상 | Big Data 보안 | [정의] 빅데이터를통한개인정보유출, 식별화로정보유출되는위협으로인해빅데이트생명주기별제공되는(개인정보보호) 보안기법 개인정보보호기술적용방안, 비식별화조치 |
실시간모니터링 위협에대한지능 행위프로파일링 데이터/사용자모니터링 응용모니터링 분석 PPDM(랜덤화,SCM) Hadoop 보안(ACL, Kerberos) 통합보안(APT, BYOD) |
토픽 이름 (상) | Big Data 보안 취약점 및 대응 |
분류 | SE > 보안 취약점 및 대응> Big Data 보안 취약점 및 대응 |
키워드(암기) | IT자산의 의도되지 않은 손상・유출, 도청 및 가로채기, 비도덕적 행위 혹은 오남용, 법률 위반 행위, 기능적 장애 |
암기법(해당경우) |
기출문제
번호 | 문제 | 회차 |
1 | 다양한 분야에서 빅데이터를 활용하여 서비스를 제공하고 있다. 하지만 빅데이터 활용 시 개인정보와 프라이버시는 안전하게 이용되어야 한다. 빅데이터 보안이슈와 생명주기별 개인정보보호기술에 대하여 설명하시오. | 모의_2015.06 |
I. 빅데이터 시스템의 안전한 사용을 위한 주요 자산 보호 필요성
-빅데이터 시대의 도래에 따라 기하급수적으로 증가하는 빅데이터를 안전하게 보관, 보호 할 수 있는 방법이 중요 이슈로 대두
-ENISA(유럽연합사이버범죄 대응기구)에서 빅데이터 시스템의 안전한 사용 위한 보안 위협을 제시하고 이를 대응하기 위한 위협별 대응 가이드라인을 제시함. ‘Big Data Threat Landscape and Good Practice Guide’
Ⅱ. 빅데이터 시스템의 보호대상 자산
대분류 | 분류 | 내용 |
기반 환경 |
소프트웨어 | -운영체제, 디바이스 드라이버, 펌웨어, 서버 탑재 소프트웨어 패키지 및 애플리케이션 등 |
하드웨어 | -서버, 클라이언트, 네트워크 디바이스, 저장장치, 데이터 수집 장치(예, 센서 등), 모바일 단말 | |
정보처리인프라 | -컴퓨터 처리 방식(예, 배치모드처리, 실시간처리, 준실시간처리 등) 및 구조 | |
데이터 저장소 | -저장장치 구조로서 파일 규모에 따른 형태, 분산방식 등의 저장형태 | |
데이터 | 메타 데이터 | -스키마, 인덱스, 데이터 디렉토리 등 |
정형 데이터 | -데이터 모델에 따라 구조화된(예, 관계형 혹은 계층형) 정형화된 데이터베이스 레코드 | |
반정형 및 비정형 데이터 |
-로그 데이터, e-mail 메시지, SMS(Short Messaging Service), 트윗, 블로그 등 정형화되지 않은 데이터, PDF문서, 멀티미디어 데이터(예, 사진, 비디오, 지도 등), 비문자형 데이터(예, 의료데이터, 생체데이터 등) | |
스트리밍 데이터 | -단일 센서로부터 발생하는 단일 스트리밍과 원격의 다중 센서로부터 발생하는 멀티미디어 스트리밍 | |
휘발성 데이터 | -동작 중에 일시적으로 발생하는 데이터(예, 네트워크 라우팅데이터, 디바이스 RAM(Random Access Memory) 데이터 | |
데이터 분석 |
데이터 분석 알고리즘과 절차 |
-데이터 분석을 위한 사전단계로서 분석 모델정의, 분석 기술, 임계치, 설정, 변수의 설정을 포함하는 알고리즘의 소스코드를 포함 |
분석 결과 | -텍스트 기반 및 그래픽 기반 모드의 분석 결과 |
보안 | 인프라 보호 | -보안 수칙 및 정책에 따른 데이터 스토어 및 분산 컴퓨팅 시스템을 안전하게 보호하는 제반 활동 |
데이터 보호 | -데이터 저장장치, 로그, 규칙적인 감사 결과의 문서 등을 안전하게 다루는 기술 및 기록하는 제반 활동 | |
무결성 보호 | -침해사고 관리 및 포렌식을 포함하여 실시간 보안 모니터링과 보안 검증에 관련된 기술 및 문서행위를 포함 | |
데이터 프라이버시 | -법에서 요구하는 프라이버시 보호를 위해 행해지는 모든 기술을 포함 | |
참여자의 역할 | 데이터 제공자 | -기업, 기관, 공공단체, 대학, 네트워크 운영자, 사용자 |
데이터 소비자 | ||
데이터 운영자 | -시스템 설계자(예, 데이터 과학자, 데이터 설계자), 빅데이터 애플리케이션 제공자(응용 및 플랫폼 전문가), 빅데이터 프레임워크 제공자(클라우드 제공자 혹은 개인), 보안 및 프라이버시 전문가, 기술 전문가 |
-빅데이터 시스템 주요 구성요소로 기반환경, 데이터, 데이터 분석, 보안, 참여자 역할의 5가지로 보호대상 자산을 분류함.
