AISF2014_template

Size: px

Start display at page:

Download "AISF2014_template"

정은 심
5 years ago
Views:

1 안랩제품기획실이건용과장 D E S I G N Y O U R S E C U R I T Y

살아있는개인에관한정보 개인을식별할수있는정보 개인정보의주체는자연인 ( 自然人 ) 이며, 법인또는단체의정보는해당되지않음

2 개인정보의정의 ( 개인정보보호법제 2 조 ) 개인정보 란살아있는개인에관한정보 성명, 주민등록번호및영상등개인을식별할수있는정보 해당정보만으로는특정개인을식별할수없더라도다른정보와결합하여식별할수있는것을포함 살아있는개인에관한정보 개인을식별할수있는정보 개인정보의주체는자연인 ( 自然人 ) 이며, 법인또는단체의정보는해당되지않음 관계법령에의하여사망한것으로간주되는자에관한정보는개인정보로간주할수없음 사실, 판단, 평가등개인에관한모든정보 특정개인을식별할수있는정보 다른정보와결합하여개인을식별할수있는정보

4 개인정보의사회적이슈화 반복되는개인정보유출사고 > 고객불만폭증, 2 차피해발생 집단소송등정보유출 2 라운드진입 보안사고 보안사고 보안사고 보안사고 보안사고 개인정보보호법개정추진 ( 주민번호수집금지 ) 정통망법개정시행 개인정보보호법발효 개인정보관련규제강화 RISK 근본적인변화요구!! 고도화된외부위협대응의한계 내부에서발생하는보안사고 기존보안대책에대한신뢰하락 고객피해및불만폭증 보안실무자사기저하

5 개인정보보호법제정이후에도반복되는개인정보유출사고로 개인정보보호법개정안 시행결정 개인정보의단순 관리 를넘어단 1 건의 유출 도책임, 개인정보유출차단의무화 2014 년 8 월 7 일부터정부부처및공공기관, 민간기업을대상으로적용 개인정보유출에대한기업처벌및책임강화 개인정보가유출되지않도록사전에탐지및차단하는것이핵심!! 기존 개정안 ( 주민등록번호유출등위반시 ) 안전한개인정보관리 동의시, 주민등록번호수집가능 최대 5 천만원이하의과태료및형사처벌 개인정보관리및유출방지 주민등록번호수집전면금지 5 억원이하의과징금부과 개인정보보호를위한기술적 관리적 물리적보호조치수립 ( 개인정보관리방안부재 / 미비시처벌및책임 ) 유출사고시, 담당자및책임자형사처벌 개인정보유출차단의무 ( 개인정보유출시기업처벌및책임 ) 기업대표또는책임있는임원에대한처벌권고

6 개인정보보호법및개정안의기술적 / 관리적 / 물리적보호조치수립요구사항 주민번호수집전면금지 파일암호화완전삭제격리예외 / 요청처리 유출사전차단 제 29 조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록 내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라 안전성확보에필요한기술적 관리적및물리적조치를하여야한다. 제 24 조 ( 고유식별정보의처리제한 ) 개인정보처리자가제1항각호에따라고유식별정보를처리하는경우에는그고유식별정보가분실 도난 유출 변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야한다. 제 36 조 ( 개인정보의정정. 삭제 ) 개인정보처리자가제 2 항에따라개인정보를삭제할때에는 복구또는재생되지아니하도록조치하여야한다.

이메일을통한유출탐지및차단 개인정보파일첨부시전송제한 메신저를통한유출탐지및차단 개인정보파일첨부시프로그램차단 Outlook Gmail Naver Daum SMTP 등 Microsoft Lync Nate On Skype Yahoo Messenger Line 세이클럽타키 웹브라우저를통한유출탐지및차단 인터넷브라우저탭별차단 프린터문서출력을통한유출탐지및차단

7 이메일을통한유출탐지및차단 개인정보파일첨부시전송제한 메신저를통한유출탐지및차단 개인정보파일첨부시프로그램차단 Outlook Gmail Naver Daum SMTP 등 Microsoft Lync Nate On Skype Yahoo Messenger Line 세이클럽타키 웹브라우저를통한유출탐지및차단 인터넷브라우저탭별차단 프린터문서출력을통한유출탐지및차단 개인정보파일문서출력시문서출력제한정책에따라워터마크삽입 Internet Explorer Chrome Firefox Opera Safari Microsoft Word/Excel Microsoft PowerPoint 아래아한글 Acrobat notepad wordpad 다양한경로에서개인정보가포함된파일의유출을시도하는시점에즉각대응함으로써 안전한기업환경구축에기여

