[보고서]호스팅서비스 정보보안 실태조사 및 예방ㆍ대응체계 개선방안 연구

심상현

호스팅서비스 정보보안 실태조사 및 예방ㆍ대응체계 개선방안 연구
Survey on Information Security of Hosting Service and Study on Improvement of Prevention and Response System for Security Incident 원문보기

보고서 정보
주관연구기관	한국침해사고대응팀협의회 CONsortium of CERTs
연구책임자	심상현
참여연구자	김성진 , 민경준 , 지현정 , 연수권 , 박나룡 , 홍보성 , 유진호 , 이광연 , 우한솔 , 정준영 , 백성현 , 김규리
보고서유형	최종보고서
발행국가	대한민국
언어	한국어
발행년월	2017-12
과제시작연도	2017
주관부처	과학기술정보통신부 Ministry of Science and ICT
등록번호	TRKO201800039227
과제고유번호	1711059749
사업명	ICT진흥및혁신기반조성
DB 구축일자	2018-09-15

초록 ▼

4. 연구 내용 및 결과
1) 호스팅 사업자 현황 및 보안책임 범위
ㅇ 호스팅 사업자 현황
- 한국인터넷진흥원 : 웹 산업지도에서는 2017년 12월 현재 415개사에서 487개의 호스팅 서비스를 운영하고 있는 것으로 조사
- 한국표준산업 분류 : 통계청(국가통계포털)에서는 호스팅 및 관련 서비스업’의 사업체 수는 2015년 기준 191개로 조사

ㅇ 호스팅 관리자 보안 책임 범위
- 웹호스팅 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 물리적 장치, 네트워크, 서버, DBMS, 미들웨어 영역까지 보안책임을 가지며, 이용자는 어플리케이션, 데이터, 인증에 대한 보안책임을 갖음
- 서버 호스팅 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 물리적 장치, 네트워크, 서버 영역까지 보안책임을 가지며, 이용자는 DBMS, 미들웨어, 어플리케이션, 데이터, 인증에 대한 보안책임을 갖음
- 코로케이션 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 호스팅 서비스 제공자는 물리적 장치, 네트워크 영역까지 보안책임을 가지며, 이용자는 서버, DBMS, 미들웨어, 어플리케이션, 데이터, 인증에 대한 보안책임을 갖음

2) 호스팅 사업자의 정보보호 실태
ㅇ 2017년 정보보호 실태 조사 분석
- 분석 대상 : 2017년 정보보호 실태조사 참여기업 중 호스팅 서비스업 및 인터넷 주소자원관리자 27개사에 대한 분석 수행
- 시사점
· 정보보호 제도 적용 방안 마련 필요
· 침해사고 등 랜섬웨어 대응을 위한 백업 체계 구축 필요
· 영세사업자 지원 방안 마련 필요

ㅇ 포커스 인터뷰
- 조사 대상 : 호스팅 사업자의 심도 있는 의견을 도출하기 위해 총 10개의 호스팅 사업자를 대상으로 인터뷰 실시
- 호스팅 사업자의 보안 위협 및 필요사항
· 랜섬웨어 감염 등 데이터 손실에 대한 정부차원에서의 지원 필요
· 표준계약서의 개선 필요
· 사업자의 정보보호 역량 강화 지원 필요

3) 호스팅 사업자의 정보보호수준 제고방안
ㅇ ISAC(정보공유분석센터) 구축을 통한 사업자들의 자발적인 대응 강화
- 정보통신망법상 ISAC(정보공유분석센터) 구축 조항 신설
- 호스팅서비스는 다수의 고객의 중요 정보를 보유하고 있기 때문에 호스팅사업 시설의 중요도를 고려하여 법령을 신설하여 정보공유·분석센터 구축을 고려할 필요가 있음

