[º¸¾È´º½º= ÀÓäȣ KAIST Ãʺù±³¼ö] ¹Ì±¹ ¡®FISMA¡¯ ¹ý·É¿¡ ±â¹ÝÇÏ°í ÀÖ´Â ¿¹»êû ¡®OMB Memorandum M-08-05¡¯¿¡ ÀÇÇÑ TIC(Trusted Internet Connection)´Â ÀÎÅͳÝÀ» ÀÌ¿ëÇÏ´Â ¿¬¹æÁ¤ºÎÀÇ °³º° ÀÎÅÍ³Ý Á¢¼ÓÀ» ÃÖÀûÀÇ º¸¾ÈÇ¥ÁØÀ¸·Î Á¦°øÇϱâ À§ÇØ ¸¸µé¾îÁ³´Ù. Áï, ¸¹Àº ¿¬¹æ±â°ü¿¡¼ÀÇ ¿ÜºÎ ÀÎÅÍ³Ý Á¢¼Ó¿¡¼ ¹ß»ýÇÏ´Â º¸¾È»óȲÀ» °¨½Ã(¸ð´ÏÅ͸µ)ÇÏ°í ¿©·¯°¡Áö »óȲÀ» ÁýÁß °ü¸®Çϱâ À§ÇØ ±¸ÇöµÈ °ÍÀÌ´Ù.
¡ã ±×¸² 1. ºñÁî´Ï½º¿Í º¸¾È ¾ÆÅ°ÅØó(ÂüÁ¶: https://en.wikipedia.org)
US TIC Ç¥ÁØ°ú »çÀ̹ö µ¼
¡â TIC(Trusted Internet Connection)
±×¸² 2´Â TICÀÇ ±âº» °³³äÀÌ´Ù. ¹Ì±¹ ¿¹»êûÀÌ °ü¸®ÇÏ´Â ¿¬¹æÁ¤ºÎ ¹× »êÇϱâ°üÀÌ ¼ö õ°³¿¡ À̸£´Â »óȲ¿¡¼ ¿¹»êûÀº À̵éÀÇ ÀÎÅÍ³Ý Á¢¼Ó Ç¥ÁØ °ü¸®¿¡ ÀÖ¾î ±¸Á¶ÀûÀÎ ÀåÁ¡À» Áö³æ´Ù. ¸ðµç Á¤ºÎ È°µ¿°ú ±â¾÷ È°µ¿ÀÇ ±âº»Àº ¿¹»êÀÌ´Ù. TIC´Â ¿¬¹æÁ¤ºÎ±â°üµéÀÇ ÀÎÅÍ³Ý Á¢¼Ó°ü¸®¸¦ ´ã´çÇϴµ¥, Áß¾ÓÁýÁᫎ °ü¸®¸¸ÀÌ ÁÖ°¡ ¾Æ´Ï´Ù. °¢ ¿¬¹æÁ¤ºÎ¸¶´Ù ¼·Î ´Ù¸¥ º¸¾ÈÀ§ÇùÀ» DHS¸¦ ºñ·ÔÇÑ º¸¾È´ã´çºÎ¼°¡ Áß¾Ó °¨½ÃÇÔÀ¸·Î¼ ³ªÅ¸³ª´Â ÀåÁ¡ÀÌ ´õ¿í Å©´Ù.
¡ã ±×¸² 2. TICÀÇ ±âº» °³³ä
ÀÌ´Â ¸¶Ä¡ ÀºÇà¿¡ ÀÖ´Â ¸¹Àº CCTV Ä«¸Þ¶ó¸¦ Áß¾Ó¿¡¼ ÁýÁß°ü¸®ÇÏ´Â °Í°ú °°´Ù. ¿©±â¿¡¼ ħÀÔŽÁö½Ã½ºÅÛ(IDS), ħÀÔ¹æÁö½Ã½ºÅÛ(IPS) µîÀ» µ¿ÀÛ½ÃÄÑ Ä§ÀÔÀ» ŽÁöÇÏ´Â Åë·Î¸¦ Á¦°øÇÏ´Â °ÍÀÌ´Ù. Áß¾Ó¿¡¼ ³ªÅ¸³ª´Â °¢Á¾ ħÀÔµ¥ÀÌÅ͸¦ ´ë»óÀ¸·Î ½Ç¹«º¸¾È(Practice) ºÐ¼®°ú ħÀÔÁ¤º¸(Signature)¸¦ °¡Áö°í º¸¾È Àåºñ¿¡ ÀÔ·ÂµÇ°í ¿¬±¸°³¹ßÀÇ ±âÃÊ°¡ µÇ´Â °ÍÀÌ´Ù.
