Kevin Poulsen Albert Gonazlez Vladimir Levin Robert Tappan Morris Michael Calce David Smith Adrian Lamo Gorge Hotz Jonathan James Gary McKinnon
Kevin Poulsen Albert Gonazlez Vladimir Levin Robert Tappan Morris Top 10 Notorious Black Hat Hackers Michael Calce David Smith Adrian Lamo Gorge Hotz Jonathan James Gary McKinnon
Kevin Poulsen Albert Gonazlez Vladimir Levin Robert Tappan Morris Michael Calce David Smith Adrian Lamo Gorge Hotz Jonathan James Gary McKinnon
Kevin Poulsen Albert Gonazlez Vladimir Levin Robert Tappan Morris Michael Calce 17세어린나이로아이폰최초탈옥 (1989년생) AT&NT 이동통신사업자반독점쟁취소니플레이스테이션 3 해킹, 소송, 남미피신, 합의 David Smith Adrian Lamo Gorge Hotz Jonathan James Gary McKinnon
Kevin Poulsen Albert Gonazlez Vladimir Levin Robert Tappan Morris Michael Calce 페이스북보안팀거쳐구글보안드림팀 프로젝트제로 합류사이버공격중방어어려운제로데이공격연구위한팀 David Smith Adrian Lamo Gorge Hotz Jonathan James Gary McKinnon
2
3
3 건국이래최대규모, UAE 원전수주 ( 약 21 조 ) 현재 21 개국총 42 개해외프로젝트진행중 중소기업과협력관계유지 ( 협력기업중중소기업 96% 이상 )
4
4 본사조직 7 개본부 31 처 ( 실 ) 구성 사업소조직총 262 개사업소구성 ( 전력연구원등 10 개특수사업소포함 )
5
6
7
토지 7 만 9 천제곱미터 ( 약 2 만 3 천 9 백평 ) 매매가 10 조 5500 억 평당가격 4 억 4 천백만원
토지 7 만 9 천제곱미터 ( 약 2 만 3 천 9 백평 ) 매매가 10 조 5500 억 평당가격 4 억 4 천백만원
8 국제해킹대회 PHD 2014 : 미국데프콘과함께 3 대해외유명해킹대회중하나 메인이벤트 : 실제사용되는스카다시스템해킹
9 국제해킹 & 컨퍼런스 2014 : 해커와보안전문가운영국제해킹및보안컨퍼런스 주목할만한이벤트 : 스카다시스템해킹
10 스턱스넷 (StuxNet) 2011 년이란원자력시설원심분리기 1 천여대손상
10 스턱스넷 (StuxNet) 원자력, 전기, 철강, 반도체등산업기반의제어시스템침투 오작동을일으키게만드는악성프로그램 USB 나네트워크공유취약점등이용몰래설치
국내외전자적제어시스템피해사례 11
11 국내외전자적제어시스템피해사례 발전기파괴 5,000 만달러손실 트램탈선 12 명부상 발전기터빈폭발 75 명사망
12 국내외전자적제어시스템피해사례 전력, 수력, 원자력 국가주요시설교통, 금융
11 국내외전자적제어시스템피해사례 14 세소년이 TV 리모컨을개조하여트램교차로불법조작 4 대의트램탈선및 12 명부상
4 대트램탈선, 12 명부상
12 국내외전자적제어시스템피해사례 스카다 ( 제어시스템 ) 은폐쇄망으로운영 과거에는물리적인공격이나조작실수대부분 정보통신서비스와연결, 운영되면사이버공격피해발생 3.20 인터넷테러
사이버안보업무수행체계 : 3.20 사이버터러, 6.25 사이버공격대규모피해발생 13
13 사이버안보업무수행체계 : 3.20 사이버테러, 6.25 사이버공격대규모피해발생 컨트롤타워 실무총괄 국가안보차원강력한사이버위협대응필요 국가사이버안보종합대책 사이버안보업무수행체계정립 분야별책임기관합동대응체계
14 공공분야 : 보안관제센터통해사이버안보업무담당 사이버위협예방, 침해사고대응, 정보보안기술개발, 인력육성 산업통상사이버안전센터
주요정보통신기반시설보호체계 : 주요기반시설의인터넷연결확대로해킹시도빈번해짐 15
16 주요정보통신기반시설보호계획수립절차 정보통신기반보호법ㆍ관리기관 : 기반시설의취약점분석평가자체점검하고보호대책수립, 산업부제출ㆍ행정기관 : 제출된보안대책종합조정하여기반시설에관한보호계획수립, 시행ㆍ보호위원회 : 보호계획심의
17 주요정보통신기반시설지정현황 국가기반시설지정현황 (2013 년 7 월기준 )
국내해킹사고의동향 18
주요정보통신기반시설보안 17
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 1DB 접근제어 3 보안운영체제, 4 취약점분석 2DB 암호화 정보보호대책
20 자산, 위협, 취약점, 위험 개인정보보호법 국가정보보안기본지침 보안가이드라인 한전보안업무처리지침 ( 지리정보 ) 정보보호설비운영절차서 전력사이버안전센터업무절차서 정보보안기본활동 PC 및서버보안관리 네트워크보안관리 정보통시설보안및대도청 암호장비. 논리. 보안자재관리 보안관제등해킹대응활동 DB보안관리 자동화된취약점분석툴 - Host-based Vulnerability Tool - Network-based Vulnerability Tool 국가지리정보데이터베이스보안관리지침 O X O O O X O X O O O X O O X O O
