산업기밀 유출과 정보보안 전문가 활용방안산업기밀 유출과 정보보안 전문가 활용방안

서울 디지털 대학교 컴퓨터공학부

류 동 주

mipv6sec@paran.com

서울디지털대학교 컴퓨터 공학부 정보보안 특강 1

목 차목 차

II 침해사고 및 기업 정보 유출 사례

IIII 기업의 정보보안 전문가의 필요성

서울디지털대학교 컴퓨터 공학부 정보보안 특강 2

II 침해사고 및 기업 정보 유출 사례

- 침해사고 사례

- 기업 정보 유출 사례

- 정보보호 피해 현황

- 정보보호 사건/사고, 누가 일으키는가?

- 국내 대기업의 유출 사례

- 국내 중소기업의 유출 사례

- 국내 중소기업의 피해 현황

- 개인정보 침해 관련 분석

서울디지털대학교 컴퓨터 공학부 정보보안 특강 3

침해사고 사례침해사고 사례

공격은 전문가, 방어는 아마추어?공격자의 수준

-최고의 실력을 가진 용병 고용

-전문적인 해킹 전문가

방어자의 수준

-주어진 프로젝트 하느라 정신 없는

보안 담당자

-보안 교육 몇 번 다녀온 직원

VS.

서울디지털대학교 컴퓨터 공학부 정보보안 특강 4

적은 내부에 있다! – 기업 정보 및 기술 유출

기업 정보 및 기술 유출기업 정보 및 기술 유출

출처 : 파이낸셜뉴스 (2007.05.20)

서울디지털대학교 컴퓨터 공학부 정보보안 특강 5

정보보호 피해 현황정보보호 피해 현황

해킹기법해킹기법 별별

사람이사람이 가장가장 취약하다취약하다!!

2003년(~8월)

취약점정보수집2%

기타0%

구성설정오류75%

E-mail 관련21% 악성프로그램

2%

구성설정오류

E-mail 관련

악성프로그램

취약점정보수집

기타

2005년

2003년(~8월)

취약점정보수집28%

S/W보안오류0%

기타0%

버퍼오버플로우0%

구성설정오류27%

E-mail 관련24%

악성프로그램21%

구성설정오류

E-mail 관련

악성프로그램

취약점정보수집

S/W보안오류

버퍼오버플로우

기타

2004년

• 구성 설정 요류(76%) 사람에 의한 실수

• E-Mail 및 악성프로그램에 의한 해킹 23%

서울디지털대학교 컴퓨터 공학부 정보보안 특강 6

정보보호 피해 현황 (계속)정보보호 피해 현황 (계속)

해킹해킹 대상별대상별

기업을기업을 대상으로대상으로 개인이개인이 공격한다공격한다..

기업(49%), 개인(32%) 개인을 통한 기업 해킹

네트워크8%

기타(개인)32%

연구소0%

비영리8%

대학3%

기업49%

기업

대학

비영리

연구소

네트워크

기타(개인)

2005년

네트워크0%

기타(개인)93%

연구소0%

비영리1%

대학2%

기업4%

기업

대학

비영리

연구소

네트워크

기타(개인)

2004년

서울디지털대학교 컴퓨터 공학부 정보보안 특강 7

정보보호 사건/사고, 누가 일으키는가?정보보호 사건/사고, 누가 일으키는가?

내부 외부

인가자 비인가자 인가자 비인가자

전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가 전문가전문가 비전문가비전문가

• 정보보호정책 보완 필요• 내부의 정보보호 시스템정기 점검 필요• 내부의 사용자 이상 패턴진단 필요

• 물리적 정보보호체계필요

• 출입 통제, 카드키, 경비체계 도입

• 인증 절차 및 접근제어강화

• 방화벽, 침입탐지시스템도입을 통한 정보보호강화• 라우터 등에서 접근 통제

위험도

파급도

발생비율75% 25%

58% 17% 15% 10%

서울디지털대학교 컴퓨터 공학부 정보보안 특강 8

정보보호 사건/사고, 누가 일으키는가?정보보호 사건/사고, 누가 일으키는가?

출처 : 중소기업청

서울디지털대학교 컴퓨터 공학부 정보보안 특강 9

국내 대기업의 유출 사례 - 1 국내 대기업의 유출 사례 - 1

대우해양조선

선박 제조 기술 유출

유출된 기밀은 선박 69척의 설계도 관련 파일 14만5천개.