Á¤ºÎÀÇ ¸ð´ÏÅ͸µÀº ¡®US-CERT.ORG¡¯°¡ °ü¸®Çϸç NSA, CIA, FBI µîÀÌ Âü¿©ÇÑ´Ù. À̵éÀº Àü¹®°¡ ¹× º¸¾È¾÷ü¿Í °øµ¿À¸·Î ºÐ¼®ÇÏ°í ÀÖ´Ù. ¼ö½Ê Å׶ó¹ÙÀÌÆ® ÀÌ»óÀÇ Á¤ºÎ ÀÚ¿øÀÌ Áß±¹À¸·Î ³Ñ¾î°¡´Â »óȲ¿¡¼ °ø¹«¿ø°ú ±¹¹ÎÀÌ ÀÎÅͳÝÀ» ÀÚÀ¯·Ó°Ô È°¿ëÇÏ¸ç ºñÁ¤»óÇàÀ§¸¦ ŽÁöÇÏ´Â ÀÌ ¹æ½ÄÀº °ø°Ý Áõ°Å°ª(Signature) ¾÷µ¥ÀÌÆ®¿¡ ¸Å¿ì È¿°úÀûÀÌ´Ù. ´Ù¸¸ Á¤ºÎ ³×Æ®¿öÅ©¸¦ ÀÌ¿ëÇÏ´Â °³º° ¿¬¹æÁ¤ºÎ±â°üÀº ´Ù¸¥ ºÎÁ¤ÇÑ Á¢¼ÓÀÌ ¾ø¾î¾ß ÇÑ´Ù. °³º° ¿¬¹æÁ¤ºÎ±â°ü ƯÀ¯ÀÇ º¸¾È¿¡ Àü³äÇØ¾ß ÇÏ´Â °ÍÀÌ´Ù. ÃâÀÔº¸¾È, USB º¸¾È µî ¹°¸®º¸¾È°ú ¾ÖÇø®ÄÉÀÌ¼Ç ½Ã½ºÅÛ º¸¾È, ÀÎÀûº¸¾È µîÀÌ´Ù. ¿¹»êûÀº ¸Å³â °¢ ¿¬¹æÁ¤ºÎ¿¡°Ô TIC Ç¥ÁØ ÀÌÇà ³»¿ëÀ» ¿ä±¸ÇÑ´Ù.
¡â US TIC
ÇöÀç ¹Ì±¹Àº TIC 2.0 ¹öÀüÀ» ¿î¿µ ÁßÀÌ´Ù. ÀÌ´Â ¸ðµç ¿¬¹æÁ¤ºÎ¿¡ °Á¦ÀûÀÎ ÀÌÇà»çÇ×À̸ç À§Çù¿¡ ´ëÇÑ Á¤ºÎ³×Æ®¿öÅ©¿¡ Á¢¼Ó¿¡ ´ëÇÑ ±â¼úÀû ¿ä±¸»çÇ×ÀÌ ÀÖ´Ù.
- TIC Á¢±ÙÁ¦°øÀÚ(TICAPs)¸¦ ¿¬°áÇØ¾ß ÇÑ´Ù.
- »ó¿ë¸Á »ç¾÷ÀÚ°¡ ¡®Managed Trusted IP Service(MTIPS)¡¯°¡ µÇ¸ç, °¡ÀÔ±â°üÀº Network MTIPS³ª TICAP ¼ºñ½º¸¦ ÀÌ¿ëÇØ¾ß ÇÑ´Ù.
