| 상 | Big Data 보안 | [정의] 빅데이터를통한개인정보유출, 식별화로정보유출되는위협으로인해빅데이트생명주기별제공되는(개인정보보호) 보안기법 개인정보보호기술적용방안, 비식별화조치 |
실시간모니터링 위협에대한지능 행위프로파일링 데이터/사용자모니터링 응용모니터링 분석 PPDM(랜덤화,SCM) Hadoop 보안(ACL, Kerberos) 통합보안(APT, BYOD) |
| 토픽 이름 (상) | Big Data 보안 취약점 및 대응 |
| 분류 | SE > 보안 취약점 및 대응> Big Data 보안 취약점 및 대응 |
| 키워드(암기) | IT자산의 의도되지 않은 손상・유출, 도청 및 가로채기, 비도덕적 행위 혹은 오남용, 법률 위반 행위, 기능적 장애 |
| 암기법(해당경우) |
기출문제
| 번호 | 문제 | 회차 |
| 1 | 다양한 분야에서 빅데이터를 활용하여 서비스를 제공하고 있다. 하지만 빅데이터 활용 시 개인정보와 프라이버시는 안전하게 이용되어야 한다. 빅데이터 보안이슈와 생명주기별 개인정보보호기술에 대하여 설명하시오. | 모의_2015.06 |
I. 빅데이터 시스템의 안전한 사용을 위한 주요 자산 보호 필요성
-빅데이터 시대의 도래에 따라 기하급수적으로 증가하는 빅데이터를 안전하게 보관, 보호 할 수 있는 방법이 중요 이슈로 대두
-ENISA(유럽연합사이버범죄 대응기구)에서 빅데이터 시스템의 안전한 사용 위한 보안 위협을 제시하고 이를 대응하기 위한 위협별 대응 가이드라인을 제시함. ‘Big Data Threat Landscape and Good Practice Guide’
Ⅱ. 빅데이터 시스템의 보호대상 자산
| 대분류 | 분류 | 내용 |
| 기반 환경 |
소프트웨어 | -운영체제, 디바이스 드라이버, 펌웨어, 서버 탑재 소프트웨어 패키지 및 애플리케이션 등 |
| 하드웨어 | -서버, 클라이언트, 네트워크 디바이스, 저장장치, 데이터 수집 장치(예, 센서 등), 모바일 단말 | |
| 정보처리인프라 | -컴퓨터 처리 방식(예, 배치모드처리, 실시간처리, 준실시간처리 등) 및 구조 | |
| 데이터 저장소 | -저장장치 구조로서 파일 규모에 따른 형태, 분산방식 등의 저장형태 | |
| 데이터 | 메타 데이터 | -스키마, 인덱스, 데이터 디렉토리 등 |
| 정형 데이터 | -데이터 모델에 따라 구조화된(예, 관계형 혹은 계층형) 정형화된 데이터베이스 레코드 | |
| 반정형 및 비정형 데이터 |
-로그 데이터, e-mail 메시지, SMS(Short Messaging Service), 트윗, 블로그 등 정형화되지 않은 데이터, PDF문서, 멀티미디어 데이터(예, 사진, 비디오, 지도 등), 비문자형 데이터(예, 의료데이터, 생체데이터 등) | |
| 스트리밍 데이터 | -단일 센서로부터 발생하는 단일 스트리밍과 원격의 다중 센서로부터 발생하는 멀티미디어 스트리밍 | |
| 휘발성 데이터 | -동작 중에 일시적으로 발생하는 데이터(예, 네트워크 라우팅데이터, 디바이스 RAM(Random Access Memory) 데이터 | |
| 데이터 분석 |
데이터 분석 알고리즘과 절차 |
-데이터 분석을 위한 사전단계로서 분석 모델정의, 분석 기술, 임계치, 설정, 변수의 설정을 포함하는 알고리즘의 소스코드를 포함 |
| 분석 결과 | -텍스트 기반 및 그래픽 기반 모드의 분석 결과 |
| 보안 | 인프라 보호 | -보안 수칙 및 정책에 따른 데이터 스토어 및 분산 컴퓨팅 시스템을 안전하게 보호하는 제반 활동 |
| 데이터 보호 | -데이터 저장장치, 로그, 규칙적인 감사 결과의 문서 등을 안전하게 다루는 기술 및 기록하는 제반 활동 | |
| 무결성 보호 | -침해사고 관리 및 포렌식을 포함하여 실시간 보안 모니터링과 보안 검증에 관련된 기술 및 문서행위를 포함 | |
| 데이터 프라이버시 | -법에서 요구하는 프라이버시 보호를 위해 행해지는 모든 기술을 포함 | |
| 참여자의 역할 | 데이터 제공자 | -기업, 기관, 공공단체, 대학, 네트워크 운영자, 사용자 |
| 데이터 소비자 | ||
| 데이터 운영자 | -시스템 설계자(예, 데이터 과학자, 데이터 설계자), 빅데이터 애플리케이션 제공자(응용 및 플랫폼 전문가), 빅데이터 프레임워크 제공자(클라우드 제공자 혹은 개인), 보안 및 프라이버시 전문가, 기술 전문가 |
-빅데이터 시스템 주요 구성요소로 기반환경, 데이터, 데이터 분석, 보안, 참여자 역할의 5가지로 보호대상 자산을 분류함.
