 명심한다.
○ 업무수행관련 지식이나 노하우는 문서화하여 지적 자산으로 등록 후 활용한다.
○ 통제구역도 알 필요도 없고 갈 필요도 없으며 무단출입하지 않는다.
○ 3내(작업시 視內, 결재시 手內, 보관시 函內)의 원칙을 항상 지키며 비밀자료가
보관된 문서함은 반드시 잠근다.
○ 비밀유출의 주된 경로는 항상 내부에 있음을 명심하자.
12. 3. 직원과 회사를 보호하는 방법
○ 퇴근 때나 자리를 잠시 비울 때에는 방치되는 자료가 없도록 항상 정리
정돈한다.
○ 전출 또는 퇴직 시 보유하고 있는 모든 비밀문서는 반납한다.
○ 사내 상주 외부인(외국기술고문 및 고용인, 컨설턴트, A/S 업체)에 대한
내부정보 제공은 정보유출의 경로가 됨을 명심하자.
○ 내 주변에 누군가가 기밀을 탐지하고자 기도하고 있을 가능성을 항상 명심하여
보안상의 허점은 없는지 살펴보고 점검한다.
○ 보안의 취약부분은 항상 보안담당자에게 통보하고 조치하며, 보안사고 발생시
은폐하지 말고 보안관리자에게 즉시 보고하여 대처한다.
○ 내방객의 사무실 출입을 최대한 억제한다.
○ 문서류, 디스켓, CD를 승인 없이 무단 반출하지 않는다.
○ 모든 PC는 반드시 부팅 패스워드를 적용하며, 화면보호기 기능과 암호를
설정한다.
12
지켜야 할 것
13. 13
3. 직원과 회사를 보호하는 방법
○ 공유 폴더를 사용하는 경우에는 반드시 암호를 설정한다.
○ 바이러스 검색 및 예방 소프트웨어를 설치하고 초기 동작 시에 작동토록
하며 항상 최신 버전을 유지하도록 자동 업데이트한다.
○ 시스템을 사용하지 않을 때나 자리를 비울 때는 반드시 로그아웃 한다.
○ 인터넷 브라우저 보안레벨은 사용업무에 따라 적정한 레벨로 조정
사용한다.
○ 외부로 메시지(e-mail, FTP 등)를 전송할 때는 반드시 회사에서 지급한
계정만을 사용한다.
지켜야 할 것
14. 14
3. 직원과 회사를 보호하는 방법
버려야 할 것
○ 업무편의를 이유로 의도적으로 비밀등급을 하향 조정한다.
○ 직위 등을 내세워 절차나 규정을 무시한다.
○ 우리 부서에는 비밀이 될 만한 문서가 없다고 생각한다.
○ 비밀자료를 사유화 또는 사장화한다.
○ 문서를 필요이상으로 복사, 이면지로 사용하거나 함부로 휴지통에 버린다.
○ 기업비밀․영업자료 등이 포함된 중요문서를 충분한 보안성 검토 없이
무단 폐기, 폐지 등으로 외부 반출되도록 한다.
○ 퇴근시 자료 및 서류를 책상 위에 그대로 방치한다.
○ 여행시․술집 등에서 접촉하는 상대방에게 신원 확인 없이 자신이 알고 있는
회사비밀을 과시하고 자랑하거나 업무내용을 알려준다
○ 퇴직한 옛 동료나 혈연, 지연, 학연 등으로부터 요청을 받고 대외보안이
요구되는 회사 비밀자료를 제공한다.
15. 15
3. 직원과 회사를 보호하는 방법
○ 내방객을 불필요하게 사무실로 안내한다.
○“규정은 규정이고 현실은 현실이다”, “보안수칙은 업무를 저해하는 번거로운
것이다”라고 생각, 보안수칙 및 절차를 무시한다.
○ 동료의 보안위반 사실을 공공연히 눈감아 준다.
○ 네트워크 공유 사유가 소멸되었는데도 공유해제를 소홀히 한다.
○ 인가된 전문가 아닌 아무에게나 장비를 점검 보수한다.
○ 불법 소프트웨어, 비인가 소프트웨어 등을 업무용으로 사용한다.
○ e-mail을 통해 허가되지 않은 자료 및 중요 데이터를 유출한다.
○ 전산 출력물을 규정에 따라 처리하지 않는다.
○ 공통 ID나 부서관리자 ID를 개인용도로 사용하며, 사용자 ID를 타인에게
대여하거나 패스워드를 알려준다.
버려야 할 것
16. 16
3. 직원과 회사를 보호하는 방법
스스로 지켜야 할 것
○ 비밀유출의 주된 경로는 항상 내부에 있음을 명심한다.
○ 퇴근 때나 자리를 잠시 비울 때에는 방치되는 자료가 없도록 항상 정리 정돈한다.
○ 사내 상주 외부인(외국기술고문 및 고용인, 컨설턴트, A/S업체)에 대한 내부정보 제공은
정보유출의 경로가 됨을 명심한다.
○ 내 주변에 누군가가 기밀을 탐지하고자 기도하고 있을 가능성을 항상 명심하여 보안상의
허점은 없는지 살펴보고 점검한다.
○ 문서류, 디스켓, CD등은 보안담당자 승인 없이 무단 반출하지 않는다.
○ 모든 PC는 반드시 부팅 패스워드를 적용하며, 화면보호기 기능과 암호를 설정한다.
○ 시스템을 사용하지 않을 때나 자리를 비울 때는 반드시 로그아웃 한다.
○ 외부로 메시지(e-mail, FTP 등)를 전송할 때는 반드시 회사에서 지급한 계정만을 사용
17. 17
3. 직원과 회사를 보호하는 방법
○ 직위 등을 내세워 절차나 규정 무시
○ 우리 부서에는 비밀이 될 만한 문서가 없다는 생각
○ 기업비밀․연구자료 등을 보안성 검토 없이 무단폐기, 외부 반출
○ 퇴근시 자료 및 서류를 책상 위에 방치
○ 외부에서 접촉하는 상대방에게 신원 확인 없이 자신이 알고 있는 회사비밀 과시
○ 퇴직한 옛 동료나 지인에게 회사 비밀자료 제공
○ ″규정은 규정이고 현실은 현실이다″, ″보안수칙은 업무를 저해하는 번거로운
것이다″라는 생각
○ e-mail을 통해 허가되지 않은 자료 및 중요 데이터를 외부로 유출
○ 사용자 ID를 타인에게 대여하거나 패스워드를 알려 주는 행위
스스로 버려야 할 것