¡ã ±×¸² 3. TIC ±â¼úÀû ¾ÆÅ°ÅØó
ÀÌ´Â ¿¹»êûÀÌ TIS ÁøÇà°úÁ¤À» ¸Å³â DHS¿¡ º¸°íÇÒ °ÍÀ» Àǹ«Á¶Ç×À¸·Î µÐ´Ù. TIC´Â ¹Ì±¹ ¹é¾Ç°üÀÌ Á¤ÀÇÇÑ ¡®CNCI(Comprehensive National Cybersecurity Initiative)¡¯¿¡ ¸í¹®ÈµÇ¾î ÀÖ´Ù. ÀÌ´Â Àü ¿¬¹æÁ¤ºÎ Â÷¿øÀ¸·Î ¿ÜºÎ¿¬°áÀÇ Ãà¼Ò °³³äÀ¸·Î ½ÇÇàµÇ°í ÀÖ´Ù. ±×¸² 3Àº TIC ±â¼úÀû ¾ÆÅ°ÅØó¸¦ ³ªÅ¸³½ °ÍÀÌ´Ù.
¡ã ±×¸² 4. TIC ±¸Ã¼ÀûÀÎ ¾ÆÅ°ÅØó
TIC Á¢¼Ó¿¡´Â °¢Á¾ °¨½Ã ¹× ¸ð´ÏÅ͸µ ü°è¸¦ ¿ä±¸ÇÑ´Ù. ±¹³» °üÁ¦ ¾÷üµéÀÇ ±¸Á¶¿Í À¯»çÇÏ´Ù. ÆÐŶÇÊÅÍ, ÄÜÅÙÃ÷ ÇÊÅÍ, IDS/IPS, ÀÎÁõ ¹× °ü¸® ü°è µîÀ» ¿ä±¸ÇÑ´Ù. Áß¿äÇÑ °ÍÀº ·Î±ë, ÀúÀå°ú ºÐ¼®ÇÏ´Â ÇÁ·Î±×·¥À¸·Î¼ ¸ð´ÏÅ͸µ, Ã¥ÀÓÃßÀû(Audit), º¸°í, ¼Ò½ººÐ¼®, ´ëÀÀÀÌ ÀÖ´Ù´Â °ÍÀÌ´Ù.
¡ã ±×¸² 5. TIC °¨½Ã ü°è
¶ÇÇÑ ¿ÜºÎ Á¢¼Ó ½Ã³ª¸®¿À·Î, °ø¹«¿ø VPN Á¢¼Ó, ¿ø°Ý Á¢¼Ó, ¿ÜÁÖ ¾÷ü Á¢¼Ó, ¿ÜºÎ ºñÁ¤»ó ¿¬°á, À¥ È£½ºÆà µîÀ» ¿ä±¸»çÇ×À¸·Î °Å·ÐÇÏ¸é¼ ¡®TIC Capabilities List¡¯¸¦ Á¤ÀÇÇß´Ù.
