이경석 박종락 2009-02 9744 https://aurora.ajou.ac.kr/handle/2018.oak/17532 학위논문(석사)--아주대학교 정보통신대학원 :정보보호,2009. 2 기업환경에서 보안인프라 구현 및 운영은 비즈니스의 영속성 및 경쟁력 제고에 있어 그 어느 도메인보다 역할이 중요해 지고 있다. 최근의 기업에 대한 악의적 공격이 특정 그룹사를 겨냥하여 금전적 이익을 목적으로 국지적인 양상을 보이고 있으며 많은 기업들이 자사의 시스템 및 정보보호를 위하여 네트워크, 시스템, 어플리케이션, End-Point 에 각종 보안 솔루션 도입 및 관제서비스를 통하여 대응하고 있다. 하지만 상당수의 기업이 솔루션 베이스의 보안인프라 구현, 외부 전문가 또는 보안 전문 업체의 의존도가 높은 편이며 자체적인 보안인력 확보 및 정형화된 Process 정립에 소극적인 자세를 취하고 있다. 보안 산업이 투자대비 ROI 산출이 쉽지 않은 관계로 경영진의 보안인프라에 대한 투자의지가 미흡하고 침해사고의 경험 후 이를 보완하기 급급한 현실이다. 본 연구논문에서는 정보시스템의 영역을 기준으로 어플리케이션, 시스템, 네트워크로 구분하여 각 계층에서의 보안위협 요소를 분석하고 위협으로부터 정보자산을 보호하기 위한 기술적, 관리적 보안에 대하여 기술하였다. 이를 바탕으로 Best Practices 기반의 관리적 보안에서 공통적인 요소를 도출하여 각 기업에서 최소한의 정책수립에 참고가 될 수 있는 프레임워크를 제시하였다. 제시된 프레임워크의 활용은 크게 상향식 접근과 하향식 접근으로 구분될 수 있다. 상향식 접근의 경우 전반적인 정보보호 활동에 대한 정책을 수립하고 각 영역별 보안을 구현하기 위한 Guide Line 역할을 수행한다. 하향식 접근의 경우 현재 구축, 운영 중인 각종 정보시스템의 내부 점검을 위한 체크리스트 용도로 활용이 가능하다. 활용의 예로 기업에서 End-Point 의 보안에서 단순한 기술 또는 솔루션을 도입하였을 경우와 프레임워크의 상향식 접근을 통해 정보보호 정책 수립하고 기술적 보안을 구현 하였을 경우의 비용을 분석하여 비용대비 효율성 제고를 위한 방안을 제시하였다. 1장. 연구의 배경 및 목적..................................................................................1 1.1 연구의 배경.....................................................................................1 1.2 연구의 목적.....................................................................................2 1.3 논문의 구성.....................................................................................3 2장. 보안위협의 종류.......................................................................................4 2.1 어플리케이션에 대한 위협..............................................................5 가. 응용프로그램 취약점...........................................................5 나. 정보유출..............................................................................7 2.2 시스템에 대한 위협........................................................................7 2.3 네트워크에 대한 위협...................................................................10 가. 직접공격(적극적 공격)......................................................11 나. 간접공격(소극적 공격)......................................................12 다. 경로의 악용.......................................................................12 3장. 보안위협으로부터 방어를 위한 기술적 보안..........................................14 3.1 어플레케이션에 대한 보안............................................................14 가. Web Application Firewall...............................................14 나. 데이터베이스에 대한 기술적 보안.....................................16 다. 내부정보유출에 대한 기술적 보안.....................................18 3.2 시스템에 대한 기술적 보안...........................................................19 가. End-Point 에 대한 보안..................................................20 나. 서버시스템에 대한 보안....................................................24 3.3 네트워크 보안...............................................................................26 4장. Best Practices 기반의 관리적 보안.......................................................33 4.1 ISMS(Information Security Management System).................34 4.2 Cobit(Control Object for Information and related Technology)..................36 4.3 ITIL에서의 보안관리....................................................................38 5장. 효율적인 기업 보안의 방안....................................................................42 5.1 Best Practice 에서의 공통분모...................................................42 가. 전사적 정보보호 정책.......................................................43 나. 정보보호 수행조직............................................................44 다. 보안인식교육.....................................................................44 라. 접근통제............................................................................45 마. 모니터링 및 감사..............................................................45 바. 지속적 개선.......................................................................46 5.2 효율적인 정보보안 운영을 위한 프레임워크.................................52 가. 정보자산의 분류................................................................48 나. 정보보호활동.....................................................................48 다. 생명주기............................................................................49 5.3 사례기반의 비용 효율성 분석.......................................................49 가. 전사적 Active Directory 정책의 명세화.........................50 나. 비용효율성 분석................................................................56 6장. 결론........................................................................................................59 참고문헌...........................................................................................................61 Abstract...........................................................................................................62 kor The Graduate School, Ajou University 아주대학교 논문은 저작권에 의해 보호받습니다. 보안 위협요소 분석 및 정보보호 프레임워크 제시를 위한 연구 Jong Lark Park Thesis 아주대학교 정보통신대학원 Jong Lark Park 정보통신대학원 정보보호 2009. 2 Master http://dcoll.ajou.ac.kr:9080/dcollection/jsp/common/DcLoOrgPer.jsp?sItemId=000000009744