[2011.10.20] 안철수연구소 융합보안전략 세미나

2011년 10월 20일 코엑스 인터컨티넨탈 호텔에서 열린 안철수연구소 융합보안전략 세미나에 참석하다.

 

 

 

 

[내용 요약]

 

I.     APT(Advanced Persistent Threat)란 무엇인가

 

1. APT 정의

다양한 IT 기술과 방식들을 이용해 조직적으로 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 지속적으로 특정 대상에게 가하는 일련의 행위

①     Advanced  : IT인프라와 관련된 모든 기술들을 다양하게 사용

②     Persistent : 특정 목적이 달성될 때까지 그 공격대상에게 새로운 기술과 방식으로 지속적으로 공격

③     Threat : 악성코드, 취약점, 해킹과 사회공학 기법 등으로 IT기술에 의해 생산되는 형태

 

2. APT 특징

①     명확한 공격 대상을 가짐 (기존의 악성코드는 불특정 다수를 대상)

②     경제적이거나 정치적인 목적을 가짐

③     이전의 보안 위협과 비교했을 때 기술적 고도화와 정교함이 대단히 위력적

3. APT 공격 단계

①     공격준비 단계 :
- 주로 많이 알려진 웹서버를 통해 악성코드 업로드

②     악성코드 유포 시도 단계 :
- PC가 악성코드를 다운로드 하고 실행할 수 있도록 유도

③     악성코드 감염 및 공격자의 침입 단계 :
- 악성코드에 감염되면 공격자와의 연결 시도. 이후 감염된 PC를 마음대로 조종(좀비PC)
- 사용자 PC를 통해 조직의 주요 자원으로 접근할 수 있으며 또 다른 PC장악 가능

④     보안사고 단계 :
- 공격자가 목적한 것을 달성 (주요정보DB 유출. 주요정보 삭제 또는 시스템 장애 유발)
- 보안관리자에게 노출되지 않도록 이미 장악한 PC는 악성코드의 활동을 중단

⑤     공격 종료 단계 :
- 공격자의 흔적 삭제 / 정보 유출에 대한 협박
- 공격자에 따라 수행할 수도 수행하지 않을 수도 있음

 

4. APT 공격 대응

(1) 보안 솔루션 활용(안철수 연구소 제품군 : 상세소개 링크)

①     공격준비 단계의 대응 :
- End-point 제품군 : V3 Lite, V3 Internet Security, SiteGurad, SiteCare Enterprise 등
- Network 제품군 : TrusGuard

②     악성코드 유포 시도 단계의 대응 :
- End-point 제품군 : V3 Lite, V3 Internet Security, TrusWatcher, TrusLine
- Network 제품군 : TrusGuard

③     악성코드 감염 및 공격자의 침입 단계의 대응 :
- End-point 제품군 : V3 Inernet Security, TrusWatcher, TrusLine
- Network 제품군 : TrusGurad
- Operation : 네트워크 트래픽 통제 프로세스 (컨설팅)

④     보안사고 단계의 대응 :
- End-point 제품군 : TrusZone, TrusWatcher, TrusLine, V3
- Network 제품군 : TrusGuard
- Operation : 내부 트래픽 통제 정책(컨설팅) 및 운영 프로세스

 

(2) 기타 대응방안

①     보안 인식 : 모든 임직원에 대한 정기적 보안인식 교육

②     정책적 보안 : 시스템 사용에 대한 명문화된 보안지침

③     정보보호 프로세스 확립 : 사고 발생에 대비한 능동적 대응 방안 마련

 

II.   개인정보 보호법 시행 관련

 

1. 개인정보보호법 개요

①     2011년 9월 30일 시행

②     고유식별정보(주민번호, 운전면허번호, 여권번호, 외국인등록번호 등)의 처리 원칙적 금지

③     고유식별번호 처리 위반 시 5년 이하 징역 또는 5천만원 이하 벌금
- 동의 받지 않고 개인 정보 수집 및 처리 시
- 개인고유식별 정보의 암호화 등 안정성 확보 조치 의무화
- 주민등록번호 외의 개인식별방법 제공 의무화 (I-PIN 등)