¡â »çÀ̹ö µ¼(Dorm) ȯ°æ
¸¸¾à ¾î¶² Á¤ºÎ±â°üÀÌ ÀÎÅÍ³Ý °æ·Î¸¦ Á¤ºÎÅëÇÕÀü»ê¸ÁÀ» ÀÌ¿ëÇÑ´Ù¸é, TIS ȯ°æÀ̶ó°í º¸´Â°¡? ±×·¸´Ù°í º¼ ¼ö ÀÖ´Ù. °ø¹«¿øÀÌ ÀçÅñٹ«¸¦ Çصµ Çù·Â¾÷ü³ª »êÇϱâ°üµµ Á¤ºÎÅëÇÕÀü»ê¼¾Å͸¦ °æÀ¯ÇÏÁö ¾Ê°í¼´Â Åë½ÅÀÌ ºÒ°¡´ÉÇÏ´Ù¸é ±×·¸´Ù°í º¼ ¼ö ÀÖ´Ù. ÀÌ°ÍÀÌ »çÀ̹ö µ¼ÀÌ´Ù. TIS ȯ°æ¿¡¼ Åë·ÎÀÇ ºñÁ¤»óÀ» ÆÇ´ÜÇØÁÖ´Â ½Ã½ºÅÛÀÌ Á¸ÀçÇÏ°í À̸¦ Åë°úÇÑ Åë½Å Æ®·£Àè¼ÇÀ» ºÐ¼®ÇÏ°í(Analye), Á¶»çÇÏ°í(Forensic), ŽÁöÇÏ°í(Detect), ´ëÀÀÇÏ°í(Response) Åë°è¸¦ ³»°í(Statistcs), º¸°íÇÏ°í(Dash Board), ¾Ë·ÁÁÖ°í(Warning), ¾÷ü¿¡°Ô ÃÖ½ÅÁ¤º¸¸¦ Á¦°øÇϸç(Signature) »çÀ̹ö µ¼ ¹ÛÀÇ ±â°ü¿¡°Ôµµ ¾Ë·ÁÁִ ȯ°æÀÌ µÈ´Ù.
Á¤ºÎÅëÇÕÀü»ê¼¾ÅÍ´Â ¸¶Ä¡ ¹Ì±¹ÀÇ DHS US-CERT¿Í °°ÀÌ ±× ±â´ÉÀÌ º¸ÀåµÇ¾î¾ß ÇÑ´Ù. °¡ÀÔµÈ ¸ðµç Á¤ºÎ±â°üÀÇ Åë½Å Æ®·¡ÇÈÀ» °¨½ÃÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù. Á¤ºÎ°¡ Á¤ºÎÀÇ ÀÚ»êÀ» °¨½ÃÇÏ´Â °ÍÀÌ ºÒ¹ýÀº ¾Æ´Ï´Ù. Á¤ºÎÅëÇÕÀü»ê¼¾ÅÍ´Â ¹Ì·¡ºÎ¡¤±¹Á¤¿ø¡¤±¹¹æºÎ¡¤°æÂû¡¤°ËÂû µî¿¡¼ °øµ¿À¸·Î ±Ù¹«ÇØ¾ß ÇÑ´Ù. Á¤ºÎÀÇ ÀÚ»êÀ» ³ë¸®´Â ºÒ¹ý Æ®·¡ÇÈÀÌ ÀÖ°í ±× ´ëÀÀÀ» °¢°¢ÀÇ Á¤ºÎ±â°ü R&R¿¡ ÀÇÇØ ÀÌ·ç¾îÁ®¾ß È¿À²ÀûÀÌ°í È¿°úÀûÀÌ´Ù.
ÀÌ´Â Á¤ºÎ¿¹»êÀ» ÀÌ¿ëÇÏ´Â »êÇÏ´Üü³ª °ø°ø±â°üµµ ¸¶Âù°¡Áö´Ù. Áß¾ÓÁýÁßÀûÀÎ °¨½Ã°¡ ¾ø´Ù¸é º¸¾È°ü·Ã ¿¹»êÀ» »ç¿ëÇϴµ¥ ÀÖ¾î¼ ¾öû³ Áߺ¹°ú ³¶ºñ¸¦ ÃÊ·¡ÇÏ´Â °ÍÀÌ´Ù. ÇöÀç Áߺ¹µÇ°í ÀÌÁßÀûÀÎ Á¤Ã¥ ÁýÇàÀ¸·Î ºñ¿ëÈ¿À²Àº »ç¶óÁø ¼ÀÀ̸ç, Á¤ºÎ ¹× »êÇϱâ°ü¿¡ °úÁßÇÑ ¾÷¹«¸¦ ÁÖ°í ÀÖ´Â °ÍÀÌ´Ù. ´ë±â¾÷Àº ±×·¸Áö ¾Ê´Ù. ´ë±â¾÷ À¯°ü±â¾÷Àº ¸ðµÎ ÇϳªÀÇ º¸¾È°üÁ¦¼¾Å͸¦ °ÅÃľ߸¸ Åë½ÅÀÌ °¡´ÉÇÏ´Ù. ±×·¡µµ ¼ö ¸¹Àº »çÀ̹ö ºÒ¹ýÇàÀ§°¡ ¹ß»ýÇÏ°í ÀÖ´Ù.
