세종사이버대학교 핀테크 에서의 정보보호 의 역할 2015. 09.
2015 세종사이버대학교 강의 주 제 : 핀테크 에서의 정보보호 의 역할 현 재 : 고려대학교 사이버국방학과, 정보보호대학원 교수 이경호 교수 경 력 : 전, NAVER(주) CISO, CPO 현, 개인정보보호위원회 조사분석 전문위원회 위원 전, 외교부 세계사이버스페이스총회 자문위원 전, 국방부, 행정자치부 등 자문 위원 전, 정보통신망 침해사고 민관합동조사단 전문가 전, 국가정보원 정보보안관리실태 평가위원회 위원
해외 핀테크의 성공사례들
해외 핀테크의 성공사례들
핀테크란? 핀테크(Fintech) = 파이낸셜(financial) + 기술(technique) 금융을 뜻하는 파이낸셜(financial)과 기술(technique)의 합성어로 모바일 결제 및 송금, 개인자산관리, 크라우드 펀딩 등 정보기술(IT)을 기반으로 한 새로운 형태의 금융 기술 을 말한다. 핀테크 비즈니스 모델과 사업 영역을 분류하는 기준은 크게 - 은행업 및 금융 데이터 분석(Banking & Data Analytics), - 지급 결제(Payment), - 자본시장 관련 기술(Capital Market Tech), - 금융자산 관리(Finance Management) 등 4가지 영역으로 정리돼 가고 있다. [네이버 지식백과] 핀테크 [FinTech] (한경 경제용어사전, 한국경제신문/한경닷컴 )
금융이란? 금융( 金 融, finance) = 자금( 資 金 ) + 융통( 融 通 ) 금융이란 이자를 받고 자금을 융통하여 주는 것을 말한다. 즉 일정기간을 정하고, 앞으 로 있을 원금의 상환과 이자변제에 대해 상대방을 신용하여 자금을 이전하는 것을 말한 다. [네이버 지식백과] 금융 [ 金 融, finance] (경제학사전, 2011. 3. 9., 경연사)
금융 철학 정적 측면과 동적 측면 - 수익 측면 : 이자를 받는다. - 위험 측면 : 돈을 떼인다. 출처 : http://dmi.or.kr/220410448396 네이버 블로그
금융 위험은? f(x) = f (time, risk) 80 60 40 20 0 담보설정비율 (1) 담보설정비율 (2)
해외 핀테크의 성공사례들
해외 핀테크의 성공사례들
해외 핀테크의 성공사례들
해외 핀테크의 성공사례들
Magic Keyword - 핀테크
기존 전자금융거래 개념 금융기관 또는 전자금융업자가 전자적 장치를 통하여 금융상품 및 서비스를 제공하고, 이용 자가 금융기관 또는 전자금융업자의 종사자와 직접 대면하거나 의사소통을 하지 아니하고 자 동화된 방식으로 이를 이용하는 거래 금융기관 전자적장치 (CD/ATM, 컴퓨터, 전화, 휴대폰, 카드단말기 등) 전자금융업자 제공 금융상품 및 서비스 전자 여 수신 전자 지급거래 전자 채권거래 전자 증권거래 전자 보험거래 이용 자동화된 방식(비대면, 비서면) 이용자
주요 전자금융거래 수단 전자금융거래법 적용 대상 전자자금이체 전자화폐 지급이체 추심이체 전자지급거래 전자채권거래 전자증권거래 전자보험거래 선불전자지급수단 직불전자지급수단 신용카드 전자지급결제대행 결제대금예치 전자고지결제 전자어음 전자어음은 전자어음법 적용 (법무부 소관법)
