ݺߣ

ݺߣShare a Scribd company logo
어떻게 대응할 것인가
2015.03.06
넥슨코리아 여성구
(bar4mi@gmail.com)
FICON 2015
발표자 소개
발표자 소개
Penetration Tester
Security Consultant
Security Manager
Technical Part
IS AuditorInformation System
Security Practitioner
KNOWLEDGE
Over Experience
상황
‣
‣
‣
‣
‣ 

타임라인
사건발생
싵Ӡ
유포
싵Ӡ
인지
싵Ӡ
확인
싵Ӡ
신고
싵Ӡ
?
싵Ӡ
사고
대응
사건 피해 확산 방지
징후 파악  분석
보고  신고  통지
내부 및 외부 대응
1
2
3
징후 파악
외부 제보 내부 인지
• 고객
• 언론
• KISA
• 외부 보안 전문가
• 경찰 등
• 침해사고 대응 중
• 정기 점검 중
• 운영 모니터링 중
• 정기 로그 분석 중
• 외부 보안 정보 등
분석
데이터 검증 유출 경로 파악
데이터 검증
정말 내부 데이터인가?1
언제적 데이터인가?2
데이터 양은 얼마나 되는가?3
- 어떤 데이터, 전체 or 일부, 짜맞춰진 데이터 여부
- From ~ To ~
- 개인정보호법 시행령 제39조: 1만명 이상
- 정보통신망법: 규모가 없음
보고 라인에 따라 최고경영진까지
내부 TF 조직 구성
보고
내부 TF 대외 협조자
대외 이해관계자
대내 협조자
• 경영진
• IT 운영 조직
• 보안 조직
• 법무 조직
• 대외 협력 조직
• 고객대응 조직
• 법률 자문
• 보안 정보 회사
• KISA (방통위, 행자부)
• 경찰, 검찰
• 언론
• 고객
• 비즈니스 파트너
2
24Hours
(Ficon2015) #1 어떻게 대응할 것인가
활용 가능 정보
시스템 네트워크 보안시스템
• 로그 (OS, 웹 등)
• 파일(악성코드 등)
• 작업(Job, Task)
• 레지스터리
• 시작 프로그램
• 메모리
• 도메인 서버 로그

(인증 등)
• 라우팅 경로
• 트래픽 현황(MRTG)
• 세션 로그
• 방화벽 로그
• IDS·IPS 로그
• 백신 로그
• 컨텐츠 정보(L7)
• DB Audit
• 웹 방화벽
• DLP
• DRM
긴급 조치
• 피해 확산 방지
• 증거 보존
• 피해 범위 파악
사고 대응 디지털 포렌식vs
“피해 복구” “증거 보존”
“증거
보존”도
중요지만

대응
과정에서는
피해
확산
방지가
우선
신고 및 통지
• KISA 신고 (방송통신위원회)
• 정보주체에게 개인정보 누출 통지
• 경찰/검찰 신고
정보통신망법 제27조의3 (개인정보 누출 등의 통지·신고)
정보통신망법 제27조의3 (개인정보 누출 등의 통지·신고)
개인정보보호법 제34조 (개인정보 유출 통지 등)
개인정보보호법 제34조 (개인정보 유출 통지 등)
개인정보 노출 확인 시 주의사항
암호화 통신(SSL) 실시
기존 탈퇴자 고려
확인 사이트의 보안성 검토
대외 대응
개인정보 노출이 확인된 시점에서
가장 큰 리스크는 무엇인가?
회사
언론
KISA(방통위)
경찰, 검찰
고객
“마녀사냥” “형사처벌·행정처분”
“피해보상(민사소송)”

More Related Content

(Ficon2015) #1 어떻게 대응할 것인가