중소기업의보안진단및개선사례 한국산업기술보호협회
Contents 중소기업보안관리실태 진단의목적, 범위및조직구성 진단수행절차및주요일정 보안진단사례소개 (S 사 ) 및결론 ( 참고 ) KAITS 보안진단컨설팅
중소기업비율 대기업 대기업 중소기업 [ 자료출처 : 중소기업청 ] [ 자료출처 : 중소기업청 ]
중소기업보안관리실태 중소기업中 13.2% 기술유출경험 ( 평균 14. 9 억원 ) < 중소기업청, 산업기밀관리실태조사, 2010 년 ) 중소기업의매출액대비평균보안투자규모는대기업의 10% < 중소기업청, 산업기밀관리실태조사, 2010 년 > 중소기업 (5 (5 인이상 ) 10 10 곳중 6곳정보보호투자全無 < 한국인터넷진흥원, 국내정보보안산업실태조사, 2010 년 > 중소기업 58% 정보보호정책未보유 < 한국산업기술보호협회, 국가핵심기술보호실태조사, 2010 년 >
중소기업 Vs 대기업보안실태 구분대기업중소기업 보안업무조직과전담자존재 보안관리규정보유및주기적갱신 87.5% 34.5% 87.5% 27.6% 보안관리규정공지 75% 24.5% 위험평가실시 87.6% 3.5% 자산분류기준존재및분류기준준수 출력물 / 전자문서관련권한설정 91.6% 44.8% 87.5% 55.1% 보안서약서작성보관 87.5% 58.6% 보안요원배치및보안상황실운영 95.8% 24.1% 외부송신이메일통제 75% 27.6% 저장매체사용통제 95.8% 37.9% [ 자료출처 : 지식경제부, 한국산업기술보호협회, 2011 년산업기술보호를위한실태조사보고서 ]
보안진단의정의 보안진단이란??? 조직의목적을달성함에있어시스템과네트워크등모든정보기술자산과조직에일어날수있는위험을분석하고그대책을수립함으로써관리자와조직이그대책을실현할수있도록지원하는독립자문서비스 知彼知己知己百戰不殆 - 孫子 孫子 - Diagnosis Prescription KAITS 전자 전자 보안관리규정세부항목개정 보안서약서징구및관리 보안교육반기별실시 Firewall, Waterwall 구축 DRM 을통한문서보안실시
진단의목적 보안취약점분석및보호대책수립 산업보안의식수준향상 보안진단을통한기업내보안취약점도출취약점분석을통한유출방지대책수립중장기마스터플랜수립, 추천 전임직원보안교육을통한산업보안의식제고보안의식개선을통한기업내보안환경조성일상속의보안생활화실천기여 Security Diagnosis 기술유출방지를통한경영효율상승 침해사고예방및대응자생력배양 기술유출피해로인한경영악화방지기여인사관리및문서관리를통한업무효율성향상직무발명제도및보안관련캠페인을통한자사의자부심고취 기술유출징후발생시신속한대처가능자체보안감사활동을통한침해사고예방산업기술보호를위한자생력배양
진단의범위 관리적보안 보안정책, 규정및지침전 현직직원관리자산의등급분류임직원보안교육 물리적보안 비인가자출입차단내부로부터의유출방지물품반출입관리 기술적보안 네트워크모니터링해킹탐지및방지온라인정보유출방지모바일기기보안
보안진단수행조직구성 Project Management Project Team Organization 진단요청기관 한국산업기술보호협회 Project Team 규정관리 IT 기술 취약점진단및대책수립 팀원이삼일연구원 팀원 CEO ( 사업총괄책임자 ) P M ( 총괄책임자 ) P M 팀원팀원팀원 담당 기간 수행업무 총괄책임자 프로젝트총괄관리 소요기간은 규정, 지침, 인원관리현황조사관리보안회사규모 취약점분석및대책수립전문가 임직원교육및 진행상황에 인원및차량출입통제현황조사물리보안 주요시설의지정관리실태파악전문가따라상이 취약점분석및대책수립 약30~40일 정보시스템현황파악 IT보안소요 정보시스템취약점점검전문가 정보보호관리체계수립 물리시설 팀 원 Total O 일 협회전문가 POOL 의전문인력 Full 활용
보안진단수행절차 1 st 현황분석 2 nd 취약점진단 3 rd 최종결과보고및교육 산업보안현황정리 보안목표이미지설정 보안이행과제도출 보안로드맵정의 이행계획정리 산업보안프레임워크 3 가지구성요소관점 보안목표를고려한 TO-BE Modeling 개별개선방안으로부터주요이행과제도출 이행과제별효과성및시급성을고려 조직 / 일정 / 예산을고려이행계획의구체화 관리적보안 물리적보안 기술적보안 주요현황분석 3 가지구성요소별취약점도출 Ideal Modeling Sketch up 침해사고발생시대응매뉴얼구성 개선방안 이행과제 이행과제 이행과제 이행과제 이행과제 효과성 시급성 추진영역도출 산업보안로드맵 추진조직 이행계획정의 예산 / 일정
