2012 개인정보보호 페어 발표 자료

어제 있었던 '2012 개인정보보호 페어'에서 발표된 내용 중 하나를 옮겨 봅니다.

발표 주제 - 개인정보보호를 위한 디지털포렌식의 활용

발표자 - 더존정보보호서비스 이찬우 대표

본 내용은 발표자의 내용을 요약 옮긴 것으로 제 의견과는 무관합니다.

1. 디지털포렌식의 정의

 O 디지털포렌식이란?

  - 디지털 데이터(전자정보)를 과학적 절차와 기법을 사용하여 수집하고 분석하여 증거로 제출하는 제반 행위. 일반적으로 컴퓨터나 디지털 기기로부터 디지털 증거의 수집, 보존, 분석, 문서화 그리고 법정제출의 단계로 이루어진다.

  - 디지털포렌식은 범죄수사, 민사분쟁, 침해사고 대응 등에 매우 유용하게 쓰인다.

  - 최근 기업 내 정보감사 및 산업기밀유출 방치를 위한 활동에 도입되는 추세가 확산되고 있다.

  - 기업 및 기관의 정보 자산이 폭발적으로 증가하는 빅데이터 이슈 또한 디지털포렌식을 활요한 이디스커버리가 전자증거개시라는 본래의 용도 이외의 대용량 정보감사의 대안으로 떠오르고 있다.

2. 디지털 증거의 특성

 O 절차의 정당성 - 증거능력의 보존과 조사행위에 대한 정당성 확보

 O 보관의 연속성 - 증거조작 의심에서 자유롭기 위한 신뢰성 확보, 증거의 경로 및 작업내역 기록(Chain of Custody)

 O 자료의 무결성 및 신속성 - 복제, 삭제, 수정이 용이한 전자증거의 특성을 고려

 O 재현 가능성 - 표준화된 절차와 방법으로 증거 수집과 분석 과정의 적정성, 정확서아,객관성 등을 담보

 O 도구(분석관)의 신뢰성 - 조사자의 노하우에 따른 분석역량의 차이와 검증 수집/분석 도구에 따른 결과의 차이가 없어야 함

3. 디지털포렌식 기술적 활용

 O 컴퓨터 포렌식(디스크 포렌식)

  - OS아티팩츠분석, 어플리케이션 및 사용자 행위분석, 인텍싱, 검색 등

 O 네트워크 포렌식(침해대응 포렌식)

  - 패킷, 악성코드, 소스(코드)분석, 바이러스, 웜, 디도스봇, 트레이싱

 O 모바일 포렌식(모바일 OS 및 메모리 포렌식)

  - 모바일 디바이스 분석, 논리/물리 데이트 복구, 통신기록, 앱 분석

 O 영상 포렌식(영상 미디어 분석 포렌식)

  - CCTV, DVR, 블랙박스, 영상분석, 영상복구, 화질개선, 음성/화면 추출

 O 기타 포렌식

  - 데이터베이스 포렌식, 저작권 포렌식, 안티포렌식, 암호해독, 이디스커버리(확장개념)

4. 디지털포렌식의 활용

 O 전통적인 활용분야

  - 범죄수사, 산업기밀보호, 침해사고 대응, 보안사고 대응, 소송증거 개시

 

 O 활용분야의 확장

  - 보안영역과의 융합으로 다양한 분야/솔루션 활용

  - 기업 및 기관의 정보감사 목적으로 활용

  - 개인정보 및 산업기밀 유출 예방을 위한 대안으로 활용

  - 빅데이터에 대한 정보감사의 목적으로 e디스커버리 사용

5. 정보의 유통경로

 O 수집 - 생성 - 기록 - 저장 - 가공 - 편집 - 출력

 O 기록단계에서 매체변화, 저장단계에서 사본백업, 가공 단계에서 외부배포, 편집 단계에서 정보인용

 O 정보흐름을 완벽하게 통제하는 것은사실상 불가능하므로 디지털 포렌식을 통한 정보감사의 도입이 필요

6. 관리 포인트로 구분한 정보보호 솔루션의 구분

 O 정보 통제 솔루션

  - 강력한 에이전트를 기반으로 중앙의 통제와 관리 정책을 수행, 정보에 대한 실시간 감시 및 유출방지

  - 강력한 통제정책과 기능으로 정보에 대한 원천적인 유출 방지(대부분 유통되는 일반적인 솔루션)