전자금융 주요 참가자 및 관계 감독, 검사 금융위원회(금감원) 감독 검사 검사요구, 공동검사 (전자화폐발행자, 등록한 전자자금이체업자) 한국은행 자료제출 요구 허가 등록 불요 금융기관 계좌 허가,등록 제휴 전자금융업자 보조, 일부대행 (제휴,아웃소싱) 전자금융보조업자 등록 전자채권관리기관 전자채권 등록 및 관리 금융상품,서비스 전자화폐발행자 전자자금이체업자 선불전자지급수단발행자 직불전자지급수단발행자 전자지급결제대행업 결제대금예치업 전자고지결제업 금융기관, 전자 금융업자 사이 에서 금융거래 정보전달, 자금 정산, 결제 결제중계시스템 거래지시를 하거나 이용자 및 거래내용의 진전성을 확보하기 위한 수단 또는 전자정보 (IC카드,패스워드,공인인증서 등) 인터넷대출 전자지급거래 전자증권거래 전자보험거래 접근매체 전자적 장치 전자지급수단 (CD/ATM, 컴퓨터, 전화, 카드단말기 등) 가맹점(수취인) 금융기관 및 전자금융업자와 계약에 따라 직불,선불전자지급수단, 전자화폐거래에서 이용자에게 재화,용역을 제공 이용자 (지급인) 금융기관 및 전자금융업자와 체결한 계약에 의하여 전자금융거래를 이용하는 자 이용자 (수취인)
Magic Keyword - 핀테크
Magic Keyword - 핀테크
이동통신 가입자수 (2015. 01월)
이동통신 가입자수-단말 종류 별 (2015. 01월)
이동통신 가입자 중 무선인터넷 가입자수 (2015. 01월) 52,699,909 / 57,433,378 = 91.8%의 이동통신 가입자가 무선인터넷 이용 중
금융기관 인터넷뱅킹 등록고객수 (2014. 4/4분기)
금융기관 인터넷뱅킹서비스 이용실적 (2014. 4/4분기)
모바일뱅킹서비스 이용 증가 (2014. 4/4분기)
모바일뱅킹서비스 고객 특성 (2014. 4/4분기)
금융서비스 업무처리 비중 (2014. 4/4분기)
카드 이용금액 (2013년)
주요국 지급카드 이용규모 (2012년)
VAN vs. PG
Offline vs. Online
온라인 이용추이
모바일카드 사용 규모-1
모바일카드 사용 규모-2
대체지급수단 사용 규모
PG 계좌이체 이용 규모
선불전자지급수단 이용규모
휴대폰 소액결제 이용규모
카드소비와 이해당사자 수익구조
신용카드 수수료 구조
VAN 수수료 구조
카드 부정사용
국내와 해외의 핀테크 발전과정의 차이와 전망 국내 및 해외 핀테크 발전과정 국가별 금융인프라 수준, 상거래 여건, 정부의 정책방향 등의 차이에 따라 핀테크 산업 발달 양상이 차이를 보임 국내의 경우 향후 해외에 비해 상대적으로 이용이 불편한 간편결제, 해외송금 등의 분야에서 우선적 변화가 나타날 전망 미 국 중 국 한 국 금융기관을 통한 송금 및 느 린 결제, 신용카드 도용사고 가 빈번함에 따라, 페이팔 등 결제정보가 노출되지 않는 신 속 간편한 결제서비스가 개발 되어 큰 호응을 얻음 신용카드 시스템, 금융기관 창 구 ATM 등 지급결제 인프라가 미비하였고, 상거래 관련 사기 가 빈번하여 결제대금 예치방 식(escrow)의 충전식 전자지갑 서비스인 알리페이가 큰 호응 을 얻음 신용카드, 인터넷뱅킹 등 금 융기관의 결제수단을 통해 신 속하고 저렴한 결제 송금 서 비스의 이용이 가능하여 별도 의 지급 결제서비스 도입 필 요성이 상대적으로 낮았음 핀테크가 새로운 부가가치 창출 및 금융산업의 경쟁력 제고로 이어지기 위해서는 금융회사가 과거의 보수적 관행에서 벗어나 핀테크가 새로운 혁신의 단초라는 인식하에 주도적 창의적으로 노력해야 할 필요 금융회사가 중심이 되어 IT기업들과 상생하는 핀테크 생태계를 구축하고, 정부 그리고 IT기업들과 함께 협력해 나갈 필요
