2020.10.28 디지털 저작권 관리 (DRM)

디지털 저작권 관리 (DRM) : 각 문서 단위 권한 제어, 사용권한레벨이 사전에 정의, 문서 암호화 되어 권한 보유자만 사용, 외부유출된 문서 계속 보호 , 열람 편집인쇄 권한제어와 사용자별 부서별 권한 관리 , 스크린프린터와 캡처 차단 , 출력시 소속자 정보등 워터마크 기능 포함
데이터 유출 방지(DLP) : 데이터 흐름 과 분류 감시, 데이터 유출 감시 및 차단, 다양한 유출경로 과 다양한 파일 형식을 지원, 보조기억 매체 통제, 출력물 통제 및 승인 절차등과 관련한 통제정책을 적용, 네트워크와 인터페이스 매체(usb, 외장하드 등) 통제, 워터마크 넣을지등의 정책 통제

=================================================
문서 유출 방지 및 출력물 보안
 출력,복사 시 보호 조치 기준
 = 전자금융감독 규정 : 사용자별 접근 제어(입력,출력,열람 등), 테스트 시 이용자 정보 사용금지
 = 신요정보업감독규정 : 신용정보 회사 등은 개인 신용정보처리 시스템에서 개인신용정보의 출력시 용도를 특정, 사정 승인지 사용승인 신청자에게관련 법령을 준수
 = 개인정보의 기술적 , 관리적 보호 조치 기준 고시 : 개인정보의 출력 용도를 특정, 출력시 최소화, 개인정보를 관리하기위한 보호조치를 갖추어야 한다

출력 통제 : 관리자 승인(중요정보 출력 차단), ID카드(수거하지 않은 출력물 분실 방지), 마스킹 처리(중요정보 노출 차단)

========================================================

디지털 트랜스포메이션
언번들링(unbundling) : 금융산업에서 가장큰 화두로 부상한 핀테크는 더 빠르고 더 편리한 금융서비스를 원하는 소비자들의 트렌드에 발 빠르게 대응하면서 전통적인 금융업에서 금융 서비스 부분을 해체 하는것
언번들링 분야 : 지급결재, 송금, 대출 , 자산관리 등 다양한 서비스 분야에서 진행

핀테크, 디지털 금융 혁신과제
디저털 금융고도화, 
데이터 경제 활성화, 
핀테크 신산업 신서비스 육성, 
핀테크 디지털 규제 개혁
핀테크 디지털 금융 혁신 기반 강화

디지털 트랜스포메이션 전략
고객경험즉면
운영관리프로세스 측면
비지니스 모델 측면

============================
블록체인과 가상 화폐
 블록체인 : 신뢰된 3자 없이 p2p거래가 가능한 분산형 구조
 블록체인의 특징 : 분산성, 확장성, 투명성, 보안성(무결성), 안정성
 유형 : public 체인(가상화폐), 컨소시엄 블록체인(R3 CEV) , private 블록체인(나스닥의 비상장 주식 거래소 플랫폼인 링크)
 간편인증 : FIDO, PIN코드
 인증정보의 위변조 방지를 위해 인증정보를 공개형 블록체인에 등록하는 앵커링(Anchoring)을 이용할 경우 이에 대한 비용은 발생 - 앵커링 : 브라이빗 블록체인의 데이터를 퍼블릭 블록체인에 저장하는 기술 

=====================================================
 신용정보 보호
    관리적 보안 대책
      신용정보관리 보호인 지정 : 신용정보관리 보호인을 1명, 총자산 종업원수를 감안하여 대통령령을 정하는 자는 신용정보관리 보호인을 임원으로 하여야 한다(총 자산 2조원 , 종업원 300명 이상)
      준법감시인이 임원인 경우에만 신용정보관리 보호인과 겸임이 가능
      신용정보관리보호인의 역할 : 신용정보의 이용 및 보호에 관한 법률 에 서 정한 업무(제20조 4항)를 수행하고 업무에 관하여 주기적으로 작성하여 신용정보집중관리위원회, 대표이사 및 이사회 보고하고 금융위원회에 제출
    제20조 6항은 대표이사 및 이사회에 보고하고 금융감독원장이 정하는 서식에 따라 작성하고 매 사업연도 종료 후 3개월 이내에 금융감독원에 제출
   단 종합신용저보집중기관의 경우 대표이사 및 이사회에 보고하기 전 신용정보집중관리위원회에 보고