»õ·Î¿î º¸¾È ¾ÆÅ°ÅØó
¡â»çÀ̹öº¸¾ÈÀº º¸ÀÌÁö ¾Ê´Â´Ù?
»çÀ̹öº¸¾È À§ÇùÀº °ÑÀ¸·Î µå·¯³ªÁö ¾Ê´Â´Ù. ÀÏ·Ê·Î ±¹Á¤¿øÀÌ Çѱ¹¼ö·Â¿øÀÚ·Â(ÀÌÇÏ ÇѼö¿ø)¿¡ ´ëÇØ ¾çÈ£ÇÑ º¸¾ÈÁ¡¼ö¸¦ ÁØ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. ÇѼö¿øÀÇ º¸¾ÈÁ¡¼ö´Â 87.22Á¡À¸·Î º¸¾È¼öÁØ Æò°¡ »óÀ§ µÎ ¹ø°¿¡ ÇØ´çÇÏ´Â ¾çÈ£ µî±ÞÀ» ¹Þ¾Ò´Ù. ÀÌ ³»¿ëÀ» ºÐ¼®ÇÏÀÚ¸é, ¡â»óÀ§±â°ü¿¡¼ÀÇ º¸¾ÈÆò°¡´Â ÀÎÁõ °ªÀÌ µÇ±â ¾î·Æ´Ù. ÀÌ´Â ISMS ÀÎÁõüÁ¦µµ ¸¶Âù°¡Áö´Ù. ¡âÇѼö¿øÀÇ º¸¾ÈÁ¡¼öÀÎ 87Á¡Àº B+ ¼öÁØÀÇ ¾çÈ£¼öÁØÀÌ´Ù. ÇÏÁö¸¸ ¿©ÀüÈ÷ 13Á¡ ¼öÁØÀÇ À§Çè¿ä¼Ò°¡ ³²¾Æ ÀÖ´Â °ÍÀÌ´Ù.
°á·ÐÀûÀ¸·Î Á¤ºÎ´Â »çÀ̹öº¸¾È¿¡ ´ëÇØ Áö¿øÇÏ´Â ¿ªÇÒ¸¸ ÇÒ »ÓÀ̸ç, ¸ðµç °ÍÀº ÇØ´ç ±â°üÀÌ Ã¥ÀÓÁ®¾ß ÇÑ´Ù´Â °ÍÀÌ´Ù. º¸¾ÈÁ¡¼ö´Â º¸¾ÈÅëÁ¦ ÁؼöÀ²ÀÏ »ÓÀÌ´Ù. ¸¸¾à »ç°í µî ¹®Á¦°¡ »ý°å´Ù¸é, ¾î¶°ÇÑ º¸¾È ÅëÁ¦°¡ ¹®Á¦ÀÎÁö °¡·Á³»°í ±× º¸¾ÈÅëÁ¦ÀÇ ÇöȲÀ» ÆľÇÇØ °³¼±¹æ¾ÈÀ» Á¦½ÃÇÑ ÈÄ, Áö¼ÓÀûÀÎ °»½ÅÀÌ ÇÊ¿äÇÑ °ÍÀÌ´Ù.
