SIS GS - Fred Balboni ( ) - 03

Size: px

Start display at page:

Download "SIS GS - Fred Balboni ( ) - 03"

민중 호
5 years ago
Views:

1 금융권규제법규강화대응을위한 IBM 보안컨설팅서비스 2012/3/16 김정각, IBM GTS Security Risk Mgmt

2 목 차 1. 금융권규제법규현황 2. IBM 보안컨설팅서비스소개 2

보안침해사고및금융보안규제강화에효과적으로대응하기위한정보보호체계마련필요 요 금두IT 보안침해사고및금융보안규제강화에 금융규제대응 전자금융거래관련규정강화 2011.

3 금제법안준수를위한정보보호관리체계정비필IT Privacy Security 융및개인정보침해사고에따른및문제대최근 IT 보안침해사고및금융 IT 규제법안이강화되었으며이에따른체계적인대응방안마련이금융 IT 업계의화두가되고있습니다 융IT 규IT 보안침해사고및금융보안규제강화에효과적으로대응하기위한정보보호체계마련필요 요 금두IT 보안침해사고및금융보안규제강화에 금융규제대응 전자금융거래관련규정강화 전자금융거래법개정전자금융감독규정강화개정 금융회사 IT 부문모범규준고시 금감원내부통제모범규준고시 개인정보보호법대응 개인정보보호법발효 (2011.9) 개인정보유출 / 보안침해사고 IBM X-Force 연구소발표 2011 해킹통계 3

4 규제법규의개인 / 금융정보보호및 IT 정보시스템보호요건은, 금융기관별예산확보, 이행계획수립및체계적적용관리를요구하고있습니다 규제법규 제 / 개정일 개인정보보호 IT 정보보안 금융신용보안 규제요건항목분류 개인정보보호법 O 정보통신망법 O O 정보통신기반보호법 O 1. 정보자산훼손, 유출및침해대응 2. 정보유출방지조치 9. 정보자산이용및활용관리방안 10. 정보자산파기에대한관리방안 전자금융거래법 O O 3. 정보보호및통제방안 11. 정보자산의무결성보장 전자금융감독규정 O 금융회사IT부문모범규준 O 금감원내부통제모범규준 O 4. 정보보호활동점검조치 5. 환경및물리적자산보호조치 12. 제 3 자의정보이용제한관리방안 13. 통신보안을위한조치 신용정보이용및보호법률 O 금융실명거래비밀보장법 O 금융지주회사법 O 금융위정보통신보안업무세부지침 O 6. IT 인프라 / 어플리케이션보안조치 7. 임직원정보보호역할과의무 8. 정보자산수집활동관리방안 14. 정보기술부문실태평가 15. 전자금융사고책임이행보험가입 4

5 개인정보보호법 ( ) 주요상세보안요건 구분제정목적정보보호관련내용 내용 개인정보의처리에관한사항을정함으로써개인정보의안전한이용을보장하고개인의권리와이익을보호함 개인정보수집 / 활용 / 파기활동에대한준수사항 개인정보영향평가권고 상세 보안요건 개인정보보호원칙 개인정보파기 ( 복구, 재생불가처리 ) 민감정보, 고유식별정보처리제한 ( 주민번호외홈페이지가입방안, 암호화등안전성확보조치등 ) 영상정보처리기기설치운영제한 (CCTV) 업무위탁처리제한 ( 수탁자교육, 처리현황점검등 ) 개인정보취급자정기적교육 안전조치의무 ( 내부관리계획수립, 접속기록보관등관리적, 기술적, 물리적조치 ) 개인정보처리방침공개 개인정보보호책임자 (CPO) 지정 개인정보영향평가 개인정보유출통지, 정정, 삭제등 ( 지체없이조사, 정정삭제등조치후결과통지 ) 5

