1 / 65

정보보호 분야

정보보호 분야. 1.  개인정보 침해.  해킹 , 바이러스 유포.  음란물 , 폭력 등 불건전정보 유통.  도박 , 성폭력 등 사이버범죄.  사이버 중독 ( 인터넷 , 게임중독 등 ). 정 보 화 역 기 능. 2. 정 보 보 호. 정보 보호란 ?. 우연히 혹은 의도적으로 허가 받지 않은 정보의 누출 , 전송 , 수정 , 파괴 등으로부터의 보호 정보화 촉진기본법 2 조 용어정의

keagan
Download Presentation

정보보호 분야

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 정보보호 분야 1

  2. 개인정보 침해 해킹, 바이러스 유포 음란물, 폭력 등 불건전정보 유통 도박, 성폭력 등 사이버범죄 사이버 중독(인터넷,게임중독 등) 정 보 화 역 기 능 2

  3. 정 보 보 호 정보 보호란? • 우연히 혹은 의도적으로 허가 받지 않은 정보의 누출, 전송, 수정, 파괴 등으로부터의 보호 • 정보화 촉진기본법 2조 용어정의 • 자신에게 중요한, 그리고 보호할 가치를 가지는 정보를 숨기거나, 필요한 사람에게만 보여주는 것, 정보를 변질시키지 않고 유지하는 것 3

  4. 정보보호 정보보호의 필요성 4

  5. 정보 보호 정보보호의 속성 기밀성(Confidentiality) 무결성(Integrity) 가용성(Availability) 사용자 인증(Authentication) 거래내용 부인방지(Non-repudiation) 5

  6. 정보 보호 정보보호의 속성 6

  7. 개인정보보호 개 인 정 보 란 ? 생존하는 개인의 성명, 주민번호등의 사항에 의하여 당해 개인을 식별할 수 있는 정보 ☞이름, 생년월일, 주소, 직업, 병력, 재산상태 등 개인의 기본권이자 자산 ☞보유 회원수가 기업가치 결정에 결정적 요인 ☞ 개인 정보 분석으로 부가가치 창출 -타켓 마켓팅, 소량 다품종 생산 등에 이용 조합으로 개인을 식별할 수 있다면 개인정보  7

  8. 개인정보보호 개인정보가 오남용된다면 . . . . 프라이버시 침해로 정신적 피해 유괴, 살인 등 범죄에 활용될 수도 요금전가 등 경제적 손실 신용불량 등 개인에 대한 잘못된 평가 8

  9. 개인정보침해사례1 개인정보 유출, 광고성 E-mail 발송 동의없이 회원정보 제공 N포털 사이트 스팸메일 발송 사생활 비밀과 자유침해 위험 정신적 피해 인정 법원 배상 판결 S컴퓨터 회원가입 9

  10. 개인정보침해사례2 살인 이동통신사에서 주소 알아내 ‘살인’(2000.3) 이동통신사 직원, 개인정보(주소) 유출 애인의 연락처를 알려주지 않자…. 불법수집한 주소로 애인 친구 찾아가 10

  11. 개인정보침해사례3 주민등록번호 도용하여 무단사용 가입불가 요금전가 타인의 개인정보로 무단 회원가입 삭제요구 후 재가입 D사이트 11

  12. 개인정보침해사례4 가입은 자유, 탈퇴는 곤란 이용료 계속청구 N유료게임 사이트 회원탈퇴요구 불응 12

  13. 개인정보침해사례5 개인정보 빼내는프로그램들 유포 불법으로 개인정보 유 출 스파이웨어 (Backorifice, Netbus, Subseven, Netspy등), 바이러스 (Mellisa, Ecokys, Worm/PrettyPark등) 13

  14. 개인정보의 기술적 보호 E – mail 도청경로 메일 감시 Sniffer 프로그램 송신 메일서버 메일송신자 인터넷 수신 메일서버 Pop, smtp 메일박스 열람 도청 가능한 곳 메일수신자 해킹 및 바이러스 14

