5. 고객 보호 솔루션
인터넷 뱅킹을 이용하는 고객들을 위한 솔루션
안티 키로거
안티 바이러스/스파이웨어
메모리 값 변조방지
방화벽
6. INSAFE Web7.0
PKI 솔루션
Public Key Infrastructure.
공개키 알고리즘을 통한 암호화 및 전자서명을 제공하기 위한
복합적인 보안 시스템 환경
공인인증서 관리
전자서명
데이터 암호화
7. DLP 솔루션
DLP 솔루션
Data Loss prevention.
DLP는 매체제어 솔루션으로 USB, 외장하드, CD, 이메일과
메신저등의 첨부기능으로 부터 내부문서의 이동경로를 차단하는
보안 솔루션.
파일이 유통되면 유통경로를 확인 가능함으로써 감시도 가능
무단 으로 파일 이동 불가
키워드 필터링
파일 정보 변조 탐지
8. 문서보안 솔루션
문서보안 솔루션
문서의 생성에서 유통, 폐기단계에 이르기까지 전 Life-Cycle에
대한 통합적인 보안 방안 제공
권한별로 문서 접근 제한
문서 암호화
온라인 오프라인 문서 유통 제어
URL이든 이메일이든 usb든 파일 이동 감시 되고
키워드는 문서나 파일에 문자열을 검사해 키워드나 단어단위로 데이터 유출 방지
무결성, 체크섬을 통해 파일 정보 변조 방지ㅇㅇ
CISS
10개 부문으로 구분되어 있고, 전산 관련 규정과 지침, 절차가 기술되어 있다. 보통 내부적으로 CISS 관련 교육은 몇 달에 걸쳐 진행하는 부분이기 때문에 모두 다 설명하긴 힘들다. 특징적으로 국내기업체와 다른 몇가지의 예는 ISA Procedure (Information Security Administration)라고 시스템과 애플리케이션 접근 권한에 대한 관리/통제 절차와 Log Review Procedure라고 내부 사용자의 접속 로그(Log)에 대한 리뷰(Review) 절차가 있다.
그리고 TPISA(Third Party Information Security Assessment)라고 씨티은행과 관련된 서드파티에 대한 관리체계도 포함돼 있다. 그러나 이 외에도 애플리케이션 취약점 점검 절차, 개발시스템에서의 데이터 관리, 프로젝트 관리, 문서관리, 출입통제 등 모든 보안절차가 CISS에 포함돼 있으며 이는 씨티그룹의 글로벌 스탠다드를 기준으로 한다.
TPISA는 씨티은행의 중요 고객정보를 취급하는 벤더에 대한 보안 평가 기준 및 절차라고 보면 된다. 예를들면 업무적으로 우편물발송 업체나 카드단말기 회사 등 씨티은행의 고객정보를 취급하는 벤더들에 대해 주기적인 정보 관리 실태와 보안체계 등을 씨티은행에서 점검하고, 발견된 미흡사항에 대한 보완을 요청하는 것이다.
전담팀(ISA)을 구성, 본부부서 및 영업점 사용자의 모든 권한을 집중화했다. 전산시스템별로 사용 가능한 업무가 정해져있는 권한등급표(Security Matrix)에 따라 체계적으로 철저한 보안유지를 하고 있다.
전사적권한검토시스템(EERS)에 집중화해 권한검토 필요 시 상시로 EERS시스템에 접속해야 한다. EERS시스템은 인사시스템과 전산시스템 사용자 계정을 비교해 퇴직자 발생 시 퇴직에 따른 권한 삭제를 자동으로 일괄 요청하는 기능을 한다
비즈니스 위험평가, 조사지원, 유관기관과의 긴밀한 공조체제를 갖추고 있다. 이를 이용해 침해사고의 자세한 추적과 사후 관리가 가능하도록 정보보안침해사고 대응팀 역할을 규정하고 이를 절차화했다. 실제로 다양한 유형으로 발생할 수 있는 정보보안침해사고 대응을 표준화했다.정보보안 침해사고 유형을 표준화한 것은 씨티은행이 최초다
씨티은행은 운용체계(OS) 제조사와 공동으로 씨티운영환경에 적합하도록 최적화한 OS를 사용한다. SOE 설치 시 OS에 적용되는 보안 설정뿐만 아니라 추가 보안 프로그램(USB 차단, HDD 암호화 등)이 패키지로 자동 설치된다.SOE 패키지는 씨티그룹 글로벌 IT조직에서 수많은 운영환경 테스트 및 보안 검증을 거쳐 완성되며 패키지 형태로 전 세계에 공통으로 배포된다.