6 전자금융감독규정 ( ) 주요상세보안요건 구분제정목적정보보호관련내용 내용 전자금융거래법및시행령에서금융위원회에위임한사항과그시행에필요한사항및다른법령에따라금융감독원의검사를받는기관의정보기술부문안전성확보등을위하여필요한사항을규정 전자금융거래당사자의권리와의무를보호하기위한금융기관또는전자금융업자의책임명시 2011 년 10 월강화규정에따라이용자정보등전산자료보호, 비상대책, IT 실태평가확대및경영실태평가에의무화, 외부위탁업무책임강화, 정보기술및보안분야의관련인프라확보권고등이강화됨 상세 보안요건 정보보호최고책임자 (CISO) 지정 ( 총자산 2 조 & 종업원 300 명이상 ) 인력및예산 시설부문보안 단말기, 전산자료보호대책 정보처리시스템보호대책 해킹등방지대책 ( 해킹, DDoS 등 ) 악성코드감염방지대책 홈페이지등공개용웹서버관리대책 취약점점검수행 비상대책수립운영 ( 비상대응훈련등전자적침해사고대응 ) 정보보호교육계획 ( 최소이수시간 ) 직무분리 전산원장, 프로그램, 일괄작업통제 암호프로그램및키관리통제 내부사용자, 이용자비밀번호관리 침해사고대응 ( 금융위원회보고의무 ) 6

7 최근단기간다수의규제요건적용이효과적이고효율적으로적용되기위해서는전사적정보보호프레임워크관점으로검토추진되어야합니다 관련법규별정보보호관리영역별수행과제 전사정보보호관리 Framework 진단도메인 개인정보보호법 정보통신망법 정보통신기반보호법 전자금융거래법 전자금융감독규정 금융회사 IT 부문모범규준 금감원내부통제모범규준 신용정보이용및보호법률 금융실명거래비밀보장법 금융지주회사법 금융위정보통신보안업무세부지침 1. 정보보호정책 2. 정보보호조직 3. 변화관리 4. 보안사고관리 5. 정보자산관리 6. 보안준수 7. 인원보안관리 8. 물리적보안 9. 정보시스템보안 정보보호도메인 1. 정보보호정책 통제요소 정보보호를위한정책 ( 규정, 지침, 절차 ) 의유무및관리 2. 정보보호조직효과적인정보보호를위한조직및 R&R 3. 변화관리 4. 보안사고 정보보호체계변화를인지하고이에따른임직원교육및커뮤니케이션관리절차 보안사고를방지하고사고발생시, 효과적인대응을위한체계 5. 정보자산정보자산의 Life Cycle 별관리수준 6. 보안준수법 / 정책의준수수준 7. 인원보안 8. 물리적보안 9. 정보시스템보안 내 / 외부인력의채용 / 계약에서퇴직 / 계약해지까지필요한보안관리활동 회사의시설물및시스템자산에대한보안관리활동 정보시스템의도입, 개발, 운영시필요한보안관리활동 7

8 각금융기업별자체규제준수과제들이마무리되었으나여전히전사정보보호체계관점의수준진단이필요하다고느끼고있습니다 기투자된보안솔루션의적정성은? 개인정보보호를위한솔루션을집중적으로투자했는데, 중복투자및여전히규제미준수영역이있는지확신이서지않습니다 전사적정보보호관리체계관점에서규제준수수준은? 전체적으로규정, 지침, 절차서를개선했는데현재금감원보안규정에부합하는지검증이필요한것같습니다. 금감원전자금융감독규정강화규제요건준수를위해자체 Task Force 팀을꾸려수행한보안강화작업들이마무리가되어가는데, 이제규제요건을전사적정보보호관리프레임워크관점에서재점검해야할필요를느낍니다 개인정보관리체계의적정성은? ISMS 인증은이미있는데, 개인정보유출사고를대비해서 PIMS 인증을고려해보고있습니다. 8

