우키의 보안이야기

http://www.virscan.org

Virscan.org는 악성코드로 의심되는 파일을  웹사이트 상에서  다양한 백신으로 쉽게 검사해줍니다.
바이러스를 치료해주는 것이 아니라   여러 엔진을 이용한 진단 결과만 보여주지요.. 
virustotal.com과 유사한 사이트라고 보시면 되겠습니다.
virustotal보다 좀더 자세히 정보를 보여주는 듯합니다.   ^^  (시그니처 버전까지 보여주죠..)
압축해서 올리는 것도 가능하며   암호화해서 압축할때는 infected 또는 virus로 암호화하면 진단이 가능합니다.
사용자들의 편의를 생각해주는 듯합니다.

http://www.virustotal.com

이 사이트는 바이러스로 의심되는 파일을  분석해주는 서비스를 제공합니다.
의심파일 하나를 이 사이트에  업로드하면 유명 백신회사들의 안티바이러스 엔진을 이용하여
한번에 분석결과를  보여줍니다.

요즘은 백신 하나로는 바이러스를 다 잡을 수 없기때문에   멀티엔진을 이용하여
비교적 신뢰할만한 결과를 보여줍니다.

바이러스 토탈은  PC월드매거진에서  2007년 최고의 제품 100선에 선정하기도 했습니다.

불법소프트웨어 사용은 보안관리자로서 매우 신경쓰이는 일이 아닐수없습니다.
관리도 힘들뿐더러  단속에 걸리기라도 하면  회사의 이미지 실추와 발생되는 비용이 장난이 아니게되죠..
요즘은 불법소프트웨어에 숨어있는 악성코드도 조심해야 하구요..  

평소에 교육을 철저히 하고  불법소프트웨어가 사용되지 않도록 철저히 관리해야 합니다.
메일을 통해 사전에 인지를 시키고  자산관리 소프트웨어를 통해  사용현황을 collect한후
교정조치에 들어가야 겠습니다.  (이게 힘들더라구요..    불필요한거 삭제,  꼭 필요한거 구매…)
요즘 분위기는 신규로 구매하는 것이 그리 쉽지않겠네요..(금융위기의 여파로 …)
아래는 불법소프트웨어의 사용을 경고하고  그 결과(?)를 인지시키는  보안교육메일입니다.
모든 회사가 다 동일하게 적용되는 문제일 듯합니다.  ^^

결론: 직원이 노트북 1대를 분실하거나 도난당하면
      회사는 보안 유지를 위한 비용 등으로 인해 약 5만 달러의 손실을 본다

인텔이 미시간주 연구소에 의뢰, 조사한 결과라고 합니다.   연구 결과  노트북 1대를 분실하거나 도난했을 경우  회사측의 손실 비용이 4만9천246달러에 달하는 것으로 되어있습니다.   노트북을 분실하거나 도난당할 경우 회사측이 지불하는 비용 대부분은 지적 재산인 노트북 자체를 잃게 된 데 따른 손실과 회사 내부의 민감한 데이터가 외부에서 악용될 수 있다는 것과 관련돼 있다고 합니다.

조사대상: 미국내 기업과 정부 기관 등 29곳이 지난 1년간 랩톱을 분실하거나 도난당한 사례 138건
              –> 노트북의 주된 분실 장소: 공항과 콘퍼런스 행사, 택시, 렌터카, 호텔 등.

▶ 손실내역
 1. 랩톱 분실 등에 따른 정보 유출을 막기 위한 비용
 2. 랩톱을 대체하는 데 드는 비용
 3. 생산성 손실
 4. 분실 또는 도난 경위를 조사하기 위한 비용

▶ 분실사실을 인지하는 시점이 손실에 미치는 영향
 당일 바로 알게 될 경우 평균 손실 비용:  8천950달러
 1주일 뒤에 알게 될 경우 평균 손실 비용: 11만5천849달러

▶ 회사측 비용이 늘어나게 되는 이유
 1. 많은 회사의 직원들이 노트북에 저장하는 정보량이 과거와 비교하기 어려울 만큼 크게 늘었다.
 2. 노트북 분실 등에 따른 정보 유출 가능성이 크다.
 3. 노트북에는 고객과 내부 직원에 대한 민감한 정보, 사업 운영 계획 등이 담겨 있는 경우가 많다.
 4. 민감한 정보가 악용될 가능성을 사전 차단하기 위해서는 비용이 많이 들어가게 된다

▶ 노트북 분실에 따라 직원 개인이 변상한 비용:
개별 사례에 따라 적게는 1천213달러에서 많게는 97만5천527달러까지 큰 차이를 보였다고 합니다.

  행안부에서  올해 13만명에게 개인정보교육을 실시할 예정이라고 합니다.  정말 많군요.. 온오프라인 교육이 계획되어 있다고 합니다.  온라인교육사이트까지 만들어서  적극적으로 교육에 나선다고 합니다.   개인정보문제가  국가적으로 어려움을 주고 있는 현실을 반영한듯 합니다.   

출처: http://www.ddaily.co.kr/news/news_view.php?uid=49752

  공공기관의 개인정보보호 교육이 의무화되고 민간기업이 쉽게 개인정보보호 교육을 받을 수 있도록 온라인 교육과정이 개설, 운영된다.  행정안전부(장관 이달곤)는 개인정보보호에 대한 인식부족으로 개인정보 침해사고가 지속적으로 발생함에 따라 올해 공공기관과 민간기업 13만 명에 대한 교육을 실시하는 등 개인정보보호 교육을 대폭 강화한다고 11일 밝혔다.