  15. 개인정보의 기술적 보호 E – mail 정보보호 문제점 - E-mail은 보안성이 낮음 - E-mail을 몰래 열어 볼 수 있는 S/W 유통 ☞Mail-I, Webkeeper, NeoWatcher, VENUS/EMASS 대응방안 • 중요정보는 보안메일(Secure Mail)을 이용 • 보안메일; 해킹등으로 인해 정보노출의 위험이 있는 기존 일반 E-Mail과는 달리 공개키 기반(PKI)구조의 암호화 시 스템을 통해 송수신되는 안전한 E-Mail - PC에 보관된 파일도 암호화하여 보관 15

  16. 개인정보보호 개인정보보호에 대한 인식은?  이용자의 의식 결여 • 95.7% 개인정보 침해를 우려하면서도 • 개인정보 수집목적 등 확인은 6%만이 • 경품추첨을 위해 51.5%가 개인정보 제공 • 이용자 스스로의 보호조치는 미흡  사업자의 개인정보보호 의식 결여 • 750개 사이트중 0.1%(4개)만 법률준수(‘99.12) • 300개 사이트중 4%(12개)만 법률준수(2000. 6) 16

  17. 개인정보보호 개인정보보호 국제동향 OECD 개인정보보호 8원칙을 제정(1980년) - 수집제한, 공개, 목적 명확화, 이용 제한, 정보내용정확성, 안전성 확보, 개인 참가, 책임의 원칙 미국 : 업계의 자율규제 중시 - 최근 연방거래위원회(FTC)를 중심으로 법적 규제 필요성 제기 EU : 법적 규제 중시 - EU는 EU수준의 개인정보보호를 취하지 않는 국가로의 EU역내 주민의 개인정보유출을 금지 17

  18. 개인정보보호 - 개인 정보 수집 시 원칙적으로 동의를 받아야 함 - 자신의 개인정보에 대한 열람 및 오류 정정 요구권 부여 - 동의 없이 수집 목적 외 이용 및 제3자 제공제한 - 만14세 미만 아동의 개인정보 수집 시 법정대리인 동의권 신설 - M&A, 상속 등의 경우에 개인 정보 주체에게 일정사항 통지 - 수신자 의사에 반하는 영리목적의 광고성 정보 전송 금지 개정 정보통신망이용촉진 및 정보보호 등에 관한 법률 (2001.7.1일 시행) 18

  19. 개인정보보호 500만원 이하의 과태료 부과 개인정보 수집목적 등 고지사항 위반 수신자의 의사에 반한 광고성 E-mail 전송 영업양도 등 권리 이전 시 통지의무 위반자 동의 철회 시 지체 없이 파기하지 아니한 자 열람·정정 요구에 응하지 않은 자 19

  20. 개인정보보호 형사처벌에 해당하는 경우 목적 외 이용, 불법 제3자 제공, 훼손·침해 누설 ※ 5년 이하의 징역 또는 5천만원 이하의 벌금 직무상 알게 된 비밀을 누설, 목적 외 사용 ※ 3년 이하의 징역 또는 3천만원 이하의 벌금 20

  21. 개인정보보호 개인정보보호 행동요령 회원가입시 제대로 된 회사인지 확인(개인정보마크등) 이용목적에 합당하는 개인정보 요구인지 확인 고지의무사항 등 개인정보보호정책을 잘 읽어보자 탈퇴란이 없는 사이트에는 가입하지 말라 광고성 메일 수신 시 반드시 수신거부 답신 ※ 거부의사를 밝혀야 처벌조건이 성립 정보를 제공했으면 회사/정보내용 기록 보관 ※ 소송 등 문제가 발생시 반드시 필요 ☞최근 판례에서 개인정보침해 손해배상 인정 21

  22. 개인정보보호 개인 정보보호 행동 요령(계속) 인터넷사이트에 가입하기 전 고지의무 사항 확인 ☞개인정보관리책임자 성명·전화번호 등 연락처 ☞ 개인정보 수집목적 및 이용목적 ☞ 제3자제공시 제공 받는 자, 제공 목적/정보내용 ☞ 열람, 정정, 동의철회 시 이용자 권리/행사방법 ☞ 수집하고자 하는 개인정보 항목 ☞ 개인정보 보유기간/이용기간 개인정보가 유출되었다고 판단되면 개인정보 침해신고센터 신고(TEL 02-1336) 22

