<C0FCC0DAC1A4BACEBCADBAF1BDBA20BAB8BEC8BCF6C1D820B0B3BCB1B4EBC3A52E687770>
|
|
- 주현 팽
- 8 years ago
- Views:
Transcription
1
2
3
4
5 제 장 전자정부서비스 보안수준 실태조사 배경 제1 절 제2 절 제3 절 전자정부서비스 사이버위협 현황 전자정부서비스 보안사고 실태 전자정부서비스 보안수준 실태조사 배경
6 전자정부서비스 사이버위협 현황 전자정부서비스의 수준 2007년 UN 보고서에 의하면 한국은 전자정부 평가수준 중 최고수준인 5단계 (Networked) 에 근접하여 세계 5위의 전자정부로 평가받고 있으며 국가정보화지수 순위는 3위를 유지하 고 있다. 자료출처 2007년 국가정보화백서 전자정부 구축 성과로 공무원의 의사결정 및 문서결재 처리과정, 대( 代 )국민, 대( 代 )기업 민 원 서비스의 전자적 처리가 확대되어 세금, 국방, 고용/취업, 전자무역 등의 G4C, G4B, G4G, G4F 서비스를 제공하고 있다. 전자정부서비스의 보안 현황 전자정부서비스는 서비스 형태에 따른 적절한 보안대책을 수립하고 보안대책의 일관성을 유지하도록 관리하여야 하나 이를 전담해서 관리하는 조직이 없는 서비스 제공기관이 대부 분이다. 또한, 전자정부서비스중 일부서비스는 기관장 및 담당 공무원의 보안인식 수준이 낮거나 예산 반영이 적어 사이버 공격에 대한 적절한 대응 능력을 확보하지 못하고 있는 실정에 있다. 06 l 전자정부서비스 보안수준 개선대책
7 전자정부서비스의 구축 시 시스템 구축, 프로세스 개선시 보안요건이 고려되지 않아 보안 대책의 적용 및 체계적 대응이 곤란한 측면이 있으며, 보안관리 수준 파악을 위한 보안실태 조사가 없어 개별적인 서비스단위 자체적으로 보안수준을 확인할 수 없다. 또한 지방자치 단체(시도, 시군구)의 경우 사이버 공격에 대한 대응체계가 미흡하여 해킹 및 바이러스 등 악의적인 공격에 매우 취약한 상태이다. 2006년 공공부문의 정보보안 전담조직 구성 비율은 23.9%이며, 정보보안 전담조직이 없는 경우 대부분 정보화 담당부서에서 정보보안 업무를 수행하고 있다. 기관의 정보보안 담당 인력은 평균 1 ~ 2명이고 정보보안 관련 학위를 취득한 인력은 11%이며, 정보보안 관련 자 격증을 보유한 인력은 20%로 정보보안 업무 담당 인력의 전문성이 미흡한 실정이다. 자료출처 2007년 국가정보보호백서 국가정보화 전체예산 대비 정보보호 예산은 2005년 1.93%에서 2007년 2.9%까지 증가하였 으나 미국 연방정부의 정보화 예산대비 9% 수준에는 미치지 못한 것으로 나타나고 있다. 자료출처 2007년 국가정보보호백서 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 07
8 일부의 전자정부서비스는 종합적인 계획에 따라 보안기능 강화 관련 투자 및 시스템 구축 이 이루어지지 않고 있으며, 별도의 종합계획이 마련되지 않은 상태로 전자정부서비스 제 공기관 자체적인 필요에 의해 최소한의 보안장비가 구축되어 있다. 이러한 여러 유형의 전 자정부서비스의 영역 중 사용자 PC보호, 서버 및 웹 구간의 보호, 데이터베이스 보안 등이 상대적으로 취약한 것으로 분석 되었다. 특히, ID, P/W 인증방식을 이용하여 내부자의 정 보유출 및 도용 방지에 한계가 있으며 일부 직원에 의한 정보 오/남용 사례가 발생된 경우 가 있다. 전자정부서비스의 일반적 위협(8가지) 가. 내부자에 의한 중요 기밀정보 유출 가트너 컨설팅 그룹(Gartner Consulting Group)의 침해사고 발생 분석자료에 의하면 내부 인가자에 의해 발생되는 위험이 가장 높으며, 이는 인가된 내부 사용자의 실수에 의한 것이 대부분임을 나타내고 있다. 또한, 내부 근무자 중 개인정보 및 중요 행정정보 에 접근할 수 있는 권한을 가진 인원이 외부인원과 공모를 통해 개인적인 이익을 위하 여 개인정보 등을 유출할 수 있으며, 최근에도 예비군 훈련통지를 위해 상근예비역에게 아이디와 비밀번호를 알려준 것을 악용하여 외부자와의 공모를 통해 개인정보 2만 여건 을 매매한 사건이 발생한 사례가 있다. 이와 같이 개인정보 등 중요정보에 접근할 수 있 는 권한을 오/남용하여 정보를 노출시키는 사례가 점점 증가하고 있는 추세에 있다. 자료출처 침해사고 발생 분석자료(Gartner Consulting Croup) 08 l 전자정부서비스 보안수준 개선대책
9 나. 사회공학적 공격 공격자들이 공무원 또는 담당 업무 관계자로 가장하여 사용자나 관리자로부터 아이디와 패스워드를 알아내어 중요 정보를 유출시키려고 시도할 수 있으며, 데이터베이스 관리 자 또는 시스템 관리자의 계정 등을 확보할 경우 중요정보의 변조 및 노출이 가능하다. 다. TCP/IP 프로토콜의 취약점 이용 1) 출발지 전달(Source Routing)기능과 출발지(Source)주소의 중간 갈취(Spoofing)를 이용한 공격 위험 일반적인 IP 패킷은 헤더내에 출발지와 목적지(Destination)정보를 포함하고 있으며, 목적지를 기준으로 라우터 이상 여부 진단을 위해 사용하는 옵션 기능이지만, 공격자는 가짜로 생성된 주소로 경로를 추가하여 전송한 뒤, 정상적인 경로를 모니터링 하거나 공격자가 점유한 시스템으로 트래픽이 전송되도록 할 수 있다. 2) 서비스 거부 공격 (DDos) 공인 네트워크 대역 등을 노출시킬 경우 과도한 네트워크 트래픽의 관리가 되지 않아, 서비스 거부 공격에 악용될 수 있다. RFC 3330에 정의된 네트워크 대역은 내부 사설IP로 사용되거나, 이미 다른 용도로 예약되어 사용되고 있는 주소들 이다. 이를 네트워크 호출 주소(Network Broadcast Address)로 고의적인 패킷을 전송할 경우, 라우터는 물리적으로 연결된 네트워크로 호출(Broadcast)함으로써 이를 이용한 서비스 과부하를 일으키는 스머 프(Smurf) 공격의 위험이 존재한다. 기타 DNS(Domain Name Server) 스푸핑, TCP(Transmission Control Protocol) 시퀀스 추측 및 불법접근, 세션 하이재킹, 인증 세션/트랜잭션 재연, 전송 중 데이터 변경 또는 복 사, ICMP(Internet Control Message Protocol) 폭탄, TCP_SYN 플러딩, 대형 Ping 패 킷 등을 이용한 서비스 거부 공격도 존재한다. 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 09
10 라. 스파이웨어의 위협 정상 프로그램으로 위장한 공격 프로그램(트로이 목마) 같은 스파이웨어 등은 방문자가 많은 홈페이지를 해킹한 후 해당 홈페이지에 접속할 때 Active-X 등 정상적인 프로그 램으로 위장하거나 자료실 등에 유틸리티로 위장한 파일을 업로드한 후 사용자의 PC에 정상적으로 설치되게 하며, 이후 트로이목마로 동작하여 외부에서 비인가자의 접근을 허용하고 PC에 저장된 개인정보 등 중요정보를 유출시킨다. 마. 서비스의 설치시 구축오류 데이터베이스 관리시스템(DBMS)의 설계시 오류분석 확인을 실시하지 않아 취약점이 발생하며, 이러한 취약점을 통하여 공격자는 DBMS의 권한을 이용하여 중요정보의 획득이 가능하다. 시스템 구축시 부하 조정이 적절히 이루어지지 않아 서비스의 정상적인 제공이 중단될 수 있다. 정보 자산의 증가나 네트워크 구조 변경에 따른 위험 변화에 대한 취약점 확인과 취 약점 보완을 소홀히 하여 외부 공격자에게 보안 취약점이 노출되어 해킹이 이루어질 수 있다. 시스템 장애에 의한 위협 - 소프트웨어, 하드웨어, 케이블링, 통신시스템의 결함 등의 원인으로 인해 서비스가 지연 또는 중단될 수 있다. 바. 정보도청 1) 복사파를 이용한 전자기적 도청(Van Eck Phreak) 컴퓨터, 키보드, 모니터, 프린터에서 방출되는 복사에너지를 수백미터 밖에서 검출하여 검출된 자료를 모니터 등에 재연하여 중요 정보를 노출시킬 수 있다. 2) 네트워크 도청 데이터 소유자에게 들키지 않고 내부 네트워크를 통해 민감한 데이터를 불법적으로 감 시하며 네트워크 스니퍼 등을 통해 계정정보를 불법으로 확보한 후 이를 악용하여 내부 네트워크에 접속할 수 있다. 010 l 전자정부서비스 보안수준 개선대책
11 3) 이메일 또는 트래픽 경로 재설정(Redirect) 이메일 및 트래픽을 DNS 스푸핑, IP 스푸핑을 통해 정상적인 경로로 정보가 전송되지 않고 공격자가 원하는 경로로 전송되게 하여 중요정보의 노출을 시도할 수 있다. 사. 무결성/정확성 위협 1) 정보의 악의적 손상 사회공학 또는 해킹, 스니핑 등을 통해 확보한 계정 정보를 악용하여 정보 또는 정보처 리 기능에 대한 외부/내부로부터 악의적으로 변조, 삭제, 유출이 이루어질 수 있다. 2) 정보의 변조 데이터베이스 관리자의 계정 등의 확보를 통해 정보를 변조하거나 적절히 암호화되지 않은 출력물의 변조를 시도할 수 있다. 아. 접근제어 위협 1) 패스워드 크랙킹 패스워드 파일에의 접근, 단순한 패스워드 또는 디폴트 패스워드의 사용, 추측하기 쉽거나 변경이 되지 않는 패스워드를 사용할 경우 패스워드 추측공격, 사전공격, 무차별 공격 등의 패스워드 크랙킹에 의해 패스워드가 노출될 수 있다. 패스워드가 노출될 경우 데이터베이스 또는 시스템에 비인가 접근이 가능하여 중요정보의 유출이 이루어질 수 있다. 2) 내/외부로부터 계정 취득 접근시도 외부로부터 패스워드 파일 접근, 네트워크에 대한 스니핑, 내부에서 이용되는 백도어, 외부 네트워크에서 보이는 백도어 등을 통해 계정 취득을 위한 불법적인 접근시도를 할 수 있다. 3) 네트워크 장비의 소프트웨어 버그 네트워크 장비의 운영을 위해 사용되는 소프트웨어의 버그가 있을 경우 이러한 보안취 약점(Security Hole)을 이용하여 외부 네트워크로부터 내부 네트워크로 접근할 수 있으 며 소프트웨어 복잡성이 높아질수록 위협이 증가한다. 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 011
12 전자정부서비스 보안사고 실태 최근 사이버공격 동향 중국 발( 發 ) 해킹공격 증가 중국 해커에 의해 사용이 간편한 해킹툴이 개발되고 이의 유포로 불법적인 개인정보를 수집 / 금전적 이득 확보 시도 프로그램의 취약점을 이용한 제로데이 공격 보안패치가 발표되기 전 해킹코드 생성 및 유포를 통해 개인정보, 중요정보 탈취 시도 피싱 기법을 이용한 End-point 공격 금전적 이득을 목적으로 한 해킹 공격 증가 금융권, 게임 사이트 등이 대상 홈페이지를 대상으로 한 공격(Active-X) 홈페이지를 피싱, 악성코드의 유포 경로 사이트로 악용하거나 개인정보 수집 공공기관의 사이버 침해사고 현황 2003년부터 최근까지 공공기관에서 총 45,341건의 공격에 18,382건의 정보유출/훼손 등의 침해사고가 발생하였으며 그중 지방자치단체와 교육기관이 68.5%의 비율을 차지하고 있다. 자료출처: 2007년 국가정보보호백서 012 l 전자정부서비스 보안수준 개선대책
13 국회 디지털포럼 과 국가사이버안전센터(NCSC)가 실시한 67개 정부공공기관 대상 모의해 킹 결과 약 85%인 57개 기관이 해킹에 취약한 것으로 나타났다. 대상기관 안전 취약 심각 67개 정부기관 10개(15%) 33개(49%) 24개(36%) 자료출처: 국회 디지털포럼(07. 5) 전자정부서비스의 내부 시스템보다 외부 노출이 많은 웹 서비스에 대한 공격이 증가하는 추세로 전체 사이버 공격 중 웹사이트 침해사고가 80%를 차지하고 있다. 해킹으로 인한 위협요소 및 피해내용 해킹으로 인한 위협 요소와 피해내용은 다음과 같다. 유형 위협 요소 피해 내용 정보노출 및 도용 - 비인가자에게 ID 및 패스워드 노출 - 도메인 네임 및 메일 ID 탈취 - 개인 신상정보 및 중요정보 노출 정보의 위/변조 - 전자 민원서류의 위/변조 - 프로그램, 데이터 등 파일 위/변조 - DB 정보의 위/변조 - 위변조된 서류와 자료 등으로 사기피해를 당할수 있다. 시 스 템 파 괴 - 네트워크, 서버, 응용 시스템의 파괴 - 시스템 및 서비스의 성능저하 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 013
14 사이버 침해사고 유형별 분포를 보면 악성코드 감염이 가장 많은 비율인 60%를 차지하며 자료훼손 및 유출은 약 3%인 것으로 조사 되었다. 자료출처: 2007년 국가정보보호백서 웜/바이러스 감염으로 인한 위협요소 및 피해내용 웜/바이러스 감염에 의한 위협 요소와 피해내용은 다음과 같다. 유형 위협 요소 피해 내용 웜 / 바 이 러 스 - 인터넷과 이메일, 메신저 등을 통해 감염 - 해킹 및 정보유출에 악용 - 네트워크의 가용성 저하 - 개인 신상정보 및 중요정보 노출 트 로 이 목 마 스 파 이 웨 어 - 특정 날짜, 조건에 작동 - 정보유출 및 서비스 장애 유발 - 사용자의 동의없이 설치됨 - 유해사이트 접속 및 팝업광고 강제실행 공공기관을 대상으로 연간 26,412천건(2006년)의 바이러스가 침투하며 직접적인 해킹보다 바이러 스를 활용한 해킹공격이 증가하는 추세에 있다. 해킹과 웜/바이러스가 결합하여 지능화된 공격이 증가하고 있어 대응이 어렵고 피해규모가 크고 빠르게 확산되는 추세에 있다. 공격 프로그램이 자동화되어 누구나 쉽게 웜/바이러스 및 해킹툴을 이용한 해킹시도가 가능하다. 014 l 전자정부서비스 보안수준 개선대책
15 전자정부서비스의 시스템 장애로 인한 위협요소 및 피해내용 IT기술의 발달로 시스템의 안전성은 높아졌으나 전자정부서비스의 폭이 확대되고 있어 복 합적인 요인에 의한 시스템 장애로 피해규모가 점차 커지는 추세이며 피해유형과 내용은 다음과 같다. 유형 위협 요소 피해 내용 시 스 템 장 애 기 반 시 설 결 함 인 적 장 애 - 서버, 데이터베이스 등 하드웨어, 소프트웨어 결함 - 정전사고, 설비장애(항온항습, 통신시설 등)의 결함 - 시스템 운영실수, 노조파업, 해커 침입 등 - 서비스 장애 유발로 정상적인 서비스 제한 - 정보유출 및 서비스 장애 유발 - 정보시스템 파괴 및 업무장애 자 연 재 해 - 지반침하, 홍수 등 - 정보시스템 손상 및 서비스 장애 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 015
16 전자정부서비스 보안수준 실태조사 배경 행정기관의 보안수준 실태조사를 시행한 사례가 없고 각급기관에서 정보화계획 수립시 보 안대책을 포함하여 작업을 수행하고자 할때 기초 자료가 부족하여 어려움이 있는 바 기관 의 특성을 고려하여 서비스별, 영역별 보안수준을 조사할 필요성이 대두되었다. 이에 따라 6가지 유형에 따라 조사하였다. 실태조사 유형 가. 사용자 PC에 대한 전자정부서비스 업무유형 및 보안취약점 파악 현재 전자정부서비스 전담공무원 및 민원인 PC의 주요 PC 활용 업무는 민원신청,접수, 확인, 민원처리, 국민제안, 정책토론, 커뮤니티, 실태조사, 사후관리로 이루어지며, 연계 시스템을 통한 타 기관의 정보요청/입수 등으로 인해 대부분의 실무 행정 업무는 사용자 의 PC를 통해 이루어지고 있다. 그에 반해, 비인가자에 의한 PC 접속으로 PC에 내장된 중요행정자료, 개인정보 등의 유출, 위변조 및 파괴 등의 가능성이 높은 상태이다. <사용자 PC분야에 대한 보안 취약점> 016 l 전자정부서비스 보안수준 개선대책
17 나. 네트워크 분야 전자정부서비스 업무유형 및 보안취약점 파악 네트워크는 접근보안대책(비인가자의 서비스 접근시도에 대한 인증절차)과 연결 서비스 의 보안절차(원격사용자 인증), 접근통제정책에 따른 사용자 접속의 통제, 에러 또는 보 안문제를 파악하기 위한 보안관리가 수행 되어야 한다. <네트워크 분야에 대한 보안 취약점> 다. 서버 분야 전자정부서비스 업무유형 및 보안취약점 파악 정보시스템 구간은 네트워크 운영권한을 획득하여 수시로 시스템에 접속하여 중요정보 와 개인정보 등의 유출, 위변조 및 파괴의 가능성이 있다. <서버 분야에 대한 보안취약점> 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 017
18 라. 웹 / 어플리케이션 분야 전자정부서비스 업무유형 및 보안취약점 파악 전자정부서비스 업무는 웹민원, 클라이언트/서버민원, 멀티미디어 서비스 등이 제공되 고 있으며, 정보의 입력, 전자정부업무처리 등에서 전송데이터의 변조위험이 존재한다. <웹/ 어플리케이션 분야에 대한 보안취약점> 마. 데이터베이스에 대한 전자정부서비스 업무유형 및 보안취약점 파악 비인가자가 정보시스템 접근후 시스템 정보변조, 비인가자가 DB접근후 데이터 변조 및 전송/수송데이터 변조 등의 위험 요소가 존재하며, 데이터의 기밀성, 비밀성, 가용성이 특히 요구되고 있다. <DB 분야에 대한 보안 취약점> 018 l 전자정부서비스 보안수준 개선대책
19 바. 공통적인 보안취약점 분석 전자정부서비스 업무내용과 보안취약점 파악 결과 기본적으로 보완해야할 분야를 아래와 같이 도출하였으며, 이에 따른 체계화된 보안지표 수립이 요구되었다. 제1 장 전자정부서비스의 보안수준 실태조사 배경 l 019
20
21 제 장 전자정부서비스 보안 위협요인 분석 제1 절 제2 절 제3 절 제4 절 제5 절 제6 절 관리분야 PC분야 네트워크 분야 서버 분야 DB 분야 웹/ 어플리케이션 분야