핀테크가 금융산업에 미치는 영향 01 금융상품 서비스의 판매채널 다양화 금융상품과 서비스의 판매채널 다양화로 고객 편의성 제고 금융상품과 서비스가 통신사 유통 업체 인터넷업체 등에서 취급되는 방향으로 변화 02 경쟁 격화에 따른 금융서비스 혁신 Fintech 시장내 치열한 경쟁 촉발로 다양한 금융상품 출시 등 금융 서비스의 양적 질적 업그레이드 기대 애플사의 애플페이, 미국 대형 유통업체들의 코드스캔 방식 결제 서비스 등은 고객 선택의 폭이 넓어지는 바람 직한 변화 기대효과 및 활용방안 03 오프라인 인터넷에서 모바일로의 재편 가속화 스마트폰 보급과 기술의 발전으로 금융 서비스의 중심이 모바일로 급속히 재편 예 적금, 대출, 카드 등 기존 금융서비스가 편의성이 뛰어난 모바일 중심으로 재편 04 금융과 IT간 다양한 합종연횡 촉발 금융회사는 인터넷 은행 인수, IT기업 제휴 확대를 통해 경쟁력을 강화하고, 비금융회사는 금융회사 고 객을 흡수하며 수익기반 잠식 중국 평안보험과 알리바바가 제휴 설립한 중안보험과 같이 금융권과 IT업체간 제휴가 공고해지는 흐름도 출 현
정부의 핀테크 활성화를 위한 정책 비전 IT 금융 융합으로 창조금융 활성화 목표 글로벌 경쟁력을 갖춘 혁신적 핀테크 서비스 창출 핀테크 산업의 신성장 동력화 상위 과제 규제 패러다임 전환 오프라인 위주의 금융제도 개편 핀테크 산업 성장지원 사전 규제 최소화 한국형 인터넷 전문은행 모델수립 핀테크 지원체계 구축 세부 과제 기술 중립성 원칙 실질적 구현 책임부담 명확화 크라우드 펀딩 활성화 금융상품 판매채널 혁신 빅데이터 활용 기반 마련 핀테크 기업 자금조달 지원 전자금융업 진입장벽 완화 전자지급수단 이용 활성화 규제 예측성 강화 결제부문 낡은 규제 정비 전자금융업종 규율 재설계 금융보안을 토대로 한 금융소비자 보호
정부의 핀테크 활성화 추진 원칙 과도한 사전심사, 세세한 보안규정, 책임부담의 불명확성 등으로 금융회사가 신규 서비스 개발, 보안능력 강화 등에 소극적인 환경을 개선 전자금융 규제 패러다임 전환 사전규제 최소화 기술중립성 원칙 구현 책임부담 명확화 규제의 예측가능성 제고 보안성심의 제도 폐지 과잉규제 개선 특정기술 사용의무 폐지 비금융회사의 책임 인정 배상책임보험 현실화 유권해석 비조치의견서 적극 실시 규제방식에서 벗어나 금융회사 및 IT회사의 자율성을 보장, 사후적 책임 강화 추진 방향 자유로운 IT기술도입과 금융 결제서비스 창출 환경구축 자율 혁신의 규제 패러다임 전환을 활용하기 위한 제도 개선
오프라인 위주의 금융제도 개편 온라인 모바일 플랫폼을 활용한 금융서비스 제공이 확대되고 있으나 금융규제는 오프라인에 기반 오프라인 위주의 금융제도 개편 한국형 인터넷 전문은행 모델 수립 크라우드 펀딩 활성화 온라인 판매채널 활성화 빅데이터를 활용한 금융산업 기반 지원 결제분야 낡은 규제 정비 오프라인 규제를 온 오프라인 융합 및 모바일 서비스 창출을 지원하는 방식으로 규율 재정립 추진 방향 온라인, 모바일로의 변화 트렌드를 기존 금융업권별 규율이 수용 가능하도록 개선 창구거래, 대면거래 중심으로 제도는 온라인, 모바일의 비대면성, 쌍방향성, 신속성, 대중성을 수용 기존 서비스 방식의 변화뿐만 아니라 래로운 형식과 제도 도입이 필요