  23. 개인 정보보호를 위한 실제활동 • 부팅 시 암호 걸기 • 화면보호기에 암호 걸기 • 파일 암호화(아래한글) • 디렉토리 공유 방법 • 쿠킷 사용확인 및 설정해제 • 전자우편 목록보기&자동삭제 • 비밀번호 만들기와 변경방법

  24. 네티즌 기본정신 • 사이버 공간의 주체는 인간이다. • 사이버 공간은 공동체의 공간이다 • 사이버 공간은 누구에게나 평등하며 열린 공간이다 • 사이버 공간은 네티즌 스스로 건전하게 가꾸어 나간다 24

  25. 해킹 ·바이러스 개념 해킹이란? 해킹이란 정보시스템의 취약점을 이용해서 시스템에 불법적으로 접근하여 주요정보를 유출 또는 삭제하거나 시스템을 마비시키는 행위 해킹 피해유형 -시스템 불법 침입 -시스템 정보 유출 및 파괴 -다른 시스템 공격으로 사용 -시스템 과부하 -네트워크 마비

  26. 가.바이러스 정보시스템의 취약점을 이용해서 시스템에 불법적으로 접근 하 여 주요정보를 유출 또는 삭제하거나 시스템을 마비시키는 행위 해킹 ·바이러스 개념 바이러스란? 나.바이러스 피해유형 -시스템 파괴 -정보유출 -연속적인 메일 송신등에 의한 시스템 과부하 -정상적인 시스템 운영 불능

  27. 해킹 ·바이러스 현황 해킹 ·바이러스 피해 증가 현황-1

  28. 해킹 ·바이러스 현황 해킹 ·바이러스 증가 원인 1. 인터넷의 발전과 정보시스템 의존도 증가 • 1994년도: 이용자수 13만8천명/도메인수 192개 • 2001년도 6월: 이용자수 2100만명/도메인수: 45만여개 2. 해킹, 바이러스 기법의 일반화 및 지능화 ▶해킹 기법의 일반화 및 지능화 - 자동화된 스캔 공격도구의 발달 • 광범위한 시스템, 네트워크 침입 및 파괴 • 인터넷 웜 증가 Ex: Ramen, Li0n, Adore, sadmind/IIS, RedWorm ▶바이러스 기법의 일반화 및 지능화 - 이메일, 네트워크 공유폴더를 이용 - 자동화된 도구 사용 Ex: Annakournicoba, Nimda, Sircam 3. 정보보호 의식수준이 낮고 대응능력의 부족 28

  29. 해킹 ·바이러스 현황 최근 해킹 ·바이러스 동향-1 • 최근 해킹사고 특징 가. 인터넷 웜 형태의 공격 증가 나. 국가간의 사이버 공격 증가 다. 네트워크 환경 획일화 라. 신고율 증가

  30. 해킹 ·바이러스 현황 최근 해킹 ·바이러스 동향-2 • 최근 바이러스 특징 가. E-mail, 공유폴더를 통한 인터넷 웜 형태의 바이러스 일반화 나. 24시간이내 전세계로 확산 추세 다. 감염 유도 시키는 문구 등으로 유포 촉진

  31. Hi~ How are you? Hi~ How are you? Hi~ How are you? Outlook Address Book 해킹 ·바이러스 현황 피해사례6.SirCam 바이러스 관련 문서 http://www.certcc.or.kr/cvirc/Alert/2001/W32.Sircam.Worm@mm.html

  32. 해킹 ·바이러스 현황 피해사례7.Nimda 웜 관련 문서http://www.certcc.or.kr/paper/incident_note/2001/in2001_015.html

