2007 McAfee, Inc.
2 목 차
1. Mobile Data 보안 3
4 2. Mobile Data 보안동향 2-1. 보안이슈의진화 개인사용컴퓨터의성능향상, 저장용량의확대및휴대편리성등으로인하여 Laptop PC 의사용이급속히확대되고있으며모바일디바이스와의통합이빠르게진행되고있습니다. 동시에이동식저장장치를통한정보의유출이중요한보안의화두가되고있습니다.
5 2. Mobile Data 보안동향 2-2. 보안사고동향 년매출규모 US$23 Billion 규모의보험회사에대한보안컨설팅과정에서파악된 Endpoint & Mobile Data 보안과관련된통계자료에의하면, Laptop PC 와 Mobile Data Storage 를통한 Data 유출이급속히증대되고있음을확인할수있습니다. 실제사례를통해본 Data 유출동향 구분 Desktop PC Laptop PC Mobile Devices Devices 2000 년 48,000 12,000-2005 년 52,000 25,000 8,000 2006 년 54,000 38,000 21,000 2010 년 60,000 55,000 43,000 보안사고건수 (%) 1,219 (2.2%) 2,914 (7.7%) 3,127 (14.9%) 60,000 50,000 40,000 30,000 20,000 10,000 2000 2005 2006 2010
6 2. Mobile Data 보안동향 2-2. 보안사고동향 또한 Laptop PC 의사용이증대하면서 Laptop PC 에대한도난또는분실사고가증대하고있으며이로인한기업의기밀데이터또는개인정보의유출역시급격히증가하고있는추세입니다. 분당 19 명의개인정보유출피해자가발생함. 1 지난 3 년간 2 억천 7 백만이상의미국인이개인정보도난 / 데이터유출피해자로집계. 2 Fortune 1000 대기업에서분실된자사 PC 의 2% 를찾지못하고있음. 4 Fortune 1000 대금융기관에서하루평균하루 1 대의노트북분실. 5 1. Identity Theft Resource Center, 2007 2. 2007 Ponmon Institute Cost of Data Breach study 3., 4., 5. www.privacyrights.org
7 2. Mobile Data 보안동향 2-3. Mobile Data Security Survey Mobile Devices 에저장하고있는데이터는? Source: Mobile Security Survey 2007, Infowatch
8 2. Mobile Data 보안동향 2-3. Mobile Data Security Survey Q: Mobile Device 도난 / 분실시걱정되는요소는? n = 200 Source: IDC 2007
9 2. Mobile Data 보안동향 2-3. Mobile Data Security Survey Q: Mobile Device 를주로분실 / 도난당할것같은장소는? n = 200 Source: IDC 2007
10 2. Mobile Data 보안동향 2-3. Mobile Data Security Survey Q: Laptop PC 도난방지케이블을설치하면도난을막을가능성은? n = 200 Source: IDC 2007
11 2. Mobile Data 보안동향 2-3. Mobile Data Security Survey Laptop PC / HDD 도난또는분실로인한정보유출 / 피해현황 ( 피해자 = 백만명, 피해금액 = 억달러 ) Case Time 피해자 추정피해금액 미군및퇴역장병정보저장노트북분실 ( 미국 ) 2006.5 287 450 전국주택연합회노트북도난 ( 영국 ) 2006.4 11 15 내부자에의해회사기밀정보가저장된외장하드디스크도난 (Dai Nippon Printing / 일본 ) 2006.7 8.64 12 의사와환자정보가저장된노트북도난 ( 미국퇴역장병병원 ) 2007.01 1.8 367 고객정보가저장된노트북도난 (ACS / 미국 ) 2006.10 1.4 320 고객정보가저장된노트북분실 (Texas Guaranteed / 미국 ) 2006.5 1.3 237 퇴역자정보가저장된외장하드디스크분실 ( 도난 ) 2007.02 0.54 Unknown 2,500 만명의개인정보저장컴퓨터하드디스크분실 ( 영국정부 ) 2007.11 25 Unknown Source: IDC 2007
12 2. Mobile Data 보안동향 2-4. 데이터보안의필요성 Endpoint & Mobile Data 보안의중요성및필요성은날로강화되고있습니다. Endpoint & Mobile Data 보안의필요성 대외비정보및고객정보유출방지 기밀기업정보 고객신상정보 개인금융정보 강화되는기업통제및 Compliance 개인정보보호법 전자금융거래법 지적재산보호 특허정보 프로그램소스 제품디자인