9 규제준수관리를위한보안요건은정보시스템관리체계수준진단및취약성점검과개인정보영향평가수행을통해진단하고개선을위한계획을수립할수있습니다 준수관리를위한요건 정보보호수준진단및개선과제 기존보안관리체계수준진단 규제요건및관리적보안대책준수현황파악 기술적보안대책수준및준수현황파악 정보보호관리체계에기반한규정지침절차수립및규제요건반영 정보보호성과지표수립및적용 정보시스템보안수준및취약성점검수행및권고안이행 정보처리시스템구성요소별보안솔루션도입및적용 개인정보수집 / 활용 / 파기 활동을위한준수요건 개인정보영향평가수행을통한개인정보관리체계수립 개인정보처리시스템안전조치수립및적용 9

10 목 차 1. 금융권규제법규현황 2. IBM 보안컨설팅서비스소개 10

(Governance Risk Mgmt) (1) 정보보호수준진단컨설팅 (2) ASA (Application

11 IBM 의보안컨설팅서비스는 Governance, Risk & Compliance 및 Privacy 보안영역및어플리케이션취약성점검요소로구성된전사적보안관리체계수준진단및개인정보관리체계수립컨설팅서비스입니다 1 2 GRC (Governance Risk Mgmt) (1) 정보보호수준진단컨설팅 (2) ASA (Application Security Assessment) Application Security (3) 개인정보영향평가 IBM Security Intelligence 11

12 (1) 정보보호컨설팅 : IBM 보안, 보안국제표준, 법적규제요건에부합하는최적의보안관리마스터플랜수립 도입효과 솔루션구성 1. ( 가 ) 법적규제요건, ( 나 ) 정보보호관리체계국제표준 : ISO27001 ( 다 ) IBM 의스트프랙티스보안프레임워크에기반한정보보호관리체계수립 2. 보안정책체계 ( 규정 / 지침 / 절차 ), 보안 KPI, 시스템보안가이드등 IBM 서비스조직운영경험을바탕으로작성된실체적이고검증된정책체계수립 3. 보안과제및로드맵수립의품질우위 : IBM 의 IT 제품 / 서비스 total solution provider 로써의역량을바탕으로과제를제시하고단계적보안마스터플랜을투자최적화및보안위험관리의효율성증대 4. 서버 / 어플리케이션과보안취약성점검전문인력과연계한시스템레벨보안위협과연계한보안컨설팅. 전문성을바탕으로한 IT 인력기술보안교육및시스템보안인식및보안관리역량향상 보안수준평가방법론 다양한 + 보안운영사례 IBM 보안기술력 IBM ISF( Information Security Framework) + ISO/IEC DTR : Guidelines for the Management of IT Security (GMITS) IBM 의다양한보안운영사례정보반영하여수행함 IBM 의글로벌보안연구소인인터넷보안연구소 (X-Force), 개발보안연구소 (OunceLab) 의최신보안기술정보반영 도입사례 1. A 카드 : SSO 컨설팅및시스템구축 2. B 그룹 : 전사보안컨설팅 3. C 제조사 : 관리적보안컨설팅 4. D 철강사 : 전사보안컨설팅 5. E 제조사 : 전사보안컨설팅 6. D 사 : 전사보안수준진단및취약성점검컨설팅 솔루션특징 1. IBM 및국내외보안관리분야의선도사례제시및적용 2. IBM 보안연구소의연구사례를통한미래비즈니스위험식별및대안제시 3. 국제보안수준에도달할수있도록체계적, 단계적보안마스터플랜제시 12