22 관리 분야 전자정부서비스에서 실시되고 있는 관리적 분야는 정기적인 보안수준 실태조사, 보안인식 수준조사, 정보 접근권한 통제 등이 있으며, 관련되는 위협요인과 위협대응방안 및 보안 요 구기능을 제시하였다. 정기적인 보안수준 실태조사 가. 위협요인 전자정부서비스의 보안수준이 조사되지 않아 서비스 별 보안수준을 알 수 없다. 따라서 서비스 별 보안수준 차이가 나타나고 일관성이 부족하며 보안사고 발생 시 사고 대응 능력이 미흡하여 피해가 커질 수 있다. 나. 위협 대응방안 전자정부서비스의 보안수준을 매년 정기적으로 조사하여 보안대책을 수립하고 적용하여 보안수준을 제고하여야 한다. 전자정부서비스 별 특성을 감안하여 상시적인 보안지표 및 등급관리 실시하여야 한다. 다. 보안 요구기능 (1) 전자정부서비스별 보안실태 조사 / 등급관리 (2) 상시적인 보안지표 관리 / 보안실태 조사 022 l 전자정부서비스 보안수준 개선대책
23 보안인식 수준 가. 위협요인 보안사고에 대한 의식 부족으로 인해 사고가 발생하여도 파악이 곤란하며 대응이 늦어 질 수 있다. 특히 이를통해 피해가 확산될 수 있으므로 보안의식 제고가 필요하다. 나. 위협 대응방안 공무원 PC에 국가의 주요정보 및 개인정보의 저장을 금지하며 홈페이지, 인터넷 카페 등에 개인정보의 게시를 금지하고 주기적으로 안내 공지하여야 한다. 보안담당 공무원 에 대한 주기적 교육 프로그램을 마련하고 전자정부서비스 제공 및 개인정보 담당 공무 원에 대한 연 2회 보안교육을 의무적으로 실시하여 보안의식 강화를 이루어야 한다. 다. 보안 요구기능 (1) 사용자 PC에 대한 정기적인 보안점검 (2) 등급별 핵심 이행 사항 이행여부 정기적인 검사 (3) 보안담당 공무원에 대한 주기적 교육 실시 제2 장 전자정부서비스 보안 위협요인 분석 l 023
24 정보 접근권한 통제 가. 위협요인 권한이 없는 자 또는 비인가자가 불법으로 접근하여 개인정보, 건강정보 등의 주요 정 보를 노출하거나 변조할 수 있다. 나. 위협 대응방안 (1) 정보이용 업무 및 이용자수를 최소화하고 권한부여 심사절차를 강화하여야 한다. (2) 개인정보가 포함된 정보는 공익요원 등 임시직의 접근을 통제하며 책임있는 직원만 접근을 허용하여야 한다. (3) 행정정보 및 개인정보에 대한 입력, 수정, 삭제, 열람 시 이용자 ID, IP주소 등을 기 록하여 정보유출 차단 및 책임소재를 명확히 해야 한다. 다. 보안 요구기능 (1) 개인정보 보호 교육 강화 (2) 정보이용 권한부여 심사절차 강화 (3) 정보 활용 내역에 대한 로깅 유지 /분석 024 l 전자정부서비스 보안수준 개선대책
25 PC 분야 전자정부서비스를 위한 분야별 구성은 정부업무시스템이나 대민서비스 정보시스템을 사용 하는 실제 상황에 따라 영역을 나누어 PC 분야, 네트워크 분야, 서버/어플리케이션 분야, DB 분야로 구분하여 살펴 보았으며, 침해사고 유형별/해외 선진사례 조사 및 분석을 통해 위협 요소별로 대응할 수 있는 보안강화 기능을 분석하였다. 전자정부서비스 접속자가 사용하는 장비는 PC가 주를 이루고 있으며, PC에 의한 정보 입 력과 자료 확인 및 접속이 이루어지고 있다. 이에 따라 관련되는 보안위협은 키보드 입력정 보의 노출, 웜/바이러스 감염, 중요정보의 유출 도용 훼손, 단순 ID/Password 사용, 운영체 제의 취약점 공격, 유해 및 비인가 사이트 접근 차단, 스파이웨어의 감염 등이 있으며, 관 련되는 위협요인과 위협대응방안 및 보안 요구기능을 제시하였다. 키보드 입력정보의 노출 가. 위협요인 키로거 프로그램 등을 이용하여 키보드로 입력되는 내용을 가로채 다른 컴퓨터에 개인의 ID와 비밀번호뿐만 아니라 계좌번호, 신용카드 번호 등을 유출하게 된다. 키로거 프로그 램(Key Logger Program)은 프로그램이 설치된 컴퓨터의 키보드로 입력되는 모든 데이터 를 다른 컴퓨터의 하드디스크 내부에 기록을 남겨두거나 실시간으로 타인의 PC에 전송하 는 악성 해킹 프로그램이며, PKI 기반의 인증서 비밀번호, 보안카드, ID/Password, 계좌 번호의 입력 창 등도 키보드 해킹 프로그램으로부터 안전하지 않다. 제2 장 전자정부서비스 보안 위협요인 분석 l 025
26 나. 위협 대응방안 웹 브라우저 상에서 키보드를 통해 입력되는 중요정보(아이디, 패스워드, 계좌번호 등) 들이 백도어 프로그램 및 스파이웨어 등에 의해 해킹 및 외부로 전송되는 것을 예방할 수 있는 솔루션을 구축하여야 한다. 이를 통해 키보드 데이터 암호화 및 인증서 보호 및 연동할 수 있으며 드라이버 레벨의 키로깅 원천차단 기술을 적용해야 한다. 다. 보안 요구기능 (1) 키 입력을 후킹하여 키 입력 데이터가 필터드라이버를 거치지 않도록 하는 기능이 제공되어야 한다. (2) 암호 창에 실제 키 입력을 저장하지 않도록 하여 인젝션 된 DLL에서 창의 내용을 읽더라도 노출이 되지 않도록 하는 기능이 제공되어야 한다. (3) 설치, 설치 제거 모두 재부팅 없이 진행이 가능토록 해야 한다. 026 l 전자정부서비스 보안수준 개선대책
27 웜/바이러스의 감염 가. 위협요인 인터넷 웜은 이메일 프로그램의 주소록에 있는 모든 사람에게 웜이 첨부된 메일을 자동 으로 보내며 인터넷 등의 속도나 시스템에 영향을 줄 뿐만 아니라 특정 파일을 0바이트 로 변경하거나 재부팅 시 하드디스크의 포맷, 사용자 정보의 노출 등의 영향을 주게 된 다. 웜/바이러스는 과거에는 베이글, 넷스카이 등 임의의 이용자를 대상으로 하는 대량 메일 발송웜에 의한 피해가 주로 발생하였으나 2006년의 경우 특정 게임의 ID/패스워 드를 탈취하는 데 이용하며 자체 전파력이 없는 트로이목마에 의한 피해가 많이 발생하 였다. 2006년 발행한 피해건수는 2005년에 대비하여 51.6%가 감소하였으나 악성코드 유포의 궁극적인 목적이 금전적 이익을 취하기 위한 것으로 변질되어가며 위험도가 더 높아지고 있는 추세이며, 2006년도의 웜/바이러스에 의한 전체 피해건수는 총 7,789건 으로 월 평균 649건이 발생되었다. 구 분 신 고 건 수 2005년 총계 2006년 총 16, ,789 자료출처: 2007년 국가정보보호백서 이 중, 웜/바이러스에 의한 공공분야의 피해건수는 총 2,548건으로 월 평균 212건이 발 생되고 있다. 자료출처: 2007년 국가정보보호백서 제2 장 전자정부서비스 보안 위협요인 분석 l 027
28 웜/바이러스의 기관별 감염건수는 지자체에서 가장 많은 1,233건이 감염된 사례가 있었 음을 확인하였으며 연말에 집중적인 침해사례가 있는 것으로 확인 되었다. 자료출처: 2007년 국가정보보호백서 구분 국가기관 지자체 연구기관 교육기관 산하기관 기타 합계 감염건수 316 1, ,548 자료출처: 2007년 국가정보보호백서 나. 위협 대응방안 (1) 악성코드는 인터넷, , 네트워크 공유 등을 통해 빠르게 확산되며 이를 신속하 고 정확하게 진단 및 치료를 하며 예방할 수 있는 솔루션을 구축하여야 한다. 또한 이러한 솔루션은 부가적으로 개인정보 보호 및 스파이웨어 차단, 개인방화벽 기능을 제공하며 다양한 압축 파일을 진단하고 치료할 수 있으며 바이러스 탐지 및 차단, 메 신저 방역, 공유폴더 감염자 추적 기능을 보유해야 한다. (2) 사용자는 수신/ 발신하는 메시지와 첨부파일, 메신저를 통해 전송되는 첨부 파일 바이러스를 자동으로 차단할 수 있어야 하며, 인터넷을 통하여 웹사이트에 접 속할 때 사용자 몰래 설치되는 스파이웨어, 애드웨어를 정확하게 진단 및 치료하고 예방하는 솔루션을 구축하여야 한다. 특히, 스파이웨어 차단 및 바이러스 탐지 및 차단, 메신저 방역, 공유폴더 감염자 추적 기능 등을 보유하고 있어야 한다. 028 l 전자정부서비스 보안수준 개선대책
29 다. 보안 요구기능 (1) 안정적인 바이러스 백신 모듈을 탑재하어 위험 차단 기능을 제공해야 한다. (2) 다양한 보안 위협 및 최신 보안위협에 대한 대응이 이루어질수 있는 기능을 제공해야 한다. (3) 신속하고 정확한 엔진 업데이트 및 고객 지원이 이루어져야 한다. 중요정보의 유출 도용 훼손 가. 위협요인 웜/바이러스와 해킹 등을 통해 시스템 파괴, 중요정보 노출 및 도용, 정보 훼손 등으로 다양화되고 있으며 특히 공무원 PC에 저장된 주요 국가정보, 정책보고서 등에 대한 비인 가 노출시도가 증가하고 있다. 또한, 패스워드 등이 설정되지 않은 공유폴더, 메신저, P2P 등을 통해 중요정보의 인가되지 않은 노출 시도가 발생하고 있다. 사용자들이 로그인 계정에 대한 보안의식이 부족하여 초기설정인 Administrator 를 사용 하고 암호는 암호값이 없는 Null 로 사용하여 패스워드 없이 접근이 가능하도록 하는 경 우가 많은데 이를 악용할 경우 정보의 노출 시도가 가능하다. 이 경우 악성프로그램을 이용하여 해당 시스템을 DDoS 공격에 필요한 에이전트로 악용 하거나 에이전트가 설치된 것을 찾기 위한 불필요한 네트워크 트래픽을 유발시키게 된다. 제2 장 전자정부서비스 보안 위협요인 분석 l 029
30 나. 위협 대응방안 PC에 저장되어 있는 중요 정보를 내부자에 의해 외부로 불법 유출되는 것을 원천적으 로 봉쇄하는 정보 유출 방지 시스템을 구축하여 자산, IP, 불법 소프트웨어, 소프트웨 어 배포 등 PC의 종합관리 기능을 제공하는 솔루션의 도입을 통해 중앙에서 각 사용자 별 PC를 통제하여 정책의 일관성을 유지할 수 있다. 또한, 매체제어를 통해 이동 저장장치로 인해 중요정보가 비인가 유출되는 것을 사전에 방지할 수 있다. 특히, 데스크탑/노트북에 저장된 파일을 일반 파일과 중요 데이터로 구별하여 보관하며 타인과 PC를 공유하거나 비인가자에게 중요자료가 노출되지 않도록 암호화를 실시하여 야 한다. 또한, USB와 같은 이동저장매체로 파일을 복사할 때 암호화를 적용하여 분실 시에도 외부로 노출되지 않도록 지원하여야 한다. 다. 보안 요구기능 (1) 별도의 암/복호화 기능을 적용하여 전용 툴에서만 확인할 수 있는 기능을 제공해야 한다. (2) 비인가 저장매체의 접속 차단 기능이 제공되어야 한다. (3) 자산, IP, 불법 소프트웨어, 소프트웨어 배포 등 PC의 종합관리 기능을 제공해야 한다. 030 l 전자정부서비스 보안수준 개선대책
31 단순 ID / Password의 사용 가. 위협요인 ID 및 패스워드 인증수단의 안정성 및 보안성은 패스워드에 의해 좌우되기 때문에 패 스워드를 알고 있으면 주민번호, 주소 등 단순 개인정보 뿐만 아니라 이메일의 내용, 금용정보까지 제 3자가 알 수 있다. 강력해진 PC의 성능, 자동화된 패스워드 크랙 프 로그램의 등장으로 인해 아이디와 패스워드의 일대일 매칭을 시도할 경우 복잡한 패스 워드라고 하더라도 쉽게 크래킹 될 수 있다. 특히, KISA가 20대 남녀 대학생의 패스워드 현황을 분석한 자료에 따르면, 대부분의 사용자는 영소문자+숫자 와 같이 2가지 문자 종류로 구성된 패스워드를 이용하는 것으로 나타났으며, 그중 6자리 이하의 패스워드를 이용하는 사용자는 64.5%에 이르는 것으로 조사된바 있다 패스워드의 조합을 알아내는 데 소요되는 시간은 다음과 같으며 가장 많이 사용하도록 권고하는 영문자 숫자 조합의 8자리 패스워드일 경우 크랙에 소요되는 시간은 약2주 정도가 소요됨을 확인할 수 있다. 입력문자 7자리 8자리 영문 문자(26문자) 45분 20시간 영문 소문자 + 숫자(36문자) 8시간 13일 영문 대/소문자 + 숫자(62문자) 25일 4년 6개월 영문자 대/소문자 + 숫자 + 특수문자(94문자) 437일 114년 자료출처: 정보보호뉴스 또한, 특정 단어와 단순 숫자 및 문자의 나열 등과 같은 단순한 패스워드를 사용할 경 우 패스워드를 알아내는 데 소요되는 시간은 더 단축될 수 있으며, 이를 통해 패스워드 가 노출될 경우 PC에 저장된 국가정보 및 행정문서, 개인 정보 등은 비인가자에게 쉽 게 노출될 수 있다. 제2 장 전자정부서비스 보안 위협요인 분석 l 031
32 나. 위협 대응방안 단순 아이디, 패스워드 인증방식을 인증서 기반의 강화된 인증방식을 적용해야 한다. 인증서 기반의 방식은 개인키와 공개키를 생성하고 믿을 수 있는 신뢰기관이 공개키 소 유자의 신원을 보증하는 기반구조(인프라)를 뜻한다. 인증서 기반 구조(PKI)는 노출 우려가 있는 기존의 단순한 정적 패스워드 입력방식보다 보안 수준이 강화되어 있으며 공무원의 안전한 접속을 위해서 행정전자서명(GPKI)를 이용하고 민원인의 안전한 접근을 위한 공인인증서(NPKI)를 적용하여야 한다. 이러한 인증서 사용 기반 인증은 PKI 기반의 인증서를 이용하여 신원 인증을 하므로 더욱 강 력한 보안정책을 유지할 수 있으며, SSO(Single Sign On) 연동 시 사용자 인증의 보안 성 강화 및 편의성을 확보할 수 있다. 다. 보안 요구기능 (1) 물리적/논리적인 공격에 의한 개인키 정보 유출 방지 기능을 제공해야 한다. (2) 일회 인증/권한부여 방식(SSO: Single Sign On)시스템의 연결정보를 노출시키지 않는 기능을 제공해야 한다. 운영체제의 취약점 공격 가. 위협요인 해커 등 비인가자는 패치되지 않은 운영체제의 취약점을 이용하여 PC에 비인가 접근을 시도하거나 중요정보의 노출, 유출을 시도할 수 있다. 윔/바이러스 등은 운영체제의 취 약성을 검색하여 보안 패치가 실시되지 않은 PC를 감염시키며 이를 통해 외부 네트워 크를 공격하거나 중요정보 노출, 변조, 삭제 등을 시도하게 된다. 자료출처: 2007년 국가정보보호백서 032 l 전자정부서비스 보안수준 개선대책
33 나. 위협 대응방안 외부 공격자가 운영체제에 대한 취약점 공격을 시도하는 분야는 대부분 운영체제의 패 치되지 않은 취약성을 공격하는 경우가 많으며, 따라서 네트워크에 존재하는 모든 사용 자 PC의 운영체제 및 어플리케이션과 일부 서버에 대한 보안 패치, 업데이트를 관리자 가 전사적으로 일괄 관리, 통제할 수 있도록 보조하는 솔루션을 구축해야 한다. 이러한 패치관리 솔루션은 중앙 집중관리를 통해 최신 패치의 유지 및 정책에 의한 일 괄 적용할 수 있으며 보안 시스템의 업데이트 설치 강제 유도로 웜/바이러스 피해를 최 소화하며 보안패치 뿐만 아니라 바이러스 백신의 설치와 업데이트를 할 수 있는 기능을 제공해야 한다. 패치관리 솔루션을 적용하게될 경우 보안성을 강화하는 동시에 보안업 무의 효율성 증가, 일괄적 보안정책 관리와 비용 절감 효과를 가져올 수 있다. 다. 보안 요구기능 (1) 신속하고 광범위한 패치가 이루어져야 한다. (2) 신뢰할 수 있는 패치제공과 유연한 구성이 가능해야 한다. 제2 장 전자정부서비스 보안 위협요인 분석 l 033
34 유해 및 비인가 사이트 접근 차단 가. 위협요인 웹 메일, 웹 하드 등을 통해 내부자가 개인정보, 중요 행정정보 등을 외부로 전송할 수 있으며 로그가 남지않아 정보 유출을 식별하기 곤란하다. 또한 증권 등의 비인가 사이트 에 접근할 경우 과도한 트래픽 발생으로 인해 네트워크 가용성을 침해받을 수 있다. 업 무시간에 성인관련, 게임, 도박 등 유해 사이트에 접근할 경우 웜/바이러스, 스파이웨 어, 트로이목마 등 악성코드에 감염되어 주요 정보의 유출을 시도하거나 과도한 트래픽 을 생성하여 서비스 장애발생 또는, 서비스거부공격을 위한 에이전트가 설치될 수 있다. 나. 위협 대응방안 PC에 저장되어 있는 중요 정보를 내부자에 의해 외부로 불법 유출되는 것을 원천적으 로 봉쇄하는 정보 유출 방지 시스템의 도입 및 운영이 요구되며, 보안관리, 차단 대상 사이트의 IP관리와 통제 기능을 제공하는 솔루션의 도입을 통해 중앙에서 각 사용자별 PC를 통제하여 정책의 일관성을 유지할 수 있다. 다. 보안 요구기능 (1) 별도의 암/복호화 기능을 적용하여 전용 툴에서만 확인할 수 있는 기능을 제공해야 한다. (2) 비인가 저장매체의 접속 차단 기능이 제공되어야 한다. (3) 특정 IP차단 기능과 특정 URL 차단 기능 등 유해 및 비인가 사이트 접속 차단이 되 어야 한다. 034 l 전자정부서비스 보안수준 개선대책
35 스파이웨어의 감염 가. 위협요인 웜/바이러스 등 악성코드와 구분되는 스파이웨어는 사용자의 동의 없이 PC에 불법 설 치되는 악성 프로그램으로 사용자가 방문한 웹사이트 정보 또는 키보드 입력 정보 등 중요 정보를 수집하여 제 3자에게 전송하는 기능을 수행하게 된다. 스파이웨어는 애드 웨어와 혼동이 되는데 애드웨어는 무료 사용하는 프리웨어나 쉐어웨어 등과 같이 광고 를 보는 대가로 사용하는 프로그램으로 사용자의 동의를 거쳐 설치되며 백신, 스파이웨 어 차단 솔루션 등에서는 차단되지 않는다. 특히, 스파이웨어는 인터넷이나 PC통신에서 무료 유틸리티 프로그램을 다운로드 받을 때, 자동으로 컴퓨터 본체에 탑재되어 불법으로 개인 정보를 상대방에게 보내는 개인정 보 유출 프로그램으로 개인정보 유출 및 ID/Password 등의 유출이 가능하게 된다. 항목 주요 증상 1 특정 홈페이지 접속 시 특정 홈페이지의 바로가기를 바탕화면에 설치하고 방문을 유도 2 웹브라우저에 악성툴바를 설치 3 안티 스파이웨어 프로그램을 설치하고 유료사용을 유도 4 특정 파일을 다운로드하여 설치하고 진행 5 메일을 불특정 다수에게 전송하고 이로인해 네트워크 부하를 유발 6 메신저 프로그램의 계정 정보를 유출하거나 사용자의 인터넷 사용 감시 7 사용자의 키보드 입력을 감시 스파이웨어의 주요 감염경로는 P2P 파일공유 프로그램, 각종 무료 유틸리티, 스팸메일, 유해 프로그램, 특정 사이트 등의 접근 시 감염될 수 있다. 특정 홈페이지를 통해 감 염되는 방법은 Active-X를 이용하여 감염을 시도하며 이때 Acitive-X는 설치 시 설치 여부를 확인하는 대화상자가 나타나는 데 일단 설치된 후에는 보안상 통제가 없어 악의 적인 목적으로 이용될 수 있다. 이러한 스파이웨어 감염 시 주요 증상은 다음과 같다. 항목 내용 1 웹 브라우저의 홈페이지 설정이나 검색설정을 변경 또는 시스템 설정을 변경하는 행위 2 정상 프로그램의 운영을 방해, 중지 또는 삭제하는 행위 3 정상 프로그램의 설치를 방해하는 행위 4 다른 프로그램을 다운로드하여 설치하게 하는 행위 5 운영체계 또는 타 프로그램의 보안설정을 제거하거나 낮게 변경하는 행위 이용자가 프로그램을 제거하거나 종료시켜도 해당 프로그램(프로그램의 변종 프로그 6 램도 포함)이 제거되거나 종료되지 않는 행위 7 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집, 전송하는 행위 제2 장 전자정부서비스 보안 위협요인 분석 l 035
