“Web 2.0 시 보안”

2007. 10. 17

안철수연구소

2008 IT 산업 망 컨 런스주

2

Tables of Contents

1. IT Trend

2. IT Security Trend

3. Emerging Issues (1) :

보 (개 보보호)

4. Emerging Issues (2) : Web 2.0

5. 보보호 술 역할과

IT Trend

l Various Options of Internet Connectivity– 미 어

§ Ethernet, 브 드 드, Wireless LAN, WCDMA, 브 , 3G, etc.

– IP Devices § PC, Notebook, PDA, 휴 화, IP Phone, PMP, etc.

– Access Points§ 사무실 LAN, Home (DSL or Cable), 게 , HotSpot, etc.

l Internet 심 비스– Intranet/Extranet/E-Commerce 도 심화– 신규 비스 – VoIP, BcN, IPv6, IPTV, All-IP Network etc.– Authorization, Billing, Provisioning

=> Security, Accountability, QoS

IT

5

IT 플랫폼

• Legacy System

• 업무 프로세스 연계

• 다량의 Transaction

App (Web)

• Gateway – End Point

• 100M-1G-10G

• 선(Broadband)

• 무선(Wi-Fi)

• 이브로, WCDMA

Network

• 통합 Suite 태

• Microsoft, Linux

• Embedded OS

PC(IP단말기)

6

비스 새 운 러다

Open SourceSearch Engine통신비 하락Moore’s Law

• Long Tail Marketing

• Technology Platform

• UCC

• Blogs

• RSS

• Global Community

Web 2.0

• VoIP

• IPTV

• Streaming Service

• 무선통합

• 비쿼 스 환경

Multimedia 서비스

Technology Revolution

내 비스국외 국내

블로그

북마크

협업

OpenID

SNS

UCC

웹오피스

사진

검색

RSS

개인화

위치

8

Security Challenges

l 개 형 IT 프라 §§ Wired and Wireless

§ PC, Notebook§ 휴 폰, PDA, 스마트폰

l 다양한 IP Device

§ 프린§ Mobile media§ 카 라

l 다양한 매체(Media)

§ VoIP§ Multicast

l Multimedia Service

§ Offline§ Email, Messenger, P2P,

Web§ 화, 상

l 시지 공 다양

§ Global business process§ 합병

l 업무 환경 역동

IT Security Trend

보보호 본 역할

Threats

Virus

Worm

Hacker

Spam

Spyware

DDoS

Service Assurance

Compliance

Guarantee

EstablishProtect from

24시간 비스

Confidentiality

Integrity

Trusted e-Business Infrastructure

AAA

No slowdown QoSAvailability

Policy Enforcement

보보호보보호

Integration

Network

IP Device (PC)

Web (App)

개 보보호

- 보 지

- AAA & Identity Management

- Policy enforcement

- Legal execution

Unified Threat Management

- Gateway to End-Point

- Against various attacks

- Traffic control

- Guaranteed Performance

Management

- 통합 그 리

- 량 처리

- Policy Enforcement

다양한 비스 지원

- VoIP

- Multimedia service

- Enterprise mobility

- 다양한 라 비스

보보호 플랫폼

• Authorization

• IAM

• DB 보안

Web (App)

Network

• AV & AS

• PC Firewall

• End-Point Security

• PC Agents

WAF + ADC

NAC

• Firewall

• Intrusion Prevention

• VPN – IPSEC & SSL

• UTM

• SCMPC(IP단말 )

Emerging Issues (1) : 보 (개 보보호)

l Market 호칭§ IPC (Information Protection and Control) - IDC§ CMF (Contents Monitoring and Filtering) - Gartner§ DLP (Data Loss Prevention) - Gartner § ILP (Information Leak Prevention) – Forrester Wave§ OCC (Outbound Content Compliance)§ ILD&P (Information Leakage Detection and Prevention)§ Extrusion Prevention

l Scope§ Data-in-motion

• Network• Multi-channel (email, messaging, P2P, Web, ftp,

etc.)§ Data-at-rest

• Discovery, Analysis, Protect and Control• PC, Server, USB, Other media

§ Data-in-use • Integrity• End Point, Network Interface

보 Keywords

§ 연 계도§ 지 재산 지

§ 산업 술 지§ 경 스 처 (미 )

§ HIPPA (Health Portability &

Accountability Act) -미§ PIPA (Personal Information

Privacy Act) - 본

§ SOX (Sarbanes-Oxley) - 미§ PCI (Payment Card Industry)

