중요정보 유출방지를 위한 솔루션 도입검토 제언

1. 중요정보 유출방지를 위한 솔루션 도입검토 제언
상담(구축) 문의 : 시온시큐리티 솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대), H/P : 010-2700-2648
E-mail : zion@zionsecurity.co.kr
www.zionsecurity.co.kr

2. 1
Ⅰ. 제안배경
1. 산업기술유출방지법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률
산업기술유출방지법 주요내용
정보통신망 이용촉진 및 정보보호 등에 관한 법률 주요내용
국내 핵심기술 보호 및 산업기술의 부정한 유출을 방지하고, 산업기술을 보호함으로써 국내산업의 경쟁
력을 강화하며, 국가의 안전과 국민경제의 안정을 보장하기 위해 제정된 법률.
• 산업기술과 국가핵심기술을 정의 (법 제2조)
• 산업기술 보호정책 및 보호지침수립 시행 (법 제 5조/제 6조/제 8조)
• 산업기술 유출 행위에 대한 처벌 (법 제 36조~제 37조)
정보통신망 이용을 촉진하고 정보통신 서비스를 이용하는 자의 개인 정보를 보호함과 아울러 정보통신망
을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민 생활 향상과 공공복리 증진에 이바지함을 목
적으로 제정된 법률.
• 제4장 개인정보의 보호
• 제1절 개인정보의 수집ㆍ이용 및 제공 등
• 제2절 개인정보의 관리 및 파기 등
• 제6장 정보통신망의 안정성 확보 등
• 제48조(정보통신망 침해행위 등의 금지)
• 제48조의2(침해사고의 대응 등)
• 제51조(중요 정보의 국외유출 제한 등)

3. 2
Ⅰ. 제안배경
2. 개인정보보호법 주요내용
2011.09.30
2008~2011
- 개인정보 보호법 시행
- 행정처분 유예기간 종료(12.03.29)
2011: 본회의 및 국무회의 의결, 공포
2008: 개인정보 보호법 국회제출
개인정보보호 규정
• 인터넷상 주민번호
이외의 회원가입 방법
제공
• 개인정보처리방침 공개
• 개인정보 보호책임자
지정
• 개인정보 안전성
확보조치
개인정보보호 규정
• 개인정보 수집의 제한
(필요최소한의 정보수집 등)
• 민감정보 및 고유식별정보 처리 제한
• 영상정보처리기기 설치 운영
• 개인정보의 제3자 제공, 목적 외 이용제공
금지
• 개인정보 처리위탁, 영업양도 등 개인정보
이전
• 개인정보 파기
관
리
수집
이용
제공
위탁
파기
개인정보처리
개인정보 보호법 제29조, 동법 시행령 제30조 및 개인정보
보호 가이드라인 등에 의하여
“개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼
손되지 아니하도록 내부 관리계획 수립, 접근통제, 접근권한
제한, 암호화 기술 적용, 접속기록 보관 등 안전성 확보에 필
요한 기술적·관리적 및 물리적 조치를 하여야 함”