13 점검(1) 정보보호컨설팅 : IT 보안프레임워크수립및시스템보안취약성점검을병행한 As-Is 진단, 갭분석및과제정의, To-Be Road map 수립 As-Is Assessment To-Be Road Map IT 보안프레임워크구축취약성보안보안프레임워크정의 Gather Environmental Information Set up Assessment Plan Best Practice Research and Analysis Define Security Framework Set up Plan for Security Vulnerability Test and define target systems 보안수준진단 IT 보안거버넌스수준진단 As-Is Security Governance level 규제준수수준진단 Legal Compliance Scope & As-Is assessment IT 보안조직진단 As-Is Org structure, R&R 자체보안점검프로그램개발 As-Is Self Assessment Process IT 보안 KPI 진단 As-Is Security KPI 보안규정, 지침, 철차서작성 As-Is Security Process Doc Server/System Security Vul. Application Security Vul. Database Security Vul Security Guideline Review 갭분석및이슈정의 Analyze the Gap & Define Issues Enhance the To-Be Process & KPIs Perform Education of Security Framework (Process, KPI, Self Assess) System Security Vulnerability Test Document the Security Vulnerability Testing Report 과제도출및매스터플랜수립 Define Action Items per security domain Derive Tasks of Action Items and Set up the Priority (Quick-Win, midlong term) Perform Education of Action Items Establish mid-long term Information Security Enhancement Master Plan & Roadmap Final Report 13

14 (2) ASA (Application Security Assessment) : 보안컨설팅서비스와병행, 어플리케이션 White/Black box testing 및소스코드취약성점검 1 2 요건정의 분석 / 설계 어플리케이션개발보안 SDLC (System Development Life Cycle) 어플리케이션개발에서운영까지의보안 코딩 Secure Coding 방법론개발 구현품질검증보안테스트운영 어플리케이션보안취약점점검 웹방화벽도입 White Box 분석 Black Box 분석 어플리케이션취약점발견 소스코드에대한보안취약점분석 개발된후취약점분석 최소권한공개적검증편리한인터페이스 보안코딩규약설계원칙 단순한보호시스템완벽한조정 실패시보안성유지권한분리공유최소 모의해킹 특정영역에대한모의해킹분석 3 Secure Coding 방법론개발 웹방화벽도입 어플리케이션접근통제 어플리케이션접근통제강화를위한가이드 개발담당자들에대한교육 주요웹서버에대한웹방화벽구축 소스코드내에트로이목마삽입지적자산탈취구성매개변수변경보안통제무력화로그파일삭제암호화키탈취및판매 웹인터페이스공격및취약성탐색세션하이재킹악성스크립트및커맨드삽입취약성이용해킹 금융정보탈취 ( 신용카드번호등 ) 암호화키및사용자개인정보등탈취및판매 14

15 (2) ASA : 모의해킹수행을통해스캐닝을통해발견된보안취약점에대한실제적위협식별병행 취약성진단방법 스캐너 / 진단툴전문가점검원격진단 어플리케이션취약성진단 서버취약성진단 네트워크취약성진단 취약성점검 Scope 원격진단 - 스캐너진단포함 (Black Box) 소스코드진단 - 스캐너진단포함 (White Box) 원격진단 스캐너진단포함로컬보안설정점검네트워크접근통제룰리뷰및적용현황진단네트워크장비원격진단 스캐너진단포함로컬보안설정점검 보안장비취약성진단 대상 : IDS, IPS, DDoS 방어, ESM, 원격진단 스캐너진단포함 로컬보안설정점검 소스코드, 로컬보안진단 모의해킹 웹 / 모바일어플리케이션모의해킹 기간계, 정보계등내부시스템모의해킹 15

16 (3) 개인정보영향평가 : 개인정보보호법규제법안및 IBM 의개인정보참조모델접목방법론기반의개인정보관리시스템진단수행 개인정보보호법 IBM 개인정보영향평가방법론 개인정보영향평가관련주요규정및가이드라인근간 IBM 참조모델 IBM Data Privacy 진단 Best Practice 참조모델활용방법론 [IBM 개인정보보호솔루션생명주기모델 ] [IBM Enterprise Privacy Architecture] 16

