[경영정보시스템] 14. 전사적 애플리케이션

1. 시스템 취약성과 오남용

가. 보안:

정보시스템에 대한 인증되지 않은 접속, 변조, 절도 및 물리적 침해를 방지하기 위한 정책, 절차 및 기술적 기준

 

나. 통제:

조직 자산의 안정성, 회계 기록의 정확성과 신빙성, 경영 표준에 대한 운영상의 수성(adherence)을 확보하기 위한 방법, 정책 및 조직 절차

 

다. 왜 시스템은 취약한가?

- 네트워크의 쉬운 접근성

- 하드웨어 문제 (고장, 설정 오류, 부적절한 사용이나 범죄 행위에 의한 손상)

- 소프트웨어 문제 (프로그래밍 오류, 설치 오류, 허가 없는 변경)

- 자연재해

- 기업의 통제 밖에서의 네트워크/컴퓨터 사용

- 휴대용 기기의 분실 및 절도

 

라. 인터넷 취약성

- 네트워크는 누구에게나 개방되어있음

- 인터넷의 규모가 방대함에 따라 오남용이 발생했을 경우 광범위한 영향력을 가질 수 있음

- 케이블 모뎀이나 디지털 가입자 회선(DSL)에서의 고정 IP 사용으로 해커의 고정 표적이 될 수 있음

- 암호화되지 않은 VOIP

- E-mail, P2P, IM(Instant massaging)

• 메시지 가로채기(Interception)
• 악성 소프트웨어 첨부
• 기업비밀 유출

 

마. 무선 보안 과제

- 라디오 주파수 대역은 탐색이 쉬움

- SSIDs (service set identifiers)

• 네트워크 상의 접근점(access points) 식별
• SSID는 반복적으로 송출됨
• 스니퍼 프로그램에 포착될 수 있음
• 워 드라이빙(War driving)
• 도청자가 건물 주변을 자동차로 배회하면서 SSID를 탐지하여 네트워크와 정보자원에 접근하려는 것
• 한번 침입한 침입자는 네트워크 안에 다른 자원에 접근할 수 있다.

 

바. 멀웨어 (malicious software: Malware)

- 바이러스(Virus) :

보통 사용자의 인지나 허락 없이 실행되도록 하기 위해 자신을 다른 소프트웨어 프로그램에나 데이터 파일에 첨부시키는 악성 소프트웨어 프로그램

 

- 웜 바이러스(Worms) :

네트워크를 통해 한 컴퓨터에서 다른 컴퓨터로 자기 자신을 복사할 수 있는 독립적 컴퓨터 프로그램

 

- 웜과 바이러스의 감염경로

• 다운로드 (drive-by downloads)
• 이메일, IM attachments
• 웹사이트나 소셜 네트워크로부터 다운로드

 

- 컴퓨터만큼 취약한 스마트폰 :

연구결과에 따르면 약 13,000종의 스마트 폰 멀웨어가 존재한다.

 

- 트로이 목마(Trojan horse) :

처음에는 호의적이지만 어느 순간 기대와는 다른 무언가를 수행하는 소프트웨어 프로그램

 

- SQL 인젝션 공격 :

해커는 사이트의 보안이 약한 소프트웨어를 탐지하기 위해 웹 폼(Web form)에 데이터를 보내거나 데이터베이스에 악성 SQL질의를 보냄

 

- 랜섬웨어

 

- 스파이웨어(Spyware) :

사용자 웹 서핑의 감시와 광고를 위해 스스로를 은밀하게 컴퓨터에 설치하는 소형 프로그램

 

- 키로거 :

소프트웨어의 일련번호나 패스워드를 훔치고 인터넷 공격을 감행하기 위해 컴퓨터에서의 모든 키 입력을 기록함

 

- 다른 종류의 멀웨어

• 브라우저의 홈페이지를 재설정
• 검색 요청을 다른 곳으로 보냄
• 메모리를 차지하여 처리속도를 감소시킴

 