인터넷 전문은행TF 운영 TF 구성 (상시) 금융위원회, 금융감독원, 금융연구원, KDI 등 (수시) 한국은행, 금융결제원, 자본시장연구원, 금융지주연구소, 법률 전문가, IT 회사 등 주요 논의주제 ( 15.1월~3월중 매주 회의, 9월 관련법 정비, 연말 인가) 1인터넷 전문은행 해외 사례 2실명확인 방법 합리화 방안 3은산분리 등 소유구조 이슈 4자본금 대주주적격성 등 진입규제 이슈 5자산운용 및 업무범위 이슈(대주주 거래제한, 자금조달 등) 6업무범위 이슈(고유업무, 리스크관리 등) 7업무범위 이슈 (카드, 방카, 펀드 등 겸영업무) 8기타 업무범위 9해외사례 집중분석(벤치마크&실패) 10은행법 내 규율 vs 별도 입법 11예금자보호제도 편입 등
해외의 인터넷전문은행 설립 사례 설립 주체 은행 은행- 타업종합 자 비은행 금 융회사 산업자본 모험자본 설립형태 사업부 독립 법인 별도 법인인계 통신업체 제휴 포털업체 제휴 증권 : 브로커리지 서비스 확장 보험 : 저축예금 공략 카드 : 지급결제 서비스 확장 유통 : 기존 고객기반 활용 자동차 : 자동차금융 특화 특화 영업모델 인터넷전문은행 (괄호는 본점 소재 국가) HelloBank(프랑스), Zuno Bank AG(오스트리아) First Direct(영국), Cahoot(영국), Smile Bank(영국), Icesave(아이슬란드), Kaupthing Edge(아이슬란드) WeBank(이탈리아) ComDirect(독일), Boursorama(프랑스), BforBank(프랑스), Fortuneo(프랑스) Jibun Bank(일본) The Japan Net Bank(일본) Charles Schwab Bank(미국), Daiwa Next Bank(일본) EGG Bank(영국), ING Direct(네덜란드), Sony Bank(일본) American Express Bank(미국) Tesco Bank(영국), Seven Bank(일본), AEON Bank(일본), Rakuten Bank(일본) BMW Bank(독일), VM Bank(독일), Mercedes-Benz Bank (독일) Fidor Bank AG(독일), AlderMore, CC Bank(영국), Holvi(핀란드)
핀테크 기업 활성화 방향 핀테크 기업은 낯선 금융규제 환경, 높은 전자금융업 진입장벽 등으로 금융 결제시장 진입 및 활동이 어려움 핀테크 산업 성장 지원 핀테크 지원체계 구축 핀테크 기업 자금조달 지원 전자금융업 진입장벽 완화 전자지금수단 이용 활성화 전자금융업종 규율 재설계 핀테크 지원센터 설립 정책자금 지원 중기창업지원 개선 전자금융업 등록자본금 탄력적 운용 이용한도 확대 업종 재편 성격별 건전성 규율 관계기관의 제도적, 행정적, 재무적 지원을 집중하여 핀테크 산업을 新 성장 산업으로 육성 추진 방향 새로운 금융서비스 발전을 위해 전자금융업 분야에 대한 적극적인 지원 필요 IT와 금융의 융합이라는 측면에서 관련 부처들과의 적극적 협업 필요 금융산업의 경쟁력을 강화하는 계기로 삼을 필요