Ⅲ. 빅데이터 시스템의 보안 위협 및 대응기준
가. 빅데이터 시스템의 보안 위협 분류
| 대분류 | 분류 | 세부위협사례 |
| IT자산의 의도되지 않은 손상・유출 | 사용자 조작 오류에 의한 정보 유출 | -신뢰할 수 없는 소스로부터의 정보 사용, 네트워크로 전송되는 정보 유출, 웹 애플리케이션을 통한 정보유출, 모바일 애플리케이션을 통한 정보 유출, 임직원에 의한 데이터 공유 및 유출 사고 등 |
| 웹 애플리케이션을 통한 정보의 유출 |
-안전하지 않은 웹 애플리케이션(unsecure API)을 통한 정보의 유출 | |
| 부적절한 디자인 및 운용 |
-저장장치의 오남용과 이동저장매체의 감염에 의한 데이터베이스 레코드의 파괴, 저장 장치나 문서의 분실, 정보시스템 데이터의 의도치 않은 변경, 시스템관리자의 오남용 등 | |
| 도청 및 가로채기 | 정보의 도용 | -네트워크 트래픽 조작 및 정보 수집, 안전하지 않은 Wi-Fi 및 위장 AP를 통한 정보 유출 및 정보 가로채기, 메시지 재전송, 중간자 공격 및 세션 가로채기 등 |
| 비도덕적 행위 혹은 오남용 | 신원 도용 | -악성코드를 이용한 인증정보 탈취에 의한 신원 도용, 피싱 공격에 의한 정보 탈취, 전수 공격(brute force)에 의한 신원 탈취 등 |
| 서비스거부 | -NW 및 애플리케이션 서비스로 다중 분산서비스 공격(DDoS), 네트워크 서비스 대상 분산 서비스 공격, 애플리케이션 서비스 대상 분산서비스 공격등 | |
| 악성코드 | -랜섬웨어, 위조 보안 모듈, 바이러스, 스파이웨어, 웹 애플리케이션 코드 인젝션 공격, 권한 상승, 감염된 앱, 루트킷, 웜 등 | |
| 위조 인증서 | -민감한 정보의 유실, 위조 SSL 인증서, 소셜엔지니어링을 이용하는 멀웨어, 중간자 공격 및 세션 가로채기 등 | |
| 업무 절차 오류 | -정보 및 정보시스템의 오용, 권한의 오용, 모바일 앱・웹・네트워크 트래픽・클라우드로부터의 정보 유출 등 | |
| 권한 남용 | -승인되지 않은 레코드의 변경, 네트워크 침입, 승인되지 않은 정보시스템 및 네트워크로의 접근, 승인되지 않은 소프트웨어 사용, 무권한 디바이스 및 시스템 관리 등 | |
| 법률 위반 행위 | 법・제도 위반, 개인 정보 남용 |
-법・규제의 위반, 계약사항의 위반, 지적재산권의 침해, 개인 데이터의 오남용 등 |
| 기능적 장애 |
숙련성 부족 (Skill shortage) |
-전문성이 갖추어지지 않은 데이터 과학자와 관리자에 의한 빅데이터 활용의 생산성 저하 |
-빅데이터 시스템의 보안 위협으로 정보・IT자산의 의도되지 않은 손상・유출, 도청 및 가로채기, 비도덕적인 행위 및 오남용, 법률 위반 행위, 기능적 침해 위협 5개 범주로 분류함
나. 빅데이터 시스템 위협에 대한 대응 기준
| 대분류 | 분류 | 대응기준 및 권고내용 |
| IT자산의 의도되지 않은 손상・유출 | 사용자 조작 오류에 의한 정보 유출 | -ISO 27001 : 민감한 시스템 및 데이터에 무권한 접근 및 의도적이지 않은 데이터 노출방지를 위한 암호기술 사용 |