13 2. Mobile Data 보안동향 2-4. 데이터보안의필요성 기존보안솔루션의한계 외부로부터의공격방어에치중 Anti-virus / Anti-spyware 내부사용자에의한고의또는실수에의한정보유출을차단할수없음 Threat Detection Change/Patch Management 노트북 / 이동식저장장치도난 / 분실로 Clients VPN Servers 인한정보유출에무방비 LAN 정보라이프사이클내내끊임없이유통되는속성때문에통제하기어려움. Authentication Web Filtering Anti-virus Firewall 끊임없이기업네트워크경계와내부서버리소스간을이동하는속성을지님. Comprehensive PC Security
3. McAfee Device Encryption 소개 14
15 3. Device Encryption 소개 3-1. 기술적특장점 PC에탑재되어있는암호인증기능은 Power On 패스워드, 하드디스크패스워드, Supervisor 패스워드등이있으나기밀성을충족시키지않고있거나지식이있는사람이면누구나간단히해제가능하므로 PC의도난, 분실시에정보유출방지의대책이될수없습니다. 기존 HDD 보안기능의한계 구분 Power on 패스워드 Supervisor 패스워드 Hard Disk 패스워드 방식 PC 기동시에, 설정한비밀번호를바로입력하지않으면 PC 가기동되지않는다 BIOS 상의모든설정의변경을위한패스워드 Power on 패스워드와같이, PC 기동시에설정한패스워드를바로입력하지않으면 PC 가기동되지않는다 하드디스크자체에패스워드를걸기때문에 PC가도난당했을경우하드디스크를다른 PC 에연결해도, 내용이보호된다 문제점 제조사가해제법을공개 HDD 내의데이터가암호화되어있지않음. 지식이있는사람이면, 간단히해제가능 일단패스워드를분실하면초기화불가능, 제조사에복구의뢰 하드디스크의교환 ( 유상 ) / Long time cost 발생
16 3. Device Encryption 소개 3-1. 기술적특장점 Device Encryption 의 Pre-Boot 인증 Process Original MBR을 SBR (=SafeBoot Boot Record) 로대체 대체된 Original MBR SBFS (=SafeBoot File System) 에저장 SBR을통해 Pre-Boot 인증 Pre-Boot 인증성공시OriginalMBR 로딩및Windows 부팅진행 BIOS APPL McAfee DE Installation SECTOR 0 SBR SECTORS 1-62 Partition gap SafeBoot 파일시스템접근및 Windows 구동을위한 Pre-Boot 인증 SECTOR 63 -... HDD (SBFS / MBR)
17 3. Device Encryption 소개 3-1. 기술적특장점 Pre-Boot 사용자인터페이스 Device Encryption Pre-Boot 화면 Username: Jiexin256 Password: ******* Pre-Boot 인증 Device Encryption Key 업로드 Original MBR 로딩 Windows 부팅 Device Encryption Client Agent 구동 Windows 로그온 Device Encryption Client 와서버간동기화통신시도
18 3. Device Encryption 소개 3-1. 기술적특장점 사용자에게투명하게동작, 보이지않게보안기능수행! 시스템부하가없다! 단한번의암호화로도난 / 분실에의한데이터유출완벽차단! Encrypted Encrypted Encrypted Encrypted
19 3. Device Encryption 소개 3-1. 기술적특장점 Device Encryption 의암호화기술은군사용암호용도로사용가능한수준인 Common Criteria EAL 4 인증및 FIPS Level 2 인증을획득하여완벽한보안성을입증하고있습니다. Award & Certification
20 3. Device Encryption 소개 3-2. 시스템개요 McAfee Database Backup McAfee WebHelpdesk McAfee webrecovery McAfee Scripting Tool TCP/IP HTTPS LAN WAN VPN McAfee Management Center Internet McAfee Device Encryption for PC McAfee Connector 3 rd Party Directory systems Microsoft PKI Entrust PKI Active Directory Novell NDS LDAP