그간의 전자금융사고 대책 지금까지의 금융권 보안 강화 대책 디도스 공격 공동 대응센터 설치 운영(`10.5월) (배경) 금융회사 및 국가공공기관 디도스 공격(`09.7월) (대책) 금융결제원 코스콤에 디도스 공격 대응센터를 설치 운영 금융회사 IT 보안강화 종합대책(`11.6월) (배경) 현대캐피탈 고객정보유출(`11.4) 및 농협 전산사고(`11.4) (대책) 일정수준의 보안인력(5%) 및 예산확보(7%) 정보보호최고책임자 지정운영, 해킹에 대한 금융회사 책임 강화 온라인 결제 보안강화 종합대책(`13.4월) (배경) 비씨 KB 국민카드 고객의 부정결제 사고(`12.11월) (대책) 게임사이트 거래에서의 본인인증과 부정방지 모니터링 강화 금융전산 보안강화 종합대책(`13.7월) (배경) 농협 신한은행 등과, KBS MBC YTN 등의 전산 사고 (대책) 제3백업센터 구축, 정보보호최고책임자 독립성 강화 전산망 분리운영, 침해사고 대응반 운영, 금융회사 재재 강화 금융분야 개인정보 유출 재발방지대책(`14.3월) (배경) 농혐 KB 롯데카드의 개인정보 1억건 유출 (대책) 고유식별정보의 암호화, 보안전담기구 설치, 보안관제 범위 확대 보안점검의 날 운영, 외주용역 단계별 통제강화
위협 추이 악성코드 접촉 비율과 분포도
감염이 가장 많은 지역 Top 5 (2013 2Q)
감염 비율의 증가 가장 많은 지역 Top 5 (2013 2Q)
접촉이 가장 많은 지역 Top 5 (2014 2Q)
치료가 가장 많은 지역 Top 5 (2014 2Q)
악성코드 접촉 및 치료 비율 우수한 국가
지역 별 악성코드 감염 비율
글로벌 정보유출 현황 민감성 기준
사례. 카드3사 1억 400만 건 고객정보 유출 사건 사건 개요 사건 경과 2014.1.8 : 검찰(창원지검), KB국민 롯데 NH농협카드 3개사에서 1억400만건 고객정보 유출 발표 타카드사 2014.1.8 : 카드3사 사장 대국민 사과 2012년 10~12월 2,500만명 2013년 6월 5,300만명 2013년 12월 2,600만명 암호화프로그램으로 인한 개인정보 수집 실패 2014.1.10 : 금융당국, 검찰로부터 유출 자료 원본 수령 2014.1.13 : 금융당국, 카드3사 현장검사 착수 개발용역 작업 수행을 위하여 각 회사 전산망에 접근 후 USB에 고객 개인정보 및 사망자 폐업 법인 정보 복사 2014.1.17 : 금융당국, 카드3사에 고객 피해자료 제공 2014.1.17 : 카드3사, 고객 정보유출 인터넷 확인 서비스 개시 신용평가업체 코리아크레딧뷰로(KCB) 박모(39) 차장 개인정보 일부 제공 1,650만원 대출광고업자 조모(36) 대표 개인정보 100만건 제 공 2,300만원 대출모집인 이모(36) 씨 2014.1.19 : 금융당국, 고객정보 유출실태 발표 및 소비자 경보 발령 2014.1.20 : 카드3사 수습책 발표 및 카드 3사 사장 등 경영진 일괄 사 퇴 2014.1.21 : 정부 정홍원 국무총리 주재 긴급관계장관회의 개최 2014.1.22 : 정부, 금융회사 고객정보 유출 재발방지 대책 발표
사고의 원인은 무엇인가?