Ⅲ. 빅데이터 시스템의 보안 위협 및 대응기준
가. 빅데이터 시스템의 보안 위협 분류
대분류 | 분류 | 세부위협사례 |
IT자산의 의도되지 않은 손상・유출 | 사용자 조작 오류에 의한 정보 유출 | -신뢰할 수 없는 소스로부터의 정보 사용, 네트워크로 전송되는 정보 유출, 웹 애플리케이션을 통한 정보유출, 모바일 애플리케이션을 통한 정보 유출, 임직원에 의한 데이터 공유 및 유출 사고 등 |
웹 애플리케이션을 통한 정보의 유출 |
-안전하지 않은 웹 애플리케이션(unsecure API)을 통한 정보의 유출 | |
부적절한 디자인 및 운용 |
-저장장치의 오남용과 이동저장매체의 감염에 의한 데이터베이스 레코드의 파괴, 저장 장치나 문서의 분실, 정보시스템 데이터의 의도치 않은 변경, 시스템관리자의 오남용 등 | |
도청 및 가로채기 | 정보의 도용 | -네트워크 트래픽 조작 및 정보 수집, 안전하지 않은 Wi-Fi 및 위장 AP를 통한 정보 유출 및 정보 가로채기, 메시지 재전송, 중간자 공격 및 세션 가로채기 등 |
비도덕적 행위 혹은 오남용 | 신원 도용 | -악성코드를 이용한 인증정보 탈취에 의한 신원 도용, 피싱 공격에 의한 정보 탈취, 전수 공격(brute force)에 의한 신원 탈취 등 |
서비스거부 | -NW 및 애플리케이션 서비스로 다중 분산서비스 공격(DDoS), 네트워크 서비스 대상 분산 서비스 공격, 애플리케이션 서비스 대상 분산서비스 공격등 | |
악성코드 | -랜섬웨어, 위조 보안 모듈, 바이러스, 스파이웨어, 웹 애플리케이션 코드 인젝션 공격, 권한 상승, 감염된 앱, 루트킷, 웜 등 | |
위조 인증서 | -민감한 정보의 유실, 위조 SSL 인증서, 소셜엔지니어링을 이용하는 멀웨어, 중간자 공격 및 세션 가로채기 등 | |
업무 절차 오류 | -정보 및 정보시스템의 오용, 권한의 오용, 모바일 앱・웹・네트워크 트래픽・클라우드로부터의 정보 유출 등 | |
권한 남용 | -승인되지 않은 레코드의 변경, 네트워크 침입, 승인되지 않은 정보시스템 및 네트워크로의 접근, 승인되지 않은 소프트웨어 사용, 무권한 디바이스 및 시스템 관리 등 | |
법률 위반 행위 | 법・제도 위반, 개인 정보 남용 |
-법・규제의 위반, 계약사항의 위반, 지적재산권의 침해, 개인 데이터의 오남용 등 |
기능적 장애 |
숙련성 부족 (Skill shortage) |
-전문성이 갖추어지지 않은 데이터 과학자와 관리자에 의한 빅데이터 활용의 생산성 저하 |
-빅데이터 시스템의 보안 위협으로 정보・IT자산의 의도되지 않은 손상・유출, 도청 및 가로채기, 비도덕적인 행위 및 오남용, 법률 위반 행위, 기능적 침해 위협 5개 범주로 분류함
나. 빅데이터 시스템 위협에 대한 대응 기준
대분류 | 분류 | 대응기준 및 권고내용 |
IT자산의 의도되지 않은 손상・유출 | 사용자 조작 오류에 의한 정보 유출 | -ISO 27001 : 민감한 시스템 및 데이터에 무권한 접근 및 의도적이지 않은 데이터 노출방지를 위한 암호기술 사용 |