21 3. Device Encryption 소개 3-2. 시스템개요 암호알고리즘선택가능 1. Management Server 설치 Optional Component 선택가능 2. Local Database 생성 Group 생성 관리자지정 Optional Component 지정 서버설정 3. Management Server 생성 관리자그룹및권한설정 4. 사용자그룹생성및설정 5. 사용자생성및속성설정 6. Machine 그룹생성및속성설정 7. DE Client Install Set 생성및배포 8. DE Client Install Set 설치 9. DE Client / Management Center 동기화
22 3. Device Encryption 소개 3-3. 핵심기능 McAfee Device Encryption 의핵심기능은 Management Center 의강력한중앙통제기능과 Client PC 에설치된 Agent 에의한보안기능및긴급복구기능으로구성되어있습니다. 핵심기능요약 사용자그룹별정책적용 Machine 그룹별정책적용 2 Factor 인증기능 비밀번호정책설정기능 Log & Audit 기능 Management Center 기능 Application 통제기능 PC 사용시간통제기능 DB Backup 기능 비밀번호복구기능 Pre-Boot 인증기능 HDD 전체암호화기능 비밀번호복구기능 Single Sign On Screen Saver DE Client 기능 긴급복구 기능 Web Recovery SafeTech WinTech
23 3. Device Encryption 소개 3-3. 핵심기능 McAfee Device Encryption Management Center 를통해사용자를생성하고해당사용자에대한정책을설정할수있습니다. Management Center 기능 사용자생성및정책설정
24 3. Device Encryption 소개 3-3. 핵심기능 McAfee Device Encryption Management Center 를통해 Machine (Client PC) 그룹을생성하고해당그룹별로정책을설정운영할수있습니다. Management Center 기능 Machine Group 생성및정책설정
25 3. Device Encryption 소개 3-3. 핵심기능 사용자인증을위한인증방식을비밀번호인증방식이외에다양한하드웨어인증 Device 을통해서 2 Factor 인증이가능하도록정책설정 / 운영가능합니다. Management Center 기능 2 Factor Authentication 인증설정
26 3. Device Encryption 소개 3-3. 핵심기능 비밀번호설정시에비밀번호보안성확보를위해비밀번호설정규칙을운영할수있으며, 또한비밀번호운영정책을통해비밀번호변경주기, 비밀번호오류횟수제한등정책을설정 / 운영할수있습니다. Management Center 기능 비밀번호설정및운영정책기능
27 3. Device Encryption 소개 3-3. 핵심기능 클라이언트 PC 에대한사용시간설정및관리가가능합니다. Management Center 기능 PC 사용시간통제기능
28 3. Device Encryption 소개 3-3. 핵심기능 비밀번호분실시에클라이언트 PC 에서사용자본인인증키를생성하고, 동본인인증키를통해서 Management Center 에서일회용비밀번호복구키를생성한후클라이언트 PC 로전송, 비밀번호를재설정하도록합니다. Management Center 기능 Log & Audit 기능
29 3. Device Encryption 소개 3-3. 핵심기능 클라이언트 PC 와서버간의통신 / 동기화주기를설정하여정책업데이트및사용현황감시가가능합니다. Management Center 기능 동기화기능
30 3. Device Encryption 소개 3-3. 핵심기능 클라이언트 PC 에표시되는팝업윈도우에표시되는각종경고문구를 Management Center 에서설정할수있습니다. Management Center 기능 기타기능
31 3. Device Encryption 소개 3-3. 핵심기능 Management Center 에서관리자가설정한암호화정책에의거하여클라이언트 PC 의 HDD 를암호화합니다. 클라이언트는정책을수행할뿐정책의적용여부또는변경을할수없습니다. DE Client 기능 HDD 전체암호화기능 v
32 3. Device Encryption 소개 3-3. 핵심기능 Windows OS 가부팅되기이전단계에서사용자인증을통과하여아만 Windows OS 부팅이진행됩니다. Pre-Boot 인증을통과하지못하면안전모드진입역시불가능합니다. DE Client 기능 Pre-Boot 사용자인증기능
33 3. Device Encryption 소개 3-3. 핵심기능 비밀번호분실시에클라이언트 PC 에서사용자본인인증키를생성하고, 동본인인증키를통해서 Management Center 에서일회용비밀번호복구키를생성한후클라이언트 PC 로전송, 비밀번호를재설정하도록합니다. DE Client 기능 비밀번호복구기능