ÇѼö¿ø°ú °°Àº »ê¾÷Á¦¾î½Ã¼³»Ó¸¸ ¾Æ´Ï¶ó, ÀÎÅͳݿ¡ ¿¬µ¿µÈ ¸ðµç ±â¾÷Àº ±âÁ¸ÀÇ »çÀ̹öº¸¾È ¾ÆÅ°ÅØó¿¡¼ ´ÙÀ½°ú °°Àº ¹®Á¦°¡ ÀÖ´Ù. ÀÌ·¯ÇÑ ¹®Á¦ÀÇ Ãâ¹ßÀº ½Ç¹«°¡ ¾ø´Â »çÀ̹öº¸¾È Á¤Ã¥°ú ±â¼ú, Áï »ç·Ê(Practice)°¡ ¾ø´Â »çÀ̹ö º¸¾ÈÀ» ÇØ ¿Ô±â ¶§¹®ÀÌ´Ù. ¾Æ·¡¿¡¼ ¿°ÅÇÑ »õ·Î¿î ¾ÆÅ°ÅØó ¿ä±¸»çÇ× Ç׸ñµéÀº ±¹³»¿¡¼ ¸ðµÎ °æÇè ÁßÀÌ´Ù. KAIST°¡ ¼öÇàÇÑ °úÁ¦¿¡¼µµ ¸ð ±ÝÀ¶±â°ü ¸ðÀÇÇØÅ·(2012), ¸ð ÀüÀÚȸ»ç ¸ðÀÇÇØÅ·(2013)¿¡¼ Áõ¸íÇÑ »çÇ×ÀÌ´Ù. ¾Ç¼ºÄڵ带 ¾î¶² ÀϹÝÁ÷ Á÷¿ø À̸ÞÀÏ·Î °¨¿°½ÃÅ°°í ħÅõÇÑ ÈÄ, Áß¿ä ¼¹ö °ü¸®ÀÚ ±ÇÇѱîÁö ȹµæÇßÀ¸¸ç °á±¹ ¹°¸®ÀûÀÎ ¸Á ºÐ¸®¸¦ ÅëÇÑ Áß¿ä ³×Æ®¿öÅ©¸¦ º¸È£ÇÏ´Â ¾ÆÅ°ÅØó¸¦ °³¼±Çß´Ù.
»õ·Î¿î º¸¾È ¾ÆÅ°ÅØóÀÇ Çʿ伺Àº ´ÙÀ½°ú °°Àº Çö»ó¿¡¼ ³ªÅ¸³´Ù. ÀÌ·¯ÇÑ Çö»óÀº ±¹³»¿¡¼ ¸ðµÎ °Þ°í ÀÖ´Â »óȲÀ̸ç, À̸¦ ¾î¶² Áß¿äÇÑ Á¶Á÷À̳ª Á¶Á÷ÀÇ ¾î¶² ºÎ¼°¡ °Þ°í ÀÖ´À³ÄÀÇ ¹®Á¦´Ù.
1) ³×Æ®¿öÅ© °æ°èº¸¾È(DMZ, ¸ÁºÐ¸® µî)¿¡¼µµ ¾Ç¼º ¹éµµ¾î ÃâÇö
2) ¸ðµ© µî, ÀÎÅÍÆäÀ̽º ¿¬µ¿ ÀåºñÀÇ Ãë¾àÇÑ ¿î¿µ
3) DB SQL ÀÎÁ§¼Ç Ãë¾à¼º
4) Áß°£ÀÚ °ø°Ý(Man-in-Middle Attack)
5) SW, Æß¿þ¾î Ãë¾à¼º°ü¸® ¹× ÆÐÄ¡°ü¸® Ãë¾à¼º
6) ºÎÀûÀýÇÑ ÄÚµù ±â¹ý
7) ºÎÀûÀýÇÑ ³»ºÎ ¹× ¿ÜºÎ Àη º¸¾È ÀýÂ÷
8) ½Ã½ºÅÛ ¹× ¼¹öÀÇ º¸¾ÈÅëÁ¦ ºÎÀûÀý
´ÙÀ½ Ç¥ 1Àº Áß¿ä »ê¾÷Á¤º¸¿Í ÀÏ¹Ý IT º¸¾ÈÀ̽´¿ÍÀÇ °ü°è¸¦ ³ªÅ¸³»°í ÀÖ´Ù. ÀÌ´Â SCADA ȯ°æ»Ó¸¸ ¾Æ´Ï¶ó °³ÀÎÁ¤º¸ DB³ª Áß¿äÇÑ °øÀåÀÚµ¿È, ±ÝÀ¶ ºñÁî´Ï½º ¼¹ö¸¦ º¸À¯ÇÑ °÷µµ ÇØ´çµÈ´Ù.