웹 애플리케이션을 통한 정보의 유출 |
-ISO 27001 : 정보시스템의 생명주기에 따라 시스템 초기 개발시 안전한 보안 설계 권고 -NIST Big Data : 주기적인 취약점 점검 |
|
부적절한 디자인 및 운용 |
||
도청 및 가로채기 | 정보의 도용 | -ISO 27001 : 암호기술을 통한 네트워크 보안기능 제공 |
비도덕적 행위 혹은 오남용 | 신원 도용 | -NIST Big Data : 데이터에 대한 접근제어 기술 적용 -ISO 27001 : 정보의 중요도에 따른 분류와 중요도에 따른 적절한 통제수단 적용 (예) 지급 시스템 PCI DSS 적용 |
서비스거부 | -NIST Big Data : 사설인프라 구축과 트래픽 분석을 통한 위협 경감방안이 필요하며 공공 영역에 인프라 설치 시 서비스 프로바이더 대응 역할 | |
악성코드 | -ISO 27001 및 COBIT : 패치 관리 등 기술적인 취약점 관리 방안과 교육을 통한 사용자의 인식 제고 | |
위조 인증서 | -NIST Big Data : SHA-256 혹은 SHA-512와 같은 강한 해쉬함수 사용 및 웹브라우저에서 CA인증서 사용 | |
업무 절차 오류 | -ISO/IEC 15944 : 개인정보의 프라이버시 보호 방안 권고 -ISO 25237 : 가명화 기술적용 -ENISA Privacy by design : 데이터 최소화, 익명화, 비식별화 등 |
|
권한 남용 | -ISO 27001 : 업무 접근제어, 사용자 접근제어 관리, 시스템 및 애플리케이션, 저장장치 접근제어 | |
법률 위반 행위 | 법・제도 위반, 개인 정보 남용 |
-NIST Big Data : 모든 데이터는 여러 국가에 분산되지 않고 단일 국가 내에 있어야 한다는 권고 -ISO 27001 : 적절한 법・규정 및 계약사항에 따라 다루어 져야 함을 권고 -COBIT : 논리적・물리적 감사로그를 구현하고 문서화 |
기능적 장애 |
숙련성 부족 (Skill shortage) |
-ISO 27001 : 정보보안에 대한 교육, 인식 제고 -COBIT : 일반적인 사용자와 특정 권한 사용자에 대한 책임과 역할을 이해해야 함을 권고 |
- 위 5가지 보안 위협 범주에 속하는 세부 위협에 대응하기 위하여 ISO 27001, NIST Big Data Guidelines, COBIT, ENISA Privacy by Design의 관련 기준을 참조하여 대응 방안을 제시함
반응형
'정보관리기술사 > DB_데이터분석' 카테고리의 다른 글
Hadoop 3.0 (0) | 2023.08.26 |
---|---|
HDFS(Hadoop Distributed File System) (0) | 2023.08.25 |
아파치 카프카(apache kafka) (1) | 2023.08.23 |
랜덤 포레스트(Random Forest) (0) | 2023.08.22 |
앙상블 학습/모델 (0) | 2023.08.21 |