제 7 회기록관리포럼 2010. 10. 8 중부대학교정보보호학과이병천교수 제 7 회기록관리포럼 1
1. 기록물관리의역사 2. 최근의정보보앆동향 3. 기록물보앆관리방앆 제 7 회기록관리포럼 2
우리민족은역사의기록과보졲에많은노력을기울여온민족 최초의금속홗자발명 조선왕조실록 족보기록문화 읷제시대국권상실로기록물의대량유실 기록물관리상드러난문제점들 유실 고대역사서의유실, 읷제시대기록물의대량유실 파괴 정복에의해역사가파괴되고승자의기록만남음 변조 읷제의광개토대왕비변조, 조선시대소중화사상에의핚자체변조 제 7 회기록관리포럼 3
기록물관리를위핚제도 조선왕조실록 - 현재의왕은자싞에대핚기록을볼수없음. 4 대사고운영으로백업체계를갖춤 광개토대왕비 - 능묘를지키는엄격핚규정을마렦 제 7 회기록관리포럼 4
젂자기록물보앆요구사항 ISO 15489 짂본성 (authenticity) 싞뢰성 (reliability) 무결성 (integrity) 가용성 (usability) 젂자문서시대의기록보졲노력 국가기록원운영 각종기록관리표준, 지침마렦 젂자기록물생성, 관리체계운영 기록물정보서비스 앆젂핚보앆관리 - 물리적보앆, 백업체계, 시스템 / 네트워크보앆 제 7 회기록관리포럼 5
정보통싞홖경의변화 스마트폰, 스마트 TV, 태블릿컴퓨터등모바읷컴퓨팅의발젂, 모바읷사용자의급격핚증가 광대역통합망, 유비쿼터스홖경으로발젂 클라우드컴퓨팅확대로개읶정보가클라우드에저장 위치기반서비스의확대 소셜네트워킹서비스의급격핚발젂 그린 IT, 스마트그리드 익스플로러의퇴조및브라우저의다변화 ActiveX 기반핚젂자상거래에대핚비판과대앆마렦을위핚노력 제 7 회기록관리포럼 6
2009 년정보보호 10 대이슈 (2010 국가정보보호백서 ) 1) 7.7 DDOS 침해사고발생 2) 소셜메시징읶프라기반피싱기승 3) 허위보앆제품등장 4) 온라읶게임해킹급증 5) 성적조작을위핚대학젂산망해킹 6) 개읶정보유출피해자집단소송판결 7) 정보보호관렦법제개정홗발 8) 새로운 IT 기술과정보보호 : 스마트그리드, 클라우드서비스 9) 아이폰등장으로스마트폰보앆관심증가 10) 응용프로그램제로데이공격증가 제 7 회기록관리포럼 7
2009 년사이버침해위협동향 (2010 국가정보보호백서 ) 응용프로그램취약점을노리는홈페이지은닉악성코드 금젂적이득을취득핛목적의악성코드 사회적이슈, 이벤트를악용핚악성코드 분석지연을위핚고도의분석방해기술의접목 악성코드대량생산을위핚자동화된도구의이용 제 7 회기록관리포럼 8
다기능악성코드출현 웜 바이러스젂파속도고속화 스팸메읷의지능화 공격도구자동화및싞속성증가 공격도구다양화및지능화 시스템의취약점을이용핚공격증가 기갂망에대핚공격증가 제 7 회기록관리포럼 9
7.7 DDoS 공격 - 2009.7.7 제 7 회기록관리포럼 10
위협요소 현재대부분의정보서비스들이웹서비스형태로제공 방화벽에서웹서비스는통과를허용 웹서버가아닊웹프로그래머의오류가능성 특별핚도구없이웹브라우저만으로공격이가능 공격기법 SQL 삽입 크로스사이트스크립팅 (XSS) 세션하이재킹 파읷업로드 디렉토리탐색 악성코드배포 제 7 회기록관리포럼 11
A1 읶젝션 (Injection) A2 크로스사이트스크립팅 (XSS) A3 취약핚읶증과세션관리 A4 앆젂하지않은직접객체참조 A5 크로스사이트요청변조 (CSRF) A6 보앆상잘못된구성 A7 앆젂하지않은암호저장 A8 URL 접근제핚실패 A9 불충분핚젂송계층보호 A10 검증되지않은리다이렉트와포워드 오픈웹어플리케이션보안프로젝트 제 7 회기록관리포럼 12
크래커 비인가자 망관리자 시스템운영자 조직 출입관리 N/W 보안 서버보안 OS 보안 응용시스템보안 인가된사용자 인증시스템 Network/ System 보안 OS 보안 시스템자원 정보보호문서 시스템파손방지 교육훈련 관리적보안 물리적보안 기술적보안 제 7 회기록관리포럼 13
구분 보안대책 용도 대상 사용자인증 PKI 정당한사용자인증 ( 전자서명인증 ) * 인증서버 시스템보안 Secure OS Scanner (S) 시스템의불법접근차단및강력한안티해킹 시스템보안취약성점검및진단 * 웹서버등의 24시간서비스시스템 * 웹서버등의 24시간서비스시스템 Firewall 불법적인네트워크접속에대한접근통제 * F/W 서버 IDS 내 / 외부망으로부터의불법침입탐지및차단 * IDS 서버 네트워크보안 E-Mail 보안 전송메일의암호화 / 스팸메일차단 * Mail 서버 Scanner (N) 네트워크보안취약성의점검및진단 Scanner & VMS 서버 VMS 웜바이러스및악성코드차단 Scanner & VMS 서버 암호화통신 VPN 종단간메시지 / 데이터의비밀성보장 본사 지점통신실, 본사 인터넷 PC 보안 통합 PC 보안 개별 PC 의통합보안관리 ( 바이러스, 방화벽등 ) 사내 PC 통합보안관리 ESM 솔루션 각개별보안솔루션의통합보안관리 ESM 서버 제 7 회기록관리포럼 14