④     예외적 허용
- 개인정보 처리에 대한 동의와 별도로 정보 주체의 동의를 받은 경우
- 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

※     자세한 사항은 [개인정보보호 순회교육 내용 공유_111019.docx] 파일을 참조

 

2. 개인정보유출사고의 심각성

①     개인정보 유출로 인한 실제 피해 뿐 아니라, 사고가 발생했다는 사실 자체만으로도 이슈가 됨

②     개인정보보호법에 대해 숙지하고 적절히 대응하는 것이 필수적임

③     사고 발생시 법에 규정하는 사항들에 대한 수행 여부로 책임 소재를 판단할 수 있음

 

3. 개인정보유출사고의 유형 및 대응방안

(1) 서버 내 데이터 유출 (전체 사고의 약 23%)

①     사고 원인 및 유형
- 시스템 보안설정 미흡
- 웹/게시판의 파일 업로드 취약점을 통한 쉘 업로드

②     조치기준 (법에 명시된 기준)
- 비밀번호 암호화 및 접근차단시스템 사용
- 접근차단 시스템 등의 접근 권한 부여 (특정 사용자에 대해서만 접근 가능하도록)
- 고유식별번호 (주민등록번호, 운전면허번호 등) 암호화
- 보안 프로그램 설치 및 운영

③     보호대책 (기획시)
- 정보자산관리 (일반적으로 가장 취약함) : 어떤 자산이 운영되고 있는지 확실히 파악
- 영향평가
- 위험분석 등

④     보호대책 (개발시)
- 보안코딩, 데이터 원장분리, 망분리 등

 

(2) 내부자 유출 (전체 사고의 70% 이상)

①     사고 원인 및 유형
- 내부자에 의한 노출 (게시물에 내부정보가 포함)
- 내부자를 통한 공격

②     조치기준 (법에 명시된 기준)
- 1인 1계정 (ID 공유 절대 금지)
- 유추 불가능한 패스워드 사용 (9자리 이상, 문자 종류 3가지 이상)
- 각자 보유한 개인정보 파일 암호화 (엑셀이나 아래한글의 패스워드 기능 활용 가능)

③     보호대책 (관리자, 취급자 등 모든 사람 대상)
- (개인정보보호법에 대한) 개념 탑재
- 문제 발생시 즉시 보고
- 개인 업무용 보안 솔루션 지급 (백신, 파일 완전삭제 솔루션, 개인정보파일 검색툴 등)

 

 

III. 해킹 및 정보유출 차단을 위한 WEB 보안

 

1. WEB을 통한 정보유출 사례

①     해킹에 의한 악성코드 유포 (웹사이트에 악성 코드 삽입)

②     웹사이트에 개인 정보 노출
- 웹사이트 설계 취약으로 인한 노출 (웹주소 파라미터 변경으로 정보 노출 등)
- 담당자 실수에 의한 개인정보 노출 (명단 등의 게시) – 가장 흔한 사례임

 

2. WEB사이트의 정보보호를 위한 솔루션 AhnLab SiteCare

 

(1) 기능1 : 웹사이트 위험요소 탐지

①     외부 해킹에 의한 악성스크립트, 취약성 공격 코드 삽입 탐지

②     Flash, PDF Reader 등 웹애플리케이션 취약성을 공격하는 스크립트

③     웹페이지에 링크된 파일의 악성코드 감염 여부 탐지

④     웹페이지에서 실행되는 ActiveX의 악성코드 감염여부 탐지

 

(2) 기능2 : 개인정보 노출 탐지

①     아래와 같은 개인정보가 웹사이트에 노출시 자동으로 탐지하여 조치 :
주민등록번호, 여권번호, 신용카드번호, 이메일주소, IP주소, 계좌번호, 법인등록번호, 사업자등록번호, 전화번호, 핸드폰 번호