17 (3) 개인정보영향평가 : 개인정보의라이프사이클별정보보호프레임워크에기반하여개인정보보호시스템관점의진단및개선안도출 라이프사이클별개인정보보호 Framework 개인정보처리절차구축방향 개인정보제공동의 / 철회관리, 신청서보안 개인정보전 Lifecycle 에서통제 Process 구축 조회권한통제복사, 전송차단사용기록저장 제공현황관리업체현장감독파기확인 개인요청시, 기한도래시정보삭제 수집 / 전송저장 / 이용제공 / 위탁파기 위험회피 불확실성의제거 업무상필요정보의접근보장 고객정보의오남용및유출의위험감소 누락없는모니터링대응 과다조회, 다운로드적발고객정보 PC 저장검색사고대응절차운영 조사및조치협조 안전관리 ( 모니터링및사고대응 ) 교육 / 지원 지속적교육 / 전사적지원 개인정보보호캠페인개인정보관리인증획득 규제준수 개인정보보안강화 개인정보보호법및국내외규제준수 개인정보수집 사용 제공 파기절차수립및적용 17

18 (3) IBM, 행정안전부주관 2012 년공공기관개인정보영향평가기관지정 개인정보영향평가기관선정 개인정보영향평가기관인증서 개인정보보호법및동법시행령에서요구하는전문성과자격요건갖춤 공공기관의개인정보영향평가는행정안전부지정개인정보영향평가기관만가능 18

19 사례 : 정보보호컨설팅 ( 금융권 A 사 ) 고객 Issues & Needs 2011 년사회적이슈인보안침해사고대응수준에대한기술적진단필요 신임 CISO 부임및개인정보보호전담조직신설에따라규제현황진단및전사적보안관리프레임워크 As-Is 수준진단및 To-Be 이행로드맵필요 기술취약성점검 ( 서버 / 어플리케이션 ) 에따른 IT 운영인력의보안수준향상및보안마인드제고 IBM 솔루션 보안수준진단컨설팅및취약성점검 : 규정, 지침, 절차서작성 보안 KPI 수립 As-Is 보안수준진단및 To-Be 과제도출, 로드맵작성 자체보안점검프로세스구축 보안취약성점검, 시스템담당자교육및취약성제거작업이행지원 고객기대효과 규제법규대응 : 개인정보보호법, 전자금융감독규정등규제법안에부합하는시스템취약성점검, 규정 / 지침 / 절차수립, To-Be 과제도출및로드맵수립 정보보호관리프레임워크구축 : ISO27001 기반의정보보호관리체계마련 보안마인드제고, IT 직원 skill 향상 : IT 시스템직원의정보보호보안마인드제고및 IT 보안스킬향항 ( 시스템담당자대상으로어플리케이션시큐어코딩, 서버하드닝가이드수행 ) PoC 단계에서주요시스템취약성점검 ( 서버및어플리케이션모의해킹서비스 ) 을통해발견한취약점을바탕으로, 1 차보안취약성제거프로젝트, 2 차전사적보안수준진단컨설팅으로이어져기술적, 관리적측면에서단계적인보안수준향상을도모할수있었습니다 19

20 Appendix. 정보보호관련법규 (1/2) 법률목적정보보호관련내용 개인정보보호보호법 ( ) 정보통신망이용촉진및정보보호등에관한법률 ( 정통망법 ) ( ) 개인정보의처리에관한사항을정함으로써개인정보의안전한이용을보장하고개인의권리와이익을보호함 정보통신망의이용촉진및정보통신서비스이용자의개인정보가보호될수있는안전하고건전한정보통신환경을제공함 개인정보수집 / 활용 / 파기활동에대한준수사항 개인정보영향평가권고 개인정보수집 / 활용 / 파기활동에대한준수사항 정보보호안전진단 정보통신서비스제공시필요한보호조치 정보통신기반보호법 ( ) 전자적침해행위에대비하여주요정보통신기반시설의보호에관한대책을수립ㆍ시행함으로써동시설을안정적으로운용하도록하여국가의안전과국민생활의안정을보장 (2011 년제 2 금융권도정보통신기반시설로지정예정 ) 정보통신기반시설보호를위한물리적, 기술적대책수립 전자금융거래법 ( ) 전자금융거래의법률관계를명확히하여전자금융거래의안전성과신뢰성을확보함과아울러전자금융업의건전한발전을위한기반조성을함으로써국민의금융편의를꾀하고국민경제의발전에이바지 전자금융거래당사자의권리와의무보호를위한금융기관또는전자금융업자의책임명시 전자금융거래의안전성확보및이용자보호를위한안전성의확보의무, 전자금융거래기록의생성및보존관리방안수립 전자금융업무의감독및검사근거법령 전자금융감독규정 ( ) 전자금융거래법및시행령에서금융위원회에위임한사항과그시행에필요한사항및다른법령에따라금융감독원의검사를받는기관의정보기술부문안전성확보등을위하여필요한사항을규정 전자금융거래당사자의권리와의무를보호하기위한금융기관또는전자금융업자의책임명시 2011 년 10 월강화규정에따라이용자정보등전산자료보호, 비상대책, IT 실태평가확대및경영실태평가에의무화, 외부위탁업무책임강화, 정보기술및보안분야의관련인프라확보권고등이강화됨 20