원유와 자동차 운반선 같은 대형 선박이어서 한 척당 설계도

값이 최소한 20억 원

총 1400억 원 이상의 피해 예상

서울디지털대학교 컴퓨터 공학부 정보보안 특강 10

국내 대기업의 유출 사례 - 2국내 대기업의 유출 사례 - 2

두산 중공업 핵심기술 유출과정 - 2007년 10월

사장 구모 씨·상무 김모씨, 두산重 퇴사

올해 구 씨와 김 씨, STX重에 스카우트

두산 담수화 기술 STX컴퓨터로 수 차례 옮김

입찰 기술 서류 수정, 사우디 사업 참여 추진

서울디지털대학교 컴퓨터 공학부 정보보안 특강 11

국내 중소기업의 유출 사례 - 1국내 중소기업의 유출 사례 - 1

사례1연매출 100억원 규모의 한 반도체장비 제조업체

동남아시아 출신의 기술훈련생 고용.

이 회사는 그 중 한 직원이 영어가 능통하고 기술에 대한

지식도 많다고 판단해 연구소로 배치하고 R&D 프로젝트에도 참여 시켰다.

그런데 이 직원은 연구소에서 연구가 아닌 기술유출에

몰두했다. 핵심기술 노하우를 해외 경쟁기업에 넘긴 것을 안

때는 이미 출국.

피해금액만 20억원이 넘었다.

서울디지털대학교 컴퓨터 공학부 정보보안 특강 12

국내 중소기업의 유출 사례 - 2국내 중소기업의 유출 사례 - 2

사례2연매출 60억원 규모의 한 모터드라이버 제조업체

제품개발 의뢰를 받고 시제품 제작을 마무리한 후

양산발주를 기다렸다. 하지만 주문 회사에는 어찌된

영문인지 연락이 오지 않았다.

이미 샘플과 도면을 상대편 회사에 넘겨준 게 화근

개발된 제품은 이미 중국에서 양산되고 있는 중이었다.

피해 규모 : 전년대비 매출이 30% 이상 떨어졌고 20여명을

구조조정

서울디지털대학교 컴퓨터 공학부 정보보안 특강 13

국내 중소기업의 피해 금액국내 중소기업의 피해 금액

연구소를 보유한 중소기업 1200곳을 대상으로 실시한 조사에따르면 응답 기업의 17.8%가 최근 3년간 산업기밀 유출로피해. 특히 피해 기업의 52.6%는 2번 이상 회사 기밀이유출됐다고 답했다.

피해 금액은 '1억 원 이상~5억 원 미만'이 37.1%로 가장많았고, 이어 '1억 원 미만'(36.2%), '10억 원 이상'(13.6%), '5억원 이상~10억 원 미만'(13.1%)의 순

서울디지털대학교 컴퓨터 공학부 정보보안 특강 14

국내 중소기업의 유출 관련 조사국내 중소기업의 유출 관련 조사

피의자 질의

'보안관리 및 감독체계 허술'(24.8%)'임직원들의 보안의식 부족'(23.5%)'개인의 재산상 이익 추구'(14.3%)'회사의 처우에 대한 불만'(11.3%)'보안비용에 대한 투자곤란'(10.1%)

출처 : 중소기업청

서울디지털대학교 컴퓨터 공학부 정보보안 특강 15

개인 정보 침해 접수 현황개인 정보 침해 접수 현황

참조 : 한국정보보호진흥원 정보보호뉴스 7월호

서울디지털대학교 컴퓨터 공학부 정보보안 특강 16

개인 정보 침해 동향 분석개인 정보 침해 동향 분석

참조 : 한국정보보호진흥원 정보보호뉴스 7월호

서울디지털대학교 컴퓨터 공학부 정보보안 특강 17

IIII 기업의 정보보안 전문가의 필요성

- 보안 전문가의 정의

- 보안 전문가의 필요성

- 보안 전문가의 역할

- 국내현황

- 결 론

서울디지털대학교 컴퓨터 공학부 정보보안 특강 18

보안 전문가(CSO/CPO)의 정의보안 전문가(CSO/CPO)의 정의

기술적 대책

정책수립

법률적 대응

CSO/CPO란, 기업보안을 위한 정책수립은 물론, 기술적 대책과 법률적 대응까지 총

괄하는 최고보안책임자

서울디지털대학교 컴퓨터 공학부 정보보안 특강 19

보안 전문가의 필요성보안 전문가의 필요성

전전 현직현직 직원에직원에 대한대한 기술기술 유출유출 비중비중 80%80%

기업기업 정보정보 보호의보호의 당면당면 현실현실

금전적금전적 유혹유혹 –– 경쟁사로부터의경쟁사로부터의 매수매수

앙심을앙심을 품은품은 전전 현직현직 근로자근로자

내부내부 인사인사 관리로는관리로는 정보정보 유출유출 차단차단 한계한계

서울디지털대학교 컴퓨터 공학부 정보보안 특강 20

보안 전문가의 필요성(계속)보안 전문가의 필요성(계속)

개인정보보호법

제20조의2 (개인정보관리책임관의 지정) ①공공기관의 장은 소관처리정보의 보호 및 관리를 위하여 개인정보관리책임관을지정하여야 한다.