36 나. 위협 대응방안 인터넷을 통하여 웹사이트에 접속할 때 사용자 몰래 설치되는 스파이웨어, 애드웨어를 정확하게 진단 및 치료하고 예방하는 솔루션을 구축하여야 한다. 또한, 스파이웨어 차 단 및 바이러스 탐지 및 차단, 메신저 방역, 공유폴더 감염자 추적 기능 등을 보유하고 있어야 한다. 다. 보안 요구기능 (1) 스파이웨어 진단 및 스파이웨어 차단 (2) 스파이웨어 치료 (3) 신속하고 정확한 엔진 업데이트 및 고객 지원이 이루어져야 한다. 036 l 전자정부서비스 보안수준 개선대책
37 네트워크 분야 인터넷을 통한 보안위협은 비인가 침입시도, 유해 트래픽의 전송, 네트워크 취약성을 이용 한 내부 접근, 네트워크 정보유출 등이 있다. 비인가 침입시도 가. 위협요인 접근통제가 취약한 네트워크를 통해 비인가 접근시도를 할 경우 주요 웹 서버 및 DB 서버에 접근하여 중요정보 및 개인정보를 유출시킬 수 있다. 웹(80번 포트) 등을 이용 하는 웹 서버는 방화벽에서 접근통제가 곤란하며 외부에 노출되어 있어 홈페이지에 대 한 변조 시도 및 계정 탈취 시도가 빈번하게 발생하고 있다. 나. 위협 대응방안 외부네트워크와 내부네트워크를 분리하여 비인가자의 내부 네트워크에 대한 비인가 접 근 시도를 통제하며 Stateful Inspection의 확장으로 어플리케이션 영역까지 패킷 탐지 및 보안성을 강화해야 한다. 제2 장 전자정부서비스 보안 위협요인 분석 l 037
38 이에 추가하여 허가된 사용자만 접속이 가능한 정부 원격근무 지원 시스템(GVPN)을 통 해 행정내부망 접속기능을 제공하고 비인가자의 접근을 통제하며 웹, 이메일, 파일공 유, C/S 어플리케이션 등의 핵심적인 기능을 제공해야 한다. 또한, 정부 원격근무 지원 시스템(GVPN: Government Virtual Private Network)을 적용함으로서 공무원들의 결 재나 메일등의 업무처리를 사무실에서와 마찬가지로 자택 또는 출장지에서도 처리할 수 있도록 통신내용을 암호화해야 한다. 다. 보안 요구기능 (1) 내/외부망 분리 (2) 통신내용의 암호화 처리 기능 유해 트래픽의 전송 가. 위협요인 침입차단, 침입탐지시스템 등의 보안장비는 네트워크를 통해 전송되는 웜/바이러스 등 의 악성코드를 차단하는 데 한계가 있으며, 이로 인해 네트워크의 가용성을 침해할 수 있다. P2P 및 FTP 등을 통한 데이터의 송수신을 할 경우 과도한 트래픽 유발로 인해 네트워크 가용성에 좋지 않은 영향을 미치게 된다. 038 l 전자정부서비스 보안수준 개선대책
39 나. 위협 대응방안 (1) 서버 및 네트워크 자원에 대한 다양한 형태의 침입행위를 실시간 탐지, 분석 후 비정상 적인 패킷을 차단하여야 한다. 패킷 실시간 분석과 학습을 통해 알려지지 않은 공격에 대응할 수 있는 기능과 시스템 장애 시에도 네트워크 서비스의 중단을 방지할 수 있는 Failover 기능을 제공하는 침입방지 시스템을 운영해야 한다. (2) 네트워크 수준에서 유해트래픽을 예방하는 하드웨어 장비(바이러스 월 등)를 설치 운영 하게 되면, 다양한 압축 파일 진단/치료 및 바이러스 탐지 및 차단, 메신저 방역, 공유 폴더 감염자 추적 기능을 제공할 수 있다. 또한 수신 발신하는 메시지 및 메신 저 첨부파일 바이러스 자동 제거, 스팸 메일필터링 기능을 제공해야 한다. 다. 보안 요구기능 (1) 비정상적인 행위나 컴퓨터 자원의 사용을 탐지 하는 기능을 제공해야 한다. (2) 침입자 규명 기능 (3) 증거파일 탐색/침입자 봉쇄 기능을 제공해야 한다. 제2 장 전자정부서비스 보안 위협요인 분석 l 039
40 네트워크 취약성 이용한 내부망 접근 가. 위협요인 (1) Telnet, FTP 등은 사용의 편의성에 비해 데이터 전송이 평문(Plain Text) 형태로 전 송되므로 스니핑을 통해 ID/Password가 노출되어 허가받지 않은 자가 중요 정보에 접근, 유출, 삭제 등을 시도할 수 있게 된다. 익명 FTP의 경우 패스워드가 설정되어 있지 않아 누구나 쉽게 접근을 시도할 수 있으며 이를 통해 중요정보를 노출시킬 수 있다. (2) SNMP의 커뮤니티 명, 패스워드를 단순하게 설정하거나 권한을 읽기/쓰기까지 가능 하게 하며 내부 네트워크의 정보를 유출하여 외부에서 접근이 불가능한 내부 시스템 에 접근을 시도할 수 있다. (3) 불필요한 서비스를 악용한 백도어 등을 설치하여 비인가자가 상시 접속할 수 있으며 서비스거부공격의 에이전트로 사용될 수 있다. 나. 위협 대응방안 (1) 외부네트워크와 내부네트워크를 접속하는 라우터와 내부의 백본 스위치의 configuration 구성 시에 평문으로 전송되는 Telnet, FTP 등을 암호화 통신이 제공되는 암호화 통신 적용 구간 기능(SSH:Secure Socket Shell) 등으로 변경사용 해야 하며, 사용하지 않는 다면 해당 포트를 통제하여야 한다. (2) SNMP를 사용할 경우 커뮤니티 명과 패스워드를 계정생성 규칙에 따라 복잡하게 생 성하여야 하며 주기적으로 변경을 하여야 한다. 또한 SNMP를 사용하지 않을 경우 통제하여야 하며 권한은 RO(Read Only) 권한을 부여야 하여야 한다. (3) 네트워크 장비의 환경 설정상의 취약성과 네트워크 장비상의 취약성을 자동으로 진 단하며 보고서를 생성하며 네트워크 장비에 대한 지속적인 보안성 검증 및 감사 실 시를 통해 보안 수준을 강화할 수 있다. 다. 보안 요구기능 (1) 암호화 통신 적용 구간(SSH: Secure Socket Shtell) 기능 제공 040 l 전자정부서비스 보안수준 개선대책
41 (2) 네트워크 접속기기 관리 프로토콜(SNMP:Simple Network Management Protocol) 권한 관리 (3) 취약성 점검 및 감사 실시 네트워크 정보 유출 가. 위협요인 공인 IP(Public IP)를 사용하는 경우 외부에서 직접 접근이 가능하므로 사설 IP를 사용 하여 내부 네트워크 정보의 유출을 방지하여야 한다. 공인 IP를 사용할 경우 접근이 허 용되지 않은 내부의 중요 시스템 등에 직접 접근을 시도할 수 있으며, 이를 통해 중요 정보를 유출 또는 변조할 수 있게 된다. 나. 위협 대응방안 IP 주소 부족의 문제 해결과 내부 네트워크 정보의 유출을 방지하기 위해 네트워크 주 소변환 기술(NAT:Network Address Translation)을 적용하여야 한다. 공인 IP 사용 시 에는 외부에서 내부 네트워크로 직접 접근을 시도할 수 있으나, 내부 네트워크 정보의 유출방지를 위해 사설 IP를 사용하여 내부 네트워크의 주소가 외부로 유출되지 않아야 한다. 제2 장 전자정부서비스 보안 위협요인 분석 l 041
42 다. 보안 요구기능 (1) 네트워크상의 보안 취약성 점검 (2) 패치 및 업그레이드가 이루어지지 않은 부분의 점검 / 보완 (3) 시스템 설정이 잘못된 부분의 점검을 통해 불필요 서비스 파악 및 경고 042 l 전자정부서비스 보안수준 개선대책
43 서버 분야 서버는 외부와 내부 네트워크 중간에서 상호 연계를 위하여 보안성이 확보된 상태에서 연 계된 역할을 수행하므로 네트워크 운영권한을 획득하여 수시로 시스템에 접속하게 된다. 이에 따라 관련되는 보안위협은 서버 운영체제의 취약성 공격, 서버에서 불필요한 응용프 로그램 사용 등이 있으며, 관련되는 위협요인과 위협대응방안 및 보안 요구기능을 제시하 였다. 운영체제의 취약성 공격 가. 위협요인 해커 등 비인가자는 패치되지 않은 운영체제의 취약점을 이용하여 중요 서버에 불법적 인 접근을 시도하거나 중요정보의 노출, 유출을 시도하게 된다. 윔/바이러스 등은 운영 체제의 취약성을 검색하여 보안 패치가 실시되지 않은 서버를 감염시키며 이를 통해 중 요정보를 노출하거나 변조, 삭제를 하게 된다. 나. 위협 대응방안 (1) 서버에는 다양한 어플리케이션이 동작하므로 보안패치를 일괄적용하기 보다는 테스 트를 통한 상호 영향여부를 파악한 후 안전성이 입증된 상태에서 단계적으로 적용하 여야 한다. (2) 관리자 권한 오남용, 외부 해킹, 내부자 불법행위 등 주요 서버에 대한 다양한 형태 의 위협을 방지하고 안정적인 서비스를 제공할 수 있도록 강력한 보안 기능을 제공 하는 운영체제 보안 시스템(Secure OS)을 적용해야 한다. 보안레이블을 이용하여 관 리자 권한에서도 사용자를 구분하여 보안 역할에 따른 불법권한 상승을 차단하여야 한다. 아울러, 파일 및 디렉토리에 대한 기본적인 강제적 통제 / 정책에 의해 프로세 스 접근통제가 이루어져야 한다. 제2 장 전자정부서비스 보안 위협요인 분석 l 043
44 (3) 서버 시스템의 환경 설정상의 취약성을 자동으로 진단하여 필요시 보고서를 생성하 는 도구를 이용하여 취약점을 분석하여야 한다. 운영체제 상의 보안패치가 미적용된 사항의 자동 진단 및 취약성 정보를 관리하여야 한다. 이를 통해 서버 시스템에 대한 지속적인 보안성 검증 및 감사 실시를 통해 보안 수준을 강화해야 한다. 다. 보안 요구기능 (1) 사용자 및 정보자원에 대한 접근관리 (2) 서버 사용자 계정 관리 (3) Super User 권한 통제 (4) 서버자원에 대한 허가 레벨의 다단계 접근 통제 (5) 구성 및 설정상의 오류 탐색 (6) 패치 및 업그레이드가 적용되지 않는 부분 점검 / 보완 (7) 서버내부 정보 유출 가능성 점검 / 보완 044 l 전자정부서비스 보안수준 개선대책
45 불필요 응용프로그램 운영 가. 위협요인 최초 시스템 구축시 불필요한 프로그램들에 대한 삭제 처리가 이루어지지 않아 이를 악 용한 불법적인 파일이나 관리자의 권한을 획득할 수 있는 공격이 이루어 질수 있다. 이 러한 공격을 통해 내부 정보의 유출과 각종 서비스 장애가 발생할 수 있다. 나. 위협 대응방안 (1) 시스템상에 존재하는 불필요하거나 활용빈도가 적은 아래에 나열한 응용프로그램의 제거를 통해 취약점을 제거하여 안정적인 서비스를 제공하도록 해야 한다. Clipbook Service 대상 프로그램 Computer Browser Service Internet Connection Sharing Service Indexing Service NetMeeting Remote Desktop Sharing Service Remote Registry Service Routing and Remote Access Service Server Service Simple TCP/IP Service SMTP Service FTP Publishing Service Telnet Service Task Scheduler Service Terminal Service Windows Media Services 기능 원격 컴퓨터와 정보공유를 위한 클립북 뷰어 사용 기능 네트워크 상의 모든 컴퓨터 목록의 갱신 및 관리 인터넷 연결 공유 로컬 및 원격 컴퓨터 내의 파일내용 및 속성을 인덱싱 처리 내부 인트라넷을 통한 바탕화면 원격 공유 서비스 원격 사용자가 컴퓨터의 레지스트리 설정을 수정 Lan 이나 Wan 환경에서 라우팅 서비스를 제공 컴퓨터 내의 파일, 인쇄 등을 네트워크를 통해 공유 Echo, Discard, Character Generator, Daytime, Quote of the Day 프로토콜을 모두 전체 어댑터에서 사용 컴퓨터로 직접 메일을 보내기 위한 서비스 FTP 서비스를 구현 Telnet 서비스를 구현 작업 스케줄러 서비스 터미널을 통해 서버에 원격 접속 실시간으로 미디어 파일을 서비스 제2 장 전자정부서비스 보안 위협요인 분석 l 045
46 (2) 환경파일 설정(httpd.conf)을 아래와 같이 설정하여야 한다. 웹 브라우저에서 사용자가 URL을 입력했을 경우, 웹 컨텐츠가 없을 경우에 디렉토 리 리스트를 보여주지 않도록 설정하여야 한다. 심볼릭 링크를 사용하지 않도록 설정하여야 한다. SSI(Server Side Includes) 사용을 제한하도록 설정하여야 한다. CGI 실행 디렉토리를 제한하도록 설정하여야 한다. 클라이언트 웹브라우저가 접속했을 때 웹 서버 응답메시지 헤더 정보를 숨기도록 설정하여야 한다. 046 l 전자정부서비스 보안수준 개선대책
47 DB 분야 전자정부서비스는 제공하는 서비스에 따라 관련되는 정보를 DB에 저장하여 운영하게 되는 데 이러한 중요정보는 유출 훼손 도용이 될 경우 매우 큰 파장이 발생하며, 악의적인 해커들 의 최종 목적은 DB에 저장되어 있는 중요정보 획득에 있는 경우가 대부분으로, 이에 따라 관련되는 보안위협은 접근통제 우회, DB정보의 불법 열람 및 변조 삭제 등이 있으며, 관련 되는 위협요인과 위협대응방안 및 보안 요구기능을 제시하였다. 접근통제 우회 가. 위협요인 공급자에 의해 출하시 설정되는 계정 또는 단순 계정 등 ID와 패스워드가 동일한 계정 일 경우 암호 추측공격, 사전공격 등을 통해 계정을 확인할 수 있으며, 이를 통해 데이 터베이스의 자료 유출 및 변조 등을 시도할 수 있다. 계정 및 패스워드의 정책설정이 미흡할 경우 무차별공격(Brute Force Attack)에 의해 패스워드가 노출될 수 있으며, 특 히 데이터베이스 관리자(DBA)의 권한을 가진 계정의 패스워드가 노출될 경우 파급 효 과는 매우 심각하다. 나. 위협 대응방안 사전에 정의한 정책에 따라 데이터베이스 관리 시스템(DBMS)에 대한 접근통제 및 권한 통제를 실시하고 접근이력을 기록하는 기능의 하드웨어 또는 소프트웨어를 도입해야 한 다. 또한, DB 보안솔루션의 운영을 통해 네트워크 수준에서 접근통제를 실시함으로써 DBMS에 변경이 없고 성능저하에 영향 없이 접근통제가 이루어지도록 해야한다. 제2 장 전자정부서비스 보안 위협요인 분석 l 047
48 다. 보안 요구기능 (1) 데이터베이스에 대한 접근 통제 정책 설정 (2) 사용자별 권한부여 (3) 허가되지 않은 사용자 방지 데이터베이스 정보의 불법열람 및 변조 삭제 가. 위협요인 데이터베이스에 저장된 주요 정보에 대해 암호화가 미흡할 경우 비인가자에 의해 정보 가 노출되거나 변조될 수 있다. 현재의 해킹 추세를 고려하면 데이터베이스에 저장된 개인정보, 금융관련 정보, 게임 관련 정보를 탈취하려고 하는 시도가 증가하고 있어 데 이터베이스의 보안에 대한 요구사항이 점차 증가되고 있는 추세에 있다. 특히, 정보유 출 및 해킹사고가 매년 2배씩 증가하며 이중 내부인력에 의한 유출사고가 전체의 70% 이상을 차지하고 있다. 048 l 전자정부서비스 보안수준 개선대책
49 나. 위협 대응방안 상용 데이터베이스 서버에 공개키(PKI: Public Key Infrastructure) 기반의 강력한 암 호화 기능과 검증 기능을 제공함으로써 기존 DB의 불법적 접근을 예방하여야 한다. 사 용자가 DB의 내용을 추출하여도 암호화된 상태의 DB 기밀성이 유지되는 시스템을 구 축하여야 한다. 특히, 암호화 알고리즘을 통한 데이터 암복호화 및 도의 암호화 키 관 리를 제공하여 접근이 허가된 Applicaion을 통해서만 암/복호화 할 수 있도록 강제 통 제를 실시하여야 한다. 다. 보안 요구기능 (1) 암호화 알고리즘을 통한 데이터 암/복호화 (2) Application, DB 와 별도의 암호화 키 관리 (3) 접근이 허가된 응용 시스템 및 사용자만이 암/복호화 할 수 있도록 통제 제2 장 전자정부서비스 보안 위협요인 분석 l 049
50 웹/ 어플리케이션 분야 전자정부서비스의 서비스 제공형태는 주로 웹으로 제공되고 있다. 이러한 웹서비스에 대한 보안위협은 문서의 위 변조, 온라인 거래정보의 노출, 홈페이지 해킹시도, SQL Injection 취약점을 이용한 공격, 홈페이지의 서비스 거부공격 등이 있으며, 관련되는 위협요인과 위 협대응방안 및 보안 요구기능을 제시하였다. 문서의 위 변조 가. 위협요인 문서가 출력되기 전 또는 출력된 후 주요 내용을 악의적으로 변조 및 위조하여 악의적 인 목적으로 이용할 수 있다. 예를 들면 부동산등기부 등본의 위변조로 대법원과 행정안정부의 메인 서버에 저장된 원본 데이터를 수정하는 것이 아니라 컴퓨터로 관련 서류를 인쇄하기 직전에 수정하는 것으로 단지 컴퓨터로 조작한 내용을 출력하는 것이어서 서류만 믿고 거래 시 피해를 볼 수 있다. 나. 위협 대응방안 내부자의 악의적 또는 오용에 의해 기업 내 정보(문서)가 침해되어 유출되는 사항을 방 지하는 시스템을 도입하여 문서 등 중요정보의 암호화를 통한 기밀성 보장을 하여야 한 다. 사용자 인증을 통해 문서 접근통제를 이용하므로 문서의 열람, 편집, 출력을 통제 해야 하며, 또한 출력물에 대한 프린트마킹을 통해 부적절한 도용을 방지해야 한다. 부 가적으로 노트북, 이동저장장치 사용 제어를 통한 정보 유출을 차단해야 한다. 050 l 전자정부서비스 보안수준 개선대책