개인정보보호솔루션 DRM DLP 주체 개인 회사 회사 정보 개인정보 회사의저작권 회사자산유출메일, 웹메일, 메신저, 외장매체 주요기능 개인정보검색암호화, 완전삭제 암호화 유출방지 (Endpoint, Network) 암호화 파일암호화 파일접근권한통제 ( 후킹 ) 데이터 Rule 분석 ( 파일모니터링 ) 개인정보보호법준수

8 개인정보보호솔루션 DRM DLP 주체 개인 회사 회사 정보 개인정보 회사의저작권 회사자산유출메일, 웹메일, 메신저, 외장매체 주요기능 개인정보검색암호화, 완전삭제 암호화 유출방지 (Endpoint, Network) 암호화 파일암호화 파일접근권한통제 ( 후킹 ) 데이터 Rule 분석 ( 파일모니터링 ) 개인정보보호법준수 개인정보보호법에서요구하는사항준수 암호화요건만충족 개인정보현황파악 추적불가 파일단위로추적지원 암호화와개인정보현황파악불가 차별점 개인정보파악 / 관리가능 개인정보보호법요구사항준수 개인정보유출방지가능 실무자 ( 개인정보사용자 ) 업무효율성확보 모든파일에대한관리, 암호화제공 (DLP 유출방지기능제공 ) 개인정보보호법 의조치조건충족불가

9 주민등록번호 보고서 URL / IP 이메일또는 사진 계약서 ID / PW 외부저장장치를 카드번호 NDA. 통한정보의이동. 매출분석자료......

10 보안관리자는사용자의자가점검 (Self-check) 유도 그러나, 모든구성원이보안전문가는아니므로관심과수행에한계존재

11 보안관리자는사용자의 자가점검 (Self-check) 유도 그러나, 모든구성원이보안전문가는아니므로관심과수행에한계존재

12 DDoS Protection APT IPS Network Firewall Network DLP NAC DRM 자산관리 Anti-Virus 매체제어 Endpoint PMS 개인정보보호 Endpoint DLP

13 해킹등사이버공격으로부터정보자산보호및전직원보안의식제고 ' 내 PC 지키미 ' 를통해 사용자스스로 PC 의보안수준확인및개선 매월세번째수요일 사이버ㆍ보안진단의날 의무화 공공기관, 교육기관, 금융기관대상 매월 PC 취약점점검및개인정보점검등보안활동실시 < 관련규정 > 국가정보원 국가정보보안기본지침 제16조안전행정부 정보통신보안업무규정 제11조교육과학기술부 ' 보안업무규정시행세칙 ' 제63조

15 AhnLab V3Pro 2004 AhnLab SpyZero 2.0 AhnLab V3 Internet Security 7.0 AhnLab V3 Internet Security 8.0 AhnLab V3 Internet Security 9.0 Mail, Internet 보안기능 Anti-Spyware Internet Worm 초기 Spyware 2002 ~ 2005 All-in-One Product Multi-Function Spyware Blended Treats 2006 ~ 2008 All-in-One 경량화 Trojan / Worm 2009 ~ 2013 Unknown 파일탐지낮은리소스점유율 APT / Zero Day 2013 ~ Needs Threats

16 클라우드탐지 (ASD) 시그니처탐지 (TS) 악성코드유입단계 URL/IP 탐지 다차원분석플랫폼 평판기반탐지 안전한프로그램만실행 Active Defense 행위기반탐지

17 파일암호화완전삭제격리예외 / 요청처리 주민번호수집전면금지 유출사전차단 개인정보중앙집중화 강제집중 PC 내보유금지 유통에대한승인

18 백신 개인정보관리 / 유출방지 취약점점검 패치관리 One Agent

19 D E S I G N Y O U R S E C U R I T Y D E S I G N Y O U R S E C U R I T Y

슬라이드 1

슬라이드 1 모든유출사고가같은비중을차지하는것은아니지만암호화등올바른보안기술이적재적소에배치되어중요하고민감한데이터를보호해준다면 사고가발생한다해도개인정보유출을막을수있을것 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH LEVEL INDEX Gemalto * 출처 : 2015 년개인정보보호실태조사 ( 행자부, 보호위 )