¡ã Ç¥ 1. ÀÏ¹Ý IT º¸¾È°ú Áß¿äÀÎÇÁ¶ó º¸¾ÈÀÇ Â÷ÀÌ
±×µ¿¾È º¸¾È ¸ñÇ¥·Î ±â¹Ð¼º(Confidentiality)ÀÌ ¿ì¼±½Ã µÇ¾î¿Â Àü·«ÀÌ ´ëÆø º¯°æµÇ¾î °¡¿ë¼º(Availability)¸¦ ¿ì¼±¼øÀ§·Î ¹èÄ¡ÇØ¾ß ÇÑ´Ù´Â »ç½ÇÀÌ´Ù. ±â¹Ð¼ºº¸´Ù °¡¿ë¼ºÀÌ ¿ì¼±µÇ´Â ¼øÀ§´Â 󸮼ӵµ°¡ »ý¸íÀΠŬ¶ó¿ìµå(Cloud) ȯ°æ¿¡¼µµ ¸¶Âù°¡Áö´Ù.
¡â À§ÇèÇÑ ÇöÀçÀÇ º¸¾È ¾ÆÅ°ÅØó
±×¸² 6Àº ¹°¸®ÀûÀÎ ¸Á ºÐ¸®°¡ ¾ø´Â ÇöÀçÀÇ À§ÇèÇÑ º¸¾È ¾ÆÅ°ÅØóÀÌ´Ù. À§ÀÇ ¼ºê ³×Æ®¿öÅ©´Â º¸ÅëÀÇ ¿ÀÇǽº ³×Æ®¿öÅ©ÀÌ´Ù. ¾Æ·¡ ¼ºê ³×Æ®¿öÅ©´Â Áß¿äÇÑ ³×Æ®¿öÅ©ÀÌ´Ù. ¡®SQL ÀÎÁ§¼Ç¡¯ °ø°ÝÀ̳ª APT °ø°ÝÀ¸·Î ¿ÀÇǽº ¸ÁÀÌ ¶Õ¸®°í ÁÖ¿ä ¸ÁÀÌ ¶Õ¸®´Â °úÁ¤À» º¸¿©ÁØ´Ù. Ç×»ó ÇãÁ¡ÀÌ ¾ø´Â À¥ ¼¹ö, ¾Ç¼ºÄڵ带 100% ŽÁöÇÏ´Â º¸¾Èü°è°¡ ºÒ°¡´ÉÇÑ »óÅ¿¡¼ °æ¿µÀÚµéÀº ½Ç¹«¸¦ ¾Ë ±æÀÌ ¾ø´Ù. ÀÌ´Â ¾Õ¼ ¼³¸íÇÑ 10°¡Áö ½ÅÁ¾ º¸¾È À§Çùµµ ¸¶Âù°¡ÁöÀÌ´Ù. ¹°¸®ÀûÀÎ ¸Á ºÐ¸®¸¸ ÀÌ·ç¾î Áø´Ù°í º¸¾È¹®Á¦°¡ ÇØ°áµÇÁö ¾Ê´Â´Ù. º¸¾È Á¦Ç°À¸·Î¼ ÇØ°áµÇÁö ¾ÊÀº ±¸Á¶ÀûÀÎ ¾ÆÅ°ÅØó ¹× °¨½Ã, Áö¼ÓÀûÀÎ ¸ð´ÏÅ͸µ µîÀÌ ¿ä±¸µÇ´Â °ÍÀÌ´Ù.