51 다. 보안 요구기능 (1) 출력물에 대한 통제(부적절 도용방지 기능) (2) 출력 및 다운로드에 대한 기록 관리 (3) 문서 암호화를 통한 기밀성 보장 (4) 노트북, 이동 저장장치 사용 제어를 통한 정보유출 차단 온라인 거래정보의 노출 가. 위협요인 (1) 개인 PC로부터 웹 서버에 온라인 거래 시 평문 형태로 전송할 경우 스니핑 등을 통 해 ID/Password, 신용카드번호, 계좌번호 등의 정보가 노출될 수 있다. (2) 비인가자가 세션 하이재킹 등을 통해 거래정보를 위/변조하여 거래 금액의 변경 등 을 시도할 수 있다 제2 장 전자정부서비스 보안 위협요인 분석 l 051
52 나. 위협 대응방안 전자정부서비스를 이용할 때 ID, 패스워드를 입력하거나 온라인 금융거래, 물품 구매 등을 하는 홈페이지가 암호화가 되지 않을 경우 비인가자에 의해 네트워크 도청을 통해 중요 정보가 노출되거나 변조될 수 있다. 따라서 HTTP 데이터를 암호화하여 비인가자 에게 정보가 노출되더라도 알 수 없도록 암호화하는 기술이 적용되어야 한다. 전송구간 암호화를 할 경우 구성은 다음과 같이 하게 된다. 웹 서버 인증서를 웹 서버 에 설치함에 따라 웹사이트에서 이루어지는 모든 정보전송이 HTTPS 암호화 프로토콜 을 이용하여 안전하게 전송한다. 로그인/회원가입 등의 개인정보와 금융거래 정보 등이 스니핑 방지를 위해 전송구간 암호화 기능(SSL: Single Sockets Layer) 등을 마련해야 한다. 다. 보안 요구기능 (1) 외부도청 방지 기능 (2) 전송되는 정보의 가로채기 방지 및 위 변조 방지 기능 홈페이지 해킹 시도 가. 위협요인 2006년에는 정보 절취형 악성코드가 홈페이지의 해킹, 피싱 등 다양한 유형의 해킹 수 법과 접목되어 많이 발생하였다. 특히 방문자가 많은 홈페이지를 해킹한 후 각종 정보 052 l 전자정부서비스 보안수준 개선대책
53 절취형 악성코드를 유포하는 사이트로 변형시켜 개인정보, 온라인 게임 정보, 주민번호 를 절취해 가는 사건이 발생하였다. 홈페이지의 단순 변조에서 홈페이지 해킹 후 악성코드를 설치하여 접속자를 감염시 켜 민감한 정보의 유출 시도 및 공격 경유지로 악용하는 형태가 일반화되고 있다. 해킹사고의 유형은 다음과 같으며 사고 유형 중 77%가 웹 취약성을 대상으로 하여 공격을 시도하였다. 자료출처: Dshield.org(8월) 나. 위협 대응방안 (1) HTTP(80), HTTPS(443)의 프로토콜을 기반으로 하는 웹서버 및 웹 어플리케이션 서 버의 취약점을 이용한 침해에 대해 어플리케이션 레벨에서 모니터링 하는 웹 방화벽 등의 시스템을 구축하는 방안이 있으며, OWASP 10대 웹 취약점에 대한 보안기능을 기준으로 웹 해킹과 어플리케이션 취약점 공격에 대한 차단과 방어기능을 제공해야 한다. 또한, 웹을 통한 개인정보 및 신용카드 정보 등 중요정보의 불법유출을 방지하 여 웹 사이트의 변조를 사전에 차단하여야 한다. (2) 모의해킹 등을 통해 홈페이지의 취약성을 발견하여 보완해야 한다. 개발자의 웹 프 로그래밍 보안지식 부족과 웹서버 환경설정 시 발생하는 어플리케이션 취약점을 외 제2 장 전자정부서비스 보안 위협요인 분석 l 053
54 부 제 3자의 시각에서 취약점 점검을 수행하여야 한다. 또한, 웹 어플리케이션에 대 한 지속적 보안성 검증 및 감사를 수행하여야 한다. (3) 데이터베이스 설정 정보의 악의적 추출 가능성 검증할 수 있어야하며, 사용자 인증 및 각종 Argument의 입력 정당성 여부를 검증하여야 한다. 또한, 해당 어플리케이션 에 대한 전문적인 이해가 수반되어야 한다. 다. 보안 요구기능 (1) 서버 설정 취약점 점검 / 보완 (2) 웹 서버 정보 노출 취약점 점검 / 보완 (3) 버퍼 오버플로우 확인 (4) 악의적인 명령어 실행 또는 시스템 실행 가능성 점검 / 보완 (5) 백업 파일 및 하드코딩된 정보의 노출 취약점 점검 / 보완 (6) 파일 업로드 취약점 점검 / 보완 054 l 전자정부서비스 보안수준 개선대책
55 SQL Injection 취약점을 이용한 공격 가. 위협요인 데이터베이스 관리 시스템(DBMS)가 이용되는 홈페이지를 대상으로 개인정보 등을 탈 취할 목적으로 SQL Injection 공격을 시도하며, 중국어로 된 자동화된 툴이 많이 작성 되어 초보 해커까지 대부분 기법을 공유하고 있다. SQL Injection 공격수법은 웹 주소 창에 SQL 구문에 사용되는 문자기호의 입력을 적절히 필터링하지 않아 조작된 SQL 구 문을 통해 데이터베이스에 무단 접근하여 자료를 유출/변조할 수 있는 취약점으로 홈페 이지 설계시 고려하지 않았다면 모두 해킹이 가능하게 된다. SQL Injection을 수행할 수 있는 자동화된 공격도구를 통해 홈페이지를 해킹한 후 터 미널 서비스나 웹 쉘을 설치하고 원격에서 해당 서버를 통제할 수 있도록 구성하여 개 인정보 및 중요정보 절취, 악성코드 유포 경유지 등으로 활용할 수 있다. 나. 위협 대응방안 홈페이지의 설정변경 방식을 파라미터 필터링 적용을 통해 숫자형식은 숫자형식 검사를 수행(isNuemric 등)하며 문자형식은 를 문자형태로 치환하여야 한다. 또한 파라미터 를 통해 데이터베이스연결정보 및 Query 전송을 금지하여야 한다. HTTP(80), HTTPS(443)의 프로토콜을 기반으로 하는 웹서버 및 웹 어플리케이션 서버 의 취약점을 이용한 침해에 대해 어플리케이션 레벨에서 모니터링 하며 OWASP 10대 웹 취약점에 대한 보안을 제공하는 솔루션을 구축해야 한다. 다. 핵심 요구 기능 (1) 악의적인 명령어 실행 및 시스템 실행 취약점 점검 / 보완 (2) 파라미터를 통한 DB 연결정보 및 Query 전송 통제 (3) 어플리케이션 레벨 모니터링 기능 제2 장 전자정부서비스 보안 위협요인 분석 l 055
56 홈페이지의 서비스 거부공격 가. 위협요인 전통적으로 홈페이지에 대한 분산 서비스거부공격은 사이버 시위용으로 여러 해커들이 연합으로 공격하였지만 현재는 서비스거부공격용 에이전트가 설치된 좀비 PC로 구성 된 봇 네트워크를 이용한 공격이 나타나고 있다. 홈페이지의 서비스가 정상적으로 이루 어지지 않을 경우 대외 신인도 및 이미지에 심각한 영향을 줄 수 있으며, 특히 해킹으 로 인한 문제일 경우 더욱 심각하다. 나. 위협 대응방안 데이터망(Data Network)과 네트워크 장비, 통신규약(Protocol) 등을 안정적이고 효율 적인 네트워크 환경을 제공해야 한다. 특히, 네트워크에 존재하는 다양한 자원들을 모 니터링하고 통제하는 기능을 제공해야 하며, 네트워크 내부의 트래픽량, 장애 발생 상 황 등을 중앙 집중관리를 통해 서비스거부공격 등의 사이버공격에 대비해야 한다. 다. 보안 요구기능 (1) 특정 IP에 대한 과다 트래픽 요청 통제 (2) 알려진 웜/바이러스 신호(Signature) 탐지 (3) 네트워크 자원에 대한 모니터링 / 중앙 집중관리 056 l 전자정부서비스 보안수준 개선대책
57 제 장 전자정부서비스 보안수준 실태조사 지표개발 제1 절 보안수준 지표 선진사례 분석 제2 절 지표개발 절차 제3 절 전자정부서비스 보안수준 조사지표 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 057
58 보안수준 지표 선진사례 분석 전자정부서비스의 환경에 적합한 보안수준 지표개발을 위해 ISO27001, SSE-CMM, IPAK, NIST-SAG, VAF, COBIT 등의 선진사례를 벤치마킹 하였다. ISO27001(BS7799) 가. 항목의 구성 ISO27001 Part 1은 현재 사용되고 있는 정보보호 분야의 Best Practice로 10개의 주요 분야는 보안정책, 보안조직, 자산분류와 통제, 인적보안, 물리적 및 환경적 보안, 통신 및 운영관리, 접근통제, 시스템 개발 및 유지보수, 업무연속성계획, 준수로 구성된다. Part 2는 정보보호 관리시스템(Information Security Management System; ISMS)에 대한 표준적인 명세이며 이 표준에서 제시하고 있는 통제들 모두를 적용하지는 않고, 개별적인 환경적 또는 기술적 제약조건을 고려하여 선택할 필요가 있다. 나. 평가 방안 ISO27001는 인증 과 연결되어 활용되지만, 광범위하고 총체적인 우수사례들이 제시되 어 있으므로 컨설턴트나 정보보호 관리자들은 이 우수사례들을 '정보보호 실행기준'으로 활용하여 정보보호의 수준평가 도구로 활용한다. 평가를 위해 ISO27001를 구체적으로 어떻게 활용할 것인가에 대해서는 평가자에 따라 다양하지만, DISC PD3003에서는 ISO27001를 활용하여 자체적으로 평가할 경우 통제항목들의 준수에 대해서 Yes, No, Partly로 평가하는 방안을 보여주고 있다. 다. 한계점 실제 ISO27001의 'best practices'를 활용하여 평가 체크리스트를 도출하고 적용하는 것이, 전문가에 의해서가 아닐 경우에는 용이하지 않다는 단점이 존재한다. 이유는 2가 지 정도가 있으며 첫 번째로는 어떤 분야는 너무도 많고 세부적인 내용들이 제시되어있 058 l 전자정부서비스 보안수준 개선대책
59 고, 어떤 분야는 상대적으로 너무 광범위한 내용만 기술되어 있으며, 두 번째 이유는 10개의 주요 분야에 대한 분류 및 그 하위 분류들이 과연 적용하기 명확하고 적합한가 라는 것 때문이다. SSE-CMM(Systems Security Engineering Capability Maturity Model) 가. SSE-CMM의 정의 보안공학을 잘 정의되고 성숙한 분야로 발전시켜 정보보안 제품과 서비스의 품질과 비 용, 가용성을 보다 향상시키고자 하는 목적으로 카네기 멜론 대학의 소프트웨어 공학연 구소(SEI) 주관으로 40개 이상의 정부기관과 업체가 참여하는 SSE-CMM(Systems Security Engineering-Capability Maturity Model) 프로젝트 그룹 (1995년 1월에 결 성)에 의해 개발한 성숙도 모델이다. SSE-CMM은 보안공학공정모델(security engineering process model)의 하나로서 SE(Systems Engineering)-CMM을 근간으로 하며 시스템보안공학(systems security engineering)은 보안 효과성과 보증 요구사항을 충족할 수 있도록 보안정책을 시스템에 구현하는 공정으로, 시스템 전반의 보안 설계를 최적화할 수 있도록 환경적, 운영적, 기술적 보안 원칙을 통합하며, 시스템보안 공학활동을 전반적인 시스템공학활동에 통합 하는 것으로 정의한다. 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 059
60 나. 정보보안 성숙도단계 1) Level 1 Performed Informally (1) 보안 수행이 엄격하게 계획되거나 감사되지 않으며, 보안 수행이 개인의 지식이나 노 력에 의존하고 있는 수준 (2) 비정형화된 프로세스의 수행 2) Level 2 Planed Tracked (1) 정의된 절차에 의해 보안이 수행되고 이를 보증할 수 있으며, 보안 수행 프로세스가 계획 되고 관리될 수 있는 수준 (2) 계획의 수행 자원할당, 책임할당, 표준 절차 문서화, 툴의 제공, 교육보장, 프로세스 계획 (3) 교육 및 훈련의 수행 계획 표준 절차의 활용, 적절한 프로세스의 배치와 버전 및 설정관리 (4) 수행의 확인 표준 및 절차의 수행 확인, 정의된 제품의 감사 수행 (5) 점검의 수행 측정 및 교정 3) Level 3 Well Defined (1) 계획 및 점검 확인의 수행이 조직 전체의 표준 프로세스에 근거하여 계획과 관리가 수행되는 수준 (2) 표준 프로세스의 정의 프로세스의 표준화, 표준 프로세스의 상세화 (3) 정의된 프로세스의 수행 고도로 정의된 프로세스 및 데이터의 사용, 검토, 평가 (4) 보안 실행 조직 내부 조직, 조직간 조정, 외부 조직 4) Level 4 Quantitatively Control (1) 수행에 대한 세부적인 측정이 수집되고 분석됨으로써 프로세스 수행 능력에 대한 정 량적 이해가 가능하고 개선 가능성에 대한 예견이 가능한 수준 (2) 측정 가능한 품질 목표의 설정 조직의 표준 프로세스에 대한 정략적 목표치 설정 (3) 객관적인 관리의 수행 표준화된 프로세스의 수준 결정, 프로세스 수준에 근거한 교정 060 l 전자정부서비스 보안수준 개선대책
61 5) Level 5 Continuously Improving (1) 정의된 프로세스의 수행과 창의적인 아이디어와 기술의 실험이 수행에 의한 정량적 인 피드백에 의해 지속적이 프로세스의 개선이 이루어지는 수준 (2) 유기적인 수행 능력의 개선 프로세스 효과 목표 설정, 표준 프로세스의 지속적인 개선 (3) 프로세스 유효성 개선 결함에 대한 일상적인 분석, 결함의 원인 평가, 표준 프로세스 개선 IPAK(Information Protection Assessment Kit) 가. IPAK의 정의 IPAK은 OCTAVE와 같은 어떤 방법론 체계가 아니고 CSI에서 발간된 단순한 selfassessment Kit로 10개 영역, 20여개 체크리스트 형태의 실행기준들을 제시하고 이를 통해 각 기업에서 가중치(3단계)를 부여하고, 준수도(Poor에서 Excellent까지 5단계)를 평가하여 전반적인 정보보호실행 평가점수를 도출할 수 있도록 하고 있다. IPAK의 '실행기준' 영역은 다음과 같다. 실행기준 영역 정보보호프로그램 및 관리(Information Protection program and administration) 인사정책 및 실행(personnel policies and practices) 물리적 보안(physical security) 업무 프로세스 통제(Business process controls) 백업 및 복구 측정(backup & recovery measures) 최종 사용자 통제(End-user controls) 네트웍 보안 통제(Network security controls) 인터넷 보안 통제(Internet security controls) 웹 보안 통제(Web security controls) 통신 및 원거리 접근 보안 통제(Telecommunications & remote access security controls) 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 061
62 나. 한계점 세부 체크리스트에는 핵심적이고 실제적인 내용들이 포함되어 있어 짧은 시간에 주요 실행항목의 내용을 파악할 수 있는 장점이 있지만, 대영역내에 세부영역들이 분류되어 있지 않고, 'Business process controls'란 흔히 사용치 않는 영역내에 보안 관리적인 내용들이 파상적으로 포함되어 있어 전반적인 정보보호실행체계의 기준으로 활용하기 곤란한 면이 있다. NIST Self-Assessment Guide 가. NIST-SAG(Self_Assessment Guide)의 정의 NIST의 자체평가지침은 자체적인 정보보호 보증(Assurance)을 위한 방법으로 제시되고 있다. 정보보호 보증이란 관리적, 기술적, 운영적 보안대책들이 의도대로 시스템과 정 보를 보호하고 있는지에 대한 확신의 정도를 의미하며, 시스템의 보안을 측정할 수 있 는 세부적인 통제목적과 기법들을 포함하는 질문서들을 보유하고 있고 이것이 '실행기 준'에 해당한다고 볼 수 있다. 나. NIST-SAG의 구성 이 질문서는 아래의 표와 같이 3개의 영역 즉, 관리 운영(Management Controls), 구 동중 운영(Operatonal Controls), 기술적 운영(Technical Controls)과 해당되는 하위 영역에 총 17개의 주제로 구성되며, 각 주제 하에 세부항목이 존재하며 각 항목에 대한 준수는 Level 1(문서화된 정책)에서 Level 5(완전히 통합된 절차 및 대책들)까지의 5단 계로 나누어 평가하도록 제시되어 있다. Management Controls Operational Controls Technical Controls 1. Risk Management 6. Personnel security 15. identification & Authentication 2. Review of security control 7. Physical security 16. Logical access controls 3. Life cycle 8. Production, I/O Controls 17. audit trails 4. Authorize processing 9. Contingency planning 062 l 전자정부서비스 보안수준 개선대책
63 5. System Security plan 10. HW and Systems SW maintenance 11. Data Integrity 12. Documentation 13. Security awareness, training, and education 14. Incident response capability 다. 한계점 이 지침은 전반적인 조직보다는 단일 또는 그룹핑된 시스템 을 평가하는데 초점을 맞추 고 있으므로 전체적인 조직의 보안실행 평가보다는 특정 시스템의 보안실행평가에 활용 하는 것이 효과적인 면을 보인다. VAF(Vulnerability Assessment Framework) 가. VAF의 정의 VAF는 미국의 기반보호법과 관련하여 1998년 KPMG에서 개발된 취약성 평가 방법론으 로 기본적인 평가 방법론은 3단계로 구성되어 있다. 나. VAF의 구성 1) 1단계 조직의 주요 인프라를 정의하는 단계를 거친다. 2) 2단계 주요 인프라에 대한 취약성 평가를 위한 데이터를 수집하는 절차를 거친다. 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 063
