보고서 정보
주관연구기관 |
한국침해사고대응팀협의회 CONsortium of CERTs |
연구책임자 |
심상현
|
참여연구자 |
김성진
,
민경준
,
지현정
,
연수권
,
박나룡
,
홍보성
,
유진호
,
이광연
,
우한솔
,
정준영
,
백성현
,
김규리
|
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2017-12 |
과제시작연도 |
2017 |
주관부처 |
과학기술정보통신부 Ministry of Science and ICT |
등록번호 |
TRKO201800039227 |
과제고유번호 |
1711059749 |
사업명 |
ICT진흥및혁신기반조성 |
DB 구축일자 |
2018-09-15
|
초록
▼
4. 연구 내용 및 결과
1) 호스팅 사업자 현황 및 보안책임 범위
ㅇ 호스팅 사업자 현황
- 한국인터넷진흥원 : 웹 산업지도에서는 2017년 12월 현재 415개사에서 487개의 호스팅 서비스를 운영하고 있는 것으로 조사
- 한국표준산업 분류 : 통계청(국가통계포털)에서는 호스팅 및 관련 서비스업’의 사업체 수는 2015년 기준 191개로 조사
ㅇ 호스팅 관리자 보안 책임 범위
- 웹호스팅 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 물리적 장치, 네트워크,
4. 연구 내용 및 결과
1) 호스팅 사업자 현황 및 보안책임 범위
ㅇ 호스팅 사업자 현황
- 한국인터넷진흥원 : 웹 산업지도에서는 2017년 12월 현재 415개사에서 487개의 호스팅 서비스를 운영하고 있는 것으로 조사
- 한국표준산업 분류 : 통계청(국가통계포털)에서는 호스팅 및 관련 서비스업’의 사업체 수는 2015년 기준 191개로 조사
ㅇ 호스팅 관리자 보안 책임 범위
- 웹호스팅 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 물리적 장치, 네트워크, 서버, DBMS, 미들웨어 영역까지 보안책임을 가지며, 이용자는 어플리케이션, 데이터, 인증에 대한 보안책임을 갖음
- 서버 호스팅 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 물리적 장치, 네트워크, 서버 영역까지 보안책임을 가지며, 이용자는 DBMS, 미들웨어, 어플리케이션, 데이터, 인증에 대한 보안책임을 갖음
- 코로케이션 리소스 관리 및 보안 책임영역 : 일반적으로 리소스 관리 책임영역과 동일하며, 호스팅 서비스 제공자는 물리적 장치, 네트워크 영역까지 보안책임을 가지며, 이용자는 서버, DBMS, 미들웨어, 어플리케이션, 데이터, 인증에 대한 보안책임을 갖음
2) 호스팅 사업자의 정보보호 실태
ㅇ 2017년 정보보호 실태 조사 분석
- 분석 대상 : 2017년 정보보호 실태조사 참여기업 중 호스팅 서비스업 및 인터넷 주소자원관리자 27개사에 대한 분석 수행
- 시사점
· 정보보호 제도 적용 방안 마련 필요
· 침해사고 등 랜섬웨어 대응을 위한 백업 체계 구축 필요
· 영세사업자 지원 방안 마련 필요
ㅇ 포커스 인터뷰
- 조사 대상 : 호스팅 사업자의 심도 있는 의견을 도출하기 위해 총 10개의 호스팅 사업자를 대상으로 인터뷰 실시
- 호스팅 사업자의 보안 위협 및 필요사항
· 랜섬웨어 감염 등 데이터 손실에 대한 정부차원에서의 지원 필요
· 표준계약서의 개선 필요
· 사업자의 정보보호 역량 강화 지원 필요
3) 호스팅 사업자의 정보보호수준 제고방안
ㅇ ISAC(정보공유분석센터) 구축을 통한 사업자들의 자발적인 대응 강화
- 정보통신망법상 ISAC(정보공유분석센터) 구축 조항 신설
- 호스팅서비스는 다수의 고객의 중요 정보를 보유하고 있기 때문에 호스팅사업 시설의 중요도를 고려하여 법령을 신설하여 정보공유·분석센터 구축을 고려할 필요가 있음
ㅇ 호스팅서비스 형태별 표준이용약관 권고
- 호스팅서비스 유형별 표준이용약관을 제공하고 호스팅사업자가 사용할 수 있도록 권고
- 표준이용약관에는 이용자 정보의 보호와 관리, 이용자 정보의 처리, 전자적침해사고 예방 및 대응 관련 내용을 포함
ㅇ 영세 호스팅사업자 지원방안
- 안심 호스팅사업자 인증제도 마련
- 정보보호 관리체계 인증 수수료 지원
- 정보보호 관련 투자에 대한 인센티브 지원
- 보안취약점 점검, 보안컨설팅, 자문 등 무료 지원
- 호스팅서비스 보안관리 전문교육 실시
4. 호스팅 사업자의 피해규모 산정방안
ㅇ 호스팅사업자의 피해형태
- 가용성 침해: 정상적으로 요청된 서비스를 수행할 수 없게 된 피해형태(※ DDoS공격, DNS 변조, 랜섬웨어 등이 대표적인 공격사례)
- 무결성 침해: 정보가 변경된 피해형태(※ 디페이스 공격)
- 기밀성 침해: 인가되지 않은 사용자가 정보자산에 접근하여 정보가 유출된 피해형태(※ 개인정보 유출 사고)
ㅇ 연간 누적 피해규모 산정방안
- 시간당 이익, 사고로 영향 받은 직원 수, 시간당 평균임금, 자체복구비용, 외부인력 활용비용, 데이터 재생산 소요시간 등 여러 측정 항목(파라미터)들에 대한 관리가 필요
- 호스팅 업체와 이용기관들을 대상으로 피해규모 산정에 필요한 측정 항목(파라미터)들을 확보하는 방안으로는 설문조사 방법이 있음
( 출처: 요약문 10p )
Abstract
▼
4. Research Results
1) Hosting company status and scope of security responsibility
ㅇ Hosting company status
- Korea Internet Security Agency: According to the web industry map, as of December 2017, 415 companies operated 487 hosting services
- Korea Standard Industrial Classification: In
4. Research Results
1) Hosting company status and scope of security responsibility
ㅇ Hosting company status