 O 정보 관체 솔루션

  - 에이전트 기반의 정보모니터링시스템으로 정보의 흐름에 대한 관제가 주 목적

  - 모니터링 중심으로 개인정보에 대한 정보흐름의 관리(업무효율성을 최우선)

 O 개인 관리 솔루션

  - 정보보호에 대한 1차적인 관리 주체를 개인에게 부여, 컴플라이언스 이슈에 대응이 용이함

  - 개인정보관리의 관리포인트를 개인에게 부여하고 관리하도록 함(정보보호전략을 최하위 레벨부터 강화)

 O 정보감사 솔루션

  - 디지털포렌식 기술을 활용한 정보감사 솔루션, 정보보호 상태 점검 및 취약점분석, 사전예방 및 사후대응 목적

  -  사내 개인정보관리체계의 감사 및 정보유출 취약점 분석(조직 내 정보보호 체계를 보완/강화)

7. 개인정보보호 수준의 적용

 O 개인정보의 내용/유형에 따라서 보호수준과 컴플라이언스 이슈가 모두 다르고 이에 따른 관리접근 방식도 달라야 한다.

8. 개인으로 시작하는 정보감사의 도입

 O 조직의 규모가 커질 수록 부서나 개인의 업무특성을 고려한 정책을 반영하는 한계가 발생

 O 정보관리 정책을 느슨하게 유지하게 되는 원인은 업무효율을 이유로 도입 후 효율적인 운영불가 때문

 O 개인이 주체가 되는 정보관리 체계를 우선적으로 수립해야 함

  - 개인이 자신이 보유하고 있는 정보에 대한 현황파악과 필요한 경우 1차적인 보안조치를 수행할 수 있도록 하여 각 문서별, 업무별 개인정보보호법에 의거한 컴플라이언스 이슈에 대응이 가능하도록 해야 함.

  - 개인이 보관하고 작성한 자료에 대한 관리책임을 우선으로 부여하고 조직이 부여한 정보보호정책이 효율적으로 운영되도록 해야함

9. 개인정보보호를 위한 정보감사의 도입

 O 감시(Monitoring)

  - 외부 침입에 대한 네트워크 보안 솔루션 도입(방화벽, IDS, IPS, UTM, VPN, 망분리)

  - 백신, DLP 및 DRM 솔루션, 팩스 및 프린터 보안 인증, 무선AP보안등 다양한 내부보안솔루션 도입운영

  - 외부 출입자에 대한 출입통제(매체 반입금지, 데이터비교삭제)

 O 감사(Audit)

  - 관리소홀 또는 권한을 남용한 정보유출 행위 또는 현재의 감시시스템이 인지하지 못하는 취약점을 이용한 상태 또는 장소, 방법으로 정보유출이 이루어지기 때문에 정보감사는 시스템 중심이 아닌 사람을 중심으로 이루어져야 함(환경분석, 행위분석, 사용자 패턴분석을 위한 다양한 정보분석이 필요)

10. 정보감사의 활용 방안

O 개인정보에 대한 유통/유출 흔적 분석, 개인정보가 포함된 디지털자료 목록화, 은닉정보 추출 및 의도적인 정보파기 감사, 암호화/복호화/완전파기/현황분석 수행, 사전 예방적 정보감사 수행가능, 정보유출 사건 발생에 따른 대응 분석, 개인정보보호 수준 진단 및 수준 점검