64 3) 3단계 취약성을 분석하고 우선 순위화 한다. 이 방법론에서도 조직 및 시스템의 보안취약성을 평가하기 위해 평가영역 및 세부 항목들을 제시하고 있으며, 이 영역 및 항목들이 '실 행기준'에 해당한다고 볼 수 있다. 이러한 특성을 가진 VAF의 평가영역은 다음과 같다. Entity-Wide Security Access Control Segregation of Duties Continuity of Service & Operations Change Control & Life Cycle Management System Software VAF의 평가영역 위험을 관리하고, 보안정책을 개발하고, 책임을 할당하며, 보안대책 의 적정성을 모니터링하는 프레임웍 및 활동 자원들에 대한 접근을 제한하고, 감지하여, 자원을 보호하는 절차 와 대책 한 개인이 물리적, 컴퓨터 관련 운영 등의 주요사항을 독단적으로 통제하는 것을 막아, 자원들에 대한 불법적인 접근이나 행동 을 수 행하지 못하도록 하는 정책, 절차 및 조직구조 기대하지 않은 문제들의 발생시, 적절한 비상계획 등을 통해 서비 스나 운영이 방해 받지 않거나 속히 문제로부터 회복하여, 주요 데 이타가 보호될 수 있음을 보증하는 통제 허가받지 않은 프로그램이나 기존 프로그램의 수정이 이행되는 것 을 방지하는 절차와 대책 기존의 통제를 우회할 수 있는 시스템 파일이나 프로그램에 대한 접근을 제한하거나 모니터링하는 통제 다. 한계점 VAF의 경우 change control & life cycle management 등의 영역의 세부내용을 검토 하면 쉽게 파악할 수 있겠지만, 다른 방법과 달리 일반적인 프로그램 개발 및 관리 부 분에 대한 통제가 상당히 많은 부분을 차지하고 있다. 따라서 VAF에서는 다양하고 구 체적인 항목들을 제시해놓았으나, 세부 분류체계가 혼란스럽다는 단점이 있다. 064 l 전자정부서비스 보안수준 개선대책
65 COBIT(Control Objectives of Information related Technology) 가. COBIT의 정의 COBIT은 ISACA(Information Systems Audit and Control Association: 정보시스템 감사 통제협회)에서 개발된 정보기술의 높은 통제 목적을 달성하기 위한 관리도구로, 전사적 정보시스템의 통제에 적용할 수 있는 Best practices들이 제시되어 있다. COBIT은 전체적으로 4개 영역의 34개 프로세스로 구성되어 있으며, 이 중 정보보호와 직접적으로 관련된 프로세스는 DS5(Ensure Systems Security)이다. 나. COBIT의 구성 상기 프로세스 이외의 정보보호와 많은 관련이 있는 프로세스는 PO9(Assess Risks), AI6(Manage changes), DS4(Ensure continuous services), DS11.0(Manage Data), DS12.0(Manage Facilities) 등이라 할 수 있으며 다른 프로세스들 내에도 정보보호에 관련된 사항들이 조금씩 포함되어 있다. 다. 한계점 COBIT이 제시하고 있는 프로세스들의 통제항목 및 'best practices'를 '정보보호 실행기 준'으로 활용할 수는 있겠지만, 불행히도 COBIT은 '정보보호'에 초점을 맞춘 프레임워 크가 아니므로 적용에 한계가 존재한다. 즉, COBIT은 IT 전반적인 평가 및 대책수립의 틀로 활용하기에는 바람직하지만, 정보 보호부분은 여러 곳에 산재되어 있어, COBIT만을 활용해서 정보보호에 관한 부분을 평 가, 측정한다는 것은 무리가 있다. 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 065
66 지표개발 절차 전자정부서비스 보안수준 실태조사를 위한 표본조사를 거쳐 보안측정지표(안)을 개발하여 전문가 자문위원회와 실무자 토의 등을 통한 적정성 검토후 지표를 확정하였다. 지표개발 목적 개정된 전자정부법 제39조의2에 따라 전자적 대민서비스와 관련된 보안대책 마련의 필요성이 대두되었다. (1) 행정안전부장관은 전자적 대민서비스와 관련된 보안대책을 국가정보원장과 사전 협의를 거쳐 마련하여야 한다. (2) 중앙행정기관과 그 소속기관 및 지방자치단체의 장은 제 1항의 보안대책에 따라 당해 기관의 보안대책을 수립 시행하여야 한다. (3) 전자정부법 제39조의2 제1항에서 전자적 대민서비스와 관련된 보안대책 을 다 음과 같이 수립되어야 한다. 전자적 대민서비스 보안관련 기본 계획의 수립 전자적 대민서비스 제공 시스템에 대한 보안관리 전자적 대민서비스 정보보안시스템의 도입 및 운영 사이버침해 등 지원체계의 구축 전자정부서비스 별로 정보보호 및 시스템 보안수준차이가 심해 보안수준측정을 통해 기관별, 서비스별 유형별 맞춤형 보안대책을 수립하고 전자정부서비스에 대한 종합적 인 보안대책을 마련 한다. 안전하고 신뢰받는 전자정부서비스 제공을 위해서 보안수준 측정을 통해 전자정부서 비스의 기밀성, 무결성, 가용성을 보장함으로써 대민서비스의 신뢰성과 안전성을 확 보할 수 있다. 전자정부서비스 확대에 따른 정보화 역기능을 최소화하고 일관된 보안수준 관리를 위 한 기본 보안체계를 마련 한다. 전자정부서비스 보안수준 측정 지표 수립을 통해 객관적인 보안수준 평가체계를 마련 하고 이를 통해 보안정책 수립 시 우선순위 선정을 위한 기초자료 제공이 요구되었다. 066 l 전자정부서비스 보안수준 개선대책
67 전자정부서비스 보안관리에 대한 인식제고와 국가 전반의 보안수준 향상을 통한 신뢰 성 확보가 요구된다. 지표개발 전략 가. 지표개발은 계획단계로부터 자료수집, 정보분석, 과제통합의 단계를 거쳐 분석결과를 도출하 여 전자정부서비스 보안 강화를 위한 대책을 마련하고자 하였다. 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 067
68 나. 전자정부법 제39조의2, 전자정부법 시행령 제49조 및 관계법령, 지침 및 가이드라인에 따라 전자적 대민서비스와 관련된 보안대책 을 수립한다. 다. 해킹, 바이러스 등 지속적으로 등장하는 신종 공격기법에 능동적으로 사전에 대처함으로써 대민서비스의 기밀성, 무결성, 가용성 보장을 통해 대미서비스 제공에 대한 서비스 연속성을 보장하여야 한다. 라. 전자정부서비스의 일반적 제공 형태는 홈페이지를 통해 제공되므로 대민서비스의 취약한 주요 기능을 파악하여, 체계적이고 일관성이 있는 대응방안을 마련해야 한다. 마. 대민서비스의 유형별, 규모별, 접속환경 및 연결구간별에 따른 차별화된 보안수준 측정 및 분석을 통해 각 서비스 형태별로 적합한 보호대책을 도출하여야 한다. 지표개발 절차 가. 지표 선정절차는 보안수준 실태조사 지표 관련 조사 및 분석을 시작으로 지표개발과 적정성 검토를 통해 지표를 확정하였다. 068 l 전자정부서비스 보안수준 개선대책
69 나. 주요 항목별 전략과 분석내용은 다음과 같다. 항목 전략 분석내용 전자정부서비스 전자정부 31대 로드맵 과제 국제보안수준지표 피해사례 분석 u-it839 정보보안 관련 법률 전자정부서비스 보안수준 측정지표 도출을 위 해 66개 사이트를 점검하여 실제 운영상태와 실 운영시스템의 보안요소 파악 전자정부서비스 보안수준 측정지표 도출을 위 한 서비스 유형을 분석 전자정부서비스 보안수준 측정지표 분야 및 참 조 세부항목을 분석하여 지표 항목에 반영 각 부분, 유형별 피해사례 분석을 통해 중점 침해 유형을 파악하고 이를 본 사업관련 보안 수준 측정지표 중점 점검 대상선정에 반영 전반적으로 정보시스템 나갈 방향을 분석하여 보안수준 측정지표 항목 선정의 정확성을 높이 고 상세화 각종 정보보안 관련 법률을 분석하여 보안 수 준 측정지표가 국가 정보시스템의 보안정책을 반영하여 타당성을 부여 66개 전자정부서비스 사이트 분석 10대 서비스 구성 및 서비스 내용 분석 ISO27001, KISA, SP800-53A 등 분석 각종 정보보호 관련 사이트의 피해사례 분석 u-it839 정책 분석 전자정부법, 개인정보보호법, 정보보호법 등 다. 1단계 지표 수립을 위한 사전분석 1) 국내/외 보안관련 측정지표 분석 국내지표 - 정보보안 안전진단 지표, KISA-ISMS 지표 등 국외지표 - ISO27001, OCTAVE, IPAK, NIST-SAG, VAF, COBIT 등 보안법령 - 전자정부법, 국가정보보안기본지침 등 평가지표 - UN 전자정부 지수, 국가 정보화지수, 전자정부 준비지수 등 2) 전자정부 대민서비스 보안사고 사례 분석 국가정보원 국가사이버안전센터의 사이버 침해사고 사례분석 KISA 인터넷침해사고대응지원센터의 사이버 침해사고 사례분석 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 069
70 국가보안기술연구소 사이버 침해사고 사례분석 국외 전자정부 대민서비스 사이버 침해사고 사례분석 3) 국내 외 보안수준평가 관련 연구 논문 및 자료 조사 한국정보보호학회, 한국정보처리학회 등 주요 학회 연구자료 한국정보사회진흥원 등 전문기관 연구용역 자료 4) 전자정부 보안취약성 분석 자료 전자정부통합망 취약점분석평가 용역사업( 06), 전자정부 정보시스템 보안수준 측정 ( 06), 정보보안관리 수준평가( 06) 등 라. 2단계 보안수준측정 지표 개발 1) 지표수립 기본방향 전자정부서비스에 대한 정보보안 수준을 일관되게 유지 관리할 수 있는 보안수준측 정 지표 개발 전자정부의 보안 관련 법령 지침 기준 등을 반영 각 부처 및 전문가의 의견을 반영하고 보다 나은 정책결정을 유도할 수 있는 정책적 함축성(policy implication)을 내포한 지표 개발 2) 지표 개발 주요 영역 전자정부서비스 보안수준 측정을 위한 보안수준 측정 지표 개발영역은 민원인 PC 구 간, 전송 구간, 보안시스템 구간, Web/App 구간, DB 구간으로 구성된다. 070 l 전자정부서비스 보안수준 개선대책
71 3) 전자정부서비스 업무조사 실적요약은 다음과 같다. 시군구/시도행정시스템, 국세청 홈택스 시스템은 대( 代 ) 국민에게 편리한 민원서비스 를 제공하기 위한 시스템으로 내부망(행정망)과 외부망(인터넷)과의 접속에 대한 보안 이 고려되어야 한다. 개인의 신상정보, 부동산정보, 의료급여 정보, 세금정보 등이 외부에 노출되어서는 안되도록 보안대책 수립이 필요한 것으로 조사 되었다. 기업지원단일서비스(G4B)는 산업자원부 산하 관련 기업간 연계(URL 연계)를 통해서 기업정보를 공유하는 시스템으로 위/변조 예방을 위한 보안대책 수립이 필요한 것으 로 조사 되었다. 국가물류 종합서비스는 수출입 물류 관련 기관별 정보공동 활용 및 상호연계로 수출 입 물류 일괄처리 서비스를 구현한 시스템으로 관련 기관간 연계 시 보안 대책이 고 려되어야 한다. 4) 보안수준 측정지표 개발을 위한 벤치마킹 실시 국내 외 보안지표 분석을 통해 아래와 같은 주요 보안지표별 구성내용을 발췌하였다. 항목 KISA-ISMS 금감원 전자금융 안전대책 기준 ISO27001 NIST 기준 시스템 보안 성숙도 모델: SSE-CMM 주요 내용 - 통신, 금융 등 정보통신 기반 및 서비스의 정보보호 수준을 평가할 수 있는 방법 - 조직의 정보보호 수준을 평가하기 위한 위험평가, 구성관리 등 12 개 통제분야에 89개의 세부 평가항목으로 구성 - 은행, 증권, 보험의 전자금융 거래 시 적용되어야 할 전자 금융거래 기준 - ISMS 적용의 적절한 규모 - 물리적/논리적 범위의 고려 - 고려되어야 할 의존 관계 분석 - 자체 보안평가를 위해 작성된 가이드라인: 시스템 평가기준 - 정보 시스템에 대한 보안 성숙도를 측정하는 평가모델 - 정보시스템의 보안성을 확보하기 위한 다각적 평가 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 071
72 전자정부서비스 관련 법 제도 분석을 통해 아래와 같은 관련법 주요내용을 발췌하였다. 항목 전자정부법(시행령) 공공기관의 개인정보 보호에 관한 법(시행령) 전자거래기본법(시행령) 전자서명법 정보통신망 이용촉진 및 정보보호 등에 관한 법률 정보통신 기반 보호법 국가정보 보안기본 지침 정보통신 보안 업무규정 (행정자치부) 주요 내용 - 전자정부의 구현 및 운영원칙 - 비방문 민원처리 및 서비스의 제공 - 개인정보파일의 공고 - 개인정보의 안전성 확보 등 - 전자거래의 안전성 확보 및 소비자보호 - 개인정보보호 및 영업비밀보호 - 암호제품의 사용 - 전자거래의 촉진 및 기반조성 - 인증업무의 안전성 및 신뢰성 확보 - 개인정보의 보호 - 정보통신망의 안정성 확보 - 주요 정보통신기반시설의 보호체계 - 주요 정보통신기반시설의 보호 및 침해사고의 대응 - 정보보안 관리 - 정보통신 보안관리, 정보보호시스템, 보안시스템 관리 5) 전자정부서비스 유형 파악을 위해 표본조사(66개 서비스)를 실시한 결과 아래와 같은 서비스 유형이 파악되었다. 조사영역 대분류 중분류 소분류 현황 유선 PC 60 서비스 접근방법 PDA 2 무선 휴대전화 4 단순정보제공 웹 페이지 형태 59 스트리밍 23 민원접수 23 민원업무 처리 민원열람 19 민원발급 12 서비스 형태 민원공개 16 단순링크 제공 7 원격지원 2 SMS 15 기타 서비스 설문 6 커뮤니티 26 Mailing List l 전자정부서비스 보안수준 개선대책
73 전자금융결제 전자금융결제 5 공공기관 8 정보공유 금융기관 3 기업 3 개인정보 24 유통정보 형태 금융정보 10 기업정보 8 행정정보 6 ID/Password 50 서비스 로그인 방법 공인인증서 9 사용자 인증 없음 8 SSO 0 6) 사용자 PC 분야의 전자정부서비스 업무 유형 및 보안취약점 파악 연계 시스템 등을 통해 타 기관의 정보에 대한 정보요청 및 입수 등으로 인해 대부분의 행정업무는 PC 구간에서 이루어짐을 확인하였다. 피해 유형으로는 비인가자에 의한 PC 접근에 따른 중요 행정자료, 개인정보 등의 유출, 위변조 및 파괴 등의 가능성이 높음을 확인하였다. 2006년 공공기관의 PC 침해사고의 유형은 악성코드 감염이 2,548건으로 전체 침해사 고 건수 4,286건의 약 60%를 차지하고 있으며 자료유출 및 훼손은 123건으로 전체 대 비 약 3%를 차지하고 있으며 점차 증가하는 추세임을 확인하였다. 7) 네트워크 분야의 전자정부서비스 업무 유형 및 보안취약점 파악 접근보안 대책(비인가자의 서비스 접근시도에 대한 인증절차)과 연결 서비스의 보안절 차(원격 사용자 인증), 접근통제 정책에 따른 사용자 접속의 통제, 에러 또는 보안 문제 를 파악하기 위한 보안관리가 수행됨을 확인하였다. 8) 서버 분야의 전자정부서비스 업무 유형 및 보안취약점 파악 서버 구간은 외부와 내부의 중간에서 서로의 연계를 보안성이 확보된 상태에서 연계하 는 역할을 수행하므로 네트워크 운영 권한을 획득하여 수시로 시스템에 접속하여 중요 정보와 개인정보 등의 유출, 위변조 및 파괴의 가능성이 있음을 확인하였다. 9) 웹/어플리케이션 분야의 전자정부서비스 업무 유형 및 보안취약점 파악 정보의 입력, 대민업무 처리, 보관, 출력(열람) 등에서 개인정보 또는 기밀, 대외비 정 보 및 금전적인 금융거래 업무에서 전송 데이터의 위/변조, 노출 위험이 있다. 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 073
74 10) 데이터베이스 분야의 전자정부서비스 업무 유형 및 보안취약점 파악 비인가자가 정보시스템 접근 후 시스템 정보의 변조, 비인가자가 데이터베이스 접근 후 데이터의 변조 및 유출 등의 위험 요소가 존재하며 데이터의 기밀성, 무결성, 가용성이 요구되는 것으로 분석하였다. 11) 지표 개발 세부항목 각 영역별 유형과 보안문제점을 분석한 결과 아래와 같은 서비스 영역별 세부항목을 도 출하게 되었다. 항목 PC 구간 전송 구간 서버 구간 Web/App 구간 DB 구간 사용자 인증 접 근 통 제 권 한 관 리 웜 바이러스 차 단 암 호 화 침입차단 탐 지 모 니 터 링 화면보호 부팅패스워드 GPKI, OTP, Biometric 등 개인방화벽 웜 바이러스 차단 적용여부 키보드 보안 적용여부 개인방화벽 원격인증 GVPN, Radius TACAS 등 라우터, 스위치 접근통제 NAC 적용여부 콘솔, 원격 접속시 권한관리 스팸메일차단 컨테츠 필터링 SSL 적용여부 침입차단시스템 도입여부 침입탐지시스템 도입여부 NMS/SMS 도입여부 ESM 도입여부 관리자 인증 보안시스템 접근통제 SeOS 적용여부 보안담당자 권한관리 웜 바이러스 차단적용여부 SSL 적용 여부 NMS/SMS 도입여부 ESM 도입 여부 웹/App 관리자 인증 공개서버 네트워크 분리 SeOS 적용 SSO, EAM 적용 웜 바이러스 차단 적용여부 Cookie 암호화 웹방화벽 도입여부 NMS/SMS 도입여부 ESM 도입여부 DBA, 사용자 인증 DB 보안툴 적용 여부 DML, DDL 등 사용자 권한 관리 웜 바이러스 차단 적용여부 DB 중요 필드 암호화 DB 보안툴 도입여부 NMS/SMS 도입여부 ESM 도입여부 형 상 App 관 리 형상관리 취 약 점 PC 네트워크 서버 서버 서버 점 검 취약점점검 취약점점검 취약점점검 취약점점검 취약점점검 입출력자료 App 개발시 입출력 자료의 통 제 무결성 통제 데 이 터 데이타기밀성 보 호 가용성 보장 장 애 네트워크 서버 App 이중화 DB 이중화 대 응 이중화 이중화 백 업 개인PC 백업 백업 네트워크 설정 보안룰백업 App 백업 DB 백업 로 깅 네트워크 접근 App 접근로깅 DB 접근로깅 로깅 보 안 감 사 정기적인 보안감사 074 l 전자정부서비스 보안수준 개선대책
