© 2007 McAfee, Inc. Endpoint Encryption... · 4. 개인사용컴퓨터의성능향상,저장용량의확대및휴대편리성등으로인하여LaptopPC의사용이급속히...

© 2007 McAfee, Inc.

2

목 차

3

1. Mobile Data 보안

4

개인 사용 컴퓨터의 성능 향상, 저장 용량의 확대 및 휴대 편리성 등으로 인하여 Laptop PC의 사용이 급속히확대되고 있으며 모바일 디바이스와의 통합이 빠르게 진행되고 있습니다. 동시에 이동식 저장장치를 통한 정보의유출이 중요한 보안의 화두가 되고 있습니다.

2. Mobile Data 보안 동향 2-1. 보안 이슈의 진화

5

10,000

20,000

30,000

40,000

50,000

60,000

2000 20052006 2010

Devices구분Desktop

PCLaptop PC

Mobile Devices

2000년 48,000 12,000 -

2005년 52,000 25,000 8,000

2006년 54,000 38,000 21,000

2010년 60,000 55,000 43,000

보안사고건수 (%)

1,219(2.2%)

2,914 (7.7%)

3,127 (14.9%)

년 매출 규모 US$23 Billion 규모의 보험회사에 대한 보안 컨설팅 과정에서 파악된 Endpoint & Mobile Data 보안과관련된 통계 자료에 의하면, Laptop PC와 Mobile Data Storage를 통한 Data 유출이 급속히 증대되고 있음을 확인할 수 있습니다.

실제 사례를 통해 본 Data 유출 동향

2. Mobile Data 보안 동향 2-2. 보안 사고 동향

6

● 분당 19명의 개인 정보 유출 피해자가 발생함.1

● 지난 3년간 2억 천7백만 이상의 미국인이 개인 정보 도난/데이터 유출피해자로 집계.2

● Fortune 1000대 기업에서 분실된 자사 PC의 2% 를 찾지 못하고 있음.4

● Fortune 1000대 금융기관에서 하루 평균 하루 1대의 노트북 분실.5

1. Identity Theft Resource Center, 2007 2. 2007 Ponmon Institute Cost of Data Breach study 3., 4., 5. www.privacyrights.org

2. Mobile Data 보안 동향 2-2. 보안 사고 동향

또한 Laptop PC의 사용이 증대하면서 Laptop PC에 대한 도난 또는 분실 사고가 증대하고 있으며 이로 인한 기업의기밀 데이터 또는 개인 정보의 유출 역시 급격히 증가하고 있는 추세입니다.

7

2. Mobile Data 보안 동향 2-3. Mobile Data Security Survey

Mobile Devices에 저장하고 있는 데이터는?

Source: Mobile Security Survey 2007, Infowatch

8


Q: Mobile Device 도난/분실 시 걱정되는 요소는?

Source: IDC 2007

n = 200

9


Q: Mobile Device 를 주로 분실/도난 당할 것 같은 장소는?

Source: IDC 2007

n = 200

10


Q: Laptop PC 도난 방지 케이블을 설치하면 도난을 막을 가능성은?

Source: IDC 2007

n = 200

11


Laptop PC / HDD 도난 또는 분실로 인한 정보 유출 / 피해 현황

Case Time 피해자 추정 피해 금액

미군 및 퇴역 장병 정보 저장 노트북 분실 (미국) 2006.5 287 450

전국 주택 연합회 노트북 도난 (영국) 2006.4 11 15

내부자에 의해 회사 기밀 정보가 저장된 외장 하드디스크 도난(Dai Nippon Printing / 일본)

2006.7 8.64 12

의사와 환자 정보가 저장된 노트북 도난 (미국 퇴역장병병원) 2007.01 1.8 367

고객 정보가 저장된 노트북 도난 (ACS / 미국) 2006.10 1.4 320

고객정보가 저장된 노트북 분실 (Texas Guaranteed / 미국) 2006.5 1.3 237

퇴역자 정보가 저장된 외장 하드디스크 분실 (도난) 2007.02 0.54 Unknown

2,500만명의 개인정보 저장 컴퓨터 하드디스크 분실 (영국정부) 2007.11 25 Unknown

(피해자 = 백만명, 피해금액 = 억달러)

Source: IDC 2007

12

대외비 정보 및

고객정보 유출방지

• 기밀기업정보

• 고객신상정보

• 개인금융정보

강화되는 기업 통제 및

Compliance

• 개인정보보호법

• 전자금융거래법

지적 재산 보호

• 특허 정보

• 프로그램 소스

• 제품 디자인

Endpoint & Mobile Data 보안의중요성및필요성은날로강화되고있습니다.

