2013년도 1학년 1학기 Term Project빅데이터 보안? ******과? 정보보호개론? 20****** ***목차? 서론1.빅데이터의 개념? 본론2. 빅데이터의 특성3. 빅데이터의 사례4. 빅데이터의 보안적 문제점(개인정보보호)? 결론5. 빅데이터 보안을 위한 방안6. 결론1. 빅데이터의 개념가. 디지털 환경에서 생성되는 데이터로 그 규모가 방대하고, 생성 주기도 짧고, 형태도 수치 데이터뿐 아니라 문자와 영상 데이터를 포함하는 대규모 데이터를 말한다.나. 하드웨어 비용의 절감, 모바일기기확산, 소셜미디어 확산으로 인하여 빅데이터가 등장하게 되었으며, 빅데이터 환경은 과거에 비해 데이터의 양이 폭증했다는 점과 함께 데이터의 종류도 다양해져 사람들의 행동은 물론 위치정보와 SNS를 통해 생각과 의견까지 분석하고 예측할 수 있다.다. 최근 몇 년간 빅데이터가 IT 업계의 화두가 되어 왔으나, 아직까지 빅데이터에 대한 단일한 개념이 정립되어 있는 것은 아니다. 기존 논의에서는 대략 세 가지 정도의 개념이 주로 언급되어 왔다.1) 가드너(Gartner): 향상된 시사점(Insight)과 더 나은 의사 결정을 위해 사용되는 비용 효율이 높고, 혁신적이며, 대용량, 고속 및 다양성의 특성을 가진 정보 자산2) 맥킨지(McKinsey): 일반적인 데이터베이스 SW가 저장, 관리, 분석할 수 있는 범위를 초과하는 규모의 데이터(데이터베이스의 규모에 초점)3) IDC: 다양한 종류의 대규모 데이터로부터 저렴한 비용으로 가치를 추출하고 데이터의 초고속 수집, 발굴, 분석을 지원하도록 고안된 차세대기술 및 아키텍처(데이터베이스가 아닌 업무수행에 초점)2. 빅데이터의 특성1) 규모(Volume)데이터의 물리적인 크기뿐만 아니라 네트워크데이터를 포함한 대용량의 데이터이다. 저장기술의 발달, 스마트폰의 보급, SNS의 확산 등 기술적인 발전에 따라 해마다 디지털 정보량이 기하급수적으로 폭증하고 있으며, 저장단위가 제타바이트(ZB)의 시대로 진입하고 있어 대용량 데이터의 증가가 이와 더불어 외부에서 발생하는 SNS, 블로그 ,뉴스 등의 데이터나 다양한 비정형 데이터도 처리해야하는 부분으로 텍스트와 비디오, 기타 다양한 미디어에 대한 분석을 수행한다.3) 속도(Velocity)데이터를 처리하는 속도로 배치 분석만을 의미하는 것이 아니라 필요에 따라서 수많은 사용자 요청을 실시간으로 처리한 뒤 처리 결과를 반환해 주는 기능도 필요한 부분에서 나타나는 특징이다. 이는 사물정보와 스트리밍 정보 등 실시간성 정보의 증가와 이러한 실시간성으로 인한 데이터의 생성과 유통의 속도가 증가하였고, 이러한 데이터의 활용을 위해서는 데이터 처리 및 분석속도가 중요시되고 있기 때문이다.빅데이터는 초대용량의 데이터 양(volume), 다양한 형태(variety), 빠른 생성 속도(velocity)라는 뜻에서 3V라고도 불리며, 여기에 네 번째 특징으로 가치(value)를 더해 4V라고 정의하기도 한다. 빅데이터에서 가치(value)가 중요 특징으로 등장한 것은 엄청난 규모뿐만 아니라 빅데이터의 대부분은 비정형적인 텍스트와 이미지 등으로 이루어져 있고, 이러한 데이터들은 시간이 지나면서 매우 빠르게 전파하며 변함에 따라 그 전체를 파악하고 일정한 패턴을 발견하기가 어렵게 되면서 가치(value) 창출의 중요성이 강조되었기 때문이다.3. 