ㅇ 호스팅서비스 형태별 표준이용약관 권고
- 호스팅서비스 유형별 표준이용약관을 제공하고 호스팅사업자가 사용할 수 있도록 권고
- 표준이용약관에는 이용자 정보의 보호와 관리, 이용자 정보의 처리, 전자적침해사고 예방 및 대응 관련 내용을 포함

ㅇ 영세 호스팅사업자 지원방안
- 안심 호스팅사업자 인증제도 마련
- 정보보호 관리체계 인증 수수료 지원
- 정보보호 관련 투자에 대한 인센티브 지원
- 보안취약점 점검, 보안컨설팅, 자문 등 무료 지원
- 호스팅서비스 보안관리 전문교육 실시

4. 호스팅 사업자의 피해규모 산정방안
ㅇ 호스팅사업자의 피해형태
- 가용성 침해: 정상적으로 요청된 서비스를 수행할 수 없게 된 피해형태(※ DDoS공격, DNS 변조, 랜섬웨어 등이 대표적인 공격사례)
- 무결성 침해: 정보가 변경된 피해형태(※ 디페이스 공격)
- 기밀성 침해: 인가되지 않은 사용자가 정보자산에 접근하여 정보가 유출된 피해형태(※ 개인정보 유출 사고)

ㅇ 연간 누적 피해규모 산정방안
- 시간당 이익, 사고로 영향 받은 직원 수, 시간당 평균임금, 자체복구비용, 외부인력 활용비용, 데이터 재생산 소요시간 등 여러 측정 항목(파라미터)들에 대한 관리가 필요
- 호스팅 업체와 이용기관들을 대상으로 피해규모 산정에 필요한 측정 항목(파라미터)들을 확보하는 방안으로는 설문조사 방법이 있음

( 출처: 요약문 10p )

Abstract ▼

4. Research Results
1) Hosting company status and scope of security responsibility
ㅇ Hosting company status
- Korea Internet Security Agency: According to the web industry map, as of December 2017, 415 companies operated 487 hosting services
- Korea Standard Industrial Classification: In the National Statistical Office(National Statistical Portal), the number of establishments of hosting and related service industries is 191 as of 2015

ㅇ Hosting administrator security responsibility scope
- Web Hosting Resource Management and Security Responsibility Area: This is the same as the resource management responsibility area. It has security responsibility for physical device, network, server, DBMS, middleware area, and user has security responsibility for application, data and authentication.
- Server hosting resource management and security responsibility area: It is the same as the resource management responsibility area in general. It has security responsibility for physical device, network, and server area. User has security responsibility for DBMS, middleware, application, data and authentication.
- Co-location resource management and security responsibility area: It is generally the same as the resource management responsibility area. The hosting service provider has security responsibility from the physical device to the network area, and the user is responsible for the server, DBMS, middleware, application, Have security responsibility

2) Survey on information protection of hosting companies
ㅇ 2017 Information Security Survey Analysis
- Target: Analysis of 27 hosted service businesses and Internet address resource managers among participating companies in the information security survey in 2017
- implication
· Establish a plan to apply information protection system
· A backup system should be established to respond to incidents such as Ransomware
· Need to provide support for small business operators

ㅇ Focus interview
- Subject: Interview with 10 hosting companies in order to provide in-depth opinions of hosting companies
- Security threats and necessities of the hosting provider
· Need government support for data loss, including Ransomware infection
· Improvement of standard contract required
· Support for strengthening the information protection capacity of operators

3) Improvement of information protection level of hosting company
ㅇ Strengthen voluntary response by providers through building ISAC (Information Sharing Analysis Center)
- Establishment of ISAC (Information Sharing Analysis Center) provision clause in Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.
- Because hosting service has important information of many customers, it is necessary to consider the importance of hosting facilities and to build a new statute and to establish information sharing and analysis center.