Endpoint & Mobile Data 보안의 필요성

2. Mobile Data 보안 동향 2-4. 데이터 보안의 필요성

13

• 외부로부터의 공격 방어에 치중

내부 사용자에 의한 고의 또는 실수에 의한정보 유출을 차단할 수 없음

• 노트북 / 이동식 저장장치 도난 / 분실로인한 정보 유출에 무방비

• 정보 라이프사이클 내내 끊임없이 유통되는속성 때문에 통제하기 어려움.

끊임없이 기업 네트워크 경계와 내부 서버리소스간을 이동하는 속성을 지님.

LAN

Clients Servers

WebFiltering

Authentication

Anti-virus / Anti-spyware

VPN

Comprehensive PC Security

ThreatDetection

Change/PatchManagement

Firewall

Anti-virus

기존 보안 솔루션의 한계

2. Mobile Data 보안 동향 2-4. 데이터 보안의 필요성

14

3. McAfee ® Device Encryption 소개

15

3. Device Encryption 소개 3-1. 기술적 특장점

구분 Power on 패스워드 Supervisor 패스워드 Hard Disk 패스워드

방 식PC 기동 시에, 설정한 비밀 번호를바로 입력하지 않으면 PC가 기동

되지 않는다

BIOS상의 모든 설정의 변경을위한 패스워드

Power on 패스워드와 같이, PC기동 시에 설정한 패스워드를 바로 입력 하지

않으면 PC가 기동되지 않는다

하드 디스크 자체에 패스워드를 걸기때문에 PC가 도난 당했을 경우

하드 디스크를 다른 PC 에 연결해도, 내용이 보호된다

문제점

제조사가 해제법을 공개

HDD내의 데이터가 암호화되어있지 않음.

지식이 있는 사람이면,간단히해제 가능

일단 패스워드를 분실하면 초기화불가능, 제조사에 복구의뢰

하드 디스크의 교환(유상) / Long time cost 발생

PC에 탑재되어 있는 암호 인증 기능은 Power On 패스워드, 하드디스크 패스워드, Supervisor 패스워드 등이 있으나기밀성을 충족시키지 않고 있거나 지식이 있는 사람이면 누구나 간단히 해제 가능하므로 PC의 도난, 분실 시에 정보유출 방지의 대책이 될 수 없습니다.

기존 HDD 보안 기능의 한계

16

BIOS

APPL

SBR

HDD (SBFS / MBR)

SECTOR 0

SECTORS

1 - 62

SECTOR 63 - ...

Partition gap

McAfee DE Installation

SafeBoot 파일 시스템접근 및 Windows 구동을

위한 Pre-Boot 인증

Original MBR을 SBR (=SafeBoot Boot Record)로 대체대체된 Original MBR SBFS (=SafeBoot File System)에 저장SBR을 통해 Pre-Boot 인증Pre-Boot 인증 성공 시 Original MBR 로딩 및 Windows 부팅 진행


Device Encryption의Pre-Boot

인증 Process

17

Pre-Boot 인증

Original MBR 로딩

Device Encryption Client Agent 구동

Device Encryption Client와 서버간동기화 통신 시도

Username: Jiexin256 Password: *******

Windows 부팅

Device Encryption Key 업로드

Device Encryption Pre-Boot 화면

Windows 로그온


Pre-Boot 사용자 인터페이스

18

사용자에게 투명하게 동작, 보이지 않게 보안 기능 수행 !

시스템 부하가 없다 !

단 한번의 암호화로 도난 / 분실에 의한 데이터 유출 완벽 차단 !

Encrypted Encrypted Encrypted Encrypted


19


Award & Certification

Device Encryption의 암호화 기술은 군사용 암호 용도로 사용 가능한 수준인 Common Criteria EAL 4 인증 및 FIPS Level 2 인증을 획득하여 완벽한 보안성을 입증하고 있습니다.