21 Appendix. 정보보호관련법규 (2/2) 법률목적정보보호관련내용 금융회사의정보통신수단등전산장비이용관련내부통제모범규준 ( 내부통제모범규준 ) ( ) 금융회사의금융업영위와관련한전산장비의사용 관리및기록유지에대한기준과보안유지를위한내부통제절차등을정함으로써, 전산장비를이용한불법적인자료유출및루머 (rumor) 의확산을방지하고건전한영업질서를확립 사용기록의보관, 열람, 로그기록보관등전산장비관리체계구축 유출방지보안대책강구, 매체쓰기금지시스템운영 스팸발송금지, 영업비밀, 고객신용정보, 루머유포등금지사항 금융회사정보기술 (IT) 부문보호업무모범규준 ( ) 신용정보이용및보호에관한법률 ( ) 금융실명거래및비밀보장에관한법률 ( ) 금융지주회사법 ( ) 전자금융거래의안전성을확보하고정보기술부문의보호업무에필요한사항을규정함으로써전자금융거래법, 시행령및전자금융감독규정의원활한시행을도모 신용정보업을건전하게육성하고신용정보의효율적이용과체계적관리를도모하며신용정보의오용 남용으로부터사생활의비밀등을적절히보호함으로써건전한신용질서의확립에이바지 실지명의 ( 實地名義 ) 에의한금융거래를실시하고그비밀을보장하여금융거래의정상화를꾀함으로써경제정의를실현하고국민경제의건전한발전을도모 금융지주회사의설립을촉진하면서금융회사의대형화 겸업화에따라발생할수있는위험의전이 ( 轉移 ), 과도한지배력확장등의부작용을방지하여금융지주회사와그자회사등의건전한경영을도모하고금융소비자, 그밖의이해관계인의권익을보호함으로써금융산업의경쟁력을높이고국민경제의건전한발전에이바지함 정보시스템조직인력, 예산정의 정보보호부문 취약성평가, 단말기 / 전산자료보호대책마련등 내부통제부문 비상대책, 침해사고대응마련등 전자금융업무감독 보안성심의및외부주문기준마련등 신용정보의수집 조사및처리원칙및제한규정 신용정보전산시스템보안위험에대응하기위한기술적 물리적 관리적보안대책마련 신용정보관리 보호인지정요건등 금융거래의비밀보장 거래정보등의제공사실의통보 거래정보등의제공내용의기록 관리규정등 고객정보관리인임원선임규정, 업무지침서를작성보고, 고객정보의취급방침공지 업무상알게된정보누설하거나업무외의목적사용금지요건등 금융위원회정보통신보안업무세부지침 ( ) 국가정보통신보안기본지침에따른정보통신보안관리에필요한세부사항규정 정보통신보안성검토, 금감위보안산하기관및관련기관의정보통신보안책임은각기관의장에있음, 침입차단시스템을설치운용시국가기관에서인증또는동일성능이상의제품을사용요건등 21

22 - 감사합니다 - 22

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