ㅇ Recommendation of Standard Terms and Conditions for each type of hosting service
- Provide standard terms and conditions for each type of hosting service and make it available for use by a hosting company.
- Standard Terms and Conditions include the protection and management of user information, processing of user information, prevention and response of electronic infringement

ㅇ Support plan for small-sized hosting companies
- Providing a secure hosting company certification system
- Information security management system certification fee support
- Incentive support for investment related to information security
- Free support for security vulnerability checks, security consulting, and consultation
- Conducted professional training on hosting service security management

4) Estimation of damage scale of hosting company
ㅇ Damage types of hosting company
- Availability infringement: Types of damage that can not normally perform requested service (※ DDOS attack, DNS tampering, Ransomware, etc.)
- Integrity Infringement: The type of damage the information has changed (* Deface attack)
- Confidentiality infringement: The type of damage that an unauthorized user accesses information assets and leaked information (※ personal information leakage accident)

ㅇ Estimation of cumulative annual damage
- It is necessary to manage several parameters (parameters) such as profit per hour, number of employees affected by an accident, average hourly wage, cost of self-restoration, cost of external labor utilization,
- There is a survey method to secure the parameters (parameters) necessary to calculate the damage scale for the hosting companies and users.

( 출처: SUMMARY 15p )

목차 Contents

표지 ... 1
제 출 문 ... 3
목차 ... 4
표목차 ... 6
그림목차 ... 8
요 약 문 ... 9
SUMMARY ... 14
CONTENTS ... 20
제 1 장 서 론 ... 21
제 1 절 연구의 필요성 및 목적 ... 21
제 2 절 연구의 범위 및 주요 내용 ... 23
제 2 장 국내 사업자 현황 및 보안책임 범위 ... 24
제 1 절 국내 사업자 현황 ... 24
1. 호스팅 서비스 ... 24
2. 인터넷주소자원관리자 ... 27
제 2 절 호스팅 서비스 정보보호 위협 ... 29
1. 호스팅 서비스의 특징 ... 29
2. 호스팅 서비스의 정보보호 위협 ... 29
3. 호스팅 서비스 유형별 관리 및 보안책임 범위 ... 32
4. 호스팅 사업자의 법적 지위 검토 ... 35
제 3 장 정보보호 실태조사 ... 40
제 1 절 2017년 정보보호 실태조사 ... 40
1. 조사 개요 ... 40
2. 조사 결과 ... 42
3. 소결 ... 55
제 2 절 인터뷰 ... 56
1. 조사 개요 ... 56
2. 조사 결과 ... 57
3. 소결 ... 65
제 4 장 정보보호 수준 제고 방안 ... 66
제 1 절 호스팅사업자 정보보호 수준 제고 방안 ... 66
1. ISAC(정보공유분석센터) 구축 ... 67
2. 호스팅서비스 표준이용약관 권고 ... 67
3. 영세 호스팅사업자 지원방안 ... 73
4. 호스팅사업자의 정보보호 의무 강화 ... 75
5. “정보통신망법” 개정안 신·구 대조표 ... 78
제 2 절 호스팅사업자를 위한 정보보호 관리체계 개선방안 ... 81
1. 호스팅 유형별 정보보호 관리체계 개선(ISMS인증 기준) ... 81
2. 호스팅 유형별 정보보호 관리체계 개선(준비도평가 기준) ... 86
제 5 장 호스팅 서비스 사업자의 피해규모 산정 방안 ... 89
제 1 절 호스팅 서비스 사업자의 피해규모산정모델 개발방향 ... 89
1. 호스팅사업자의 피해형태 ... 89
제 2 절 사이버사고로인한 손실추정관련 선행연구 ... 98
1. 포네몬 ... 98
2. JNSA(Japan Network Security Association) ... 101
3. Gordon&Loeb ... 103
4. 유진호 외(2008) ... 104
5. Kaspersky ... 105
제 3 절 호스팅사업자의 피해비용 도출 ... 107
1. 호스팅 사업자 피해비용 산출모델 구축 ... 107
2. 사례적용 ... 115
3. 연간누적 피해규모 산정방안 ... 127
제 6 장 결론 및 시사점 ... 132
참 고 문 헌 ... 135
끝페이지 ... 136

