중요정보 유출방지를 위한 솔루션 도입검토 제언

1

Ⅰ. 제안배경

1. 산업기술유출방지법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률

산업기술유출방지법 주요내용

정보통신망 이용촉진 및 정보보호 등에 관한 법률 주요내용

국내 핵심기술 보호 및 산업기술의 부정한 유출을 방지하고, 산업기술을 보호함으로써 국내산업의 경쟁력을 강화하며, 국가의 안전과 국민경제의 안정을 보장하기 위해 제정된 법률. • 산업기술과 국가핵심기술을 정의 (법 제2조) • 산업기술 보호정책 및 보호지침수립 시행 (법 제 5조/제 6조/제 8조) • 산업기술 유출 행위에 대한 처벌 (법 제 36조~제 37조)

정보통신망 이용을 촉진하고 정보통신 서비스를 이용하는 자의 개인 정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민 생활 향상과 공공복리 증진에 이바지함을 목적으로 제정된 법률. • 제4장 개인정보의 보호 • 제1절 개인정보의 수집ㆍ이용 및 제공 등 • 제2절 개인정보의 관리 및 파기 등

• 제6장 정보통신망의 안정성 확보 등 • 제48조(정보통신망 침해행위 등의 금지) • 제48조의2(침해사고의 대응 등) • 제51조(중요 정보의 국외유출 제한 등)

2

Ⅰ. 제안배경

2. 개인정보보호법 주요내용

2011.09.30

2008~2011

- 개인정보 보호법 시행

- 행정처분 유예기간 종료(12.03.29)

2011: 본회의 및 국무회의 의결, 공포 2008: 개인정보 보호법 국회제출

개인정보보호 규정

• 인터넷상 주민번호 이외의 회원가입 방법 제공

• 개인정보처리방침 공개 • 개인정보 보호책임자 지정

• 개인정보 안전성 확보조치

개인정보보호 규정

• 개인정보 수집의 제한 (필요최소한의 정보수집 등) • 민감정보 및 고유식별정보 처리 제한 • 영상정보처리기기 설치 운영

• 개인정보의 제3자 제공, 목적 외 이용제공 금지

• 개인정보 처리위탁, 영업양도 등 개인정보 이전

• 개인정보 파기

관 리

수집 이용

제공 위탁

파기

개인정보처리

개인정보 보호법 제29조, 동법 시행령 제30조 및 개인정보보호 가이드라인 등에 의하여 “개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접근통제, 접근권한 제한, 암호화 기술 적용, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 함”

3

Ⅱ. 보안솔루션 Roadmap

개인정보보호법 및 정보통신망법 시행과 IT보안강화를 위하여 최종 보안 단계는 4단계까지 준비되어야 합니다.

분 류

컨설팅

1단계

정보보호컨설팅

2단계 3단계

보안 정보전략계획(ISP)

4단계

데이터 보안 • DB 암호화 솔루션 • DB 접근제어 솔루션

• 내부정보유출방지솔루션(DLP):개인정보보호솔루션포함 • 문서암호화 솔루션(DRM) • PC백업 및 파일 중앙화 솔루션 • 모바일보안(MDM,Mobile DLP)

네트워크 보안 • 방화벽(FireWall)

• 웹구간 암호화(SSL) -침입탐지시스템(IDS)통합보안시스템(UTM)

-침입차단시스넴(IPS)좀비PC탐지솔루션

네트워크접근통제(NAC)

시스템 보안 바이러스백신(서버) 패치관리시스템(PMS) 보안운영체제(SecureOS)

취약점분석솔루션 서버접근제어솔루션 서버가상화솔루션

어플리케이션 보안 • 웹방화벽/웹서비스개인정보 노출방지솔루션

• 업무시스템 개인정보 접속/조회 로그관리솔루션 • 출력물보안시스템

웹스캐너(취약점분석) 소스코드분석도구

통합보안 관리 통합로그관리 전사적보안관리(ESM) 보안구성관리(SCM)

위험관리시스템(TMS) 위험관리시스템(RMS)

인증 및 접근통제 싱글사인온(SSO)

통합접근관리(EAM) 통합계정관리(EIM) 패스워드통합관리

바이오시스템

PC보안 • Virus/스파이웨어백신 • PC내 개인정보 검색

키보드보안솔루션 -통합PC보안

PC가상화솔루션

: 본 사업에서 검토 범위

4

Ⅲ. 취약점 분석을 통한 솔루션 적용방안

연우가 내부정보 유출방지의 요건에 대한 고려요소는 아래와 같이 이해하고 있습니다.

내부 보안

내부 중요정보 유출방지에 대한 대안은? 어떤 보안솔루션을 도입해야 연우의 요건에 맞는 내부정보 유출방지 시스템을 구축할수 있는지? PC에 저장된 개발소스에 대한 Backup 및 보안방안?

외부 협업 보안

외부 협력업체 및 관련기관과의 협업시 보안방안은? 연우의 업무특성상 외부 협력업체 및 외부 유관기관과의 데이터 공유시 보안의 문제점을 해결할 수 있을지?

업무의 연속성 확보

보안 솔루션 도입으로 인한 업무연속성 확보 방안은? 보안솔루션의 특성상 도입이후 예상되어지는 업무의 불편성을 최소화 할 수 있는 보안솔루션 및 보안정책은 어떤 것이 적절할 지?

구축 후 운영적인 측면

보안 솔루션 도입 이후 사후 관리의 편리성은? 보안솔루션 도입이후 유지보수의 편리성 및 비용적인 측면을 고려시 적절한 보안솔루션은?

DRM ? (Digital Right Management)

DLP ? (Data Loss Prevention)

출력보안? (Secure Print)

PC백업 및 중앙화/모바일 향후 발전방향 고민?

5

본 검토에 대한 연우의 고려요소와 요건을 분석하여 데이타적인 측면과 보안적인 요구사항 및 업무의 연속성을 고민하여 아래와 같이

제안하고자 합니다

Ⅳ. 취약점 분석을 통한 솔루션 적용방안

중요 정보를 다루는 부서 및 개인정보를 다루는 부서에 대하여는 파일 자동암호화를 적용하고, 개발소스에 대한 로컬저장 금지 및 PC백업 등 고려하여 솔루션을 선정 적용할 필요가 있음. 또한 클라우드 및 모바일 업무 확장을 고려하여 검토해야 함

대량의 정보유출 위협인 저장매체(USB,CD,이동식디스크 등) 에 대하여는 DLP의 기능인 매체통제

기술을 적용하여 매체차단 정책 적용하고, 필요시 승인프로세스 적용후 매체사용기능을 제공하고 승인완료 후, 매체로 복사되는 모든 파일에 대한 로그를 수집함

최후의 유출경로인 종이로 유출되는 보안위협에 대하여 출력물보안 기술을 적용하여, 모든 출력물

에 대한 원본을 수집 기능을 적용함

감사합니다

상담(구축) 문의

솔루션사업부 이유신 이사

Tel : 070-4685-2648 (대)

H/P : 010-2700-2648

E-mail : zion@zionsecurity.co.kr

www.zionsecurity.co.kr