빅데이터 사례기사1 > 저작권 문제로 내용 삭제(해당 기사 검색 권장)빅데이터가 부른 '빅 브러더 시대'…국가 안보 vs 사생활 침해강영연 기자 yykang@hankyung.com한국경제기사2 > 저작권 문제로 내용 삭제(해당 기사 검색 권장)개인정보보호 덫에 걸린 빅데이터김헌주 기자 dongan@mk.co.kr, 서은내 기자 thanku@mk.co.kr본 기사는 매경이코노미 제1711호(13.06.12~06.18 일자) 기사입니다4. 빅데이터의 보안적 문제점(개인정보보호)가. 유해 데이터비즈니스가 데이터 주도형의 조직으로 변화하면서 가능성은 크게 확대되고 있다. 기업이 가진 데이터는 경쟁 우위성을 가지기 위한 열쇠가 될 것이다이터(해당 조직의 제어를 벗어날 경우 피해를 불러올 수 있는 데이터로, 신용 카드 번호 및 주민등록번호와 같은 개인 식별 정보(Personal Identifiable Information; PII)와 개인 건강 정보(Personal Health Information; PHI), 사업 계획과 제품 디자인 등 민감한 지적 재산권)”로 넘쳐나게 될 것이다. 사업자는 사용자가 생성한 다양한 데이터를 가지고 있을 가능성이 있다.빅데이터는 신용 카드 번호나 사회보장번호, 구매 습관, 이용 패턴 등, 사람이 자발적으로 체험하는 모든 정보이다. 이러한 데이터를 관련지어, 그것으로부터 추론을 끄집어내면 가치로 연결 될지도 모르지만 이것은 동시에 유해하다고도 말한다. 이러한 관련 데이터가 회사외부로 유출되면, 다른 사람의 손에 넘어가게 되면개인에 있어서도 조직에 있어서도 걷잡을 수 없는 피해를 입게 될 것이다.나. 개인정보 유출맞춤형 콘텐츠는 기업에 효율적인 마케팅 수단이기도 하지만 고객들도 쉽게 필요한 정보만 얻을 수 있어 편리하다. 이런 이유로 온라인상에서 고객 정보를 모아 판매하는 기업도 존재한다. 업체들은 전문 정보판매사에서 구매한 정보와 기존 정보를 혼합, 사용자가 어떤 종류의 신용카드가 필요한지, 어떤 상품을 추천하면 구매할지, 심지어 그들이 언제쯤 죽을지도 계산할 수 있다. 파이낸셜타임스(FT)는 “기업 부문은 광범위한 고객 프로필을 모으는 데 열중하고 있다”며 “고객정보산업은 이미 수백억달러 규모의 사업으로 빠르게 발전하고 있다”고 보도했다. 이를 규제할 필요성이 함께 제기됐다. 구글은 지난 3월 ‘스트리트뷰’ 서비스를 준비하는 과정에서 보안되지 않은 와이파이 망으로부터 이메일과 비밀번호를 수집했다는 혐의로 700만달러의 벌금을 내기도 했다. 오바마 행정부는 추적에 동의하지 않으면 정보를 수집할 수 없는 내용 등을 골자로 한 온라인 개인정보보호 법안을 도입하기도 했다.공범으로 몰린 기업들은 정보 제공 사실을 부인하고 있다. 마크 저커버그 페이스북 최고경영자(CEO율 규제로 선회하고 대신 이용자의 개인정보 통제권을 강화하자는 얘기도 나온다. 이용자 자신이 인터넷 또는 SNS상에 남긴 흔적이 어떻게 사용되는지, 이를 악용하려는 곳은 없는지 살펴봄으로써 적극적으로 개인정보를 보호하는 방안이다.같은 맥락에서 ‘잊혀질 권리’가 거론된다. 잊혀질 권리는 공적인 공간에 있는 기록을 다른 사람에게 노출시키지 않을 권리로 사적인 기록을 인터넷 공간에 올리지 못하게 하는 프라이버시와는 차이가 있다. 이용자가 자신의 정보에 대해 유효기간을 설정하는 것으로 이해할 수 있다. 페이스북의 경우 쓴 글을 지워서 타인이 더 이상 그 글을 보지 못해도 페이스북 회사 내의 정보는 그대로 남아 있다. 