                                                                      ↓

            디지털 포렌식을 활용한 정보감사                                              

"디지털포렌식 기술을 활용한 개인정보보호 정보감사 업무 고도화"

    - 인터넷 사용기록, 방화벽 로그, 운영체제 이벤트 로그, 문서파일, 전자메일, 동영상 및 사진, 암호데이타, 각종 메타데이타

11. 디지털포렌식 정보감사의 주요 기능

 O 디지털포렌식 기술을 활용하여 다양한 사용자 OS의 아티팩트 분석을 수행

 O 시스템 정보감사 : 시스템장치 및 설정정보, OS 설치 및 계정 정보 등 수집

 O 사용자 계정감사 : 인터넷접속기록 및 키워드 검색 기록

 O 파일 및 문서 감사 : 파일 본문에 대한 키워드 분석, 분석 결과에 대한 추가적인 키워드 검색 지원

 O 외부저장장치 감사 : USB, 외장하드 연결 정보 및 연결 기간 동안 접근하고 생성한 문서 목록함

 O 이메일 감사 : 저장된 메일에 제목, 본문, 첨부파일에 대한 키워드 검색

 O 사용자 행위 감사 : 특정 시점에서의 사용자 행위를 타임라인을 통해 분석

 O 정보감사 행위 지원 : 삭제파일 목록화, 삭제복구, 완전삭제, 암호화, 암호해독, 백업.....

 O 정보유출 사건 대응 : 개인정보 유출 시 사건대응을 위한 증거이미지 생성 및 효력보호

 O 정밀정보 감사 : 시그니처분석 및 비할당영역복구 분석을 통한 정밀한 정보감사 수행

12. 빅데이터 시대의 정보감사의 대안

 O E-Discovery : 기업 및 기관에서 소송에 관련된 증거자료를 수집 하는 경우 방대한 디지털증거자료(ESI, Electronically Stored Information)가 법적 효력을 유지한 상태로 정확하고 신속하게 분석 수집하여 증거 제출이 가능하도록 하는 것

  - 다양한 포맷의 디지털 정보처리

  - 고도화된 통합, 분류, 분석 기술조

  - 수백TB의 대용량 정보처리건

  - 컴플라이언스 병행처리

 O 세부 기능

  - 송수신 메시지 분류, 켑처 : 공식인정된 모든 통신수단 커버, 법적 완결성 충족

  - 조건에 따른 사전 필터링 : 불필요한 메시지 켑처 방지로 대용량 저장, 신속한 검색

  - 중복내용 제거, 색인화, 압축 저장

  - 법원 요청에 따라 고속출력 : 사내 리소스 절감 및 기한내 제출 가능

  - 우선 순위에 따른 데이터 백업 : 대용량 저장, 신속 검색

  - 메시지 검색 및 결과 감사로그 생성, 저장 : 위변조 및 오용 방지로 법적 완결성 충족

13. E-Discovery를 정보감사

 O 정보관리 -> 정보추출 -> 수집 및 보관 -> 처리 및 분석, 리뷰 -> 산출물 생성 -> 보고

 O "e-Discovery의 처리 절차가 대용량 정보감사 절차에 대응"

14. 결론

 O 정보 감사에 대한 목적과 운영 방안을 수립해야 함

 O 사내 정보감사를 위한 기본적인 규정과 절차, 제도를 수립해야 함(권한부여)

 O 수립된 규정과 절차에 대한 실효적인 시행방안과 시스템을 도입하여야 함

 O 디지털증거의 확보와 정보감사를 위한 인력(기술), 전담부서를 운영해야 함

 O 사고 발생에 대비한 기술적, 법적인 자문과 공증을 위한 준비를 갖추어야 함

 O 임직원의 업무 환경 변화에 능동적으로 대처 할 수 있는 꾸준한 개선

개인정보보호 컨설팅 - 케이핌(www.kpim.co.kr)