사. 해커와 컴퓨터 범죄

- 해커(Hacker) vs. 크래커(Cracker)

- 활동 영역

• 시스템 침입
• 시스템 손상
• 사이버 파괴행위(Cybervandalism) : 의도적 방해, 명예 훼손, 웹 사이트나 기업 정보시스템의 파괴

- 서비스 거부 공격(Denial-of-service attacks, DoS) :

네트워크를 붕괴시키기 위해 잘못된 서비스 요청을 네트워크 서버나 웹 서버에 쏟아붓는 것

 

- 분산 서비스 거부 공격 (Distributed denial-of-service attacks, DDoS) :

수많은 컴퓨터를 사용해 서비스 거부 공격을 하는 것

 

- 봇넷(botnet)

• 봇 멀웨어(bot malware)로 인해 감염된 “좀비” PC들의 네트워크
• 전 세계 스팸의 90%와 멀웨어의 80%는 봇넷을 통해 전파
• 그럼 봇넷: 560K ~ 840K 대의 컴퓨터를 통제

 

아. 컴퓨터 범죄

- “범법 행위, 수사 및 기소를 위한 컴퓨터 기술 지식을 포함한 형사법에 대한 모든 위반 행위”

- 범죄 대상으로서의 컴퓨터

• 전산 보안 데이터에 대한 기밀성 침해
• 인가받지 않은 컴퓨터 시스템 접속

- 범죄 도구로서의 컴퓨터: 기업 비밀의 절도, 위협 또는 희롱을 위한 전자메일의 사용

 

자. 내부 위협: 직원

- 기업에 대한 보안 위협은 조직 내부에서 발생

- 내부정보

- 가벼운 보안 절차

- 사용자의 지식 부족

- 사회공학(Social engineering):

시스템에 접근하고자 하는 악의적 침입자는 정보가 필요한 기업의 정규직원으로 위장하여 직원이 암호를 노출시키도록 하는 수법

 

차. 소프트웨어 취약성

- 상용 소프트웨어는 보안 취약성과 같은 결함을 포함하고 있음

 

- 숨겨진 버그 (프로그램 코드 결함) :

대형 프로그램에서 완벽한 검사가 불가능하기 때문에 프로그램의 무결성을 달성하기 어려움

 

- 이러한 결함은 침입자의 네트워크 침투를 허용함

 

- 패치(Patches) :

소프트웨어 업체에서 소프트웨어의 결점을 보완하기 위해 만드는 소프트웨어의 작은 조각

 

- 하지만 종종 패치가 발표되기보다 더 빨리 멀웨어가 나타나기도 함

 

2. 보안과 통제의 비즈니스 가치

- 실패한 컴퓨터 시스템은 기업 기능의 전체적 손실이나 손상을 가져올 수 있음

 

- 기업은 더욱 취약해지고 있음

• 개인 기밀 정보와 재정 데이터
• 기업비밀, 신상품 계발 계획, 마케팅 전략

 

- 보안사고는 기업의 시장가치를 즉각적으로 하락시킬 수 있음

 

- 부적절한 보안과 통제는 심각한 법적 책임을 불러올 수 있음

 

3. 보안과 통제를 위한 체계 구축

- 정보시스템 통제 :

수작업적 통제와 자동 통제, 일반통제와 응용통제

 

- 일반통제 :

컴퓨터 프로그램의 설계, 보안 및 사용과 기업의 정보기술 인프라 전반에 걸친 데이터 파일의 보안을 관리

 

- 모든 전산 응용 시스템에 적용

전체 통제 환경을 이루는 하드웨어, 소프트웨어 및 수작업 절차의 조합으로 구성

 

가. 일반통제의 유형

(1) 소프트웨어 통제

(2) 하드웨어 통제

(3) 컴퓨터 운영 통제

(4) 데이터 보안 통제

(5) 구현 통제

(6) 관리 통제

 

나. 응용통제

(1) 급료 지급 처리나 주문 처리와 같은 전산 응용 시스템 각각에 따른 특정 통제를 말함

(2) 자동 및 수동의 절차를 포함

(3) 각 응용 시스템이 오로지 허가된 데이터를 완전하고 정확히 처리하도록 보장 :