페이스북이 여전히 그 정보를 사용할 수 있다는 말이다.라. 개인정보보호법개인정보 보호와 관련해서는 국가마다 접근 방식이 다르다. 미국은 개인정보 보호를 업계 자율에 맡겨 놓고 이용자가 정보 주체로서의 권리를 적극적으로 행사하는 방향으로 유도한다. 반면 유럽은 국가가 나서서 개인정보 관리·감독을 책임진다. 개인정보 보호에 소홀한 기업에 대해서는 사생활 보호 정책을 강화하도록 규제한다.지난 2011년 9월 시행된 개인정보보호법의 내용을 살펴보면 우리나라는 유럽 방식에 가깝다. 강력한 규제를 통해 개인정보를 보호하겠다는 정부의 의지가 분명하게 드러나 있다. 수집제한의 원칙(제3조 1항)은 과도하고 필요 이상으로 개인정보를 수집하는 것을 금지한다.이용제한의 원칙(제3조 2항)은 수집 목적 외에 개인정보를 활용하는 것은 원칙적으로 허용하지 않는다. 또 개인정보 주체의 동의권(제4조 2호)은 개인이 정보 처리의 동의 여부, 동의 범위 등을 선택하고 결정할 수 있도록 했다. 기업이 다양한 데이터를 수집·가공해 원래 데이터 이상의 효용이나 가치를 창출해 내는 데 있어 상당한 제약 조건인 셈이다.그러나 과도한 규제를 담은 개인정보보호법이 빅데이터 산업의 걸림돌로 작용할 것이란 우려가 나온다. 개인정보에 대한 불명확한 개념 정의부터 형식적인 고지·동의 절차에 이르기까지 곳바뀔 가능성이 있다고 주장한다. 이 경우 개인정보 동의를 얻지 못한 사업자는 법 위반으로 걸릴 수 있다.5. 빅데이터 보안을 위한 방안가. 빅데이터의 프로젝트를 개시하기 전에, 먼저 보안에 대해서 생각한다.도둑을 당한 후에 열쇠를 잠글지라도 의미가 없듯이, 데이터를 안전하게 유지하기 전에 데이터 유출 사건이 일어나서는 안 되기 때문이다.나. 어떤 데이터를 보존해야만 하는 지 생각한다.Hadoop을 사용한 규제의 대상이 되는 데이터를 보존하여 분석한다면, 특정의 시큐리티 요건에 따를 필요가 나오게 될 것이다. 만일 보존하는 데이터가 규제의 대상이 되고 있지 않아도 개인을 특정 하는 정보를 잃어버린 경우의 리스크 평가는 행하여야 한다. 그 리스크에는 업무상의 신용이 없어지는 것이나 수익 손실로 이어질 가능성도 포함된다.다. 책임 설명을 집중화한다.현재, 데이터는 조직의 다양한 Silo나 데이터 세트에 보관되고 있다. 데이터 보안의 책임 설명을 집중화하는 것으로 모순이 없는 정책의 시행과 이러한 다양한 데이터 보관 장소에 대한 액세스가 관리될 수 있게 된다.라. 데이터가 휴지 중인 상태라도 동작 중에도 암호화한다.또한, 파일 레이어에서 투과적인 데이터 암호화도 실시하여도 좋다. SSL 암호화는 빅 데이터가 노드나 어플리케이션의 사이를 돌아다닐 때의 보호가 가능하다. “ 파일 암호화는 공격자가 통상의 어플리케이션 보안의 감시를 회피하는 2가지 수법에 대처할 수 있다.”고 시큐리티 조사 및 컨설턴트 회사인 미국 Securosis에서 애널리스트 겸 CTO를 맡고 있는 Adrian Lane은 말한다. 암호화는 악의 있는 사용자나 관리자가 데이터 노드에 액세스하여 직접 파일을 검사하는 것을 막는 것 외, 유출된 파일이나 디스크 이미지를 읽어보지 못하도록 한다. Hadoop 및 호출된 어플리케이션에 대해서는 투과적으로 되게 되며, 클러스트의 성장에 맞추어 스케일 아웃한다. 복수의 데이터 보안 위협에 대한 대단한 비용 효율이 높은 방법이다.마.키와 암호화된 데이터는 별도의 장소 된다.