표/그림 (53)

표 호스팅 서비스 유형
표 호스팅 분야 한국표준산업분류
표 호스팅 서비스 보안위협(예시)
표 호스팅 서비스 유형별 리소스 관리 책임영역
표 호스팅 서비스 유형별 보안 책임영역
표 조사 대상 사업자의 종업원 규모
표 경영진의 정보보호 중요성 인식
표 일반직원의 정보보호 중요성 인식
표 공식 문서화된 정보보호 정책 유무
표 정보보호 책임자 임명 여부
표 정보보호 조직 운영 및 정보보호 담당 인력 배정 여부
표 정보보호 교육 실시 여부
표 정보보호 예산 비중
표 네트워크 보안 제품 이용 여부
표 시스템 보안 제품 이용
표 백업 실시 여부
표 백업 실시 주기
표 보안컨설팅 서비스 이용
표 보안 점검 실시
표 침해사고 유형별 심각성 정도
표 침해사고 대응 활동
표 인터뷰 기업 현황
표 호스팅 서비스 보안 위협 순위
표 정보시스템 취약점 점검 시행 주기
표 정보시스템 취약점 점검 대상
표 침해사고 대응 활동
표 백업 및 복구 계획
표 계약서 상의 보안 조치 요구사항 반영
표 보안 조치 요구사항 대응
표 호스팅서비스 이용약관 비교
표 준비도평가 기준 대비 호스팅 서비스 유형별 적용항목
표 DNS 변조 공격 과정
표 아시아나항공 DNS 변조 피해 당시 홈페이지 화면
표 DDoS 공격 과정
표 랜섬웨어 공격 과정
표 호스팅 업체 A사 피해 현황
표 호스팅업체 A사 침해 공격 과정
표 디페이스 공격 과정
표 포네몬의 활동기준원가산정 스키마
표 데이터 유출사고 해결을 위한 활동
표 JO 모델
표 EP MAP
표 정보보호 침해사고 피해비용 구조
표 인터넷 침해사고 피해액 산출 모형 Framework
표 Direct damages & Indirect Spend
표 정보보호 침해사고 피해비용 구조
표 인터넷 침해사고 피해액 산출 모형 Framework
표 가용성 침해 시 호스팅 업체와 이용기관의 손실 비용 요소
표 무결성 침해 시 호스팅 업체와 이용기관의 손실 비용 요소
표 기밀성 침해 시 호스팅 업체와 이용기관의 손실 비용 요소
표 호스팅업체 A사 랜섬웨어 감염으로 인한 피해사이트
표 호스팅업체 A사와 이용기관의 피해 연관성 mapping
표 관리 parameter

과제명(ProjectTitle) :	-
연구책임자(Manager) :	-
과제기간(DetailSeriesProject) :	-
총연구비 (DetailSeriesProject) :	-
키워드(keyword) :	-
과제수행기간(LeadAgency) :	-
연구목표(Goal) :	-
연구내용(Abstract) :	-
기대효과(Effect) :	-

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 제목(한글), 저자명(한글), 발행일자, 전자원문, 초록(한글), 초록(영문) 관리번호, 제목(한글), 제목(영문), 저자명(한글), 저자명(영문), 주관연구기관(한글), 주관연구기관(영문), 발행일자, 총페이지수, 주관부처명, 과제시작일, 보고서번호, 과제종료일, 주제분류, 키워드(한글), 전자원문, 키워드(영문), 입수제어번호, 초록(한글), 초록(영문), 목차
저장형식	Text(ASCII format) Excel format
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

호스팅서비스 정보보안 실태조사 및 예방ㆍ대응체계 개선방안 연구
Survey on Information Security of Hosting Service and Study on Improvement of Prevention and Response System for Security Incident 원문보기