¡ã ±×¸² 6 À§ÇèÇÑ ÇöÀçÀÇ º¸¾È ¾ÆÅ°ÅØó
±×¸² 7¿¡¼´Â º¸¾Èü°è¸¦ º¸¿©ÁÖ°í ÀÖ´Ù. ISMS°¡ ±âº» º¸¾ÈÅëÁ¦°¡ µÇÁö¸¸ °¢ Á¶Á÷ µ¶ÀÚÀûÀÎ º¸¾ÈÅëÁ¦°¡ ÇÊ¿äÇÏ¸ç ¾î¶² °æ¿ì¿¡´Â Áß¿äÇÏ´Ù°í ÆǴܵǴ º¸¾ÈÅëÁ¦´Â ÈξÀ ´õ ÀÚÁÖ °Ë°ËµÇ°í Æò°¡µÇ°í °»½ÅµÇ¾î¾ß ÇÑ´Ù.
¡ã ±×¸² 7. º¸¾È °ü¸® Ç¥ÁØ ¹× ü°è
1) Á¶Á÷ÀÇ º¸¾ÈÀ§ÇèÀ» Á¤·®ÀûÀ¸·Î ºÐ¼®, ¾çÁúÀÇ °á°ú¸¦ È®ÀÎÇØ¾ß ÇÑ´Ù.
2) À§ÇèÀ» ¾àȸ½ÃÅ°±â À§ÇÑ Áß¿ä ÀÚ¿øÀ» È°¿ëÇØ¾ß ÇÑ´Ù.
3) Áߺ¹ÀûÀÎ ºÐ¾ß¿¡ ÀÖ¾î Áß¿ä ÀÚ¿øÀ» Á¤ÀÇÇÑ´Ù.
4) Áß¿ä º¸¾È ÅëÁ¦¿¡ ´ëÇÑ Ç¥ÁØÀ» Á¤ÀÇÇÑ´Ù.
5) Áß¿ä º¸¾È ÅëÁ¦¸¦ ¾î¶°ÇÑ Á¶Á÷¿¡ ÀÓ¹«¸¦ ºÎ¿©ÇØ µÐ´Ù.
¡ã ±×¸² 8. ±¸Á¶ÀûÀÎ º¸¾È ¾ÆÅ°ÅØó
¡â »çÀü´ëºñ º¸¾È¸ðµ¨(Proactive Security Model)
±â°üÀ̳ª ±â¾÷¿¡¼± ¹«¾ùº¸´Ù »çÀü ¿¹¹æ ´ëºñ°¡ °¡´ÉÇÑ º¸¾È¸ðµ¨ÀÌ ÇÊ¿äÇÏ´Ù.
1) º¸¾ÈÁ¤Ã¥, Ç¥ÁØÀÌ ½Ã½ºÅÛ/³×Æ®¿öÅ© Àü¹ÝÀ¸·Î Àû¿ëµÇ°í Á¤±âÀûÀ¸·Î ÀçÆò°¡µÇ¾î¾ß ÇÑ´Ù.
2) °æ°è ³×Æ®¿öÅ© º¸¾ÈÀ» ¿î¿µÇØ ÀÚ¿ø Á¢±ÙÀ» ¸·°í Á¦¾îÇÑ´Ù.
3) ºñÁ¤»óÇàÀ§¸¦ ŽÁö ºÐ¼® ´ëÀÀÇϱâ À§ÇØ ³×Æ®¿öÅ©, È£½ºÆ® ±â¹Ý ħÀÔŽÁö ü°è¸¦ ¿î¿µÇÑ´Ù.
4) °¡´ÉÇÒ ¼ö ÀÖ´Â °ø°ÝÀ» Â÷´ÜÇÑ´Ù. Ãë¾à¼ºÀ» Á¦°ÅÇÏÁö ¸øÇÑ ½Ã½ºÅÛ Á¢±ÙÀ» Â÷´ÜÇÑ´Ù.
5) Áß¿ä ¹®Á¦¸¦ ÇØ°áÇØ¾ß ÇÑ´Ù. ÇÏÁö¸¸ ´ëºÎºÐÀº SW ¾÷µ¥ÀÌÆ® ¹®Á¦´Ù.
¡ã ±×¸² 9. Proactive security
[±Û _ ÀÓäȣ KAIST Ãʺù±³¼ö, KAIST Àü»êÇаú Á¤º¸º¸È£ Àü°ø(hlim@kaist.ac.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>