3.20 사이버 테러, ‘해킹대란’과목정보보호개론담당교수*** 교수님학과***과학번20******이름***그 동안 우려됐던 악성코드에 의한 사이버테러가 현실화됐다. 지난 3월 20일, 주요 방송사(KBS, MBC, YTN)와 은행(신한은행, 농협은행, 제주은행) 전산망이 마비되는 해킹 사건이 일어났다. 금융회사들의 3만2000대에 달하는 컴퓨터가 악성코드에 감염되어 전산 장애로 일시에 작동을 멈췄다. 2009년 7·7 디도스 공격, 2011년 3·4 디도스 공격에 이은 또 하나의 엄청난 ‘해킹 대란’이 일어난 것이다. 과연 그 누구에 의해 어떤 식으로 발생한 것이고 그에 따라 어떠한 방법 대처를 하고 있고 앞으로 어떻게 대비해야할까? 지금부터 이번에 발생한 3.20 사이버테러에 대하여 살펴보고자 한다.이번 공격은 2009년과 2011년에 논란이 됐던 디도스 공격과는 성격이 다르다. 디도스 공격은 해커가 일반인이 사용하는 수천 대의 PC를 악성코드에 감염시켜 조종할 수 있는 ‘좀비PC’로 만든 뒤 이를 이용해 특정 사이트에 일시에 접속 명령을 내려 인터넷 사이트 접속을 일시적으로 마비시켰던 것이었다. 이번 3.20 사이버 테러는 과거보다 한층 진화한 최신수법을 사용한 것으로 전문가들은 분석하고 있다. 이번 공격은 전산망 장애와 더불어 은행과 방송사에 설치된 PC자체가 켜지지 않고 파일이 삭제되는 피해가 발생했다. 사이버 경찰청과 안철수 연구소에 따르면, 이번 사건은 ‘PMS(Patch Management System: 기업이나 공공기관에 설치하는 중대형 컴퓨터로, 항상 켜져 있으면서 필요한 프로그램을 업데이트 해주는 패치 관리 시스템)’를 통한 신종수법인 'APT'기법으로 ‘APT(Advanced Persistent Threat:지능형 지속 위협)’는 오랜 기간에 걸쳐 다양한 공격 기법을 활용해 해킹하는 지능적인 표적공격법이다. 목표기업이나 조직의 취약한 시스템을 통해 내부에 침투한 후, 악성코드를 유포하고 최종적으로 시스템을 무력화하는 식이다. 해커들은 수개월정을 취득하고 있었으며, PMS를 통하여 해킹을 했으므로 백신의 감시망을 피할 수 있었고, 거기다가 마치 백신의 업데이트 파일인 것처럼 위장하여 관리자의 눈까지 속였다. 악성코드 샘플 분석결과 MBR(마스터 부트 레코드)영역을 포함하여, VMR(볼륨 부트레코드)까지 손상된다고 한다. 악성코드의 동작을 간추리면, 특정 프로세스를 종료시키고, MBR 영역과 VBR영역을 Overwriting 한 후 시스템 재부팅을 유도한다. (악성코드:ApcRucCmd_DB4BBDC36A78A8807AD9B15A562515C4.exe, OthDown.exe, AmAgent.exe, vti-rescan.exe /종료되는 프로세스: Pasvc.exe(AhnLab,Inc), Clisvc.exe(Hauri)빛스캔 주간동향 브리핑 자료에 따르면 3월 4주차에 악성링크로 유포된 전체 도메인 수는 1,792건으로 지난 한주에 비해 약 100건 이상 증가한 것으로 집계됐다. 지난 20일, 금융권 및 방송국 타깃을 시작으로 주말에는 변종이 출현해 일반사용자에게 파밍 수법으로 공격한 것으로 드러났다. 이후 특정 사이트에서 명령받아 MBR 영역을 파괴해 사용자의 2차 피해를 유발할 수 있는 악성코드가 발견된 것이다. 현재도 일반 사용자를 노린 악성코드는 계속 유포되고, 지속적인 감염이 이뤄지고 있는 것으로 조사됐다. 이에 따라 예방책이 없다면 앞으로 지속적인 피해가 있을 것으로 예상된다. 