세부추진일정 Project Schedule ( 예시 ) Hierarchical Mission Time Table 1 단계 ( 현황분석 ) 요구사항분석및수행계획수립 수행범위정의 자산분류및중요도평가 관리체계진단 / 물리진단 국내 외보안표준기반진단 2 단계 (GAP 분석 ) 3 단계 ( 위험평가 ) 기술적취약점진단어플리케이션진단 / 모의해킹핵심정보유출경로분석위험도평가및위험분석 4 단계 ( 관리체계수립 ) 정책 / 지침개정 ( 안 ) 수립 마스터플랜수행과제도출 마스터플랜세부수행방안작성 5 단계 ( 지원 ) 임직원정보보호교육 산출물유지보수 프로젝트관리보고일정착수중간종료 * 100 인이하사업장 : 약 4W(weeks) 소요, 200 인이하사업장 : 약 6W(weeks) 소요 * 상기일정은회사규모, 보안인프라구축정도및진행상황에따라변동될수있음
중소기업진단사례소개 주식회사 S사보안진단실시 소재지 : 경기도 OO 시소재 업 태 : 전기, 전자부품제조업 종업원 : 54 명 (2011 년 3 월기준 ) 사무직 17 명 (35%), 연구직 7 명 (14%), 생산직 25 명 (51%) 매출액 : 약 200 억 (2011 년회계기준 ) 특이점 : 연구원퇴직현황 2009 년 3 명, 2008 년 4 명, 2007 년 4 명 정보자산 : 데스크탑 PC 30 대, 노트북 18 대 진단동기 : 핵심기술자의퇴사후경쟁업체설립
Before Vs After Before 관리적보안 보안관리규정全無 보안조직및전담인력없음 경영관리자의안이한인사정책및입, 퇴사자관리 보안교육및보안점검활동全無 보안관련서약서미징구 After 관리적보안 보안관리규정제정및주기적인개정관리 보안관리자및부서별보안책임자지정 임직원氣살리기제도 ( 고충상담제도 ) 운영 반기별정기보안교육및분기별보안점검실시 전직원보안서약서징구
Before Vs After Before After 물리적보안 인원및차량통제미실시 주요시설의인원출입에대한통제無 CCTV가설치되었지만방치수준 물리적보안 인원및차량출입기록후 1 개월이상유지보관 주요시설인원출입통제및기록관리 특별보안구역지정, 감시 주야간 CCTV 24 시간감시
Before Vs After Before 기술적보안 무질서한인터넷회선의설치 Firewall 비롯, 시스템보안全無 공유폴더에제약없이누구나접근가능 시스템호스팅업체의유지보수全無 윈도우보안패치및백신미사용 이동식저장매체사용통제미실시 After 기술적보안 인터넷회선의단일화, Firewall 구축으로비인가자접근통제 공유폴더의접근통제및암호설정 홈페이지관리자접속계정암호화 메일서버스팸필터구축 시스템호스팅업체의유지보수주기적관리실시 윈도우보안업데이트및백신도입 주기적인백신검사와치료실시 이동식저장매체이용제한권고
결론 보안진단컨설팅의기대효과 기술유출사고예방 산업보안의식강화 중장기보안대책 심층방어체계구축을통한보안사고사전예방 기술유출에따른인적, 물적손해방지 CEO의보안의식강화에따른전사적보안의식반영 전임직원의보안의식제고및보안실천생활화 취약점진단결과를고려한중장기마스터플랜수립 전사적보안관리체계구축을통한체계적인계획이행 보안진단컨설팅 기업경쟁력향상 국민경제발전및국가안보기여
( 참고 ) KAITS 보안진단컨설팅 최대산업보안노하우 비영리법인 공신력있는법정단체 산업기술보호 HUB 기관 최고전문가 POOL 확보민간대비저렴한비용 회원사의권익보호가우선이며, 객관적인평가를통한최적의보안관리도출 법정기관 ( 산업기술유출방지법에의해설립 ) 국내최고의보안컨설팅사를협회회원사로확보 물리ㆍ기술보안솔루션의비용절감가능 ( 협회회원사를통한구매 ) 객관적인평가를통해고객환경에맞는최적의 철저한사후관리 정부유관기관업무협력 국내유명보안업체 POOL 확보 보안설비구축가능 협회를통한임직원대상의무료보안교육지원 사후이행사항에대해지속적인점검실시