개인 정보 사용 요청자 는 개인정보처리시스템 관리자에게 제출       개인정보사용요청자가 보안관리자에게 제출

개인정보 유출 조치 기준 : 통지 항목 - 개인(신용)정보 항목, 유출된 시점과 경위, 피해를 최소화 하기 위하여 정보주체가 할 수 있는 방법, 회사의 대응 조치 및 피해 구제절차 , 피해가 발생한 경우 신고등을 접수할 수 있는 담당 부서와 연락처 

유출 신고 기준  : 1만명 이상 - 신용정보 보호법 , 금융위원회 신고하고 홈페이지 15일간 개시  -  1천명이상 개인정보보호법 , 개인정보 보호위원회 , 한국인터넷 진흥원 , 홈페이지 7일 이상 간 개시

15일간 인터넷 홈페이지 개시, 15일간 사무실이나 점포에 조치, 7일간 주된 사무소가 있는 특별시, 광역시, 특별자치시-도 이상 보급하는 일간신문 , 주간신문,인터넷 신문에 게재

=====================================================
기술적 보안 대책
   업무망 pc/ 폐쇄망 pc와 전자금융시스템 사이의 접근 통제 보호 대책은 EAM , 방화벽, SAC + 이중 인증
EAM 구성요소 : 사용자, 인증/sso(Authentication), 권한관리(Authorization), Legacy 시스템, 모니터링 

SAC - System Access Control
SAC 아키턱처 : 인증 - 중앙집중식 관리, 전체 시스템 관리
                    모니터링 - 접근차단, 문제 발생 아람, 커멘드 필터
                    기록 - 각종 이벤트 가종 해위 세션 레코딩
                    리포팅 - 모든 로그 저장 , 검색

SAC 제공 기능 : 인증,권한,유효 명령어 제어,로깅(접속로그), 통신암호화,
NAC를 통해 IP와 MAC 주소 기반으로 네트워크에 대한 접근 통제

네트워크 접근통제 : DMZ, 서버 팜, DB 팜 으로 구성
정보시스템 접근통제 요소변 서명 : 사용자 관점, 접근 위치, 접근 수단, 접근 제한

무선네트워크 접근 통제 영역별 
  무선 네트워크 구간 : 암호화 , SSID 숨김 , ACL 설정 , AP 목록 관리,단말 접속 인증
  무선네트워크 접근 제어 : 사용권한 신청 및 승인절차, 암호설정으로 사용자 인증 , 일반인과 내부직원 사용 AP 분리 
   비인가 무선 네트워크 방지 : WIPS(무선침입방지시스템) 설치 운영

망분리
  - 놀리적 망분리  : CBC 망분리(pc 가상화) - os 커널 가상화, Application 가상화 - , 터미널 서버기반, SBC 방식(서버 가상화) - VDI, Application 가상화 - 

   - 본점/ 영업점 망분리 : 불특정 다수가 접속하는 인터넷 포털 등은 제한

   - 망분리 예외 적용 절차 
      전산센터 및 본점 : 자체 위험성 실시, 망부리 대체 정보보호 통제 적용, 정보보호 위원회 승인 후 적용
      외부기관과 내부통신망 연결시 : 연결이 불가피한 경우 침입차단 시스템등 정보보호시스템의 통제에 의해 필요한 서비스 포트접근 이외 서비스 차단
      비상대책 수립시 : 해킹 및 사이버 테러 발생에 즉시 대처 가능한 대은 및 비상 연락망
                            해킹 및 취약점에 대한 정기 진단 및 분석을 실시하고 문제저에 대한 보완 대책을 수립/시행
      무선통신망 설치 및 운영시 : 업무는 AP의 기능 단위가 아닌 분장 단위를 의미
                                          SSID 브로드캐스팅 금지, 아이디와 암호이외 단말기 MAC 인증 , 내부비인가 무선 AP 설치 및 접속여부를 주기적으로 점검하고 통제 , WAP/WPA2 방식의 무선 데이터 암호화를 통해 전파신호 도청 방지