이에 빛스캔은 사이버공격으로부터 피해를 최소화하기 위해서는 모든 방문자를 대상으로 한 대량 감염 피해가 최소화될 수 있도록 꾸준히 노력하고, 감염 매개체로 이용되는 웹 서비스들의 취약성을 점진적으로 개선해야 한다고 밝혔다.3.20 사이버테러가 일어나기까지의 과정을 자세히 살펴보자면, 3월 17일 이후 imbc.exe , sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견 되어 관련성에 대해 상태였다. 20일의 파괴형 악성코드 동작 이후 24일에도 국내 사이트를 통한 악성코드 감염 사례가 발생 되었으며 해당 악성파일명은 naver01.exe로 이용 되고 있었다. 해당 파일의 분석결과 여러 악성코드를 추가로 다운로드 받는 것이 관찰 되었고 공격자가 원격에서 조정하는 C&C 주소가 imbc.exe에서 발견된 C&C 주소와 동일한 것이 확인 되었다. 도메인의 이름만 변경되었으며 실제 IP 주소는 동일한 것으로 확인이 되었고(*.hades08.com dns명은 다르나 IP는 동일), 시스템에 대한 파괴 행위도 20일 발견된 피해 악성코드의 기능과 유사한 변종으로 확인 되었다. 따라서 20일 사건에 대하여 17일 이후 대량으로 국내에 유포된 imbc.exe 악성코드와 실제 피해를 입힌 악성코드와의 연결 고리를 확인 할 수 있다. 위의 두 가지 핵심적으로 관찰된 결과에 따라 동일 그룹의 소행이며, 동일 C&C를 사용한 것으로 추정된다. 최초 악성코드 유포지인 악성링크의 도메인 (hXXp://dxx.asdasd2012.com/ro/sunt.html(홍콩)) 등록은 15일에 등록하였으며, 등록 이후 즉시 국내에 대한 공격을 시행함. 악성링크 자동 실행이 되어 방문자의 브라우저에 대한 공격이 발생 하고 성공하게 되면 다음 도메인에서 imbc.exe 파일을 받아 온다.(최종다운로드 링크: hXXp://mx.asdasd2012.com/imbc.exe(일본)) 결론적으로 관찰 결과에 따르면 20일 사건 이전에 필요한 준비기간은 도메인 등록까지 포함해서 5일 정도로 예상이 되며, 실제 공격은 단 3일 동안에 대량 유포와 대상을 지정한 공격까지 모두 끝낸 상황으로 추정 할 수 있다. 24일 발견된 악성코드 감염의 사례는 국내 주요 사이트 최소 7~8곳에서 유포가 되었으며 방문과 동시에 감염이 되고 파괴형 악성코드도 즉시 설치되는 것을 확인 하였다. C&C의 명령에 따라 즉시 파괴가 가능함을 관찰 한바 있다.최근 유포되고 있는 악성코드 샘플 62종을 분석한 결과 이번 3.한 트로이목마 유형이 80%를 차지한다는 분석결과가 나왔다. 즉 악성코드 대응체계를 마련하지 않으면 이번과 같은 사고는 반복해서 발생할 수 있다는 점에서 시사하는 바가 크다. 빛스캔은 “지난 수요일 발생한 방송국 및 금융권 해킹 사고와 더불어 발생 가능한 추가적인 해킹사고의 발생 가능성을 줄이기 위해 국내외 보안 기업 및 유관 기관에 지난 11일부터 17일까지 수집해 보유하고 있던 악성코드 수 백 여 종을 제공한바 있다”고 밝히고 “현재 빛스캔에서는 180여 만 개의 웹서비스에서 악성코드 감염 현황을 관찰하고 있으며 웹서비스를 통한 자동감염(Drive by Download)에 대해 악성링크와 악성코드를 수집하고 있다”고 전했다. 또 “위험을 경고한 기간 중 수집된 악성코드를 선 제공함으로써 웹서핑을 통해 감염된 악성코드를 이용해 내부망으로 침입했을 가능성도 일정부분 있을 수 있어서 대응차원에서 제공한 것”이라고 덧붙였다. 