75 마. 3단계 보안수준 실태조사 지표의 적정성 검토 1) 보안수준 실태조사 특별팀을 구성하여 지표의 적정성을 검토하였다. 보안전문가로 위원회를 구성하며 보안수준 실태조사 지표에 대해 Delphi 기법(전문가 의 견 종합 기법)을 사용하여 지표의 적정성을 검토하였다. 전자정부서비스 보안위원회 위촉 인원으로 구성된 전문가 자문회의(9/6 실시)및 보안전문 가 자문회의(11/8 실시)후 Delphi기법에 의한 보안수준 실태조사 지표의 적정성을 검증하 였다. 2) Pilot Test를 통해 지표의 실효성을 검증하였다. 전자정부서비스 중 1개 서비스를 대상으로 Pilot Test를 실시하여 지표의 적정성과 실효 성 검증 및 환류(Feedback)조치를 거쳐 지표를 최종 확정하였다. 바. 4단계 보안수준 지표의 확정 1) 지표수립을 위한 사전분석, 지표개발의 주요영역 선택, 업무조사를 통한 실적요약, 벤치마킹 실시, 적정성 검토를 통해 관리적 분야, 기술적 분야의 12개 부문 77개의 지표를 확정하게 되었다. 2) 각 지표에 대한 상세 설명은 별첨. 전자정부서비스 보안등급별 세부 실행계획 을 참조 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 075
76 전자정부서비스 보안수준 조사지표 관리적 보안지표 관리적 보안지표는 아래와 같이 관리적 보안, 제도적 보안, 인적 보안을 고려한 공통분야 7 개, 강화분야 5개, 권고분야 5개의 17개 요소를 적용하도록 지표를 구성하였다. 부문 실행대상 세부 실행과제 1 필수 주기적 자체 보안점검 정기적 보안점검 2 권고 자동화 도구를 이용한 취약성 점검 관리적 보 안 3 선택 보안 전문업체를 통한 컨설팅 백업처리 4 필수 백업체계 수립/시행 5 필수 매체 반출입 통제 매체관리 6 선택 기술적 솔루션을 이용한 반출입 통제 외주관리 7 선택 외주인력에 대한 보안관리 절차 수립 사이버침해사고대응절차 수립 8 필수 사이버침해사고 대응절차 수립 제도적 보 안 9 필수 보안정책/지침수립 시행 보안정책 및 지침 10 권고 주기적 개정 외주관리 11 권고 서비스 수준 협약에 보안항목 적용 인 보 적 안 재해복구/비상계획 12 권고 비상계획/재해복구계획 수립 사이버침해사고대응절차 수립 13 권고 사이버침해 대응 주기적 훈련 14 필수 년 2회 이상 실시 보안교육 15 선택 정보보안 전문인력 양성 외주관리 16 필수 보안서약서 징구 및 보안교육 실시 재해복구/비상계획 17 선택 주기적 모의훈련 076 l 전자정부서비스 보안수준 개선대책
77 기술적 보안지표 기술적 보안지표는 아래와 같이 사용자 PC 보안, 네트워크 보안, 서버 보안, DB보안, 어플리 케이션 보안, 가용성, 사후관리, 온라인서비스 보안, 증명서서비스 보안을 고려한 공통분야 36개, 강화분야 19개, 권고분야 5개의 60개 요소를 적용하도록 지표를 구성하였다. 가. 일반 기술적 보안분야 부문 실행대상 세부실행과제 18 필수 웜/바이러스 백신 19 필수 스파이웨어 차단 사용자 P C 보 안 웜/바이러스, 스파이웨어 차단 안전한 인터넷 접속 환경 보장 20 필수 키보드 해킹방지 21 권고 바이러스 월 22 선택 PC보안의 통합 자동화 관리 23 필수 PC보안솔루션(자동화 패치관리) 24 필수 개인방화벽(사용자별 기능 적용) 25 권고 통합위협관리(웹 서비스 보안) 네 워 보 트 크 안 내/외부 네트워크 분리/접근통제 26 필수 방화벽 27 필수 침입방지시스템 유해트래픽/해킹 방지 28 권고 유해트래픽 탐지 시스템 29 선택 종합분석시스템 내부 네트워크의 정보유출 방지 30 필수 방화벽(NAT기능) 행정내부망의 안전한 접근 31 필수 GVPN 네트워크 보안을 위한 기타 대책 32 권고 네트워크 관리 시스템 서 보 버 안 서버보안을 위한 대책 주기적인 취약성 점검 33 필수 계정보안/접근통제 등 서버자체 보안 기능 적용 34 권고 서버보안솔루션 35 필수 자체점검 36 권고 컨설팅 또는 취약점 점검도구 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 077
78 부문 실행대상 세부실행과제 D B 37 필수 보 안 데이터베이스 접근/권한통제 계정보안/접근통제 등 데이터베이스 자체 보안기능 적용 38 권고 접근/권한통제 솔루션 어플리 케이션 보 안 공개 웹서비스와 행정내부망 분리 39 필수 행정망 분리 설치 어플리 케이션 보 안 이용자의 이용내역 확인을 위한 로그저장 공무원 PC의 필요서비스/ 기능의 통제 웹페이지 개발 보안 40 필수 사용자 로깅기능 41 권고 로그저장 및 분석 솔루션 42 필수 PC보안솔루션(자동화패치/종합적인 PC 보안 중앙통제) 43 필수 개인방화벽(시스템별 자동화 관리) 44 필수 웹방화벽 45 권고 어플리케이션 개발시 소스분석을 통한 보안성 검증 46 선택 웹변조 탐지솔루션 47 선택 어플리케이션분석,설계,코딩시 보안가 이드 적용 웹페이지 보안 48 권고 개인정보 게시방지 기능 49 권고 유해 게시물 차단 가용성 시스템의 복구계획/이중화 구성 50 필수 복구체계 수립/이행 51 필수 네트워크 이중화 구성 52 권고 DB이중화 구성 53 권고 서버 이중화 구성 54 필수 정보자산의 로그저장 사 관 후 리 로그분석 및 포렌식 55 필수 로그저장 및 분석 솔루션 56 권고 포렌식 솔루션 오남용 모니터링 57 선택 정보자원의 부정사용에 대한 감시 078 l 전자정부서비스 보안수준 개선대책
79 나. 온라인거래/증명서서비스 기술적 보안분야 부문 실행대상 세부실행과제 로그인, 금융정보의 노출방지 58 필수 전송구간 암호화 메일의 안전한 전송 59 필수 보안메일 온라인 거 래 서비스 보 안 키보드 입력정보의 노출 방지 60 필수 키보드해킹방지 솔루션 61 필수 전자서명(NPKI) 62 필수 행정전자서명(GPKI) 안전한 인증방식 확보 63 권고 OTP/Card 64 권고 단일인증방식 중요정보의 비인가 노출 방지 65 필수 파일암호화 66 필수 웹 방화벽 데이터베이스 암호화 적용 67 필수 DB암호화 솔루션 로그인, 개인정보의 노출방지 68 필수 전송구간 암호화 메일의 안전한 전송 69 필수 보안메일 70 필수 전자서명(NPKI) 증명서 서비스 보 안 안전한 인증방식 확보 중요정보의 비인가 노출 방지 74 필수 행정전자서명(GPKI) 72 권고 OTP/Card 73 권고 단일인증방식 74 필수 파일암호화 75 필수 웹 방화벽 데이터베이스 암호화 적용 76 필수 DB암호화 솔루션 증명서 위/변조 방지 77 필수 문서보안 솔루션 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 079
80
81 제 장 전자정부서비스 보안수준 실태조사 결과 제1 절 조사개요 제2 절 전자정부 서비스별 보안등급 분류 및 보안기준 제3 절 보안수준 실태조사 결과 제3 장 전자정부서비스 보안수준 실태조사 지표개발 l 081
82 조사개요 조사배경 및 목적 전자정부법(제39조 2항)에 의거하여 전자정부서비스의 종합적인 보안대책 수립을 위해 전반적인 보안수준 실태조사의 필요성이 대두되었다. 조사결과를 토대로 문제점을 분석하여 서비스별 취약분야에 대해 예산 인력 기술을 지원하 기 위한 종합적인 보안 대책 수립이 시급한 사항으로 부각되었다. 전자정부서비스를 서비스 유형별로 분류하고 유형별로 보안대책을 수립하여 체계적인 보 안관리 적용의 기준이 요구되었다. 082 l 전자정부서비스 보안수준 개선대책
83 조사특징 가. 지표 선정을 위한 전자정부서비스 사전 점검 -시군구/시도행정시스템 등 66개 대민서비스를 대상으로 표본분석 -일반분야, 보안관리분야 및 사용자 접속환경분야 등 8개 분야별 실태조사 나. 전자정부서비스 분야별 보안수준 측정 지표에 의한 추진 -전자정부서비스 사이버 위협 및 피해 유형에 따른 보안수준 측정 지표 설계 반영 다. 조사대상 선정 전자정부서비스 중 대국민서비스는 웹 형태의 서비스제공이 주를 이루며, 전자정부서비 스를 목표로 해킹시도 사례가 증가하고 있어 외부 접근 형태의 보안유형을 선정하였다. 정부 기관을 중앙행정 기관과 지방행정기관으로 구분하고, 중앙행정 기관에서는 부, 처, 청, 실, 위원회, 자문회 등 기관을 총 망라하여 주요 대민서비스를 제공하는 기관중 대표적인 기관을 선정하였다. 지방행정기관에서는 16개 시도/시군구 232개 시군구를 대상으로 선정하였다. 라. 제공 정보, 서비스 유형에 따른 심층조사 및 서면조사로 구분하여 실시 - 조사대상 기관으로 선정된 266개(461개서비스)기관을 대상으로 1차 서면조사를 실시 하고, 29개 기관 40개 서비스를 선정하여 방문을 통한 심층조사 -서비스 정보 및 서비스 유형(증명서 발급/열람, 온라인거래서비스, 단순정보 제공서 비스 및 국민참여 서비스 등)에 따른 요구되는 보안 기능별 연계 조사 마. 유관기관과의 유기적인 협조체제에 의한 실시 -주요 조사대상기관을 대상으로 한 워크샵 및 분임토의를 통한 의견수렴 -전문가 집단 자문회의(9/6, 12/3 실시)및 보안전문가 자문회의(11/8 실시)에 의한 Delphi기법에 의한 보안측정지표의 적정성 검증 제4 장 전자정부서비스 보안수준 실태조사 결과 l 083
84 사. 향후, 법 제도 개선을 고려한 기관별, 유형별에 따른 차별화된 보안수준 실태조 사 실시 -대민서비스와 관련한 법 제도의 일관성 결여 및 혼재된 현 실정 고려 -각 서비스 유형별 강력한 보호대책 구현을 위한 보호관리 기능의 의무화 고려 조사내용 및 대상 조사 내용은 아래와 같이 일반부문의 5개항목 등 총8개부문 59개항목을 조사하였다. (기간 ) 부 문 조 사 항 목 일반부문(5) 보 안 관 리 부 문 ( 7 ) 사 용 자 접 속 환경부문(8) 네 트 워 크 부 문 ( 8 ) 서 버 보 안 부 문 ( 5 ) 데이터베이스 부 문 ( 5 ) 어플리케이션 부 문 ( 1 2 ) 공 통 항 목 부 문 ( 9 ) 서비스 정보, 서비스 내용, 접속장비, 접속건수, 이용자 대상 보안 중요도, 예산, 정보보안 전담조직, 정보화 보안인력, 추가 필요한 인 원, 보안교육, 보안업무 수행문제점 민원인PC보안장치, 민원인PC보안강화, 담당 공무원PC 보안장치, 담당공무 원PC보안 강화, 담당공무원PC 자동보안패치, 무인민원발급기 보안장치, 공 무원PC 바이러스감염 통제장치 설치, 윈도우98 사용 PC 보안적함성 검증 필요하지 않는 제품 사용 이유, 보안적합성 검증 제품, 각 부서의 보안장치, Firewall / IDS / IPS / Viruswall / Scanner /기타, 유해사이트 차단, 행정내부망 접속 방법, 사설IP 사용, 네트워크관리시스템 보안솔루션 설치시스템, 웹서버/어플리케이션 서버/ DB서버/기타, 서버관리 시스템 사용, 패치관리 솔루션 사용, 취약점점검도구 도입운영 설치된 보안장치, 접근 권한통제 절차, 관리권한, 취약점점검도구도입 운 영, 유지보수 계약 형태 민원인 인증방식, 관리자 인증방식, 응용프로그램 수정 절차 따라 수정내용 기록관리 및 통제, 행정내부망과 분리 설치, 정보 보안 솔루션 사용, Web Firewall/ DRM/ Scanner/ 기타, 이용자 로깅, 담 당공무원 PC 사용 통제, 자동 접속 차단, 암호화 적용 솔루션, 윈도우비스 타 작동 여부, 다양한 웹브라우저 사용 여부 정기적 보안점검, 사이버침해사고 대응절차, 사이버침해사고 대응절차 전문 교육, 장애발생, 장애사례, 통합보안관리시스템, 시스템 복구계획, 장비 이 중화 구성, 백업 084 l 전자정부서비스 보안수준 개선대책
85 나. 조사대상 중앙행정기관, 지방행정기관의 전자정부 대민서비스 및 주요 행정정보 서비스, 홈페이 지를 대상으로 아래와 같이 295개 기관 501개 서비스를 대상으로 방문조사(40개 서비 스) / 서면조사(461개 서비스)를 실시하였다. 구분 중앙행정기관 지방자치단체 기관분류 조사대상 기관수 서비스수 부 처 4 9 청 기타 시도 시군구 합계 기관수는 대상기관의 중복을 배제한 수치이며, 중앙행정기관 기타는 실, 원, 위원회, 자문회를 의미 제4 장 전자정부서비스 보안수준 실태조사 결과 l 085
86 전자정부서비스별 보안등급 분류 및 보안기준 전자정부서비스의 환경에 적합한 지표개발을 위해 ISO27001, SSE-CMM, IPAK, NIST-SAG, VAF, COBIT 등의 선진사례를 벤치마킹 하여 전자정부서비스의 등급 분류에 활용 하였다. 보안등급 분류 전략 가. 사례 조사 1) 국내 외 보안지표 국내 외 평가기준데 대한 등급체계를 비교하였으며, 국내 외 평가기준의 주요내용을 분석하여 아래와 같이 반영해야 할 요소를 도출하였다. 항목 K I S A - I S M S 금감원 전자금융 안전 대 책 기 준 I S O 주요 내용 - 통신, 금융 등 정보통신 기반 및 서비스의 정보보호 수준을 평가할 수 있는 방법 - 조직의 정보보호 수준을 평가하기 위한 위험평가, 구성관리 등 12 개 통제분야에 89개의 세부 평가항목으로 구성 - 은행, 증권, 보험의 전자금융 거래 시 적용되어야 할 전자 금융거 래 기준 - ISMS 적용의 적절한 규모 - 물리적/논리적 범위의 고려 - 고려되어야 할 의존 관계 분석 N I S T 기 준 - 자체 보안평가를 위해 작성된 가이드라인: 시스템 평가기준 시스템 보안 성숙도 모델: SSE-CMM - 정보 시스템에 대한 보안 성숙도를 측정하는 평가모델 - 정보시스템의 보안성을 확보하기 위한 다각적 평가 086 l 전자정부서비스 보안수준 개선대책
87 2) 법 제도 분석 전자정부서비스 보안등급 분류시 반영할 기준을 도출하였다. 항목 전 자 정 부 법 ( 시 행 령 ) 공공기관의 개인정보 보호에 관 한 법 ( 시 행 령 ) 전자거래기본법(시행령) 주요 내용 - 전자정부의 구현 및 운영원칙 - 비방문 민원처리 및 서비스의 제공 - 개인정보파일의 공고 - 개인정보의 안전성 확보 등 - 전자거래의 안전성 확보 및 소비자보호 - 개인정보보호 및 영업 비밀보호 - 암호제품의 사용 - 전자거래의 촉진 및 기반조성 전 자 서 명 법 - 인증업무의 안전성 및 신뢰성 확보 정보통신망 이용촉진 및 정보 보 호 등 에 관 한 법 률 정 보 통 신 기 반 보 호 법 국가정보 보안기본 지침 정보통신 보안 업무규정 ( 행 정 자 치 부 ) - 개인정보의 보호 - 정보통신망의 안정성 확보 - 주요 정보통신기반시설의 보호체계 - 주요 정보통신기반시설의 보호 및 침해사고의 대응 - 정보보안 관리 - 정보통신 보안관리, 정보보호시스템, 보안시스템 관리 3) 국내외 평가기준 등급체계 비교를 통해 등급 분류 기준 선정 글로벌 표준 항목별 비교 분석을 거쳐 서비스 유형, 서비스 대상, 실행기준 등 3개항목 의 요소를 통해 전자정부서비스 등급을 5등급구분 기준 선정을 하였다. 국제 표준 Level 1 Level 2 Level 3 Level 4 Level 5 SSE-CMM ( 미 국 ) 초기수준 (Initial) 반복수준 (Repeatable) 정의수준 (Defined) 관리수준 (Managed) 최적화 수준 (Optimized) C O B I T ( 미 국 ) 초기수준 반복수준 정의수준 관리수준 최적화 수준 N I S T ( 미 국 ) 정책개발 절차개발 절차 및 통제이행 절차 및 통제 테스트 절차 및 통제 통합 I T S E C ( 유 럽 ) E1:비정형적 기본설계 E2:비정형적 상세설계 E3:설계도면제공 E4:상세설계 E5:보안요소 상호관계 E6:정형적 상세설계 제4 장 전자정부서비스 보안수준 실태조사 결과 l 087
88 국제 표준 Level 1 Level 2 Level 3 Level 4 Level 5 TCSEC (미국) D:최소한의 보호 C1:임의적 정보보호 C2:통제된 접근보호 B1:레이블된 정보보호 B2:계층구조화 정보보호 B3:보안영역 A1:검증된 설계 CC (미국) EAL0/1 EAL2 EAL3, EAL4, EAL5 EAL6 EAL7 나. 보안등급 분류기준 프레임워크 등급분류 프레임워크는 다양한 종류의 전자정부서비스에 대하여 현실적인 등급을 분류 하기 위하여 3가지 기준의 관점에서 프레임워크를 구성하였다. 서비스의 국가, 사회적 중요도 국가와 사회적 중요한 정도 관점 서비스 사고 발생 시 피해 영향도 사고 발생시 피해의 범위 정도 관점 수행서비스의 온라인 의존도 서비스 접속규모/서비스 유형 (온라인거래서비스, 증명서 발급서비스 제공) 088 l 전자정부서비스 보안수준 개선대책
F1-1(수정).ppt
, thcho@kisaorkr IPAK (Information Protection Assessment Kit) IAM (INFOSEC Assessment Methodology) 4 VAF (Vulnerability Assessment Framework) 5 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
More information요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.