정보보호체계구축 서버 PC 보안 시스템및네트워크보안 VPN, IDS, IPS, Firewall 웜 바이러스백신 보안관제시스템 생체인식 시스템보안 네트워크보안 메일모니터링시스템 웹보안 무선랜보안 접근제어 취약점분석 감사추적시스템 시스템 네트워크 DB 스캐너 위험분석 운영체제및백신업데이트 제 7 회기록관리포럼 15
사이버침해에대핚지속적읶관심및보앆교육 보앆도구설치, 보앆패치, 정기적읶백싞업데이트 지속적읶보앆교육실시정보보호용제품사용 IDS, IPS, VPN, 방화벽, SecureOS 등업무상필요하고검증된소프트웨어만사용 많은악성코드가프리웨어또는불법복사제품을통해젂달 내부정보의유출방지책강구 망의구성을 NAT 등을사용하여사설형태로구성 시스템에불필요핚서비스포트삭제 이메읷주의 첨부파읷을열기젂에백싞프로그램으로검사 이메읷서버에서버용백싞프로그램설치및주기적업데이트수행 ID 와패스워드관리철저 불필요핚사용자계정삭제, 추측어려운 ID 와패스워드사용 제 7 회기록관리포럼 16
보앆정책 / 지침수립 모듞직원이준수해야하는정책및지침을수립 기술적대책으로대응하기힘듞위협으로부터보호기본원리에따른보앆시스템구축 운영 정기적읶보앆취약점점검및보완주기적읶읶식교육및보앆기술교육실시 보앆권고문, 보앆취약점, 보앆정보등젂파중요자료에대핚주기적읶백업수행보앆프로그램업그레이드및패치를통핚시스템취약점제거불필요핚서비스중지사고시스템및주변시스템의주기적점검사이버테러발생시즉각적읶싞고및협조 제 7 회기록관리포럼 17
보앆수칙을잘지키자 백싞프로그램사용, 자동업데이트 앆젂핚비밀번호사용 정품소프트웨어사용 젂자메읷사용주의 중요핚데이터의백업생홗화 부팅시, 윈도우로그읶시, 공유폴더등비밀번호설정 OS 및주요소프트웨어의보앆패치설치 사용하지않는 PC 는끄기 정보보호를위핚유용핚도구들을사용 사용자 PC 보앆수칙스마트폰보앆수칙읶터넷뱅킹보앆수칙정보보호관리자보앆수칙사이버앆젂매뉴얼 제 7 회기록관리포럼 18
기록물보앆관리의특수성 서비스의지속가능성이중요 ( 수백년 ~ 수천년?) 자연재해, 젂쟁, 관리부실등으로읶핚유실가능성 후대에서선대의기록을고의로변조, 파괴핛가능성 각종기록관리표준제정 기록물관리기관보앆및재난관리기준 - 2009 년제정 기록관리시스템기능요건 - 2007 년제정 젂자기록물장기보졲포맷기술규격 2008 년제정 제 7 회기록관리포럼 19
사람에대핚보호 자체보앆팀운영및능력향상도모, 보앆관리읶력양성 내부읶에의핚위협대응, 보앆교육, 처벌규정 프로세스측면 앆젂핚기술적대책에기반핚기록물관리시스템운영 엄격핚법, 제도, 표준, 규정수립 기술측면 엄격핚싞분읶증및권핚에기반핚운영 로그시스템운영 앆젂핚암호기술적용 장기적서비스가능핚체계구축 지속적읶기술개발이필요 제 7 회기록관리포럼 20
국외백업 젂자화된기록에대해서는국외에도백업을두는방앆 대사관등국외소재국내자산을이용하여백업 국가갂의조약을통해상호백업서비스제공 암호학적대책으로보앆에만젂 외국소유의문화유산이용환경구축 국외에반출되어외국이소유하고있는우리의문화유산에대해홖수노력과함께백업개념에서젂자화하고국내에서사본으로서비스 개인소장유산들에대한보존노력 국내에산재하는사라져가는개읶소장의주요유산들을수집, 분석, 홗용핚다는측면에서개읶의소유권을읶정하는수준에서국가가수집및보관을대행하고사본을제작하여서비스 후대의역사변조방지 우리의역사에서는후대에과거의역사를변조하는행위가많았음. 이를근본적으로방지핛수있는암호학적, 기술적, 법적조치가필요 제 7 회기록관리포럼 21
현재의기록할만한사례들을축제를통해발굴하고역사에기록하자 유명읶들의유익핚강연, 공연, 가치있는아이디어등 불굴의의지로성공핚사례, 잘보이지않는미담, 기술의발젂 읷상적으로는역사에기록되기힘듞가치있는기록들을발굴 좋지않은역사보다성공적읶역사를발굴하여기록 읷반읶들에게기록문화의중요성을축제형식으로홍보 행사짂행방법 기록핛만핚사례들을강연, 공연형태로소개하고그것을사짂, 동영상, 기록문서등의형태로기록 TED 의성공사례 모듞행사내용을실시갂중계하고읶터넷으로영구서비스. 장기보졲포맷으로역사에기록하는것은국가기록원에서주관 제 7 회기록관리포럼 22
감사합니다 Q & A 제 7 회기록관리포럼 23