21 자산, 위협, 취약점, 위험 사업목적 주요기능 운영현황 시스템구성도균형잡힌보안운영체계구축관리적보안대책물리적보안대책기술적보안대책주요전력설비의지리정보 DB 보안강화보안조직체계세부업무분장보안관리체계정보자산통제인적보안시설보안설비관리취급시스템운영계획기관간망연계일반관리방안시스템보안네트워크보안운영관리전산자료보호대책재해복구계획및상시운영계획컴플라이언스법령규정지침정책
22 균형잡힌정보호체계구축 지리정보데이터베이스보안
22 균형잡힌정보호체계구축 총체적인정보보호수준은가장낮은영역의수준으로결정 지리정보데이터베이스보안
23 목표및추진과제 균형잡힌정보보안체계구축 보안서버구축취약점분석 FireWall DDos IPS IDS 보안운영체제 취약점분석 취약점분석 로그온및계정관리 접근제어 /SSH, TCP Wrap 시스템설정및관리감사및침입탐지 접근제어 DB 암호화 로그온및계정관리 시스템설정및관리감사및로그
24 정보화사업추진절차 KEPCO 산업부, 국가정보원
25 보안성검토절차 신증설추진부서 사업소정보보안담당부서 HSSE 실 ( 정보보안담당팀 ) 국가정보원산업부
26 정보보호제품국가. 공공기관도입절차 정보보호시스템도입시보안적합성검증신청
27 보안적합성검증제도 검증생략 : 국가정보원 CC 인증제품
28 보안적합성검증제도 검증생략 : 국가정보원의안전성확인암호제품
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 1DB 접근제어 1DB 접근제어 3 보안운영체제, 4 취약점분석 2DB 암호화 정보보호대책
접근제어 29
30 접근제어 WAS/WEB WAS/WEB BackBone Switch Switch PortMirror Switch Sniffing IP Forwarding ( 보안서버경유 DB 접속 ) Switch 사용자인증 DAR DB 서버 (Active) Heartbeat DB 서버 (Active) DB 보안서버 실시간모니터링 Client ( 비정형접근 ) SAN Switch DB 보안관리자 Shared Volume
접근제어 : 민감정보, 개인정보마스킹 31
접근제어 : SQL 종류별통제 32
접근제어 : 수행이력로그 33
접근제어 : 통계보고서 34
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 1DB 접근제어 3 보안운영체제, 4 취약점분석 2DB 암호화 2DB 암호화 정보보호대책
DB 암호화 35
36 DB 암호화 : 암호화컬럼 암호화컬럼 : 기반시설지리정보 암호화컬럼 : 개인정보
DB 암호화 : 암호화정책 37
DB 암호화 : 암호화로그 38
DB 암호화 : 통계보고서 39
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 1DB 접근제어 2DB 암호화 1DB 접근제어 3 보안운영체제, 4 취약점분석 2DB 암호화 정보보호대책
DB 접근제어, DB 암호화 40
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 3 보안운영체제 1DB접근제어 2DB암호화 3 보안운영체제, 4 취약점분석 정보보호대책
41 보안운영체제 운영체제의커널에부가적인보안기능추가한운영체제 OS 자체에대한보안체제, 접근제어, 해킹방지기능, 상세로그확보통합관리기능
보안운영체제주요기능 42
보안운영체제 : 임의적접근제어 43
보안운영체제 : MLS 44
보안운영체제 : ACL 45
보안운영체제 : 네트워크접근제어 46
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 1DB접근제어 2DB암호화 4 취약점분석 3 보안운영체제, 4 취약점분석 정보보호대책
47 취약점분석 시스템보안취약점자동점검, 발견된문제점해결방법제공 => 해킹과보안사고예방시스템 ( 시스템내부점검용에이전트설치 )
48 취약점분석 : 주요기능 CERTCC-KR, CERTCC, BUGTRAQ, MITRE 전문적지식요구, 많은취약점, 여러장비산재, 시간 / 인력부족
취약점분석 : 결과보고서 49
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 5 보안서버 (SSL 방식적용 ) 1DB 접근제어 2DB 암호화 SSL: Scure Socket Layer 웹브라우저와 3보안운영체제웹서간, 4취약점안전한분석통신지원 TCP/IP 프로토콜보안취약해결위한웹솔루션 ( 실질적표준 ) 정보보호대책
19 지리정보데이터베이스보안 인터넷 위협 업무망 내부사용자 외부공격자 인터넷 DDos 장비 라우터 방화벽 IDS/IPS OA 망 기반시설지리정보 자산 외부사용자 WEB 서버 WAS서버 DB서버개인정보접근제어서버내부공격자 5 보안서버 5 보안서버 (SSL 방식적용 ) 1DB 접근제어 2DB 암호화 별도의프로그램설치필요없고, 웹서버 3보안운영체제설치된, SSL 4취약점인증서분석통해암호 화송수신, 소요비용상대적저렴, 주기적인증서갱신비용소요 정보보호대책
50 (1) 정밀한정보보호위험도분석조직의핵심자산파악, 적정비용의효과적인정보보호대책수립 (2) 핵심자산을보호하기위한보안솔루션도입최근지능화, 자동화된공격에대비한보안솔루션도입 (3) 체계적인보안을위해관리체계구축 DQC-S 등필요한관리체계구축강화 (4) 지속적인정보보안활동수행보안업데이트, 최신백신설치, 허가된프로그램사용, 주기적인교육 단기간일회적정보보호체계 단순하고획일화된솔루션
감사합니다. 2014 Korea Electric Power Corporation. All Rights Reserved