- Korea Internet Security Agency: According to the web industry map, as of December 2017, 415 companies operated 487 hosting services
- Korea Standard Industrial Classification: In the National Statistical Office(National Statistical Portal), the number of establishments of hosting and related service industries is 191 as of 2015
ㅇ Hosting administrator security responsibility scope
- Web Hosting Resource Management and Security Responsibility Area: This is the same as the resource management responsibility area. It has security responsibility for physical device, network, server, DBMS, middleware area, and user has security responsibility for application, data and authentication.
- Server hosting resource management and security responsibility area: It is the same as the resource management responsibility area in general. It has security responsibility for physical device, network, and server area. User has security responsibility for DBMS, middleware, application, data and authentication.
- Co-location resource management and security responsibility area: It is generally the same as the resource management responsibility area. The hosting service provider has security responsibility from the physical device to the network area, and the user is responsible for the server, DBMS, middleware, application, Have security responsibility
2) Survey on information protection of hosting companies
ㅇ 2017 Information Security Survey Analysis
- Target: Analysis of 27 hosted service businesses and Internet address resource managers among participating companies in the information security survey in 2017
- implication
· Establish a plan to apply information protection system
· A backup system should be established to respond to incidents such as Ransomware
· Need to provide support for small business operators
ㅇ Focus interview
- Subject: Interview with 10 hosting companies in order to provide in-depth opinions of hosting companies
- Security threats and necessities of the hosting provider
· Need government support for data loss, including Ransomware infection
· Improvement of standard contract required
· Support for strengthening the information protection capacity of operators
3) Improvement of information protection level of hosting company
ㅇ Strengthen voluntary response by providers through building ISAC (Information Sharing Analysis Center)
- Establishment of ISAC (Information Sharing Analysis Center) provision clause in Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.
- Because hosting service has important information of many customers, it is necessary to consider the importance of hosting facilities and to build a new statute and to establish information sharing and analysis center.
ㅇ Recommendation of Standard Terms and Conditions for each type of hosting service
- Provide standard terms and conditions for each type of hosting service and make it available for use by a hosting company.