입력통제, 프로세스 통제, 출력통제

 

다. 보안정책(Security policy)

(1) 정보 위험도의 순위화, 수용 가능한 보안 목표 식별 그리고 이러한 목표를 달성하기 위한 방법의 식별 명세서로 이루어짐

 

(2) 다른 정책의 실행

 

(3) 이용목적 제한 방침 (Acceptable use policy, AUP)

- 기업의 정보자원과 컴퓨팅 장비의 이용목적을 정의

 

(4) 권한에 대한 정책

- 정보자원 접근에 대한 사용자 수준을 다르게 부여

 

라. 신원관리(Identity management)

• 시스템의 정당한 사용자의 신원 확인과 시스템 자원에 대한 사용자의 접근통제를 위한 비즈니스 프로세스와 소프트웨어 도구로 구성

- 사용자 분류 체계와 관리

- 각 사용자에게 어떤 시스템이 접근 가능한지 명시

- 사용자 인증과 사용자 신원 보안

 

• 신원관리시스템(Identity management systems) :

서로 다른 사용자 수준에 대한 접근 규칙 관리

 

마. 재난복구 계획(Disaster recovery planning) :

서비스가 중단된 후 복구 계획을 수립하는 것

 

바. 비즈니스 연속성 계획:

재난이 발생한 후 기업이 비즈니스 업무를 재가동 할 수 있는지에 초점

- 기업에 가장 핵심적인 시스템과 비즈니스 프로세스를 결정하기 위해 두 가지 계획수립이 필요

- 시스템 정지가 기업에 가져올 영향을 파악하기 위해 비즈니스 영향 분석을 수행해야 함

- 경영진은 기업의 어느 부분을 가장 먼저 복구해야 하는지 결정해야 함

 

사. MIS 감사의 역할

- 개별 정보시스템을 관리하는 통제 요소는 물론 기업의 전반적인 보안 환경도 검토

- 기술, 절차, 문서화, 훈련, 인력에 대해 점검

- 외부 공격이나 재해에 대한 기술, 정보시스템 요원, 직원 등의 대응을 점검하기 위한 모의실험

- 모든 통제 취약점을 목록화하고 순위를 매기며 그 발생 가능성을 추정

- 각 위협 요소의 재정적 조직적 영향 평가

 

아. 클라우드 컴퓨팅에서의 보안

- 데이터의 보안 책무와 책임은 그 데이터를 소유한 기업에 있음

- 기업은 반드시 공급자가 충분한 보안을 제공하는지 확인해야 함

(1) 데이터가 저장되는 위치

(2) 법인 요건 충족

(3) 다른 클라이언트의 데이터 분리

(4) 감사 및 보안 인증

- Service level agreements (SLAs)

 

자. 모바일 플랫폼의 보안

(1) 보안 정책은 모바일 장치의 모든 특수 요구 사항을 포함해야 함 :

플랫폼 및 응용 프로그램 사용 지침

 

(2) 모바일기기를 관리할 수 있는 도구

- 기기의 사용 인허가

- 응용프로그램의 재고 기록

- 업데이트 통제

- 분실된 기기 관리

- 암호화

 

(3) 기업데이터를 개인소유 콘텐츠와 분리시킬 수 있는 소프트웨어

 

차. 소프트웨어 품질(software quality) 확보

(1) 소프트웨어 메트릭(metrics): 계량화된 측정 형식의 객관적인 시스템 평가 방식

• 거래의 수
• 온라인 응답 시간
• 시간당 출력한 급여수표의 수
• 프로그램 코드 100라인당 발견한 버그의 수

 

(2) 초기의 정기적이고 철저한 테스트

 

(3) 워크스루(Walkthrough):

소규모 전문가 집단에 의한 기술명세나 개발문서의 검토

 

(4) 디버깅:

오류 발견 시 디버깅을 통해 이를 제거