원인은 정의와 관계
개인정보의 정의 및 유형 개인정보란, 생존하는 개인에 관한 정보로서 당해 정보에 포함되어있는 성명, 주민번호 등으로 개인을 식별할 수 있는 정보를 말합니다. 기본적인 개인정보 유형 공공기관 개인정보 유형 신분 관계 성명, 주민등록번호, 주소 등 프 로 필 신분 관계 성명, 주민등록번호, 주소, 사회 경력 학력, 직업, 전과 등 이 름 홍 길 동 주민번호 123456-XXXXXXX 이메일, 연락처, 이동전화번호, 등 심신의 상태 신체적 특징, 병력, 장애 등 주소 최종학교 서울시 종로구 세종로 OO 고려대학교 경영학과 사회 경력 공무원 직급, 부서 등 재산적 정보 소득, 재산, 신용, 거래내역 등 경력사항 우대사항 행정자치부 청년인턴 주식회사 OOO 대리 신체장애 2등급 심신의 상태 진료 기록 내면의 비밀 사상, 종교, 정치성향 등 직전연봉 종교 3,000만원 기독교 재산적 정보 공무원 연봉정보 기 타 혈액형 RH- A형 의료보험 정보 생체정보, 위치정보, 인맥정보 등 사회활동 OO 정당 가입
現, 주민등록번호의 구조 2100년 부터는 당연 폐기 주민등록번호( 住 民 登 錄 番 號, 영어: Resident Registration Number, RRN) 주민등록법에 의해 부여 대한민국에서 모든 국민에게 발급하는 주민등록증에 적혀있는 국민식별번호 제도 1968년 11월 21일부터 간첩 식별 편의 등의 목적으로 주민등록증이 발급되면서 부여 123456-XXXXXXX 9 : 1800 ~ 1899년에 태어난 남성 0 : 1800 ~ 1899년에 태어난 여성 1 : 1900 ~ 1999년에 태어난 남성 2 : 1900 ~ 1999년에 태어난 여성 3 : 2000 ~ 2099년에 태어난 남성 4 : 2000 ~ 2099년에 태어난 여성 5 : 1900 ~ 1999년에 태어난 외국인 남성 6 : 1900 ~ 1999년에 태어난 외국인 여성 7 : 2000 ~ 2099년에 태어난 외국인 남성 8 : 2000 ~ 2099년에 태어난 외국인 여성 뒷자리 첫 번호가 5~8번으로 시작하면 주민등록번호가 아닌 외국인 등록번호
주민등록번호의 구조 출생지 세부정보 파악가능 123456-ㅅ ㅇ ㅈ ㅊ ㅋ ㅌ ㅍ ㅇㅈ : 출생등록지에 해당하는 광역자치단체의 고유번호이다. (아래는 추측성 정보임) 서울특별시 : 00~08 부산광역시 : 09~12 인천광역시 : 13~15 경기도 : 16~25 강원도 : 26~34 충청북도 : 35~39 대전광역시 : 40 충청남도 : 40~47 세종특별자치시 : 44, 96[6] 전라북도 : 48~54 전라남도 : 55~66 광주광역시 : 65, 66 경상북도 : 67~81 대구광역시 : 67~70 경상남도 : 81~90 울산광역시 : 85 제주특별자치도 : 91~95 ㅊㅋ : 출생등록을 한 읍 면 동주민센터 고유번호 주민센터마다 고유한 번호가 대한민국 안전행정부에 의해 부여 ㅌ : 일련번호로, 그날 주민센터에서 출생신고를 한 순서 예를 들면 출생신고 순서가 3번째인 경우 3임 ㅍ : 주민등록번호에 오류가 없는지 확인하는 검증번호 ㅍ = 11 {(2 ㄱ+3 ㄴ+4 ㄷ+5 ㄹ+6 ㅁ+7 ㅂ+8 ㅅ+9 ㅇ+2 ㅈ+3 ㅊ+4 ㅋ+5 ㅌ) mod 11}
무엇을 분석할 것인가? Unknown Attack 기존에 대비하고 있는 알려진 중요정보 침해에 비해 Impact가 큰 알려지지 않은 중요정보 침해에 대한 관리가 필요함 알려진 공격 VS 알려지지 않은 공격 알려진 공격(Known attack) 알려진 공격은 ID/PW 도용, 툴에 의한 해킹 등과 같이 잘 알려지고 빈번히 일어나는 정보 침해 공격을 말함 알려지지 않은 공격(Unknown attack) 알려지고 기록되지 않은 취약점을 타겟으로 일어나는 공격으로 이러한 유형의 공격을 막기 위해서는 비정상행위탐지(behavior-based anomaly detection)를 사용 함 IMPACT 구분 알려진 공격 알려지지 않은 공격 특징 차단 가능 차단 불가 대응 권한관리, 암호화 등 사고분석 전문가의 지속적인 모니터링을 통해 제한적으로 이루어짐 가시적이며 관리할 수 있는 공격은 보안투자 기존 투자의 대부분을 차지 비정상행위 탐지에 대한 투자 일부 진행 빙산의 일각처럼 매우 제한적이다 73
