엔터프라이즈 금융 보안 조사 보고서
•Download as PPTX, PDF•
1 like•985 views
http://the1900.tistory.com/44 조사한다고 힘들었습니다.
Recommended
More Related Content
What's hot
What's hot (20)
Viewers also liked
Similar to 엔터프라이즈 금융 보안 조사 보고서
Similar to 엔터프라이즈 금융 보안 조사 보고서 (20)
More from Dong-Jin Park
Recently uploaded
엔터프라이즈 금융 보안 조사 보고서
- 1. 엔터프라이즈 보안 시스템 조사 보고서 2013011073 컴보 2A박동진
- 2. 은행 중계 국내 국외 Citibank Korea Inc. Citibank USA Inc. 개요
- 3. Citibank Korea Inc. 한국시티은행 미국 시티은행그룹의 한국법인 정직원 6000여명 자산규모 49조원 1983년에 설립된 한미은행이 2004년 씨티그룹에 인수되면서 탄생 제공 서비스 예금, 적금, 대출, 환전, 보험 등 종합 금융서비스 국내 은행
- 4. Citibank Korea Inc. INSAFE Web7.0 DLP 솔루션 문서보안 솔루션 시티은행이 사용하는 솔루션
- 5. 고객 보호 솔루션 인터넷 뱅킹을 이용하는 고객들을 위한 솔루션 안티 키로거 안티 바이러스/스파이웨어 메모리 값 변조방지 방화벽
- 6. INSAFE Web7.0 PKI 솔루션 Public Key Infrastructure. 공개키 알고리즘을 통한 암호화 및 전자서명을 제공하기 위한 복합적인 보안 시스템 환경 공인인증서 관리 전자서명 데이터 암호화
- 7. DLP 솔루션 DLP 솔루션 Data Loss prevention. DLP는 매체제어 솔루션으로 USB, 외장하드, CD, 이메일과 메신저등의 첨부기능으로 부터 내부문서의 이동경로를 차단하는 보안 솔루션. 파일이 유통되면 유통경로를 확인 가능함으로써 감시도 가능 무단 으로 파일 이동 불가 키워드 필터링 파일 정보 변조 탐지
- 8. 문서보안 솔루션 문서보안 솔루션 문서의 생성에서 유통, 폐기단계에 이르기까지 전 Life-Cycle에 대한 통합적인 보안 방안 제공 권한별로 문서 접근 제한 문서 암호화 온라인 오프라인 문서 유통 제어
- 9. 씨티은행 보안 체계 ISA(Information Security Administration) 전사적권한검토시스템 (EERS) 비즈니스 위험평가, 조사지원 정보보안침해사고 대 응을 표준화 권한등급표 (Security Matrix) SOE. (Standards Operation Environment)) CISS(Citi Information security standard) TPISA(Third Party Information Security Assessment)
- 10. 국내 전자상거래 아이템베이 온라인 통신판매중개업 년 매출 350억원 2001년 세계 최초 온라인 게임 거래 중계 서비스 시작 2010년 연 거래대금 5000억원 돌파 올해 2위업체인 아이템매니아와 합병 제공 서비스 온라인 게임거래, 게임 퍼블리싱, 광고 등
- 12. 에스크로 전자상거래 중계 매매 보호 서비스 중계자
- 14. 고객 관리 솔루션 고객 상담,문의, 관리 등 통합관리 솔루션 이메일, 휴대폰 문자(MO), SNS 등 채널 통합관리 온/오프라인 VOC(voice of Customers) 통합관리 고객 데이터 마이닝 서비스
- 15. 국외 은행 Citibank USA Inc. 시티은행 미국 시티그룹 본사법인 1812년에 설립 미국의 4대 금융그룹 자본규모 131조 원 국민은행의 10배 제공 서비스 예금, 적금, 대출, 환전, 보험 등 종합 금융서비스
- 16. 씨티은행 보안 체계 Citibank USA Inc. 인터넷 보안 대출 ,신용카드 보안 모바일 보안
- 17. 인터넷 보안 128 bit 암호화 추가적인 인증 방화벽 세션시간 제한 모든 자원 SSL 인증서 사용 마지막 로그인시간 표시
- 18. 대출 ,신용카드 보안 비인가된 서비스 피해 법적으로 보호 가상의 임시계좌 발급 90일안에 도난이나 손상된 구매 물품 일부 금액 지원 품질 보증 기간 연장 경고 및 알림서비스
- 19. 모바일 보안 인터넷과 같은 128bit 암호화 계좌번호 노출 원천차단 토큰방식으로 인증 경고 및 알림서비스
