태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'CERT'에 해당되는 글 2건

  1. 2010.06.16 내부자 위협 방지 및 탐지
  2. 2010.06.09 내부자 위협

지난 번에 소개해 드린 내부자 위협에 이어, 2009년에 카네기 멜론 대학 CERT(컴퓨터 사고 대응 팀)에서 발간한 '내부자 위협 방지 및 탐지에 대한 상식 안내서 3판' 중에서 내부자 위협 방지 및 탐지에 대한 16가지 모범 사례를 소개합니다.

원문 다운로드

  1. 전사적 위험 평가에 있어서 내부자 및 비즈니스 파트너로부터의 위협을 고려하라
    조직에 있어 주요한 자산이 무엇인지 정한 다음, 그러한 자산을 내부자 및 외부자로부터 보호하기 위한 위험 관리 전략을 세우는 것이 중요합니다.


  2. 정책과 통제를 명확하게 문서화하고 지속적으로 강제하라
    보안 정책과 통제를 명확하게 문서화하고 지속적으로 강제함으로써 내부자 사고를 줄일 수 있습니다. 다른 직원에 비해 불평등한 처우를 당하고 있다고 느끼는 것이 고용주의 IT 시스템을 공격하는 동기가 되기도 합니다. 다른 내부자들은 일관적이지 못하거나 강제성 없는 정책으로 인해 정보를 훔치거나 변조할 수 있습니다.


  3. 모든 직원을 위한 정기적인 보안 인식 훈련을 연구하라
    조직의 모든 직원은 보안 정책 및 절차가 존재하며, 그러한 것들이 있어야 할 이유가 있으며, 그것들은 반드시 강제성을 띄고 시행되어야 하며, 위반에 대해서는 심각한 결과가 초래될 수 있다는 것을 인지하여야 합니다.


  4. 의심스럽거나 혼란을 일으키는 행동을 채용 과정에서부터 감시하고 대응하라
    장차 심각한 범죄 행위로 발전할 수 있는 반복적인 정책 위반 사항을 감시함은 물론, 직원을 고용하기 전부터 의심스러운 행동을 감시해야 합니다.


  5. 직장 내 문제를 예측 및 관리하라
    책임과 제한 사항 및 이에 대한 위반에 따르는 결과를 직원에게 명확히 알려주고 지속적으로 강제해야 합니다. 건전하고 생산적인 근무 환경을 조성하며, 직장 내의 여러 문제에 대하여 자유롭게 토의할 수 있으며 그에 따른 불이익이 따를 수 있다는 불안감이 들지 않도록 해야 합니다. 대부분의 내부자 IT 사보타지 공격은 해고와 관련하여 발생하므로, 적대적인 직원을 내보낼 때에는 최대한 조심해야 합니다.


  6. 시설과 장비에 대한 접근을 통제하고 보호하라
    시설과 장비에 대한 권한을 필요로 하는 직원 및 계약자라 할지라도, 직장의 모든 분야에 대한 권한을 부여할 필요는 없습니다. 시설과 장비에 대한 접근을 기록하고 감사하여 위반 사항을 적발하여야 합니다. 퇴직 직원, 계약자, 비즈니스 파트너가 조직의 비공개 시설에 접근하도록 해서는 안됩니다.


  7. 엄격한 비밀 번호와 계정 관리 정책 및 관행을 수립하라
    비밀번호와 계정 관리 정책 및 관행은 직원, 계약자, 비즈니스 파트너에 공히 적용해야 합니다. 인가되지 않은 계정에 대한 접근, 사회 공학적 시도에 대한 보고 체계를 갖추어야 합니다. 불필요하거나 만료된 계정을 식별하고 비활성화하기 위한 감사가 필요합니다.


  8. 업무를 격리하고 최소한의 권한을 부여하라
    모든 직원에게 적절한 보안 인식 훈련을 하고, 중요 업무에 대한 책임을 직원들 간에 분할하면, 한 개인이 다른 이의 협조 없이 사기 또는 파괴를 저지를 가능성을 줄일 수 있습니다.


  9. 소프트웨어 개발 수명 주기에서 내부자 위협을 고려하라
    많은 내부자 사건이 소프트웨어의 결함과 직· 간접적인 관련이 있습니다. 소스 코드 내에 해로운 코드가 삽입되는 것과 같은 직접적인 관련도 있고, 업무 분할이 부적당한 점을 악용하는 것과 같은 간접적인 관련도 있습니다.


  10. 시스템 관리자 및 기술자 또는 권한을 가진 사용자에 대하여 특히 주의하라
    시스템 관리자 및 데이터베이스 관리자는 악의적인 행위를 저지르고 은폐할 기술적인 능력을 갖고 있습니다. 업무 분장, 상호 감시, 암호화, 불필요한 계정 비활성화 등을 통하여 피해를 줄이고 위험을 감지할 수 있습니다.


  11. 시스템 변경 통제를 구현하라
    시스템 관리자 또는 권한이 있는 사용자가 백도어 계정, 키보드 입력 기록기, 논리 폭탄 또는 시스템 또는 네트워크에 해로운 프로그램을 배포할 수 있습니다. 소프트웨어와 하드웨어 구성에 대한 기준을 세우고, 이를 현재의 구성과 비교하여 불일치를 감지하고 관리자에게 통보할 수 있습니다.