②개인정보관리책임관의 자격요건·지정 및 운영 등에 관하여 필요한 사항은 대통령령으로 정한다.

[본조신설 2007.5.17] [[시행일 2007.11.18]]

※법에 명시된대로 2007년 11월 18일부터는 반드시 CPO를 의무적으로 두어야 한다.

개인정보보호법에개인정보보호법에 명시명시

서울디지털대학교 컴퓨터 공학부 정보보안 특강 21

보안 전문가의 필요성(계속)보안 전문가의 필요성(계속)

사베인즈-옥슬리 법의 영향으로 내부통제 프로세스의 강화를 위해 CSO/CPO의 역할과 필요성이 더욱 강화될 조짐.

바젤II 협약에 따라 IT의 Risk도 적극적으로 관리 대상이 되어 CSO/CPO의 역할과 필요성이 강화될 조짐

※향후 사베인즈-옥슬리 법과 비슷한 수준의 법이 국내에도 도입될 움직임

해외로부터의해외로부터의 영향영향

※2008년부터 바젤II 시행 예정

서울디지털대학교 컴퓨터 공학부 정보보안 특강 22

보안 전문가의 역할보안 전문가의 역할

사내 보안 관련 전반을 관장

보안보안 전문가의전문가의 역할역할 (1)(1)

상세상세 업무업무

• 최고경영자(CEO)의 경호

• 시설 안전관리

• 법률 문제 대응

• 기술 유출 대응 등

서울디지털대학교 컴퓨터 공학부 정보보안 특강 23

보안 전문가의 역할 (계속)보안 전문가의 역할 (계속)

내부로부터의 위험 방지

보안보안 전문가의전문가의 역할역할 (2)(2)

상세상세 업무업무

• 보안 교육

• 보안 교육 커리큘럼 설계

• 보안 교육의 실시

• 보안 시스템 구축

• 보안 시스템의 평가 및 도입

• 보안 시스템의 유지 관리 및 운영

서울디지털대학교 컴퓨터 공학부 정보보안 특강 24

보안 전문가의 국내 추진 현황보안 전문가의 국내 추진 현황

국내의 경우 : - 규모가 큰 외국계 글로벌 기업들과 삼성전자, LG전자 등

일부 대기업만이 CSO 체제를 구축하고 통합보안조직을 운영

대부분 기업들은물리적 보안, IT 보안, 관리적 보안업무를 다른 부서에서 담당

담당자간의 업무협조도 원활하지 않음

더욱이 보안업무를 다른 업무와 겸임하고 있는 경우도 많음

보안인력 및 관련 업무의 통합·일원화의 필요성

서울디지털대학교 컴퓨터 공학부 정보보안 특강 25

국내 중소기업의 현황국내 중소기업의 현황

중소기업들은 또 보안관리 제도, 기밀관리 시스템, 보안감독체계 구축 등 산업기밀 관리노력을 강화하는 추세

문제점 및 애로사항핵심인력의 유출 위험성(29.8%) 보안인프라 투자 곤란(23.8%) 임직원의 기밀보호 관심부족(15.9%) 법적·제도적 장치 미흡(13.0%)

정부 지원대책 요구사항보안시스템 구축 지원(22.9%)보안투자에 대한 지원제도 확충(19.7%)산업보안교육 확대(16.1%)보안진단 및 마스터플랜 수립 지원(13.9%) 등에 대해서는정부지원이 필요한 것으로 응답.

서울디지털대학교 컴퓨터 공학부정보보안 특강

26

보안 전문가의 도입보안 전문가의 도입

사내 보안 전문가(CSO/CPO)의 도입보안 업무 총괄

보안을 단순한 ‘기술’이 아닌 ‘경영’차원으로 격상

미국 마이크로소프트(MS)나 제너럴모터스(GM)등 대기업의CSO/CPO(최고 보안 책임자) 도입

기술유출 징후가 있을 경우

http://www.nisc.go.kr

상담상담//신고신고 지원지원111

국가정보원

산업기밀보호센터

서울디지털대학교 컴퓨터 공학부 정보보안 특강 27

결 론결 론

끊임 없는 보안 위협

보안과 기업 경영과의 연계 발전

전반적인 사회 보안 의식 고취

추가 비용 부담 발생 논란

실제 사고 후의 비용보다는 작은 비용의 보험으로 인식

경영관련 기술적 책임과 권한 강화

향후 분리되지 않은 권력은 기업의 발전 저해요소

국가적 차원에서의 보안 교육 지원 시급

지속적인 보안 교육 및 온라인 보안 강화 교육 지원