| 웹 애플리케이션을 통한 정보의 유출 |
-ISO 27001 : 정보시스템의 생명주기에 따라 시스템 초기 개발시 안전한 보안 설계 권고 -NIST Big Data : 주기적인 취약점 점검 |
|
| 부적절한 디자인 및 운용 |
||
| 도청 및 가로채기 | 정보의 도용 | -ISO 27001 : 암호기술을 통한 네트워크 보안기능 제공 |
| 비도덕적 행위 혹은 오남용 | 신원 도용 | -NIST Big Data : 데이터에 대한 접근제어 기술 적용 -ISO 27001 : 정보의 중요도에 따른 분류와 중요도에 따른 적절한 통제수단 적용 (예) 지급 시스템 PCI DSS 적용 |
| 서비스거부 | -NIST Big Data : 사설인프라 구축과 트래픽 분석을 통한 위협 경감방안이 필요하며 공공 영역에 인프라 설치 시 서비스 프로바이더 대응 역할 | |
| 악성코드 | -ISO 27001 및 COBIT : 패치 관리 등 기술적인 취약점 관리 방안과 교육을 통한 사용자의 인식 제고 | |
| 위조 인증서 | -NIST Big Data : SHA-256 혹은 SHA-512와 같은 강한 해쉬함수 사용 및 웹브라우저에서 CA인증서 사용 | |
| 업무 절차 오류 | -ISO/IEC 15944 : 개인정보의 프라이버시 보호 방안 권고 -ISO 25237 : 가명화 기술적용 -ENISA Privacy by design : 데이터 최소화, 익명화, 비식별화 등 |
|
| 권한 남용 | -ISO 27001 : 업무 접근제어, 사용자 접근제어 관리, 시스템 및 애플리케이션, 저장장치 접근제어 | |
| 법률 위반 행위 | 법・제도 위반, 개인 정보 남용 |
-NIST Big Data : 모든 데이터는 여러 국가에 분산되지 않고 단일 국가 내에 있어야 한다는 권고 -ISO 27001 : 적절한 법・규정 및 계약사항에 따라 다루어 져야 함을 권고 -COBIT : 논리적・물리적 감사로그를 구현하고 문서화 |
| 기능적 장애 |
숙련성 부족 (Skill shortage) |
-ISO 27001 : 정보보안에 대한 교육, 인식 제고 -COBIT : 일반적인 사용자와 특정 권한 사용자에 대한 책임과 역할을 이해해야 함을 권고 |
- 위 5가지 보안 위협 범주에 속하는 세부 위협에 대응하기 위하여 ISO 27001, NIST Big Data Guidelines, COBIT, ENISA Privacy by Design의 관련 기준을 참조하여 대응 방안을 제시함
반응형
'정보관리기술사 > DB_데이터분석' 카테고리의 다른 글
| Hadoop 3.0 (0) | 2023.08.26 |
|---|---|
| HDFS(Hadoop Distributed File System) (0) | 2023.08.25 |
| 아파치 카프카(apache kafka) (1) | 2023.08.23 |
| 랜덤 포레스트(Random Forest) (0) | 2023.08.22 |
| 앙상블 학습/모델 (0) | 2023.08.21 |