34 3. Device Encryption 소개 3-3. 핵심기능 Management Center 에서설정된화면보호기강제구동설정, 윈도우화면보호기옵션선택기능등화면보호기와관련된정책에따라클라이언트 PC 에서화면보호기가구동됩니다. DE Client 기능 화면보호기기능
35 3. Device Encryption 소개 3-3. 핵심기능 Device Encryption 로그인정보를통한 Windows Logon 을동시에수행함으로써편리한로그인이기능하도록합니다. DE Client 기능 SSO 기능
36 3. Device Encryption 소개 3-3. 핵심기능 사용자비밀번호분실시에, Web Recovery 기능을통해서비밀번호복구가가능합니다. 긴급복구기능 Web Recovery
37 3. Device Encryption 소개 3-3. 핵심기능 암호화된클라이언트 PC 로부터 Device Encryption 프로그램삭제에러, OS 손상등문제가발생한경우 McAfee 에서제공하는복구툴인 Safe Tech 을이용하여긴급복구가가능합니다. 긴급복구기능 Safe Tech
4. Case Study 38
39 4. Case Study (00 전자 ) 4-1. 도입배경 글로벌휴대폰생산업체인 00 전자소속연구원의중국출장중노트북분실을분실한사고발생되었고, 이후 00 전자의차세대휴대폰개발모델디자인이인터넷배포되는정보유출사고발생되었습니다. 정보유출사고발생 기밀개발정보유출 노트북휴대 / 해외출장 노트북도난
40 4. Case Study (00 전자 ) 4-2. 도입프로세스 McAfee Device Encryption 제품도입을위해 1 단계로현업부서 (R&D 연구소 ) 연구원들이현업에서사용하는 PC 를대상으로 Pilot Test 를통해서제품설치이후 PC 성능의 Performance Loss 여부를검증하였습니다. 1 단계 : 현업부서 Pilot Test Pilot Test R&D 연구소연구원대상 Test 결과 Pilot Test 환경 환경 Test 기간 Laptop PC 5 대 1.5 개월 현업부서 Pilot Test 결과제품설치이전과비교시에 Performance Loss 가거의느껴지지않음. 제품설치전과이후 2GB 크기의파일컴파일속도비교 : Test 방법 제품설치이전과동일한업무수행을통한 PC Performance Loss 여부검증 - 설치전 : 1 시간 44 분 - 설치후 : 1 시간 47 분
41 4. Case Study (00 전자 ) 4-2. 도입프로세스 현업부서 (R&D 연구소 ) 연구원들을통한 PC 성능의 Performance Loss 여부에대한검증후, 제품도입후실제운영을담당할보안부서에서제품운영의편리성, 효율성등에대한검증작업을수행하였습니다. 2 단계 : 운영 Test 기존운영중인제품 / 솔루션과의호환성은? 제품운영에소요되는 Resource 의적절성은? 제품운영의효율설 / 편리성은? 벤더사의제품도입후유지보수및기술지원역량은? Test 기간 -1.5개월 제품도입비용의적절성은?
42 4. Case Study (00 전자 ) 4-2. 도입프로세스 현업부서 (R&D 연구소 ) 및보안담당부서의 Test 이후, HDD 암호기능에대한보안성검증작업을수행하였습니다. 3 단계 : 보안성 Test Data 복구의뢰 00 전자와용역계약이체결된 HDD 복구전문업체 Device Encryption 설치및 HDD 전체암호화가적용된 Laptop PC 1.5 월간 Data 복구시도 = 실패
43 4. Case Study (00 전자 ) 4-3. 운영현황 제품도입전 1. 반출시스템 사용자이름, 자산번호, 제품시리얼번호, IP 주소 2. 반출승인 반출시스템 3. 반출승인서출력 반출입관리시스템 4. 반출대상 PC 봉인 반출대상 PC 제품도입후 1. 반출시스템 사용자이름, 자산번호, 제품시리얼번호, IP 주소 반출입관리시스템 DE 2. DE Client Install Set 전송 4. HDD 암호상태확인 반출대상 PC 3. DE Client 설치및 HDD 암호화 5. HDD 암호상태정보전송 6. 반츨승인
5. 시스템요구사항 44
45 5. 시스템요구사항 구분 Specification McAfee Device Encryption Server Windows2000 이상서버 ( 최신패치및 SP) McAfee Device Encryption Database Windows 2000 이상서버 SP1 이상 McAfee Device Encryption Agent Windows 2000, XP, Vista (32 Bit, 64 Bit)
46 제안내용과관련하여문의사항이있으신경우아래제안사로연락주시면성심성의껏지원하여드리겠습니다. 인성디지탈서울시송파구가락동 99-5 효원빌딩 7,8,9 층전화 : (02) 2105-4567 담당자 : 윤원영 (wyyun@isd.co.kr / 011-1755-0689)