4. 3
Ⅱ. 보안솔루션 Roadmap
개인정보보호법 및 정보통신망법 시행과 IT보안강화를 위하여 최종 보안 단계는 4단계까지 준비되어야 합니다.
분 류
컨설팅
1단계
정보보호컨설팅
2단계 3단계
보안 정보전략계획(ISP)
4단계
데이터 보안
• DB 암호화 솔루션
• DB 접근제어 솔루션
• 내부정보유출방지솔루션(DLP):개인정보보호솔루션포함
• 문서암호화 솔루션(DRM)
• PC백업 및 파일 중앙화 솔루션
• 모바일보안(MDM,Mobile DLP)
네트워크 보안
• 방화벽(FireWall)
• 웹구간 암호화(SSL)
-침입탐지시스템(IDS)통
합보안시스템(UTM)
-침입차단시스넴(IPS)좀비
PC탐지솔루션
네트워크접근통제(NAC)
시스템 보안 바이러스백신(서버) 패치관리시스템(PMS)
보안운영체제(SecureOS)
취약점분석솔루션
서버접근제어솔루션
서버가상화솔루션
어플리케이션 보안
• 웹방화벽/웹서비스개인정보 노출방지솔루션
• 업무시스템 개인정보 접속/조회 로그관리솔루션
• 출력물보안시스템
웹스캐너(취약점분석) 소스코드분석도구
통합보안 관리 통합로그관리
전사적보안관리(ESM)
보안구성관리(SCM)
위험관리시스템(TMS)
위험관리시스템(RMS)
인증 및 접근통제
싱글사인온(SSO)
통합접근관리(EAM)
통합계정관리(EIM)
패스워드통합관리
바이오시스템
PC보안
• Virus/스파이웨어백신
• PC내 개인정보 검색
키보드보안솔루션
-통합PC보안
PC가상화솔루션
: 본 사업에서 검토 범위

5. 4
Ⅲ. 취약점 분석을 통한 솔루션 적용방안
내부정보 유출방지의 요건에 대한 고려요소는 아래와 같이 이해하고 있습니다.
내부
보안
 내부 중요정보 유출방지에 대한 대안은?
어떤 보안솔루션을 도입해야 요건에 맞는 내부정보 유
출방지 시스템을 구축할수 있는지?
PC에 저장된 개발소스에 대한 Backup 및 보안방안?
외부
협업
보안
 외부 협력업체 및 관련기관과의 협업시 보안방안은?
업무특성상 외부 협력업체 및 외부 유관기관과의 데이
터 공유시 보안의 문제점을 해결할 수 있을지?
업무의
연속성
확보
 보안 솔루션 도입으로 인한 업무연속성 확보 방안은?
보안솔루션의 특성상 도입이후 예상되어지는 업무의 불
편성을 최소화 할 수 있는 보안솔루션 및 보안정책은 어
떤 것이 적절할 지?
구축 후
운영적인
측면
 보안 솔루션 도입 이후 사후 관리의 편리성은?
보안솔루션 도입이후 유지보수의 편리성 및 비용적인 측
면을 고려시 적절한 보안솔루션은?
DRM ?
(Digital Right
Management)
DLP ?
(Data Loss Prevention)
출력보안?
(Secure Print)
PC백업 및 중앙화/모바일
향후 발전방향 고민?

6. 5
본 검토에 대한 고려요소와 요건을 분석하여 데이타적인 측면과 보안적인 요구사항 및 업무의 연속성을 고민하여 아래와 같이
제안하고자 합니다
Ⅳ. 취약점 분석을 통한 솔루션 적용방안
중요 정보를 다루는 부서 및 개인정보를 다루는 부서에 대하여는 파일 자동암호화를 적용하고,
개발소스에 대한 로컬저장 금지 및 PC백업 등 고려하여 솔루션을 선정
적용할 필요가 있음.
 또한 클라우드 및 모바일 업무 확장을 고려하여 검토해야 함
 대량의 정보유출 위협인 저장매체(USB,CD,이동식디스크 등) 에 대하여는 DLP의 기능인 매체통제
기술을 적용하여 매체차단 정책 적용하고, 필요시 승인프로세스 적용후 매체사용기능을 제공하고
승인완료 후, 매체로 복사되는 모든 파일에 대한 로그를 수집함
 최후의 유출경로인 종이로 유출되는 보안위협에 대하여 출력물보안 기술을 적용하여, 모든 출력물
에 대한 원본을 수집하며, 개인정보가 포함된 데이터가 출력시에는 승인프로세스 적용하여 승인후
출력되는 기능을 적용함

7. 감사합니다
상담(구축) 문의 : 시온시큐리티 솔루션사업부 이유신 이사
Tel : 070-4685-2648 (대), H/P : 010-2700-2648
E-mail : zion@zionsecurity.co.kr
www.zionsecurity.co.kr