ISEC 2009 Day2 참관 후기

보안이슈및동향 2009. 9. 16. 17:53
이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
첫 포스팅입니다^^
3기분들 중에 호환님이 정말 열심히 올리시는데, 자극이 되네요 ㅋㅋ

지난 9월 9일 ISEC 2009 (Day2)에 다녀왔는데, 늦게나마 참관 후기를 올려봅니다.
후기라기 보다는 키워드 정리에 가깝겠네요.



1. 7월 7일 DDoS 대란 악성코드 유포 개요

 

  • 부산 웹하드 사이트의 업데이트 프로그램을 악성코드로 바꿔치기
     - 클라이언트(웹하드 이용자)들은 해당 웹하드 사이트의 업데이트 프로그램이 실행되면서 감염시작
     - 감염 후 좀비PC 역할

  • 좀비PC
     - 59개국 PC 감염
     - 좀비PC 1만대 추정

  • 공격특징
     - 25개의 사이트를 공격하도록 설계

  • 해결방안
     - 악성프로그램 확산 방지 등에 관한 법률
     - 안티바이러스 업체들의 좀비PC치료를 위한 싱크홀 운영


2. 최근 사이버 범죄 동향

  • 개인정보 침해 증가
  • 금전적 목적(핵티비즘)
  • 일반 범죄꾼들의 유입 증가
  • 금융정보수집
  • 회원DB획득
  • DDoS 공격
  • 회사 영리 추구 위해 동종업계 공격
  • 회사 협박, 소송에 이용

3. CSO(Chief Security Officer) 의 역할

CSO란? ... 정보보안책임자

  • 경쟁 환경의 변화
    - 책임 경영
    - 윤리 경영(적법, 도덕)
    - 투명 경영
    - 정보 경영
    - 그린 경영(에너지 절약)

  • 조직의 구성
    - CEO, CFO, CIO, CPO, CSO

  • 보안환경
    - "경영진이 무관심하다"
    - "보안투자는 아깝다"
    - "지속투자 하기도 아깝다"
    - "보안관리는 귀찮다"
    - "보안기술은 어렵다"
    - "책임은 누구에게 있는가?"

  • 국외 대형 보안사고
    - 곤잘레스 사건(2009.08) ... 신용 직불 정보
    - TJ MAX 1억 3천만불 ... 무선망 해킹
    - 미 Choice Point 정보유출 14만명

  • 국내 대형 보안사고
    - 산업 비밀 해외유출 적발
    - 1.25 대란(2003) ... 1675억 피해 추정
    - 7.7 DDos대란 ... 544억 피해 추정
    - A 오픈마켓 천만명 고객정보 유출
    - G 석유사 고객정보 유출
    - H 텔레콤 고객정보 불법유통 ... 기업윤리 문제

  • 보안사고 교훈
    - 천문학적 배상책임이 따른다
    - 회사가치하락, 기관 신뢰도 저하
    - 고객정보가 재앙의 요인이 될 수 있다
    - 금전목적 범행 증가
    - 내부자, 관련자 범행 증가 ... 직원의 윤리의식 제고 필요
    - 사회공학이용 공격의 증가 ... 기술로만 대응불가

  • 보안관리 대상
    - 경영진, 전직원, 고객, 소셜네트워크
    - 협력, 아웃소싱, 솔루션 공급
    - 조직문화
    - 모든 유동 자원

  • 바람직한 CSO의 역할
    - 보안은 법을 알아야 한다
    - Observer, Engineer, Supervisor

  • 기술적 대응
    - UTM
    - DDoS 공격 탐지 및 대응
    - 통합보안관제 솔루션, 서비스
    - 인터넷, 내부망 분리
    - 시큐어 OS, 통합로그관리
    - 데이터 백업
    - 디지털포렌식 솔루션 등, E-Discovery
    - 법적 대응 필수

  • 관련법 파악
    - 헌법 제 17조
    - 공공기관의 개인정보보호에 관한 법률 시행령 ... 제 24조의 9
    - 정보통신망이용촉진 및 정보보호에관한법률 ... 제 27조

4. 사이버사회 안전을 위한 정책 방향 토론

[토론개요]

사이버 공격이 발생하면 한 부처나 한 기관이 통제를 한다는 것은 어렵다.
좀비PC를 강제차단하는 것은 비즈니스적 차원에서 차단하기 어렵기 때문에
결국은 국민의 의식 변화가 필요하겠다.

[산업계 패널 - 이경호님 의견]

  • 전문 인력 양성 정책 필요
  • 정보 공유 체계 구축 시급
  • 솔루션 구축 이후의 업무
    - 취약점 발생에 대한 업데이트 유지보수 필요
    - 서비스 프로세스 관점의 시스템 도입하자

[기자 패널 의견]

  • 언론 홍보 적극 활용
    - 인터넷은 삶이다. 

  • 제안 교육 방식 활용
    - 시간이 지난 기사는 구독자들이 보지 않기 때문에 이슈가 되었을 당시 알기쉽게 언론에 홍보하는 것이 좋다.

[학계 패널 의견]

    양희승 교수의 의견
  • 준비 지수 ... 보안에 대한 준비가 거의 없다.
  • 정보시스템 구축 발주 시 보안관련 아키텍처 제시가 필요하다.
  • 서비스 수준 계약(SLA)에 담겨 있어야 한다.
  • 무엇을 지향하는지 목표가 정해져야 한다.

    강원대학교 교수(법,정책 관련 내용)의 의견
  • 법 제도 마련이 시급
  • 각 범위별 구체화
  • 규제만 하는것이 아닌, 진흥정책도 함께 진행해야 한다.

[KISA 이창범 팀장]

  • 개인정보보호법이 없는 나라는? 한국, 멕시코
  • 인터넷 본인 확인제에 대한 내용




이 포스팅은 풍뎅이의 포렌식 이야기(http://knbins.tistory.com/)에 공동기재되고 있습니다.


****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,

티스토리툴바