20

McAfee ®Device Encryption for PC

McAfee ®Management Center

McAfee ®Connector

3rd Party Directory systems

Microsoft PKIEntrust PKIActive DirectoryNovell NDSLDAP

McAfee ®Database Backup

McAfee ® Scripting Tool

Internet

TCP/IPHTTPS

LANWANVPN

McAfee ® WebHelpdeskMcAfee ® webRecovery

3. Device Encryption 소개 3-2. 시스템 개요

21

3. Device Encryption 소개 3-2. 시스템 개요

9. DE Client / Management Center 동기화

8. DE Client Install Set 설치

7. DE Client Install Set 생성 및 배포

6. Machine 그룹 생성 및 속성 설정

5. 사용자 생성 및 속성 설정

4. 사용자 그룹 생성 및 설정

3. Management Server 생성서버 설정 관리자 그룹 및 권한 설정

2. Local Database 생성Group 생성 관리자 지정 Optional Component 지정

1. Management Server 설치암호 알고리즘 선택 가능 Optional Component 선택 가능

22

Management

Center 기능

긴급 복구

기능

DE Client

기능Pre-Boot 인증 기능HDD 전체 암호화 기능비밀번호 복구 기능Single Sign OnScreen Saver

Web RecoverySafeTechWinTech

사용자 그룹별 정책 적용Machine 그룹별 정책 적용2 Factor 인증 기능비밀번호 정책설정 기능Log & Audit 기능

Application 통제 기능PC 사용시간 통제기능DB Backup 기능비밀번호 복구 기능

핵심 기능 요약

3. Device Encryption 소개 3-3. 핵심 기능

McAfee ® Device Encryption의 핵심 기능은 Management Center 의 강력한 중앙 통제 기능과 Client PC에 설치된Agent 에 의한 보안 기능 및 긴급 복구 기능으로 구성되어 있습니다.

23

Management Center 기능 – 사용자 생성 및 정책 설정

McAfee ® Device Encryption Management Center를 통해 사용자를 생성하고 해당 사용자에 대한 정책을 설정할수 있습니다.


24

Management Center 기능 – Machine Group 생성 및 정책 설정

McAfee ® Device Encryption Management Center를 통해 Machine (Client PC) 그룹을 생성하고 해당 그룹 별로정책을 설정 운영할 수 있습니다.


25

Management Center 기능 – 2 Factor Authentication 인증 설정

사용자 인증을 위한 인증 방식을 비밀번호 인증 방식 이외에 다양한 하드웨어 인증 Device을 통해서 2 Factor 인증이가능하도록 정책 설정 / 운영 가능합니다.


26

Management Center 기능 – 비밀번호 설정 및 운영 정책 기능

비밀번호 설정 시에 비밀번호 보안성 확보를 위해 비밀번호 설정 규칙을 운영할 수 있으며, 또한 비밀번호 운영정책을 통해 비밀번호 변경 주기, 비밀번호 오류 횟수 제한 등 정책을 설정 / 운영할 수 있습니다.


27

Management Center 기능 – PC 사용 시간 통제 기능

클라이언트 PC에 대한 사용 시간 설정 및 관리가 가능합니다.


28

Management Center 기능 – Log & Audit 기능

비밀번호 분실 시에 클라이언트 PC에서 사용자 본인 인증키를 생성하고, 동 본인 인증키를 통해서 Management Center에서 일회용 비밀번호 복구키를 생성한 후 클라이언트 PC로 전송, 비밀번호를 재 설정하도록 합니다.


29

Management Center 기능 – 동기화 기능

클라이언트 PC와 서버간의 통신 / 동기화 주기를 설정하여 정책 업데이트 및 사용 현황 감시가 가능합니다.


30

Management Center 기능 – 기타 기능

클라이언트 PC에 표시되는 팝업 윈도우에 표시되는 각종 경고 문구를 Management Center에서 설정할 수 있습니다.


31

DE Client 기능 – HDD 전체 암호화 기능

Management Center에서 관리자가 설정한 암호화 정책에 의거하여 클라이언트 PC의 HDD를 암호화 합니다. 클라이언트는 정책을 수행할 뿐 정책의 적용 여부 또는 변경을 할 수 없습니다.


v

32

DE Client 기능 – Pre-Boot 사용자 인증 기능

Windows OS 가 부팅되기 이전 단계에서 사용자 인증을 통과하여아만 Windows OS 부팅이 진행됩니다. Pre-Boot 인증을 통과하지 못하면 안전모드 진입 역시 불가능 합니다.


33

DE Client 기능 – 비밀 번호 복구 기능

비밀번호 분실 시에 클라이언트 PC에서 사용자 본인 인증키를 생성하고, 동 본인 인증키를 통해서 Management Center에서 일회용 비밀번호 복구키를 생성한 후 클라이언트 PC로 전송, 비밀번호를 재 설정하도록 합니다.


34

DE Client 기능 – 화면 보호기 기능

Management Center에서 설정된 화면 보호기 강제 구동 설정, 윈도우 화면 보호기 옵션 선택 기능 등 화면 보호기와관련된 정책에 따라 클라이언트 PC에서 화면 보호기가 구동 됩니다.


35

DE Client 기능 – SSO 기능

Device Encryption 로그인 정보를 통한 Windows Logon을 동시에 수행함으로써 편리한 로그인이 기능하도록 합니다.


36

긴급 복구 기능 – Web Recovery

사용자 비밀 번호 분실 시에, Web Recovery 기능을 통해서 비밀 번호 복구가 가능합니다.