   개인정보보호 교육 효과를 높이기 위해 기존의 집합·이론 교육을 탈피, 시간과 장소에 제약을 받지 않고 교육을 받을 수 있는 교육환경을 조성하고 현장중심 교육도 실시할 방침이다.  우선, 공공기관의 개인정보보호 교육을 강화하기 위해서는 개인정보보호법령을 제정해 각급기관의 개인정보보호 교육 실시와 개인정보 취급자 등의 교육이수를 법적으로 의무화해 체계적이고 지속적인 교육을 추진할 계획이다.
또 한 각급 기관의 개인정보보호 최고 책임자를 대상으로 개인정보보호 중요성에 대한 인식을 높일 수 있도록 연 2회 워크숍을 개최하고, 업무담당자를 대상으로 개인정보보호 법·제도와 기술적 보호조치 등에 대한 전문교육을 공무원 교육기관과 전국 권역별 순회교육을 통해 실시한다. 민간기업의 개인정보보호 교육을 위해서는 기업 활동에 지장 받지 않고 언제 어디서나 학습할 수 있도록 온라인 교육과정(가칭 개인정보보호 배움나라)을 개발, 올해 8월부터 한국정보보호진흥원과 사업자 협회 등을 통해 보급할 계획이다. 백화점·정유사 등 개인정보를 다량 취급하는 사업자를 중심으로 담당자 대상 집합전문교육도 진행한다. 아울러 민간기업에서 실무적으로 활용할 수 있는 사례 위주의 개인정보보호 지침서를 제작·배포하고, 민간기업이 개인정보보호 교육을 희망하는 경우 교육교재와 전문강사를 무료로 지원할 방침이다. 세부 교육일정과 교육지원 내용은 각 협회의 정기간행물과 한국정보보호진흥원(www.kisa.or.kr) 홈페이지 등에서 안내할 예정이다.

  행정안전부는 “각급 공공기관의 교육 실적 등을 ‘2009년 개인정보보호 수준 평가’에 반영하고, 민간기업은 ‘개인정보보호 실천협의회’ 등을 통해 교육을 유도하는 등 국가사회 전반에 걸쳐 개인정보보호 문화가정착될 수 있도록 교육을 지속적으로 추진해 나갈 것”이라고 밝혔다.

기업들이 자사의 기업 이미지에 가장 나쁜 영향을 주는 것으로 ‘개인정보 유출’과 같은 보안 사고를 손꼽고 있는 것으로 조사되었다고 합니다.   방송통신위원회와 한국정보보호진흥원에서 어제인 5월7일에  코엑스 그랜드볼륨에서 “방송통신융합 환경에서 기업정보보호 전략 세미나”를 개최했는데 여기서 나온 내용입니다. IT데일리에 게재된 기사를 다시 요약했답니다.  가고싶었는데  가지못했는데  기사로 정리가 되어있더군요… ^^

원문출처: http://www.itdaily.kr/news/articleView.html?idxno=19336

출처:  언스트앤영의  어드바이저리의 김민수 이사의 강연
       (‘기업 위험관리를 위한 IT 컴플라이언스 대응 전략’ 세션중)

▶ 10대 기업 리스크
1. 신용경색
2. 규제&컴플라이언스
3. 불황심화
4. 급진적 그린(GREEN)화
5. 비전통적 참여자
6. 비용 축소
7. 관리 능력
8. 집행한 얼라이언스와 거래
9. 비즈니스 모델 중복
10. 평판 리스크  
이 가운데 대규모 개인정보 유출 사고는 해당 기업의 평판 리스크에 막대한 영향을 주고 있는 것으로 분석됨

▶ 기업들이 가장 크게 우려하는 것은 ?
보안 사고로 인한 금전적 부담, 신뢰도 하락 보다도 브랜드 가치 추락의 추락을 우려함

▶ 한국이 전세계 개인정보 유출사고 10위권안에 들었다
대규모 개인정보 유출 사고가 일어난 기업들의 경우 DB보안 솔루션, 중요 데이터의 DRM 적용, 이동식 저장매체 통제, 고객정보 접근기록에 대한 주기적인 감사/모니터링 가운데 하나라도 적용됐었다면 한국이 전 세계 개인정보유출 사고로 10위권 안에 드는 불명예스런 일은 없었을 것

 ▶ IT 위험 관리는 어떻게?
기업들은 IT위험 관리를 통해 비즈니스 위험을 낮출 수 있고, 단순한 제품 도입이 아닌 보안관리체계부터 완성해야 함.

 ▶  IT 위험 관리의 대상
1. 조직의 IT자산(서버시스템, 네트워크, DB, 애플리케이션 등)
2.  IT관련 업무 프로세스(기획, 개발, 운영, 유지보수 등)

▶  IT위험관리의 주요 효과
1.  IT위험관리 수준의 지표화 가능
2. 효과적인 IT거버넌스 이행
3. 정보화 예산의 효율적인 집행
4. 적절한 IT컴플라이언스 대응

▶ 보안컴플라이언스 강화와 기업 브랜드 리스크 감소를 위해선 무엇을?
보안컴플라이언스 강화와 기업 브랜드 리스크 감소를 위해 개인정보보호와 연관된 위험을 엄격한 수준으로 관리
기업 내부 정보에 대한 중요도가 다를 수 있는 제3의 계약자에게 특별한 정보보안 요구사항과 통제를 수립  필요