  12. 직원의 온라인 작업을 기록, 감시 및 감사하라
    데이터 누출 도구를 활용하면 시스템에 대한 무단 변경, 지적 재산권과 같이 기밀 정보 또는 중요한 정보, 고객 또는 의뢰자 정보 및 개인 정보의 다운로드를 탐지할 수 있습니다.


  13. 원격 공격에 대하여 계층화된 방어를 사용하라
    자신의 행위가 기록되고 감시되고 있다는 것을 알게 되면, 직원들은 시스템이나 네트워크에 대한 공격을 주저하게 됩니다. 원격 접근에 대한 정책과 절차는 세심하게 수립하여야 합니다. 원격 접속이 꼭 필요하다면, 조직이 소유한 장비를 통해서만 접근하도록 하고 원격 접근을 기록하며 자주 감사하여 위험을 줄이도록 해야합니다.


  14. 고용 종료시 컴퓨터 접근을 비활성화하라
    직원이 퇴직하면 물리적 장소, 네트워크, 시스템, 애플리케이션, 데이터에 대한 모든 접근 경로를 봉쇄해야 합니다. 빠른 처리를 위해서는 컴퓨터 계정, 공유 비밀번호, 카드 통제 시스템 등을 지속하고 엄격하게 추적·관리하는 것이 필요합니다.


  15. 안전한 백업 및 복구 절차를 정립하라
    내부자 공격의 위험을 완전히 없앨 수는 없습니다. 내부자 공격의 가능성에 대비하고 대응 시간을 최소화하기 위하여 안전한 백업 및 복구 절차를 구현하고 정기적으로 테스트합니다.


  16. 내부자 사고 대응 계획을 개발하라
    내부자 사고 대응 계획을 수립해야 하며, 피해 발생시 증거를 확보하고 적절한 후속 조치를 수행해야 합니다.
Posted by 취미와 밥벌이 MobileDetective

댓글을 달아 주세요

군사기밀을 누설한 혐의로 현역 장성이 구속되었다고 합니다. 보안사고는 외부로부터 뿐만 아니라 내부자에 의해서도 일어날 수 있다는 사실을 다시 한 번 되새겨야겠습니다.
2009년에 카네기 멜론 대학 CERT(컴퓨터 비상 대응 팀)에서 발간한 '내부자 위협 방지 및 탐지에 대한 상식 안내서 3판'의 내용을 두 차례에 걸쳐 소개해 드리려고 합니다.

원문 다운로드

"해로운 내부자"란?

현직 또는 전직 직원, 계약직, 파트너로서

  • 조직의 네트워크, 시스템 또는 데이터에 대한 권한을 갖고 있거나 가졌던 적이 있으며
  • 그러한 접근권한을 의도적으로 오남용하여 조직의 정보나 정보 시스템의 기밀성, 무결성, 가용성을 해치는 사람

내부자가 정말로 위협적인가

2007년 통계 조사에 따르면, 31%의 전자범죄가 내부자에 의한 소행이었다고 합니다. 그리고 책임자의 절반이 내부자가 일으킨 사건을 경험했다고 합니다.

회사 기밀을 경쟁사로 유출한 댓가로 금전적인 댓가를 받거나 이직을 하는 사례도 있습니다.

일반적으로 방화벽, 침입탐지, 출입통제 시스템 등은 외부로부터의 보호에 초점을 맞추기 때문에, 내부자의 위협에 대해서는 상대적으로 취약합니다.

해로운 내부자 활동의 종류

  • IT 사보타지
  • 금전 취득을 노린 절도 또는 변조
  • 사업적 이득을 노린 절도 또는 변조
  • 기타

내부자 사건 유형별 비교 요약
구분 내부자의 IT 사보타지 금전 취득을 노린 내부자 절도 및 변조 사업적 이득을 노린 내부자 절도 및 변조
발생비율 45% 44% 14%
전·현직 전직 현직 현직
직책 기술직(시스템 관리자 또는 데이터베이스 관리자) 기밀이나 민감한 정보에 접근할 수 있는 비기술직, 낮은 직책(데이터 입력, 고객 서비스) 과학자, 프로그래머, 엔지니어 등 기술직(71%), 영업(29%)
성별 남성 남성 및 여성 남성
목표 네트워크, 시스템 또는 데이터 개인정보 또는 고객정보 지적재산(거래 비밀) - 71%, 고객 정보 - 33%
접근방법 인가되지 않은 접근 인가된 접근 인가된 접근
언제 근무시간 외 근무시간 내 근무시간 내
어디서 원격 접근 직장 내 직장 내
외부자와 결탁 없음 절도의 경우 절반 가량, 변조의 경우 1/3 이하 1/4 이하
공모 없음 변조건의 절반 정도가 다른 내부자와 공모, 절도건의 2/3가 외부자와 공모 절반은 한 명 이상의 내부자와 공모, 절반은 독자적임

다음번에는 내부자의 위협에 대처하는 방법에 대하여 알아보도록 하겠습니다.

Posted by 취미와 밥벌이 MobileDetective

댓글을 달아 주세요