DB암호화 IP블랙리스트관리 필터링 자체 사이버 수사 전담팀 구성 은 당연히있다
전자상거래 중계 매매 보호 서비스
결제 대금 예치
판매자 의 역할과 구매자의 역할을 대행
아직 표준이없음
012년 부터 쇼핑몰 에스크로 시스템 도입의무화
구매자는 제삼자에게 대금을 맡긴다.
판매자는 제삼자에게의 입금을 확인하고 구매자에게 상품을 발송한다.
구매자는 송부된 상품을 확인하고 제삼자에게 상품이 도착했음을 알린다. 당초의 거래 내용과 다른 경우는, 상품을 반송하거나 거래를 파기할 수 있다.
제삼자는 판매자에게 대금을 송금한다.
판매자는 대금을 수령한다(거래의 종료).
언론자료나 공식사이트에도 어떤 솔루션을 사용하는지는 안나와있고
어떻게 처리하는 수준으로 나와있음
한국시티은행 찾다가 찾은 CISS SOE TPISA 같은건 언론자료에 본사에서 정한 지침이라는데
구글에 처도 없는걸 보니 본사측에선 언론에 홍보용으로라도 공개한적이없는듯ㅇㅇ
아니면 한국처럼 외주가아닌 자체 개발일수도 무튼 그래서 공식 사이트에 나와있는 부분을 정리해보았음
-입력값 전부 암호화
-카드 뒷면 CVS코드 입력요구 등등
우리나라 최대 포털인 네이버도 ssl서비스는 로그인시에만 사용
계정도용으로 인해 생긴피해는 법적으로 보호를 받는다
계정을 탈취당했을경우를 대비해 임시계좌 발급
경고 서비스는 사용자별로 평균 구매금액 구매 시간을 분석하여 일정범위를 초과할경우 사용자에게 경고 를 보내줌
인터넷 사이트로 이용하는것처럼 128빝암호화
모바일이용시 계좌번호전체는 저장이나 표시가 안되며 4자리만 표시된다
ID와 PW를 입력해서 핸드폰에 토큰을 받아 인증하는 방식 핸드폰이 해킹되도 고객 정보는 유출되지않는다
기존 단말기가아닌 다른단말기에서 인증시도시 알림서비스
에스크로는 이미 설명했기에 생략 하는것이며
백엔드 에서는 어떤 보안방식인지 자세히는 안나와있고
방화벽, 암호화, 물리적 보안 등을 자체 데이터 센터를 통해 관제한다고 명시되어있슴
보안센터에 가면 각종 튜토리얼들이 나와있다
사이트에 가면 PPT 처럼 HTML문서를 볼수가 있다 슬라이드 넘기듯이 보고 따라하는 형식
PG 우리나라 같은 경우는 LG U+나 KG이니시스 등이 있다
참고로 페이팔은 이베이 소유
OTP 는 원타임 패스워드 같은것
우리나라 금융거래에는 보안카드와 OTP 가 사용되고있다
우리나라 OTP는 SW가아닌 따로 하드웨어 기기가 지급되는 반면 SW로 구현해씀
데스크탑 OS가 대부분 윈도우인 현시점에서 간단히 기본적인 취약점으로부터 공격을 대비할수있는 SW
DEP [데이터 실행 방지] 쉽게 말해 메모리보안 이며 메모리를 실행영역과 데이터 영역으로 나누어 악성코드가 실행되는 것을 방지
SEHOP [구조적 예외 덮어 쓰기 보호] 윈도우에서의 예외처리 핸들러 주소를 덮어쓰기해서 악성코드 실행되는거 방지
ASLR [주소 공간 동적 배치] 실행코드가 메모리에 로드 될떄 마다 다른 주소에 로드 되게 만들어 메모리 보안
모두 윈도우가 기본적으로 가지고있는 기능이며 이 SW는 이를 활성화 시켜줄 뿐이다