빛스캔 관계자는 “정보제공을 받은 모 보안 업체에서 약 62종의 악성코드를 1차적으로 분석한 정보를 당사에 제공했다”며 “총 62종의 악성코드 중에 트로이목마(Trojan Horse)가 50건(80%)를 차지했으며, 백도어 5건(8%), 다운로더 3건(4.8%)를 차지했다. 그 외 정보유출을 목적으로 하는 Info Stealer 계열의 악성코드도 1건 진단된 것으로 확인되었다”고 전했다. ‘트로이목마’는 원격에서 공격자가 직접 통제를 할 수 있으며, 원격에서 접근을 통해 추가적인 내부 공격에도 이용 될 수 있다. 시스템에 대한 모든 권한을 장악하고 추가적인 공격도구들도 다운 받아서 활용할 수 있는 형태이므로 추가적인 내부 공격의 거점으로도 활용 될 수 있다. 또한 공격자에 의해 직접 조정도 가능한 형태의 원격 통제 도구인 RAT(Remote Administration Tool) 종류도 트로이목마로 분류 될 수 있다. 이번 3.20 트로이 목마 사례도 여기에 포함된다.지금의 상황은 취약한 웹서비스 혹은 공격자가 권한을 이미 가진 웹서비스에 접속트로이목마에 일반 사용자들이 감염 될 수 있는 상황이다. 내부망에 있는 사용자 PC를 공격하는 방식에는 이메일을 통한 악성코드 감염과 웹서핑을 통한 방문 시 감염 사례 두 가지가 있을 수 있다. 또 한 가지 특이사안은 언론 상에 ‘빛스캔’ 측이 밝힌 방송국 관련 악성코드 이름은 kbs.exe, sbs.exe, imbc.exe 세 가지다. 실제 방송국 중에서 KBS와 MBC만이 피해를 입었다고 알려져 있다. 하지만 sbs.exe 악성코드 파일을 분석한 결과 깨져 있는 즉, 동작하지 않는 악성코드라고 분석되었다. 실제 SBS 방송국은 피해가 없다고 알려져 있어 이와 연관된 무엇이 있지 않을까 빛스캔 측은 추정하고 있다. “다만 이번 사건에서 실제 피해를 입힌 악성코드의 경우 추가적으로 내려와 PC를 공격한 파일이며, 당사에서 제공한 샘플은 그 전단계인 1차 감염, 추가 다운로드에 관련된 악성파일이다”라고 밝히고 “또한 감염 이후 내부망 PC 대역을 공격할 수 있는 거점으로도 삼을 수 있는 악성파일이라 3월 20일 발생된 사건과 직접적인 연관성에 대해서는 정확히 판단하기 어렵다고 보여 진다. 향후 추가 조사와 분석을 통해 내부망으로 유입된 경로가 밝혀진다면 연관성은 확인이 될 수 있다. 가능성을 줄이기 위한 차원의 정보제공이라는 점을 염두에 두어야만 한다.”고 설명했다. 한편으로 백도어도 이번에 제공된 악성파일에서 발견되었다고 한다. 트로이목마와 동일하게 원격에서 직접 접근이 가능하고 통제가 된다는 점에서 위험성은 동일하다. 빛스캔 문일준 대표는 “이번 사례를 떠나서 현재 웹으로 공격되는 악성코드의 대부분은 개인정보 탈취, 파밍, 게임정보, 디도스 등 다양한 공격 목표를 지니고 있으며 실제 공격자의 손끝에 따라 목표가 달라지고, 피해 범위 또한 확대될 수 있는 상황”이라며 “모든 방문자를 대상으로 하는 대량 감염 공격의 효과를 줄일 수 있도록 꾸준히 노력하고 감염 매개체로 이용되는 웹서비스의 취약성을 꾸준히 개선해야만 대량에 의한 추가적인 대형 사고들을 예방 할 수했다.
빅데이터 보안 과제 논문 리포트(정보보호개론)
DES 예문으로 암호화, 복호화한 전과정 정리(암호문,초기 전치(IP),확대전치,S-BOX,평형전치,역전치(IP-1),평문)