방어 전략 분석과 정보공유 알려진 공격은 공개된 약점을 제거하여 방어가 가능하며, 알려지지 않은 공격은 사고분석 전문가의 지속적인 모니터링을 통해 대응 가능함 공격에 대한 방어 방법 알려진 공격 알려지지 않은 공격 공개된 취약점,위협의 제거 Systems and Applications User Accounts System Misuse Change Detection Files, Directories Shares Active Directory Objects System Settings and Policies Device Configuration Registry Audit Settings ACLs Privilege Buffer Escalation Overflows Login Failures NIDS / NIPS Alerts Denial of Service Unauthorized Processes Port Scanning Network and Security Devices Threat Detection 지속적인 모니터링 사고분석 전문가 사고분석 전문가가 비정상행위 등에 관한 지속적인 모니터링을 통해 알려지지 않은 공격을 탐지 함 비정상행위 탐지 사용자의 정상행위 패턴 또는 비정상행위 패턴을 정의한 행위 프로파일을 이용하여 모니터링을 수행하는 방법 *출처 : Todd Tucker, Ulrich Weigel, Beyond PCI Compliance with NetIQ Solutions 74
대응방법의 변화 글로벌 동향은 Solution 중심에서 행위기반의 정보보호로 변화하고 있음 Solution 기반의 개인정보보호(Known Attack) 항상 보안우회 가능성 존재 행위 기반의 개인정보보호 (Unknown Attack) 보안예방 및 탐지가 용이 (미국사례) 공격자 스피드게이트 우회 사각지대 출입 IDcard 복사 정보유출 위험 출현 알림 4F 출입 동 시간대 2F 시스템 접속 개별 보안장비를 통한 보안 대응은 이미 알려진 공격 패턴 외의 공격에 쉽게 우회할 가능성이 높으며 우회 시 침해행위를 추적하기 어려움 침해 행위에 대해 다양한 행위 패턴 분석/대응으로 공격자를 정확하게 탐지할 수 있음 Solution 기반 정보보호 사례 S사의 반성 개선 방향 Solution + 행위 기반 정보보호 Solution 중심의 정보보호 시행 출입위반 15% 문서유출 25% 매체반출 30% 정보보호체계 전면 재검토 중! 기존 정보보호 Solution 개선 행위 기반 정보보호 체계 구축 안전하고 경제적인 정보보호체계 구축 S사는 최근 높아진 보안 위반의 원인을 Solution 기반의 정보보호체계로 인식하고 정보보호체계를 전면 재검토 하고 있음 기존의 정보보호 Solution에 행위 기반 정보보호체계를 구축함으로 추가적인 비용소요 없이 기존의 정보보호체계를 안정적으로 개선할 수 있음 75
리스크 기반의 업종, 규모 따라 차등화된 이행목표를 두자 IT Asset Security 정보통신 기술들의 사용이 확산됨에 따라, 보안 패러다임이 냉전시대의 물리적 보안(Physical Security)에서 IT 자산에 대한 보안(IT Asset Security)으로 변화 Information Security Management 20세기 초 정보화시대의 도래로 보안 패러다임은 정보자산보호라는 소극적 차원의 보안에서 개인정보보호, 지적재산권 보호 등을 포괄 하는 정보보호관리(Information Security Management)로 변화 Security by Institutionalization 기업 업무에 IT가 사용됨에 따라, 제도적으로 보안을 규정하거나 인증제도를 통하여 기술적 관리적 보호조치를 갖추도록 함 Information Security as a Risk Management 조직의 전사적 위험 관리(Enterprise Risk Management) 차원에 서 보안을 고려 내부통제, CISO, 보안 거버넌스(Governance), 통합적 보안 등 높은 수준의 관리 등을 강조 Information Security Governance, Holistic Security