개인정보 오남용 유출 2차 피해 최소화 방안 최종보고서 수행기관 : 숭실대학교 산학협력단 2015. 10. 요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는
More information최종_백서 표지
정보보호 활동 제 제 제 제 제 제 장 장 장 장 장 장 인터넷 침해사고 대응 및 예방 활동 정보통신서비스 제공자 등의 정보보호 주요정보통신기반시설 보호 활동 전자정부 정보보호 활동 개인정보보호 활동 대국민 정보보호 활동 제 장 웹서버 파괴 및 대북 보수단체 홈페이지 14개의 자료가 삭제되는 등의 큰 피해로 이어졌다. 한편 6월 25일부터 정부기관, 언론사,
More informationNetwork seminar.key
Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network
More informationSecurity Overview
May. 14, 2004 Background Security Issue & Management Scope of Security Security Incident Security Organization Security Level Security Investment Security Roadmap Security Process Security Architecture
More information<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>
i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,
More information슬라이드 1
PKI Kerberos SAML & Shibboleth OpenID Cardspace & ID 2 < > (= ) password, OTP, bio, smartcard, pki CardSpace, ID What you have.., 2 factor, strong authentication 4 (SSO) Kerberos, OpenID 5 Shared authentication
More informationStruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen
Online Help StruxureWare Data Center Expert Version 7.2.4 StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare
More information목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항 11-2 -
대전마케팅공사 경영정보포털 구축 사업 패키지 소프트웨어 2식 구매 설치 시방서 (소프트웨어 2식) 2016. 06. 대전마케팅공사 경 영 지 원 파 트 목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항 11-2 - Ⅰ. 일반사항 1. 목적 본 시방서는 대전마케팅공사가 추진하고 있는 경영정보포털 사업의 패키지 소프트웨어 도입을
More information별지 제10호 서식
국립국어원 정보 보안 업무 처리 규정 제정 2013. 12. 26. 국립국어원 예규 제 95호 일부개정 2014. 3. 10. 국립국어원 예규 제111호 제 1 장 총 칙 제 1 조(목적) 이 규정은 국립국어원의 정보보안업무 수행에 필요한 사항을 규정함을 목적으로 한다. 제 2 조(정의) 이 규정에서 사용하는 용어의 정의는 다음 각 호와 같다. 1. 부서 라
More informationAssign an IP Address and Access the Video Stream - Installation Guide
설치 안내서 IP 주소 할당 및 비디오 스트림에 액세스 책임 본 문서는 최대한 주의를 기울여 작성되었습니다. 잘못되거나 누락된 정보가 있는 경우 엑시스 지사로 알려 주시기 바랍니다. Axis Communications AB는 기술적 또는 인쇄상의 오류에 대해 책 임을 지지 않으며 사전 통지 없이 제품 및 설명서를 변경할 수 있습니다. Axis Communications
More information본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를
2009. 9 본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를 제시함으로써 해석상 오해의 소지를 없애고, - 동 기준에 대한 올바른 이해를
More informationPWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (
PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (http://ddns.hanwha-security.com) Step 1~5. Step, PC, DVR Step 1. Cable Step
More information<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>
327 Journal of The Korea Institute of Information Security & Cryptology ISSN 1598-3986(Print) VOL.24, NO.2, Apr. 2014 ISSN 2288-2715(Online) http://dx.doi.org/10.13089/jkiisc.2014.24.2.327 개인정보 DB 암호화
More information6강.hwp
----------------6강 정보통신과 인터넷(1)------------- **주요 키워드 ** (1) 인터넷 서비스 (2) 도메인네임, IP 주소 (3) 인터넷 익스플로러 (4) 정보검색 (5) 인터넷 용어 (1) 인터넷 서비스******************************* [08/4][08/2] 1. 다음 중 인터넷 서비스에 대한 설명으로
More information1.장인석-ITIL 소개.ppt
HP 2005 6 IT ITIL Framework IT IT Framework Synchronized Business and IT Business Information technology Delivers: Simplicity, Agility, Value IT Complexity Cost Scale IT Technology IT Infrastructure IT
More information네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시
네트워크 보안도 안철수연구소입니다 통합 보안의 No.1 파트너, AhnLab TrusGuard 네트워크 환경을 수호하는 최고의 통합 보안 시스템 고성능 방화벽ㆍVPN Security 기술과 고품질 Integrated Security 기술의 강력한 결합 네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간
More information<303833315FC1A4BAB8B9FDC7D02031362D325FC3D6C1BEBABB2E687770>
개인정보보호법의 보호원칙에 대한 벌칙조항 연구 A Legal Study of Punishments in Terms of Principles of Private Informaion Protection Law 전동진(Jeon, Dong-Jin)*19) 정진홍(Jeong, Jin-Hong)**20) 목 차 Ⅰ. 들어가는 말 Ⅱ. OECD 개인정보 보호원칙과의 비교
More information월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호
안랩 온라인 보안 매거진 2016. 03 Patch Management System 월간 2016. 03 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호 법령 사항
More information소만사 소개
개인정보 라이프사이클에 걸친 기술적 보호대책 - DB방화벽과 PC내 개인정보 무단 저장 검출 및 암호화솔루션 2009.10 소만사 소개 소만사 [소프트웨어를 만드는 사람들 ] 개인정보보호 토털 솔루션 전문업체, 해외수출 기업 금융/통신/대기업/공공 600여 고객 보안1세대 기업 97년 창립(13년) 마이크로소프트 선정 - 10년 후 세계적 소프트웨어 기업 장영실상(IR52),
More informationUDP Flooding Attack 공격과 방어
황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5
More informationIntro to Servlet, EJB, JSP, WS
! Introduction to J2EE (2) - EJB, Web Services J2EE iseminar.. 1544-3355 ( ) iseminar Chat. 1 Who Are We? Business Solutions Consultant Oracle Application Server 10g Business Solutions Consultant Oracle10g
More informationSubnet Address Internet Network G Network Network class B networ
Structure of TCP/IP Internet Internet gateway (router) Internet Address Class A Class B Class C 0 8 31 0 netid hostid 0 16 31 1 0 netid hostid 0 24 31 1 1 0 netid hostid Network Address : (A) 1 ~ 127,
More information<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>
한국산학기술학회논문지 Vol. 12, No. 3 pp. 1408-1416, 2011 클라우드 컴퓨팅에서의 보안 고려사항에 관한 연구 박춘식 1* 1 서울여자대학교 정보보호학과 Study on Security Considerations in the Cloud Computing Choon-Sik Park 1* 1 Department of Information Security,
More informationUSB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C
USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC Step 1~5. Step, PC, DVR Step 1. Cable Step
More informationK-ICT 클라우드 서비스 적용 시범사업 -창원국가산업단지 입주기업대상- Partner for New Possibilities 모든 사람과 기업들이 꿈을 실현하고 더 나은 세상을 위한 새로운 가능성을 만들어 갈 때 SK텔레콤이 항상 그들과 함께하는 동반자가 되겠다는 의미입니다. 가능성의 릴레이 사람에서 기술로, 다시 사람으로 가능성의 릴레이는 고객의 삶 속에서
More informationcam_IG.book
설치 안내서 AXIS P3301 고정형 돔 네트워크 카메라 AXIS P3301-V 고정형 돔 네트워크 카메라 한국어 AXIS P3304 고정형 돔 네트워크 카메라 AXIS P3304-V 고정형 돔 네트워크 카메라 문서 정보 본 문서에는 사용자 네트워크에 AXIS P3301/P3304 고정형 돔 네트워크 카메라를 설치하는 방법에 대 한 지침이 포함되어 있습니다.
More informationPortal_9iAS.ppt [읽기 전용]
Application Server iplatform Oracle9 A P P L I C A T I O N S E R V E R i Oracle9i Application Server e-business Portal Client Database Server e-business Portals B2C, B2B, B2E, WebsiteX B2Me GUI ID B2C
More informationMicrosoft PowerPoint - CoolMessenger_제안서_라이트_200508
2005 Aug 0 Table of Contents 1. 제안 개요 P.2 2. 쿨메신저 소개 P.7 3. VoIP 인터넷전화 서비스 P.23 4. 쿨메신저 레퍼런스 사이트 P.32 5. 지란지교소프트 소개 P.37 1 芝 蘭 之 交 2 1. 제안 개요 1) Summery 3 1. 제안 개요 2) 일반 메신저 vs 쿨메신저 보안 문제 기업 정보 & 기밀 유출로
More informationFileMaker 15 WebDirect 설명서
FileMaker 15 WebDirect 2013-2016 FileMaker, Inc.. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker FileMaker Go FileMaker, Inc.. FileMaker WebDirect FileMaker, Inc... FileMaker.
More informationSena Device Server Serial/IP TM Version
Sena Device Server Serial/IP TM Version 1.0.0 2005. 3. 7. Release Note Revision Date Name Description V1.0.0 2005-03-7 HJ Jeon Serial/IP 4.3.2 ( ) 210 137-130, : (02) 573-5422 : (02) 573-7710 email: support@sena.com
More information목 차 정책자료집을 발간하며 5 Ⅰ. 문제제기 7 Ⅱ. 사이버테러의 개념 9 1. 사이버보안 위협과 범죄의 급증 9 2. 사이버테러의 개념 정의 10 Ⅲ. 국내 사이버테러 실태 12 1. 국내 사이버범죄 현황 12 2. 국내 주요 사이버테러 사례 15 Ⅳ. 해외 사이버테러 현황 및 대응체계 23 1. 주요 해외 사이버테러 현황 23 2. 주요 해외국의 대응체계
More information2016년도 본예산 일반회계 총무과 세 출 예 산 사 업 명 세 서 부서: 총무과 단위: 지방행정역량 강화 읍면 명칭변경에 따른 공인 제작 350,000원 * 25개 8,750 02 공공운영비 47,477 29,477 18,000 문서자료관 유지보수비 2,000,000
2016년도 본예산 일반회계 총무과 세 출 예 산 사 업 명 세 서 부서: 총무과 단위: 지방행정역량 강화 총무과 50,666,558 48,288,408 2,378,150 국 122,756 지 671,000 도 368,473 군 49,504,329 행정효율의 극대화 6,002,040 4,943,650 1,058,390 국 19,506 지 671,000 도 44,584
More informationOZ-LMS TM OZ-LMS 2008 OZ-LMS 2006 OZ-LMS Lite Best IT Serviece Provider OZNET KOREA Management Philosophy & Vision Introduction OZNETKOREA IT Mission Core Values KH IT ERP Web Solution IT SW 2000 4 3 508-2
More informationAnalyst Briefing
. Improve your Outlook on Email and File Management iseminar.. 1544(or 6677)-3355 800x600. iseminar Chat... Improve your Outlook on Email and File Management :, 2003 1 29.. Collaboration Suite - Key Messages
More information자바-11장N'1-502
C h a p t e r 11 java.net.,,., (TCP/IP) (UDP/IP).,. 1 ISO OSI 7 1977 (ISO, International Standards Organization) (OSI, Open Systems Interconnection). 6 1983 X.200. OSI 7 [ 11-1] 7. 1 (Physical Layer),
More informationKISO저널 원고 작성 양식
KISO정책위원회 통합 정책규정의 제정배경과 의의 정경오 / 법무법인 한중 변호사 KISO정책위원 KISO 정책위원회, 정책결정, 통합 정책규정, 정책결정 규범화 1. 정책규정 제정의 배경 2009년 3월 국내 인터넷자율규제의 활성화를 위하여 출범한 한국인터넷자율정책기구(이하 KISO 라 한다)는 설립과 동시에 KISO
More informationCLX8380_KR.book
이 사용설명서와 제품은 저작권법에 의해 보호되어 있습니다. 삼성전자 ( 주 ) 의 사전 서면 동의 없이 사용설명서 및 제품의 일부 또는 전체를 복사, 복제, 번역 또는 전자매체나 기계가 읽을 수 있는 형태로 바꿀 수 없습니다. 이 사용설명서와 제품은 표기상의 잘못이나 기술적인 잘못이 있을 수 있으며 사전 통보 없이 이러한 내용들이 변경될 수 있습니다. CLX-8380ND,
More informationTCP.IP.ppt
TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP Internet Protocol _ IP Address Internet Protocol _ Subnet Mask Internet Protocol _ ARP(Address Resolution Protocol) Internet Protocol _ RARP(Reverse Address Resolution
More informationecorp-프로젝트제안서작성실무(양식3)
(BSC: Balanced ScoreCard) ( ) (Value Chain) (Firm Infrastructure) (Support Activities) (Human Resource Management) (Technology Development) (Primary Activities) (Procurement) (Inbound (Outbound (Marketing
More informationODS-FM1
OPTICAL DISC ARCHIVE FILE MANAGER ODS-FM1 INSTALLATION GUIDE [Korean] 1st Edition (Revised 4) 상표 Microsoft, Windows 및 Internet Explorer는 미국 및 / 또는 다른 국가에서 Microsoft Corporation 의 등록 상표입 Intel 및 Intel Core
More information2005. 경영혁신 종합실적 보고서 평 가 지 표 자율혁신 실행계획 (Action Plan) 1. 혁신리더십 (1) 조직의 비전 미션 및 지향가치 (1)-1 구체성(1.0) - 경영의 전반적 프로세스 혁신을 통 한 효율성 향상과 공기업 사명감 완수추구 - 고객제일주의의
- 지방공기업 경영혁신 - 종 합 실 적 보 고 서 인천광역시남동구 도 시 관 리 공 단 2005. 경영혁신 종합실적 보고서 평 가 지 표 자율혁신 실행계획 (Action Plan) 1. 혁신리더십 (1) 조직의 비전 미션 및 지향가치 (1)-1 구체성(1.0) - 경영의 전반적 프로세스 혁신을 통 한 효율성 향상과 공기업 사명감 완수추구 - 고객제일주의의
More informationORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O
Orange for ORACLE V4.0 Installation Guide ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE...1 1....2 1.1...2 1.2...2 1.2.1...2 1.2.2 (Online Upgrade)...11 1.3 ORANGE CONFIGURATION ADMIN...12 1.3.1 Orange Configuration
More information1217 WebTrafMon II
(1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network
More informationTTA Verified : HomeGateway :, : (NEtwork Testing Team)
TTA Verified : HomeGateway :, : (NEtwork Testing Team) : TTA-V-N-05-006-CC11 TTA Verified :2006 6 27 : 01 : 2005 7 18 : 2/15 00 01 2005 7 18 2006 6 27 6 7 9 Ethernet (VLAN, QoS, FTP ) (, ) : TTA-V-N-05-006-CC11
More information10X56_NWG_KOR.indd
디지털 프로젝터 X56 네트워크 가이드 이 제품을 구입해 주셔서 감사합니다. 본 설명서는 네트워크 기능 만을 설명하기 위한 것입니다. 본 제품을 올바르게 사 용하려면 이 취급절명저와 본 제품의 다른 취급절명저를 참조하시기 바랍니다. 중요한 주의사항 이 제품을 사용하기 전에 먼저 이 제품에 대한 모든 설명서를 잘 읽어 보십시오. 읽은 뒤에는 나중에 필요할 때
More informationthe it service leader SICC 생각의 틀을 넘어 ICT 기술의 힘 으로 생각의 틀을 넘어 IT서비스 영역을 개척한 쌍용정보통신. ICT 기술력을 바탕으로 최적의 솔루션을 제공하며 세계로 뻗어나가는 IT Korea Leader 로 도약할 것입니다. Co
the it service leader www.sicc.co.kr SICC TEL : 02-2262-8114 FAX : 02-2277-2385 Ssangyong Information & Communications Corp. the it service leader SICC 생각의 틀을 넘어 ICT 기술의 힘 으로 생각의 틀을 넘어 IT서비스 영역을 개척한 쌍용정보통신.
More information<목 차 > 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3
열차운행정보 승무원 확인시스템 구축 제 안 요 청 서 2014.6. 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3.시운전 및 하자보증 10
More informationWeb Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현
02 Web Application Hosting in the AWS Cloud www.wisen.co.kr Wisely Combine the Network platforms Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인
More information부서: 기획감사실 정책: 지방행정 역량 강화 단위: 군정운영 및 의회협력 행정협의회 분담금 20,000,000원*1식 20,000 03 행사운영비 2,000 2,000 0 행정협의회 지원 2,000,000원*1식 2,000 의원상해 지원 36,000 36,000 0 3
2013년도 본예산 일반회계 전체 세 출 예 산 사 업 명 세 서 부서: 기획감사실 정책: 지방행정 역량 강화 단위: 군정운영 및 의회협력 기획감사실 21,717,100 16,038,954 5,678,146 도 5,357 군 21,711,743 지방행정 역량 강화 2,355,380 3,012,559 657,179 도 5,357 군 2,350,023 군정운영
More informationTTA Journal No.157_서체변경.indd
표준 시험인증 기술 동향 FIDO(Fast IDentity Online) 생체 인증 기술 표준화 동향 이동기 TTA 모바일응용서비스 프로젝트그룹(PG910) 의장 SK텔레콤 NIC 담당 매니저 76 l 2015 01/02 PASSWORDLESS EXPERIENCE (UAF standards) ONLINE AUTH REQUEST LOCAL DEVICE AUTH
More informationPCServerMgmt7
Web Windows NT/2000 Server DP&NM Lab 1 Contents 2 Windows NT Service Provider Management Application Web UI 3 . PC,, Client/Server Network 4 (1),,, PC Mainframe PC Backbone Server TCP/IP DCS PLC Network
More informationCisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2
SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0
More information공지사항
상명사이버캠퍼스 군이러닝 강좌 학습안내 1. 사이버캠퍼스 접속방법 브라우저 주소창에서 직접 http://cyber.smu.ac.kr 입력하여 접속합니다. : 추천 2. 개설강좌 및 수업 안내 가. 개설과목 : 컴퓨터와정보사회(군인) 나. 수업시작 : 2015. 9.1(화) 10:00 이후부터 다. 평가방법 1) 중간, 기말고사는 off-line
More information목차 Q-1. 데이터를 통한 음성통화가 되지 않습니다.... 4 Q-2. WiFi 연결이 안됩니다.... 4 Q-3. 인터넷 또는 네트워크 연결이 안됩니다.... 5 Q-4. 표준 부속품을 알려주시기 바랍니다.... 6 Q-5. 구입하였습니다만, 배터리는 어떻게 장착하
사용자 FAQ (URoad-LFM300) 2015. 08. 26 1 / 19 Copyright c MODACOM Co., Ltd. 목차 Q-1. 데이터를 통한 음성통화가 되지 않습니다.... 4 Q-2. WiFi 연결이 안됩니다.... 4 Q-3. 인터넷 또는 네트워크 연결이 안됩니다.... 5 Q-4. 표준 부속품을 알려주시기 바랍니다.... 6 Q-5.