- 20. 국외 전자 상거래 이베이 1995년에 설립 (2012 기준) 매출액-14조 6천억 종업원- 27,770 제공 서비스 국제 온라인 경매+종합쇼핑, 광고등
- 21. ebay 제공하는 서비스 PG Symantec VIP유저 이용 가이드 EMET
- 22. 유저 이용 가이드 비밀번호 설정 개인 정보 도용 탐지 사기 예방 백신 설치 튜토리얼
- 23. PG(paypal) PG(Payment Gateway): 전자결제 대행 서비스 고객 개인정보, 금융정보 노출 X 통합 고객의 금융기관 별 관리 판매자, 구매자 보호 및 인증
- 24. Symantec VIP VIP(Validation & ID Protection): OTP와 유사한것 SW로 OTP를 구현 6자리의 일정시간 동안 유효한 숫자로 인증 ID와 PW가 유출되어도 도난 걱정 X Symantec VIP
- 25. EMET EMET • Enhanced • Mitigation • Experience • Toolkit -윈도우 OS 유저들을 위한 보안 활성화 SW DEP(Data Excution Prevention) SEHOP(Structured Error Handling Overwrite Protection) ASLR(Address space layout randomization)
- 26. Thank you Thank You 정보출처 및 참고자료들 보러가기
Editor's Notes
- 발표를 가정으로 최대한 설명은 빼고 그래픽적인 요소로 채움
- URL이든 이메일이든 usb든 파일 이동 감시 되고 키워드는 문서나 파일에 문자열을 검사해 키워드나 단어단위로 데이터 유출 방지 무결성, 체크섬을 통해 파일 정보 변조 방지ㅇㅇ
- CISS 10개 부문으로 구분되어 있고, 전산 관련 규정과 지침, 절차가 기술되어 있다. 보통 내부적으로 CISS 관련 교육은 몇 달에 걸쳐 진행하는 부분이기 때문에 모두 다 설명하긴 힘들다. 특징적으로 국내기업체와 다른 몇가지의 예는 ISA Procedure (Information Security Administration)라고 시스템과 애플리케이션 접근 권한에 대한 관리/통제 절차와 Log Review Procedure라고 내부 사용자의 접속 로그(Log)에 대한 리뷰(Review) 절차가 있다. 그리고 TPISA(Third Party Information Security Assessment)라고 씨티은행과 관련된 서드파티에 대한 관리체계도 포함돼 있다. 그러나 이 외에도 애플리케이션 취약점 점검 절차, 개발시스템에서의 데이터 관리, 프로젝트 관리, 문서관리, 출입통제 등 모든 보안절차가 CISS에 포함돼 있으며 이는 씨티그룹의 글로벌 스탠다드를 기준으로 한다. TPISA는 씨티은행의 중요 고객정보를 취급하는 벤더에 대한 보안 평가 기준 및 절차라고 보면 된다. 예를들면 업무적으로 우편물발송 업체나 카드단말기 회사 등 씨티은행의 고객정보를 취급하는 벤더들에 대해 주기적인 정보 관리 실태와 보안체계 등을 씨티은행에서 점검하고, 발견된 미흡사항에 대한 보완을 요청하는 것이다. 전담팀(ISA)을 구성, 본부부서 및 영업점 사용자의 모든 권한을 집중화했다. 전산시스템별로 사용 가능한 업무가 정해져있는 권한등급표(Security Matrix)에 따라 체계적으로 철저한 보안유지를 하고 있다. 전사적권한검토시스템(EERS)에 집중화해 권한검토 필요 시 상시로 EERS시스템에 접속해야 한다. EERS시스템은 인사시스템과 전산시스템 사용자 계정을 비교해 퇴직자 발생 시 퇴직에 따른 권한 삭제를 자동으로 일괄 요청하는 기능을 한다 비즈니스 위험평가, 조사지원, 유관기관과의 긴밀한 공조체제를 갖추고 있다. 이를 이용해 침해사고의 자세한 추적과 사후 관리가 가능하도록 정보보안침해사고 대응팀 역할을 규정하고 이를 절차화했다. 실제로 다양한 유형으로 발생할 수 있는 정보보안침해사고 대응을 표준화했다. 정보보안 침해사고 유형을 표준화한 것은 씨티은행이 최초다 씨티은행은 운용체계(OS) 제조사와 공동으로 씨티운영환경에 적합하도록 최적화한 OS를 사용한다. SOE 설치 시 OS에 적용되는 보안 설정뿐만 아니라 추가 보안 프로그램(USB 차단, HDD 암호화 등)이 패키지로 자동 설치된다. SOE 패키지는 씨티그룹 글로벌 IT조직에서 수많은 운영환경 테스트 및 보안 검증을 거쳐 완성되며 패키지 형태로 전 세계에 공통으로 배포된다.