Data Security Standard

측 류

§ 업 나 보개 보 지

§ 보 하거나 거래 보무결 지

보리

개 보보호

술 지

주 규야

Key Technologies

l Multi-layered Outbound Contents Control

l Deep Packet Inspectionl AAAl 암호 술l DRMl 매체 어 (Media Control)l Management

§ PC, Network, Server, Application§ Threat, Resource, Risk§ Dynamic Policy Enforcement§ 한 그 리

l Agents Controll Linguistic Analysisl Forensic

ü Confidentiality

ü Integrity

ü Authentication

ü Authorization

ü Non-Repudiation

Emerging Issues (2) : Web 2.0

• 웹 사 트 공격

– 웹 사 트 해킹 통한 악 드, 스 웨어 포, 개 보 , 피싱등

• 공격

– SQL Injection, Cross Site Script(XSS), 업 드, DDos 등

Web 공격 시나리

Web 2.0 Threats (1)

ü UCC – User Created Contents

l 특 : User = Contents consumer = Contents producer

l Threats

§ User가 직 rich content 생 (JavaScript, Flash, Video…)

§ Contents 계 변형 (동 상 편집 통해 스크립트 삽 도 가능)

§ Upload contents에 악 드를 숨겨 download user 연결

ü SNS - Social Networking Service

l 특 : 수 만 사 들 상호

l Threats

§ 한 친 가 트워크를 통해 수 만 감염 가능

§ profile 한 악 드 삽

§ 악 스크립트 숨 - HTML 지, Wiki, MySpace나 Mail site

Web 2.0 Threats (2)ü RSS - Really Simple Syndication

l 특 : 등 사 가 동 독할 수 는 포맷 (블 그, Podcast, 뉴스등)

l Threats

§ 신 창 물 RSS Format에 악 Javascript 삽

§ XML 내에 드 삽 가능

ü AJAX

l 특 : 사 가 에 청할 마다 reload 지 않도 도 사 향상

l Threats

§ XSS - JavaScript stream, XML 열에 지 스크립트 삽 가능

§ 값 검 회피하는 공격

ü Open ID

l 특 : 하나 ID 여러 개 사 트를 사 하는 산 시스

l Threats: Phishing 공격

Web 2.0 Threats (3)ü Open API

l 특 : 에 공개하는 신 특 능 나 에 근하는

l Threats

§ REST나 SOAP 등 형태에 공개 Application Logic에 한 집공격

ü SAAS – Software As A Service

l 특 : 프트웨어를 웹 통한 비스 공 ( . Salesforce, Google docs, 등)

l Threats

§ 타 에게 security 문 를

§ (Confidential) 보 과 리

ü Other Threats

l Privacy

l Spam – Mail, Blog, etc.

보보호 술 역할과

Mobility

Applications

러다 변화 (1)

• Mobile device security (AV, FW, etc.)• Device & User certification• Management

• Web Applications Security• XML, DB security• UI paradigm shifts (ex. RIA)

• Performance (Session, Latency, QoS)• QoS & Metric Analysis• Availability & Interoperability • Intelligent AAA

IT Convergence

SaaS• Security & Beyond• Toll-Quality Service

보 (개 보보호)

통합 리

Outsourcing

러다 변화 (2)

• IPC (CMF)• Usability with security guideline

• Two-way Communication (Proactive)• Log & Forensic• Policy Enforcement

• Security Value Proposition• Remote Security Monitoring & Control

Regulation Compliance• Consulting-based total solutions & SI• Business modeling

통합 보안 드맵

통합

Hardware TechnologiesHardware Technologies

ApplianceNPU/Multi-Core

SoC OTP/HSMMobile

Security SoftwareSecurity Software

FirewallFirewall VPNVPN AntiAnti--VirusVirus EndEnd--PointPoint IPSIPS UTMUTM

ApplicationApplication

NetworkNetwork IP DeviceIP Device

Security ProductsSecurity Products

Management

AAA

Message Security

산업 변화 (1) : Security 능동 역할

l Strong Network Protection – Perimeter & End-Pointl Applications – 프라 & DB 보호, AAAl Management – Log, Identification, Forensicl Policy Enforcement

l IP Multicast, IP Telephony (session control), etc.l AAA-Billing-Provisioningl QoS & Reliability

l 차 비스 지향 비스 (NGN, All-IP 망)l Open Internet community - Web 2.0

Toll Quality ServiceToll Quality Service

개방개방 네트워크네트워크 서비스서비스

개인 보보개인 보보 & & 보 출 리보 출 리

27

산업 변화(2) : 보보호 술 연 확

IT Products/ServicesKeywords: IT Security

• Intelligence• Multi-Level, Multi-Layer Detection• Multi-Format 재 능• High-Quality, High-Reliability• 비스 술 문

• 심 Framework• IT 에 Security 개 내재화• IT 비스에 bundle화• 하는 Regulation 벽• 보안 협 한 효과

ü Various Collaboration Model- 보안 술 + 비보안 IT 술/- 보안 문 업 + IT 비스 업

ü Business Model 다각화- Technology, Product, Service, IP

Thank YouThank You

Q&AQ&A