  33. 해킹/바이러스 유포 해커 및 해킹 해 커 • 초기 컴퓨터의 운영구조에 심취한 매니아 • 다른 컴퓨터에 불법으로 침입하여 자료를 무단열람, 변조 또는 파괴하는 행위를 하는 침입자(행위자) • Hacker VS. Cracker(Intruder) 해 킹 해커들이 저지르는 모든 불법적인 행위로 정보 시스템의 보안 침해사고를 발생시키는 행위 33

  34. 해킹/바이러스 유포 해킹 기법과 대책 시스템 해킹 시나리오 – 해당 목표 시스템 잠입 • 일반 사용자의 계정과 패스워드 이용하여 잠입 – Root 권한 획득 • 관리자 권한의 획득 • 시스템취약점이나 트로이 목마 등 악성프로그램이용 – 백도어(Back door) 설치 • 재침입을 위한 백도어(뒷문)프로그램의 설치 – 침입흔적 지우기 • 로그기록 파일을 대상으로 침입흔적 지우기 – 구체적인 피해 입히기 • 파일이나 디렉토리 정보취득,데이터변조,삭제 등 34

  35. 해킹/바이러스 유포 해킹 기법과 대책(2) 시스템 해킹에 대한 대책 • 패치(patch) 설치 시스템의 취약점 발견 시 신속하게 결함을 보완 • 기술 권고문 활용 http://www.certcc.or.kr/advisory.html • 패스워드 관련사용자 교육 패스워드의 주기적 갱신 35

  36. 해킹의 기법과 대책 패킷 스니퍼링(Packet Sniffering) • Network를 통하여 전달되는 패킷을 스니퍼링 전문 소프트웨어나 직접 프로그램을 개발하여 패킷을 훔치는 행위 • 패스워드 주기적 교체나 네트워크 패킷들을 암호화해서 전해주는 프로그램사용 36

  37. 해킹의 기법과 대책 IP 스푸핑(IP Spoofing) • Host B가 Host A의 IP를 도용하여 내부 사용자 Host A인 것처럼 시스템에 접속하는 행위 • TCP/IP의 설계 및 구현의 취약점을 이용한 공격으로 지속적인 네트워크 관리와 모니터링 37

  38. 해킹의 기법과 대책 IP 하이잭킹(IP Hijacking) • 크래커가 Host A의 IP를 가로채고 Host B는 Host A를 가장하여 Host C의 서비스를 받을 수 있는 상태에 이름 • IP 스푸핑 공격이 선행하여야만 IP 하이잭킹 공격이 가능, 패킷을 암호화하여 네트워크를 통하여 전송 38

  39. 해킹의 기법과 대책 서비스 거부 공격(Denial of Service) • 내부 사용자에 의한 공격: 시스템에 대한 자원을 독점하여 과소비 함으로써 서비스거부를 하게끔 이끌거나 과중한 서비스를 요청함으로써 일어나게 됨. • 외부 사용자에 의한 공격: 시스템의 연결되어 있는 프로토콜의 취약점을 이용하여 공격함. 39

  40. 해킹/바이러스 유포 컴퓨터바이러스 개념(1) • Computer Program이거나 실행 가능한 부분(Program, Macro, Script 등)을 변형하여 이곳에 자기 자신이나 자신의 변형을 복사하는 명령어의 조합(데이터 파괴 및 기타 증상 유무와 관계 없음) Ü처음 사용:1983년 11월, Fred.Cohen Ü처음 발견(국내):1988년, Brain 바이러스(파키스탄) w 1986년 제작된 부트 바이러스 w 파키스탄 (알바 형제), 브레인 컴퓨터 상점운영 w 소프트웨어 불법 복제 응징을 목적으로 제작함. < 다른 용어 : 소프트웨어 에이즈, 쓰레기 프로그램, 전 자 페스트 < 특 징 : 복제 기능 , 비 독립적 (기생), 강력한 파괴력 40

  41. 해킹/바이러스 유포 컴퓨터바이러스 개념(2) • 악성 프로그램의 이론적 개념 다른 사람에게 피해를 주기위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 부분 • 악성 프로그램의 실질적 개념 다른 사람에게 심리적, 실질적인 피해를 입히는 컴퓨터프로그램 또는 실행 가능한 부분. 제작자(사)의 실수로 포함된 버그는 제외되나 광범위한 피해가 예상될 경우 포함 41