- 정보 처리 시스템 접속기록 보관주기
    정보처리 시스스템 가동기록 : 1년이상
    정보처리 시스템 이용자 접속 기록 : 1년이상
    이용자 중요 원작 작업내용 : 5년이상
    배치내용 : 별도 내용 없음

-접속기록 점검주기는 개인정보처리 시스템의 경우 월 1회 이상 점검일 실시

개인정보 비식별화 방법 : 사전검토, 비식별 조치, 적정성평가, 사후관리
데이터 3번에서 익명정보는 개인정보가 아니므로 개인정보 보호법이 적요되지 않는 다넌 점 확실히 규정하고 정보주체에게 동의를 받지 않으면 처리 할 수 없었던 정보들도 일부 처리가능
===========================================================
디지털 포렌식
  디지털 포렌식의 최종목표중의 하나는 법적분쟁 과정에서 각종 증거로 채택될 디지털 증거를 획득하는 것
 논리적 관정에서 섹터는 512byte 이고 넷을 하나로 묶어 2KB를 일반적으로 클러스터라 하고 두개의 클러스터를 묶어 하나의 페이지 (4kB)로 일반적으로 관리
NTFS의 기본할당값이 4KB 인데 이것은 일반적으로 페이지라 여길수 있음
FTA : 첫번째 바이트는 파일 이름으로 활용되기도 하지만 삭제된 파일 임을 표시하는 용도로 사용 처음 1byte가 0xE5이면 삭제된 파일
 분석도구로는 일반적으로 NIST의 CFTT 를 사용

==========================================================
포랜식 절차
  사전준비 , 증거수집, 증거 포장 및 이송, 조사분석,정밀검토,보고서 작성
  사전준비 : 신뢰적, 효율적 체계적 디지털 포렌식 수행을 위한 도구를 준비하는 단계(객관성확보)
  증거수집: 초기 대응, 휘발성 데이터 수집, 비휘발성 데이터 수집, 획득한 증거에 대한 무결성 확조  
  증거포장 및 이송 : 증거의 무결성을 증명할 수 있는 기술적 장치가 반드시 제공
 조사 분석 ; 훼손되거나 삭제된 데이터 복구
 정밀 겉토 및 보고서 작성 : 육하원칙에 따라 작성

========================================================
전자 금융거래 보안
  이용자 인증 보안
     인증 : 시스템이나 네트워크에 접근할 때 정당한 이용자임을 입증하는 행위
     전자서명법 전부개정안 : 2020.05.19 , 공인인증기관, 공인인증서 및 공인전자서명 제도의 폐지, 전자서명의 효력 부여(전자서명은 서명, 서명날인, 기명날인으로 효력을 가짐), 간편인증 - 아이디 , 암호가 아닌 핀코드, 생체인식등 과 같은 인증으로 빠른 인증제공 
    개정법은 사설인증서와 공인인즈서 간의 구분을 폐지하고 모든 전자서명에 동등한 법적 효력을 부여
   전자서명인증사업자는 평가기관을 통해 평가받고 평가기관은 평가결과를 인정기관(인터넷 진흥원)에 제출, 일반사용자는 전자서명 수단에 대한 개관적 정보를 제공받아 전자서명 수단을 선택할 수 있음

 인증방법
    지식기반(아이디 암호), 소유기반(공인인증서 OTP, 계좌정보 신분증 진위), 위치기반 (GPS), 생체기반(지문, 홍체 영상통화 등)
   FAR : 부정 허용율 - FAR이 낮으면 높은 정확도를 요구하는것 (너무낮으면 정상 이용자거부 현사이 발생)
   FRR : 부정 거부율
  CER : 교차 오유율 (수치가 높아지면 생체인증 수단의 복제나 모방의 위험성이 커짐 생체 인증시에는 낮은 것이 좋음)
   
인증시스템 구조
     PPA(과학기술정보통신부) 공인인증서 정책 결정
     PCA(인터넷진흥원) - RootCA 발급
    CA(금융결재원) -  인증서 발급과 취소의 실질적 업무
    RA(은행0 - 사용자 신분을 확인하고 CA와의 인터페이스 제공

=============================
 이용자 데이터 입력 보호
    물리적 매체 (키보드) - 커널레벨 후킹차단
    가상 매채 - 난독화 및 좌표값 재사용 차단, 루팅이나 탈옥 차단 , 캡처 방지 적용
  