- DB암호화 IP블랙리스트관리 필터링 자체 사이버 수사 전담팀 구성 은 당연히있다
- 전자상거래 중계 매매 보호 서비스 결제 대금 예치 판매자 의 역할과 구매자의 역할을 대행 아직 표준이없음 012년 부터 쇼핑몰 에스크로 시스템 도입의무화 구매자는 제삼자에게 대금을 맡긴다. 판매자는 제삼자에게의 입금을 확인하고 구매자에게 상품을 발송한다. 구매자는 송부된 상품을 확인하고 제삼자에게 상품이 도착했음을 알린다. 당초의 거래 내용과 다른 경우는, 상품을 반송하거나 거래를 파기할 수 있다. 제삼자는 판매자에게 대금을 송금한다. 판매자는 대금을 수령한다(거래의 종료).
- 언론자료나 공식사이트에도 어떤 솔루션을 사용하는지는 안나와있고 어떻게 처리하는 수준으로 나와있음 한국시티은행 찾다가 찾은 CISS SOE TPISA 같은건 언론자료에 본사에서 정한 지침이라는데 구글에 처도 없는걸 보니 본사측에선 언론에 홍보용으로라도 공개한적이없는듯ㅇㅇ 아니면 한국처럼 외주가아닌 자체 개발일수도 무튼 그래서 공식 사이트에 나와있는 부분을 정리해보았음
- -입력값 전부 암호화 -카드 뒷면 CVS코드 입력요구 등등 우리나라 최대 포털인 네이버도 ssl서비스는 로그인시에만 사용
- 계정도용으로 인해 생긴피해는 법적으로 보호를 받는다 계정을 탈취당했을경우를 대비해 임시계좌 발급 경고 서비스는 사용자별로 평균 구매금액 구매 시간을 분석하여 일정범위를 초과할경우 사용자에게 경고 를 보내줌
- 인터넷 사이트로 이용하는것처럼 128빝암호화 모바일이용시 계좌번호전체는 저장이나 표시가 안되며 4자리만 표시된다 ID와 PW를 입력해서 핸드폰에 토큰을 받아 인증하는 방식 핸드폰이 해킹되도 고객 정보는 유출되지않는다 기존 단말기가아닌 다른단말기에서 인증시도시 알림서비스
- 에스크로는 이미 설명했기에 생략 하는것이며 백엔드 에서는 어떤 보안방식인지 자세히는 안나와있고 방화벽, 암호화, 물리적 보안 등을 자체 데이터 센터를 통해 관제한다고 명시되어있슴
- 보안센터에 가면 각종 튜토리얼들이 나와있다 사이트에 가면 PPT 처럼 HTML문서를 볼수가 있다 슬라이드 넘기듯이 보고 따라하는 형식
- PG 우리나라 같은 경우는 LG U+나 KG이니시스 등이 있다 참고로 페이팔은 이베이 소유
- OTP 는 원타임 패스워드 같은것 우리나라 금융거래에는 보안카드와 OTP 가 사용되고있다 우리나라 OTP는 SW가아닌 따로 하드웨어 기기가 지급되는 반면 SW로 구현해씀
- 데스크탑 OS가 대부분 윈도우인 현시점에서 간단히 기본적인 취약점으로부터 공격을 대비할수있는 SW DEP [데이터 실행 방지] 쉽게 말해 메모리보안 이며 메모리를 실행영역과 데이터 영역으로 나누어 악성코드가 실행되는 것을 방지 SEHOP [구조적 예외 덮어 쓰기 보호] 윈도우에서의 예외처리 핸들러 주소를 덮어쓰기해서 악성코드 실행되는거 방지 ASLR [주소 공간 동적 배치] 실행코드가 메모리에 로드 될떄 마다 다른 주소에 로드 되게 만들어 메모리 보안 모두 윈도우가 기본적으로 가지고있는 기능이며 이 SW는 이를 활성화 시켜줄 뿐이다