  42. 해킹/바이러스 유포 컴퓨터바이러스 개념(3) • 대표적인 악성 프로그램 – Computer Virus – Trojan Horse(Backdoor, Back Orifice 포함) – Malicious Script(VBS, JAVA, Active-X 등) – HOAX / Myth, JOKE – Worm, Dropper, Logic Bomb 등 42

  43. 해킹/바이러스 유포 웜과 트로이 목마의 개념 • 웜(Worm) : 네트워크를 통해 자신을 복제 전파할 수 있는 프로 그램. Ü복제 기능 Ü독립적 - 기생 안함. Ü빠른 전파력, 광범위, 많은 사용자를 대상 • 트로이 목마(Trojan) : 바이러스와 같은 자기 복제 기능이 없고, 다른 프로그램에는 달라붙지도 않지만 시스템에 문제를 일으키는 악성 프로그램. Ü복제기능 없음 43

  44. 해킹/바이러스 유포사례3 Virus & Worm& Trojan 공통점과 차이점 44

  45. 해킹/바이러스 유포 트로이 목마(Trojan Horse)의 개념(1) • 자기 복제 능력이 없는 악성 프로그램 – 백도어, 백오리피스도 트로이목마의 한 종류 • 주요 기능 – 특정 정보 유출(키보드 입력 정보, 개인 정보 등) – 상대방 컴퓨터 원격 조정 – 데이터 파괴 • 주요 확산 수법 – 널리 알려진 유틸리티로 위장 – 우수한 기능을 가진 새로운 유틸리티로 위장 45

  46. 해킹/바이러스 유포 트로이 목마 (Trojan Horse) 의 개념(2) • 문제점 – 사용자가 감염 사실을 모름 – 감염 증상이 드러나지 않으므로 장기간 피해 지속 – 개인 정보에 대한 위협 – 변종 다수 등장 – 쉬운 사용법 및 많은 hacking 관련 사이트 46

  47. 해킹/바이러스 유포 웜(Worm)의 개념(1) • 전자메일을 통해 자신을 복제하는 악성 프로그램 – Internet Worm이라고도 함 – 주로 고급언어(C++, Visual Basic 등)로 제작 • 주요 기능 – 트로이목마와 유사 • 주요 확산 수법 – 호기심을 유발시키는 전자메일 첨부파일 – 정상적인 전자메일 첨부파일로 위장 – 최초의 전자 메일을 통한 확산 : I-Worm/HOOOOOO – 네트워크 쓰기 권한 악용 + 아웃룩 보안 취약점 악용사례 급증 47

  48. 해킹/바이러스 유포 웜 (Worm)의 개념(2) • 문제점 – 피해 사실 외부 공개 – 개인 및 회사 신용 추락 – 개인 및 회사 정보 무단 유출 – 취약한 클라이언트 보안 헛점 악용 – 특정 SW의 보안 헛점 공격 48

  49. 해킹/바이러스 유포 Joke & Dropper의 개념 • Joke 사용자에게 데이터 파괴 등 실질적이고 직접적인 피해를 입히지는 않지만 바이러스와 유사한 증상으로 사용자를 놀라게 하는 각종 프로그램(유틸리티) • Dropper 사용자 몰래 컴퓨터 바이러스 또는 각종 악성 프로그램을 시스템에 설치하는 프로그램 49

  50. 해킹/바이러스 유포 Hoax/Myth & 악성 스크립트의 개념 • Hoax / Myth - 바이러스로 잘못 알려진 일종의 스팸(Spam) 메일 – 최초 : 1988년 2400 baud modem virus – 유명 : 1994년 GOOOOOOOO Virus • 악성 스크립트(Malicious Script) - VBS 스크립트 기능을 악용한 악성 프로그램 – 최초 : 1998년 HTML/Internal – 유명 : 2000년 5월 VBS/LOOO_OOOOOO 50

More Related