   필터 드라이버 : 파일 시스템으로 전달되는 입출력을 가로채는 드라이버
   
   단말기 영역 : 입력값에 대한 탈취 시도를 차단 
   전송 영역 : 전송되는 값을 암호화 하여 보호하는 방식
   가상키패드는 매세션마다 랜덤하게 변경하여 Journaling Hooking을 방지해야한다
   BOH(Brower Helper Object) 웹브라우저에서 실행 할 수 없는 기능을 지원하기 위해 별도의 plugin 형태로 제공되는 Dll 모듈
   Journaling Hooking Os에서 방생하는 입력매체의 이벤트 Message를 응용프로그램에 전달하기 전에 가로채 그내용을 기록하는 ㄷ것으로 재사용이 가능한 공격기법

이용자 입력데이터 노출 위협구간
   네트워크 : 네트워크 스니핑, 네트워크 중간자 공격
   키보드 보안 모듈 : 인테페이스 중간자 공격 , 이벤트 재생 공격
   단말기 : 메모리 해킹, 키로거,화면캡처, 키보드 이벤트 탈취

  입력값 보호 대책 : USB 포트  대책, 모바일거래는 악성 앱 대책

디대면 인증 수단
   타기관 확인결과 활용, 실명확인증표 사본제출(촬영한 사본), 기존계좌 활용, 기타 이에 준하는 방식(생체 인증 등)
================================================

단말기 영역 보호 
   메모리 해킹 
       응용프로그램 메모리 해킹 대응
         웹브라우저 : 데이터 암호화(확장 E2E - DOM,BHO 공격 - )
         금융회사가 제공하는 응용프로그램 : HTML5( - 인터페이스 후킹 공격 - )
         모바일 앱 : TEE 기반 으로 보안 영역의 메모리에 중요정보 저장 운영 , 루팅탈옥기기 차단 (메모리 공격)

난독화 기법
   문자열 난독화, 코드 난독화,클래스 메소드 난독화, 리소스 암호화(난독화), 데이터 난독화, 제어흐름 난독화(불필요한 코드를추가 등)

리버싱으로 부터 프로그램을 보호하기 위해 실행압축을 수행하는 프로그램을 프로턱터라 부름

실행파일 보호기법 : 안티 디버깅, 코드 난독화, 다형성 코드(엔진을 통해 해석 후 실행), 가비지 코드 (필요없는 코드 추가)

스키밍 : 카드정보를 복제할 수 있는정보를 달아서 정보를 탈취 하는 것( 방해 전파를 발신하는 Jamming을 설치하여 방지)

시그니처 기반 휴리스틱 진단 - 악성코드를 정적으로 진단하는 것 : 패턴을 기준으로 판단하여 미탐율 낮음, 유사한 코드를 가진 프로그램을 악성코드로 오인
행동기반 휴리스틱 진단 - 악성 코드를 동적으로 진단 : 악성행위에 대한 빈도와 중요도에 따라 점수를 책정 , 기준치 이상의 점수에 도달하면 악성 코드로 진단 , 알려지지 않음 악성코드 진단 가능 오탐율이 높고 악성 코드가 실행되어야 탐지가 가능

리버싱 : 역공학 이라고도 하며 실행프로그램의 원시소스 코드나 소스 코드 실행 방식, 사용되는 데이터를알아내는 것 
난독화와 실행 압축을 통해서 응용프로그램의 디컴파일하는 어렵게 하거나 역공학 시 분석을 어렵게 할 수 있음

버퍼 오버 플로우
    strcpy 같은 함수 사용하지 않음

바이러스 : 자기 복제 , 비정상 동작 , 데이터 삭제
웸 : 자기복제, 메일전송, 악성코드 삽입
악성 봇 : 바이러스 전파, 스팸메일 전송, DDos 공격
스턱스넷 : 이란 원자력 발전소 침투
ad-ware : 팝업 노출 인터넷 시작페이지 변경

악성코드 방지 방안
  - 방지 : 출처, 유통경로 및 제작자가 명확하지 아니한 응용프로그램은 악성 코드 검색 진단 후 사용
  - 대응 : 망분리, 감염된 사실을 신속히 신고할 수 있는 연락체계 구축

