정보보안 사고사례

랜섬웨어

• 데이터에 대한 몸값을 요구하는 악성 프로그램으로 2021 글로벌 기준 23조6천억원의 피해금액이 산출되고 있음

중요정보 유출

• 개인정보, 기업정보 등이 유출되어 금전적 손실을 야기시키며, 개인정보 처리자의 무단 수집, 내부 보안관리 소홀, 외부 해킹을 통해 유출되는 경우가 대부분

제로데이

• JAVA, Kotlin 등 코딩 도중에 프로그램의 로그를 기록해 주는 라이브러리로 메시지에 신뢰할 수 없는 데이터를 삽입하여 RCE 공격

보안정책

인증제도

• 국내
  • ISMS
  • ISMS-P
  • 전자금융
• 국제
  • ISO27001
  • BS200

---

공격 종류 및 방법

모의해킹 대상 환경분석

• 모의해킹 대상이 어떠한 서비스를 하고 있는지 분석하는 단계

정보수집

• 환경분석을 통해 발견된 모의해킹 대상에 대한 정보(CVE정보, 서버 정보, 버전 정보 등)에 대해 더욱 세부적인 정보수집 단계

취약점 분석

• 발생가능한 취약점에 대해 공격방법, 공격원리 등을 분석하여 어떤 방식으로 공격할지 분석하는 단계

취약점 공격

• 사전 정보를 바탕으로 Metasploit, PoC코드, 진단 Tool 등을 활용하여 실제 공격을 통해 우회, 정보유출 등 가능한지 테스트하는 단계로 존재하는 위협을 찾는 단계

결과도출 및 대응방안 제시

• 발견된 취약점 별 리포팅 및 취약점 대응방안을 제시하여 시큐어코딩 또는 패치 등의 방법을 통해 위협을 제거하는 단계

---

시큐어 코딩 업무

select useid from user_t where userid=' admin' or '1=1' and userpw=''

---

현대아이티앤이 DBA 소개

백화점 그룹 DB관리 직무에 대한 이해

• 데이터 베이스 서비스 요청
  • 표준 수립 및 관리
    • 각종표준수립
    • 각종표준에대한교육수행
    • 표준준수여부점검
  • Model 및 Object관리
    • Object관리 원칙 수립
    • 데이터모델 및 DBtjfrO
    • Object 생성
    • Object 관리
  • 모니터링
    • 모니터링정책 및 전략수립
    • 모니터링요건정리
    • 모니터링환경구축
    • 모니터링수행
    • 모니터링결과보고
  • 성능/용량 관리
    • 성능/용량관리 기본원칙수립
    • 성능/용량관리 지표선정
    • 성능/용량관리 시스템구축
    • 성능/용량진단
    • 성능개선용량확보
  • 백업/복구 관리
    • 백업/복구 정책 및 정략수립
    • 백업요건정의
    • 백업/복구 환경구성
    • 백업 수행
    • 백업확인 및 모니터링
    • 복구테스트 수행
  • 보안관리
    • 보안정책수립
    • 보안적용대상선정
    • 보안시스템구축
    • 보안적용
    • 보안점검
    • 보안교육수행
  • 변경관리
    • 변경관리원칙수립
    • 변경계획수립
    • 변경테스트수행
    • 운영시스템변경적용
    • 적용 후 모니터링
  • 설치/패치관리
    • 설치/패치 기본원칙수립
    • 설치/패치 요건검토
    • 설치/패치 적용
    • SW라이센스관리
  • 장애관리
    • 장애관리원칙수립
    • 장애조치

백화점 부문 DB 현황

운영 DB 목록

• 배송
• 포탈
• 사은품
• 결제정보
• 재경(회계) 정보
• 상품정보
• 온라인 식품
• 인사
• 메일
• 더현대닷컴
• 통합멤버십
• 직승인
• 직승인 통신애니링크
• 그린푸드
• 드림투어
• 면세점온라인
• 면세점오프라인
• 리바트ERP
• 리바트DW
• 리바트 WSI
• H&S
• 한섬ERP_DW
• 더한섬닷컴
• 홈쇼핑 3노드 + PostgreSQL
• 홈쇼핑보험
• 대량메일
• 리바트 ETL
• 리바트 ERP
• 리바트WSL개발
• 직승인개발
• 통합그린푸드개발
• 인사개발
• 웹메일개발
• 드림투어개발
• H&S개발
• 상품정보개발
• 통합멤버십개발
• 카드정보개발
• 면세점개발
• 배송개발
• 고객사랑개발
• 사은품개발
• 온라인식품개발
• 포탈개발

데이터베이스 관련 솔루션 소개

DB접근제어

• 보안 대상자는 개인정보 DB 접근 시 DB접근제어서버를 경유하도록 강제화하고 Application 서버에서의 접근은 Sniffing서버를 이용하여 DB접속에 대한 모니터링 기능을 수행한다.
• 구성내역
  • 사용자 PC에 DB접근제어 Agent를 설치하여 DB접근 시 DB접근제어서버를 통해서만 접근
  • Application 서버에서의 보안 대상 서버로의 접속은 스니핑 서버에 접근

DB암호화

2. 암호화 이후 Table 구조

• 기존 Table name이 View로 변경되며 암호화 테이블이 생성됨.

3. 암호화 이후 Table 컬럼 구조

• 컬럼 타입이 Varchar2(4000)으로 변경

4. 암호화 적용 예시

DB암호화(TDE, Tablespace 암호화방식)

• 테이블스페이스 전체를 암호화 -> 암호화 테이블스페이스 안에 생성된 모든 objects는 자동으로 암호화
• 주로 민감한 데이터를 가진 칼럼이 많은 경우에 사용하며, 기존 테이블스페이스에 대해서는 암호화를 수행할 수 없다.
• 암호화된 테이블스페이스의 모든 데이터들은 디스크에 암호화된 형식으로 저장.

DB 표준관리

2. 표준 데이터 세부 관리 대상

• 표준단어
  • 일정한 의미를 갖는 최소단위의 단어로 표준용어를 구성함
  • 의미를 갖는 더 이상 분할이 불가능한 단어로 된 표준단어를 단일어라 함
  • 둘 이상의 단어를 결합하여 만든 표준단어를 복합어라 함
• 도메인
  • 데이터타입과 허용되는 값, 필요하다면 측정단위 등을 포함한 데이터 구성의 형태
  • 데이터 구성에 대한 허용 값의 집합을 데이터 도메인이라 하며, 하나의 용어는 하나의 도메인만 지정
  • 논리적/물리적으로 유사한 유형의 데이터를 그룹화하여 해당 그룹에 속하는 데이터타입과 길이를 정의한 것
• 표준용어
  • 일정한 표준단어의 조합으로 만들어진 유일한 용어
  • 모델링 할 때 속성명에 사용함
  • 단어는 개별적이나 용어는 업무와 조직의 성격에 따라 조합이 달라질 수 있음
• 코드 인스턴스
  • 코드도메인에 포함되어 관리되는 실제 사용 가능한 코드의 값을 의미
  • 코드는 2개 이상의 구분코드가 필요한 경우 관리대상이 됨