More information03여준현과장_삼성SDS.PDF
Procurement Extended IP Business Application Business Application Business Application Business Application Business Application Internet Business Application Sourcing Market efficiency Private e-marketplace
More information본 CERT) "Security Consumer Report - DLP" 는 한국침해사고대응팀협의회(CNCERT:CNsortium of 회원으로 활동하는 보안 담당자가 자발적으로 보고서 위원회를 구성한 후 국내에서 유 통되는 DLP 제품을 조사( 기획 수행 제작) 한
- DLP (Data Loss Prevention) - 2011. 11. ( 사) 한국침해사고대응팀협의회 - 1 - 본 CERT) "Security Consumer Report - DLP" 는 한국침해사고대응팀협의회(CNCERT:CNsortium of 회원으로 활동하는 보안 담당자가 자발적으로 보고서
More information인터넷 신산업 촉진을 위한 무제한인터넷주소 (IPv6) 확산 로드맵 2014년을 IPv6 기반 서비스 상용화의 원년으로 인터넷 신산업 촉진을 위한 무제한인터넷주소 (IPv6) 확산 로드맵 2014년을 IPv6 기반 서비스 상용화의 원년으로 2014. 3. 14. 차 례 I. 추진배경 1 II. 국내외 현황 3 III. 문제점 10 IV. 추진전략 및 로드맵
More informationMicrosoft PowerPoint - ch02_인터넷 이해와 활용.ppt
컴퓨터 활용과 실습 원리를 알면 IT가 맛있다 chapter 2. 윈도우XP, 한글25, 엑셀23, 파워포인트23 인터넷 이해와 활용 www.hanb.co.kr -1- 학습목표 목차 통신과 네트워크의 개념 통신과 네트워크 컴퓨터 통신망 인터넷정의및역사 인터넷주소체계 인터넷 정의와 역사 인터넷 주소 웹서비스의정의및특징 웹 서비스 웹 브라우저의 기능 웹 브라우저
More information2008 쌍용국문5차
서울시 중구 저동 2가 24-1 쌍용빌딩 TEL 02-2262-8114 FAX 02-2277-2385 www.sicc.co.kr S sangyong I nformation & C ommunications C orp. with SICC Contents Vision & Mission 유비쿼터스 세상의 IT서비스 리더 The IT Service Leader in
More informationAGENDA 01 02 03 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례
모바일 클라우드 서비스 융합사례와 시장 전망 및 신 사업전략 2011. 10 AGENDA 01 02 03 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례 AGENDA 01. 모바일 산업의 환경 변화 가치 사슬의 분화/결합 모바일 업계에서도 PC 산업과 유사한 모듈화/분업화 진행 PC 산업 IBM à WinTel 시대 à
More information목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2
백서 표적 공격 2012년 7월 APT(지능형 지속 위협) 차단을 위한 전면적인 철저한 방어 Russell Miller CA Technologies 보안 관리 사업부 agility made possible 목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션
More information<요 약> 1. 법ㆍ제도 동향 - 개인정보 보관기간 3년에서 1년으로 단축 - 미래부, 데이터센터 보안 수준 점검 계획 2. 보안위협 동향 - Dropper, Downloader 형태의 악성코드 감염 주의 - 5단 설치 첨단 스텔스 악성코드 '레긴', 6년간 활동 3.
2014년 12월 8일 (제23호) 1. 법ㆍ제도 동향 2. 보안위협 동향 3. 업계 동향 4. 기술 동향 5. SECUI 뉴스 기획팀 기술기획팀 보안서비스개발팀 - 1 - 1. 법ㆍ제도 동향 - 개인정보 보관기간 3년에서 1년으로 단축 - 미래부, 데이터센터 보안 수준 점검 계획 2. 보안위협 동향 - Dropper, Downloader
More informationvm-웨어-01장
Chapter 16 21 (Agenda). (Green),., 2010. IT IT. IT 2007 3.1% 2030 11.1%, IT 2007 1.1.% 2030 4.7%, 2020 4 IT. 1 IT, IT. (Virtualization),. 2009 /IT 2010 10 2. 6 2008. 1970 MIT IBM (Mainframe), x86 1. (http
More informationPowerPoint 프레젠테이션
Reasons for Poor Performance Programs 60% Design 20% System 2.5% Database 17.5% Source: ORACLE Performance Tuning 1 SMS TOOL DBA Monitoring TOOL Administration TOOL Performance Insight Backup SQL TUNING
More informationPowerPoint 프레젠테이션
Synergy EDMS www.comtrue.com opyright 2001 ComTrue Technologies. All right reserved. - 1 opyright 2001 ComTrue Technologies. All right reserved. - 2 opyright 2001 ComTrue Technologies. All right reserved.
More information당사의 명칭은 "주식회사 다우기술"로 표기하며 영문으로는 "Daou Tech Inc." 로 표기합니다. 또한, 약식으로는 "(주)다우기술"로 표기합니다. 나. 설립일자 및 존속기간 당사는 1986년 1월 9일 설립되었으며, 1997년 8월 27일 유가증권시장에 상장되
반 기 보 고 서 (제 27 기) 사업연도 2012.01.01 부터 2012.06.30 까지 금융위원회 한국거래소 귀중 2012 년 08 월 14 일 회 사 명 : 주식회사 다우기술 대 표 이 사 : 김 영 훈 본 점 소 재 지 : 경기도 용인시 수지구 죽전동 23-7 디지털스퀘어 6층 (전 화) 070-8707-1000 (홈페이지) http://www.daou.co.kr
More information歯I-3_무선통신기반차세대망-조동호.PDF
KAIST 00-03-03 / #1 1. NGN 2. NGN 3. NGN 4. 5. 00-03-03 / #2 1. NGN 00-03-03 / #3 1.1 NGN, packet,, IP 00-03-03 / #4 Now: separate networks for separate services Low transmission delay Consistent availability
More information<4D6963726F736F667420506F776572506F696E74202D2030342E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA2831292E70707478>
웹과 인터넷 활용 및실습 () (Part I) 문양세 강원대학교 IT대학 컴퓨터과학전공 강의 내용 전자우편(e-mail) 인스턴트 메신저(instant messenger) FTP (file transfer protocol) WWW (world wide web) 인터넷 검색 홈네트워크 (home network) Web 2.0 개인 미니홈페이지 블로그 (blog)
More information슬라이드 1
[ CRM Fair 2004 ] CRM 1. CRM Trend 2. Customer Single View 3. Marketing Automation 4. ROI Management 5. Conclusion 1. CRM Trend 1. CRM Trend Operational CRM Analytical CRM Sales Mgt. &Prcs. Legacy System
More informationESET NOD32 Antivirus
ESET NOD32 ANTIVIRUS 6 사용자 설명서 (제품 버전 6.0 이상) Microsoft Windows 8 / 7 / Vista / XP / Home Server 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET NOD32 ANTIVIRUS Copy r ight 2013 by ESET, s pol. s r. o. ESET NOD32 Antivirus는
More informationESET Endpoint Security
ESET ENDPOINT SECURITY 사용자 설명서 Microsoft Windows 8 / 7 / Vista / XP / 2000 / Home Server 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET ENDPOINT SECURITY Copyright 2013 by ESET, spol. s r. o. ESET Endpoint Security는
More informationMS-SQL SERVER 대비 기능
Business! ORACLE MS - SQL ORACLE MS - SQL Clustering A-Z A-F G-L M-R S-Z T-Z Microsoft EE : Works for benchmarks only CREATE VIEW Customers AS SELECT * FROM Server1.TableOwner.Customers_33 UNION ALL SELECT
More information<3130BAB9BDC428BCF6C1A4292E687770>
檀 國 大 學 校 第 二 十 八 回 학 술 발 표 第 二 十 九 回 특 별 전 경기도 파주 出 土 성주이씨( 星 州 李 氏 ) 형보( 衡 輔 )의 부인 해평윤씨( 海 平 尹 氏 1660~1701) 服 飾 학술발표:2010. 11. 5(금) 13:00 ~ 17:30 단국대학교 인문관 소극장(210호) 특 별 전:2010. 11. 5(금) ~ 2010. 11.
More information<49534F20323030303020C0CEC1F520BBE7C8C4BDC9BBE720C4C1BCB3C6C320B9D7204954534D20BDC3BDBAC5DB20B0EDB5B5C8AD20C1A6BEC8BFE4C3BBBCAD2E687770>
ISO 20000 인증 사후심사 컨설팅 및 ITSM 시스템 고도화를 위한 제 안 요 청 서 2008. 6. 한 국 학 술 진 흥 재 단 이 자료는 한국학술진흥재단 제안서 작성이외의 목적으로 복제, 전달 및 사용을 금함 목 차 Ⅰ. 사업개요 1 1. 사업명 1 2. 추진배경 1 3. 목적 1 4. 사업내용 2 5. 기대효과 2 Ⅱ. 사업추진계획 4 1. 추진체계
More informationESET Mail Security for Microsoft Exchange Server
ESET MAIL SECURITY Microsoft Exchange Server용 설치 설명서 및 사용자 설명서 Microsoft Windows Server 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 이 문서의 최신 버전을 다운로드하려면 여기를 클릭 ESET MAIL SECURITY Copyright 2016 by ESET, spol
More information<32303132B3E2C1A632C8B8BFF6B5E531B1DE42C7FC2E687770>
국 가 기 술 자 격 검 정 무 단 전 재 금 함 형별 제한 시간 수험번호 성 명 다음 문제를 읽고 가장 알맞은 것을 골라 답안카드의 답란 (1, 2, 3, 4)에 표기하시오 워드프로세싱 용어 및 기능 1. 다음 중 워드프로세서의 입력 기능에 대한 설명으로 옳지 1 행두 금칙 문자로는 (, [,,< 등이 있다. 2 KS X 1001 완성형 한글
More informationMicrosoft PowerPoint - KNOM Tutorial 2005_IT서비스관리기술.ppt
KNOM Tutorial 2005 IT서비스관리 기술 (ITIL & ITSM) 2005. 11. 25 COPYRIGHT c 2005 SK C&C CO. LTD. ALL RIGHTS RESERVED. 목 차 1. Definition 3 2. Trends 10 3. IT Infrastructure Library(ITIL) 15 4. Service Desk 26
More informationSMB_ICMP_UDP(huichang).PDF
SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request
More information이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은
Enterprise Mobility 경영혁신 스마트폰, 웹2.0 그리고 소셜라이프의 전략적 활용에 대하여 Enterpise2.0 Blog : www.kslee.info 1 이경상 모바일생산성추진단 단장/경영공학박사 이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33%
More informationBackup Exec
(sjin.kim@veritas.com) www.veritas veritas.co..co.kr ? 24 X 7 X 365 Global Data Access.. 100% Storage Used Terabytes 9 8 7 6 5 4 3 2 1 0 2000 2001 2002 2003 IDC (TB) 93%. 199693,000 TB 2000831,000 TB.
More information<C0FAC0DBB1C7B4DCC3BCBFACC7D5C8B85F3230313020BFACC2F7BAB8B0EDBCAD5FB8E9C1F62CB3BBC1F62E687770>
2010 Annual Report on Copyright Protection 발 간 사 우리나라는 작년에 이어 2년 연속으로 미국의 지적재산권 감시대상 국에서 벗어났으며, 이전보다 훨씬 강화된 저작권법 개정과 저작권 보 호에 대한 국민들의 의식수준 향상으로 콘텐츠산업에 대한 전망이 더 욱 밝아졌습니다. 우리 정부와 한국저작권단체연합회 회원단체들, 그리 고
More information미래 서비스를 위한 스마트 클라우드 모델 수동적으로 웹에 접속을 해야만 요구에 맞는 서비스를 받을 수 있었다. 수동적인 아닌 사용자의 상황에 필요한 정보를 지능적으로 파악 하여 그에 맞는 적합한 서비스 를 제공할 수 새로운 연구 개발이 요구 되고 있다. 이를 위하여,
BIZ STORY HOT TREND 2 미래 서비스를 위한 스마트 클라우드 모델 윤용익 숙명여자대학교 정보과학부 교수 HOT TREND 2 1. 서론 클라우드 컴퓨팅은 인터넷이 접속 가능한 공간이면 언제 어디서나 사용자에게 컴퓨팅 자원을 이용할 수 있 게 해주는 기술로써 클라우드 컴퓨팅 시대의 개막은 기 존의 하드웨어 또는 소프트웨어 중심에서 서비스 중심 의
More information<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E228313230C8A3292E687770>
금융정보화 주요동향 제120호 2010. 1. 28 1. 금융업계 IT동향 2. IT 동향 3. IT 용어 정보시스템본부 종 합 2010. 1월 제120호 1. 2010년 IT 전망 2010년 전 세계 10대 IT 산업전망 2010년 국내 IT 시장 전망 2010년 IT 10대 전략 이슈 선정 2010년 12대 보안 이슈 예측 2010년 금융권 보안 정책방향
More information<%DOC NAME%> (User Manual)
AVG Email Server Edition 2012 2012.06 (2/ 28/ 2012) Copy right AV G Tec hnologies CZ, s.r.o. All rights res erv ed.. RSA Data Sec urity, Inc. MD5 Mes s age-diges t Algorithm, Copy right (C) 1991-2, RSA
More informationSW¹é¼Ł-³¯°³Æ÷ÇÔÇ¥Áö2013
SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING WHITE BOOK : KOREA 2013 SOFTWARE ENGINEERING
More informationMicrosoft PowerPoint - 3.공영DBM_최동욱_본부장-중소기업의_실용주의_CRM
中 규모 기업의 실용주의CRM 전략 (CRM for SMB) 공영DBM 솔루션컨설팅 사업부 본부장 최동욱 2007. 10. 25 Agenda I. 중소기업의 고객관리, CRM의 중요성 1. 국내외 CRM 동향 2. 고객관리, CRM의 중요성 3. CRM 도입의 기대효과 II. CRM정의 및 우리회사 적합성 1. 중소기업에 유용한 CRM의 정의 2. LTV(Life
More information..............
인터넷을 이용한 원격지 텔레비전 시청서비스를 둘러싼 두 사건 인터넷을 이용한 원격지 텔레비전 시청서비스를 둘러싼 두 사건 弁 理 士 大 滝 均 (Hitoshi Otaki) 1) 한양대학교 법과대학 敎 授 尹 宣 熙 2) 목 차 (서두에) 1. 두 사건의 개요 2. 당사자가 요구한 피보전권리 3. 저작인접권에 대하여 4. 채무자의 장치 5. 채무자의 행위 6.
More informationModel Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based
e- Business Web Site 2002. 04.26 Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based Approach High E-Business Functionality Web Web --based based KMS/BIS
More information미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은 현재 새로운 혁신적 인터넷, 곧 미래인터넷으로 진화하는 길목에 있다. 창조와 창업 정신으로 무장하여 미래인터넷 실현에 범국가적으로 매진하는 것이 창조경제 구현의 지름
미래인터넷과 창조경제에 관한 제언 김대영 Internet & Security Policy Review 김대영 충남대학교 정보통신공학과 교수, dykim@cnu.kr 본 내용은 KISA의 공식적인 견해가 아님을 밝히며, 인용시 출처를 명시하여 주시기 바랍니다. 미래인터넷과 창조경제에 관한 제언 65 초록 과학기술과의 융합을 통해 창조경제를 이루는 근간인 인터넷은
More informationUser Guide
HP Pocket Playlist 사용 설명서 부품 번호: 699916-AD2 제 2 판: 2013 년 1 월, 초판: 2012 년 12 월 Copyright 2012, 2013 Hewlett-Packard Development Company, L.P. Microsoft, Windows 및 Windows Vista 는 Microsoft Corporation
More information1. 회사소개 및 연혁 - 회사소개 회사소개 회사연혁 대표이사: 한종열 관계사 설립일 : 03. 11. 05 자본금 : 11.5억원 인 원 : 18명 에스오넷 미도리야전기코리 아 미도리야전기(일본) 2008 2007 Cisco Premier Partner 취득 Cisco Physical Security ATP 취득(진행) 서울시 강남구 도심방범CCTV관제센터
More information특허청구의 범위 청구항 1 회선 아이디 접속 시스템에 있어서, 온라인을 통해 실제 사용자 고유정보의 발급이 가능한 아이디 발급 사이트를 제공하기 위한 아이디 발급 수단; 오프라인을 통한 사용자의 회선 아이디 청약에 따라 가상의 사용자 고유정보 및 가인증 정보를 생성하고
(19) 대한민국특허청(KR) (12) 공개특허공보(A) (11) 공개번호 10-2010-0070878 (43) 공개일자 2010년06월28일 (51) Int. Cl. G06F 21/20 (2006.01) G06Q 40/00 (2006.01) (21) 출원번호 10-2008-0129613 (22) 출원일자 2008년12월18일 심사청구일자 없음 전체 청구항
More informationDW 개요.PDF
Data Warehouse Hammersoftkorea BI Group / DW / 1960 1970 1980 1990 2000 Automating Informating Source : Kelly, The Data Warehousing : The Route to Mass Customization, 1996. -,, Data .,.., /. ...,.,,,.
More informationVoice Portal using Oracle 9i AS Wireless
Voice Portal Platform using Oracle9iAS Wireless 20020829 Oracle Technology Day 1 Contents Introduction Voice Portal Voice Web Voice XML Voice Portal Platform using Oracle9iAS Wireless Voice Portal Video
More information<3035303432365FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>
개 요 홈페이지 해킹 현황 및 사례 홈페이지 개발시 보안 취약점 및 대책 주요 애플리케이션 보안 대책 결 론 참고자료 [부록1] 개발 언어별 로그인 인증 프로세스 예제 [부록2] 대규모 홈페이지 변조 예방을 위한 권고(안) [부록3] 개인정보의 기술적 관리적 보호조치 기준(안) [부록4] 웹 보안관련 주요 사이트 리스트 7000 6,478 6000 5000
More information15_3oracle
Principal Consultant Corporate Management Team ( Oracle HRMS ) Agenda 1. Oracle Overview 2. HR Transformation 3. Oracle HRMS Initiatives 4. Oracle HRMS Model 5. Oracle HRMS System 6. Business Benefit 7.
More informationSpecial Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이
모바일웹 플랫폼과 Device API 표준 이강찬 TTA 유비쿼터스 웹 응용 실무반(WG6052)의장, ETRI 선임연구원 1. 머리말 현재 소개되어 이용되는 모바일 플랫폼은 아이폰, 윈 도 모바일, 안드로이드, 심비안, 모조, 리모, 팜 WebOS, 바다 등이 있으며, 플랫폼별로 버전을 고려하면 그 수 를 열거하기 힘들 정도로 다양하게 이용되고 있다. 이
More informationuntitled
- 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - ( ) / / / / (, /, ) /, - 21 - CMI DB DB - 22 - - 23 - - 24 - - 25 - - 26 - - 27 -
More informationꠏꠏꠏꠏ ꠏꠏꠏꠏ ꠏꠏꠏꠏ A4 SPA RCcenter 20 00 SPARC center 2000 ꡔꡕ Web Browser Internet ( HTTP ) ( HTTP ) (Z39.50 ) / DB/ DB ( HTTP) Web Server Doc Server KAIST DB PC
More information