악성코드 탐지 
   - siem과 연계하여 진된탐지기술로 발전
   
관리자 권한 분리
   - 인터넷이 사용 가능한 PC의 경우 CVE취약점을이용한 DBD( Drive by Download)공격 으로 웹사이트에 접속하는 것만으로 악성코드가 다운되고 실행 되어 관리자권한이 없는 것이 좋음

===========================================================
거래 보안 관리
보안 취약점 점검 및 관리
  분석 평가 주기 및 범위 - 전자 금융기반 시설 취약점 분석 평가는 연 1회 이상, 침해사고가 발생하여 피해와 피해확산 방지는 지체 없이, 정보기술부문의 기능 개선 변경 시 지체없이, 홈페이지 6개월에 1회 이상

자체 전담반
   중급자격취득 후 3년이상 정보보호 경력, 박사학위 또는 기술사, 석사학위 및 4년이상 정보보호 경력, 학사학위 및 기사 취득후 6년이상, 전문대학 졸업 및 산업기사 취득후 8년이상 경력
   학사만 보유 8년, 전문대졸은 10년 의 경력 필요, 중급자격 취득 후 3년 경력

전자금융기반시설 취약점 분석 평가 내용
  관리적 보안 : 정보보호 정책, 정보보호 조직 및 인력 , 내부통제, 정보보호 교육 및 훈련
  물리적 보안 : 전산설비 보안
  기술적 보안 : 인터넷 전자 금융보안, 모바일 전자금융 보안, 접근통제, 전산자료 보안,서버보안

취약점 점검 절차 5단계
 - 사전 단계, 취약점 분석 단계, 대책수립단계, 완료 단계, 사후관리 단계
 사전단계 : 요구분석, 범위선정, 산출물 정의, 시작회의 실시,
취약점 분석 단계 :  자산분석, 취약점분석, 위험분석, 취약점 평가, 정보보호 수준평가, 기존 보호대책 분석
대책수립단계 : 기술적보안 대책 수립, 관리적 물리적 보안대책 수립, 중자기 대책 수립, 보안그룹
완료단계 : 실무자 업무협의, 최종 강평회의, 산출물 전달
산후관리단계 : Hot Fix 보안 조치 및 확인, 보완조치 확인 점검

===========================================================

외주 보안 관리
파견 : 파견법에 의해서 파견 - 파견법 - , 2년 상주 , 고객사 직원에 준하는 대우 , 업무지시 가능, 내부직원에 준하는 보안 통제 적용
도급 : 어떤일을 할지 정의 하고 결과에 대해 보수 지급 - 민법 -  도급계약 기간 동안 상주, 하청내부복지 , 업무지시 불가능
리스 : 인력이 아닌 시설에 대해서만 임대 계약
개발환경에서 개인정보를 이용하는것은 원칙적으로 이용이 금지
단말기 통제는 데이터를 취급하지 않는 경우는 개발환경에 따라 예외로 적용 가능
내부직원과 미동행시에는 데이터의 읽기 권한만 부여
==========================================================

이상 금융거래 방지 대책
  이상금융거래탐지시스템은 사고예방모니터링 시스템을 의미
  FDS(이상금융거래탐지시스템) : 정보수집, 분석 및 탐지, 대응, 모니터링 및 감사
  모니터링 및 감사는 모든 단계에서 진행

  오용담지 모델(Misuse Detection Model)
   - 패턴 탐지 모델 : 과거에 발생된 사고정보와 현재의 정보의 패턴이 정확히 일치하는지 여부
   - 상태전이 모델 : 정상적인 금융거래절차 또는 유형을 벗어나는 행위를 패턴화하여 이상금융거래 유무를 판단

이상탐지 모델(Anomaly Detection Model)
  통계모델 : 과거 이용해던 접속 환경, 정상적인 금융거래 유형을 기반으로 이용자 프로파일을 생성하고 매거래시 프로파일을 비교
  데이터마이닝 모델 : 정형화 되지 않은 대량의 데이터를 분석하여 규칙을 만들고 해당 규칙에서 벗어나는 데이터를 찾아 이상금융거래 유무를 판단

 

문서.rtf

0.67MB