- Standard Terms and Conditions include the protection and management of user information, processing of user information, prevention and response of electronic infringement
ㅇ Support plan for small-sized hosting companies
- Providing a secure hosting company certification system
- Information security management system certification fee support
- Incentive support for investment related to information security
- Free support for security vulnerability checks, security consulting, and consultation
- Conducted professional training on hosting service security management
4) Estimation of damage scale of hosting company
ㅇ Damage types of hosting company
- Availability infringement: Types of damage that can not normally perform requested service (※ DDOS attack, DNS tampering, Ransomware, etc.)
- Integrity Infringement: The type of damage the information has changed (* Deface attack)
- Confidentiality infringement: The type of damage that an unauthorized user accesses information assets and leaked information (※ personal information leakage accident)
ㅇ Estimation of cumulative annual damage
- It is necessary to manage several parameters (parameters) such as profit per hour, number of employees affected by an accident, average hourly wage, cost of self-restoration, cost of external labor utilization,
- There is a survey method to secure the parameters (parameters) necessary to calculate the damage scale for the hosting companies and users.
( 출처: SUMMARY 15p )
목차 Contents
- 표지 ... 1
- 제 출 문 ... 3
- 목차 ... 4
- 표목차 ... 6
- 그림목차 ... 8
- 요 약 문 ... 9
- SUMMARY ... 14
- CONTENTS ... 20
- 제 1 장 서 론 ... 21
- 제 1 절 연구의 필요성 및 목적 ... 21
- 제 2 절 연구의 범위 및 주요 내용 ... 23
- 제 2 장 국내 사업자 현황 및 보안책임 범위 ... 24
- 제 1 절 국내 사업자 현황 ... 24
- 1. 호스팅 서비스 ... 24
- 2. 인터넷주소자원관리자 ... 27
- 제 2 절 호스팅 서비스 정보보호 위협 ... 29
- 1. 호스팅 서비스의 특징 ... 29
- 2. 호스팅 서비스의 정보보호 위협 ... 29
- 3. 호스팅 서비스 유형별 관리 및 보안책임 범위 ... 32
- 4. 호스팅 사업자의 법적 지위 검토 ... 35
- 제 3 장 정보보호 실태조사 ... 40
- 제 1 절 2017년 정보보호 실태조사 ... 40
- 1. 조사 개요 ... 40
- 2. 조사 결과 ... 42
- 3. 소결 ... 55
- 제 2 절 인터뷰 ... 56
- 1. 조사 개요 ... 56
- 2. 조사 결과 ... 57
- 3. 소결 ... 65
- 제 4 장 정보보호 수준 제고 방안 ... 66
- 제 1 절 호스팅사업자 정보보호 수준 제고 방안 ... 66
- 1. ISAC(정보공유분석센터) 구축 ... 67
- 2. 호스팅서비스 표준이용약관 권고 ... 67
- 3. 영세 호스팅사업자 지원방안 ... 73
- 4. 호스팅사업자의 정보보호 의무 강화 ... 75
- 5. “정보통신망법” 개정안 신·구 대조표 ... 78
- 제 2 절 호스팅사업자를 위한 정보보호 관리체계 개선방안 ... 81
- 1. 호스팅 유형별 정보보호 관리체계 개선(ISMS인증 기준) ... 81
- 2. 호스팅 유형별 정보보호 관리체계 개선(준비도평가 기준) ... 86
- 제 5 장 호스팅 서비스 사업자의 피해규모 산정 방안 ... 89
- 제 1 절 호스팅 서비스 사업자의 피해규모산정모델 개발방향 ... 89
- 1. 호스팅사업자의 피해형태 ... 89
- 제 2 절 사이버사고로인한 손실추정관련 선행연구 ... 98
- 1. 포네몬 ... 98
- 2. JNSA(Japan Network Security Association) ... 101
- 3. Gordon&Loeb ... 103
- 4. 유진호 외(2008) ... 104
- 5. Kaspersky ... 105
- 제 3 절 호스팅사업자의 피해비용 도출 ... 107
- 1. 호스팅 사업자 피해비용 산출모델 구축 ... 107
- 2. 사례적용 ... 115
- 3. 연간누적 피해규모 산정방안 ... 127
- 제 6 장 결론 및 시사점 ... 132
- 참 고 문 헌 ... 135
- 끝페이지 ... 136
※ AI-Helper는 부적절한 답변을 할 수 있습니다.