37

긴급 복구 기능 – Safe Tech

암호화된 클라이언트 PC로부터 Device Encryption 프로그램 삭제 에러, OS 손상 등 문제가 발생한 경우 McAfee 에서제공하는 복구 툴인 Safe Tech을 이용하여 긴급 복구가 가능합니다.


38

4. Case Study

39

4. Case Study (00전자) 4-1. 도입 배경

글로벌 휴대폰 생산 업체인 00전자 소속 연구원의 중국 출장 중 노트북 분실을 분실한 사고 발생되었고, 이후 00 전자의 차세대 휴대폰 개발 모델 디자인이 인터넷 배포되는 정보 유출 사고 발생되었습니다.

정보 유출 사고 발생

노트북 휴대 / 해외 출장

노트북 도난

기밀 개발 정보 유출

40

4. Case Study (00전자) 4-2. 도입 프로세스

McAfee Device Encryption 제품 도입을 위해 1단계로 현업 부서 (R&D 연구소) 연구원들이 현업에서 사용하는PC를 대상으로 Pilot Test를 통해서 제품 설치 이후 PC 성능의 Performance Loss 여부를 검증 하였습니다.

1단계: 현업 부서 Pilot Test

Pilo

t Test 환경

• R&D 연구소 연구원 대상

• Laptop PC 5대

Pilot Test

환경

• 1.5개월Test 기간

• 제품 설치 이전과 동일한

업무 수행을 통한 PC

Performance Loss 여부 검증Test 방법

Test 결과

현업 부서 Pilot Test 결과 제품 설치 이전과비교 시에 Performance Loss가 거의 느껴지지않음.

제품 설치전과 이후2GB 크기의 파일 컴파일속도 비교:

-설치전: 1시간 44분-설치후: 1시간 47분

41

4. Case Study (00전자) 4-2. 도입 프로세스4. Case Study (00전자) 4-2. 도입 프로세스

현업 부서 (R&D 연구소) 연구원들을 통한 PC 성능의 Performance Loss 여부에 대한 검증 후, 제품 도입 후 실제운영을 담당할 보안 부서에서 제품 운영의 편리성, 효율성 등에 대한 검증 작업을 수행 하였습니다.

2단계: 운영 Test

기존 운영 중인 제품 / 솔루션과의 호환성은?

제품 운영에 소요되는 Resource의 적절성은?

제품 운영의 효율설/편리성은?

벤더사의 제품 도입 후 유지 보수 및 기술 지원 역량은?

제품 도입 비용의 적절성은?

Test 기간- 1.5개월

42

4. Case Study (00전자) 4-2. 도입 프로세스4. Case Study (00전자) 4-2. 도입 프로세스

현업 부서 (R&D 연구소) 및 보안 담당 부서의 Test이후, HDD 암호 기능에 대한 보안성 검증 작업을 수행하였습니다.

3단계: 보안성 Test

Device Encryption 설치및 HDD 전체 암호화가

적용된 Laptop PC

00 전자와 용역 계약이체결된 HDD 복구 전문 업체

Data 복구 의뢰

1.5월간 Data 복구 시도= 실패

43

4. Case Study (00전자) 4-3. 운영 현황

반출시스템

1. ‘반출시스템’ – 사용자 이름, 자산번호, 제품 시리얼번호, IP주소 …

2. 반출 승인

3. 반출 승인서 출력

4. 반출 대상 PC 봉인반출입관리시스템

반출 대상 PC

반출입관리시스템

DE2. DE Client Install Set 전송

3. DE Client 설치 및HDD 암호화

반출 대상 PC

4. HDD 암호 상태 확인

5. HDD 암호 상태 정보 전송

1. ‘반출시스템’ – 사용자 이름, 자산번호, 제품 시리얼번호, IP주소 …

6. 반츨 승인

제품 도입 전

제품 도입 후

44

5. 시스템 요구 사항

45

5. 시스템 요구 사항

구 분 Specification

McAfee DeviceEncryption Server

Windows2000 이상서버 (최신 패치 및 SP)

McAfee Device Encryption Database

Windows 2000 이상서버 SP1 이상

McAfee Device Encryption Agent

Windows 2000, XP, Vista (32 Bit, 64 Bit)

46

제안 내용과 관련하여 문의 사항이 있으신 경우 아래 제안 사로 연락주시면 성심 성의껏 지원하여 드리겠습니다.

㈜인성디지탈서울시 송파구 가락동 99-5 효원빌딩 7,8,9층

전화: (02) 2105-4567담당자: 윤원영

([email protected] / 011-1755-0689)

© 2007 McAfee, Inc. Endpoint Encryption... · 4. 개인사용컴퓨터의성능향상,저장용량의확대및휴대편리성등으로인하여LaptopPC의사용이급속히...

Documents