※ 시스템통합 /IT 서비스 / 컨설팅 / 컨버전스 / 솔루션
구분주요시스템 거액결제망한국은행 금융결제망 (BOK-Wire) 자체전산망 본점, 지점간 온라인망 ( 계정계, 정보계 ), 모바일 뱅킹 공동전산망 타행환공동망, CD 공동망, 신용정보공 동이용망, 외환전산망, 전자화폐 공동 망, 증권결제망, 외환결제망 대고객 전산 망 공동전산 망 ARS 공동망, 직불카드 공동망, CMS 공동이용망 자체전산 망 PC 뱅킹, 폰뱅킹, 펌뱅킹, 인터넷뱅킹, 모바일 뱅킹 외부전산망 은행간자금결제망, 무역자동회망, 점외 CD/ATM 망, 제 2 금융전산망 ※ 금융전산망의 분류 ※ 금융 전산 시스템의 특징 1. 업무 종속성 - 금융영역별 요구사항 상이 2. 안정성 추구 - 금전적 피해에 대한 위험으로 BCP 등의 대책수립 및 검증된 기술 중시 3. 실시간성 - 24*365 무 중단 운영 및 대외 연계 통한 실시간 서비스 필요 1 2 3
※ 보험회사 전산시스템 1. 계정계시스템 - 고객관리, 계리 및 마감 2. 정보계시스템 - 경영 전략 정보 생성 관리 3. 채널계시스템 - End User 접촉채널, 중계업무 4. 대외계시스템 - 금융공동망 중계 및 대외업무 “ 他 금융계열 대비 주요하고 민감한 개인정보를 다량 처리 ”
※ 금융전산망에서의 보안 요소 “ 각 계층별 보안의 고려와 적용이 필요 ”
※ 보안장비 / 솔루션 운영 대분류소분류이름 경계 네트워크 보안 Firewall 방화벽 Anti-DDoS 디도스방지시스템 IPS 침입방지시스템 WAF 웹 방화벽 내부 네트워크 보안 NAC 네트워크 접근제어 VPN 가상사설망 WIPS 무선침입방지시스템 보안관리 ESM 통합보안관제 TMS 위협관리시스템 SIEM 통합로그분석시스템 VMS 취약점관리시스템 APT APT 분석시스템 정보유출방지 NDLP 정보유출방지시스템 1. 보안 / 네트워크 장비관리 - 상태점검 및 현황관리 2. 솔루션 운영 - 솔루션 담당 운영, 지원업무 - 업무 및 솔루션 운영 개선 작업 3. 보안 로그 분석 - 일별 분석 및 이슈 파악 4. 네트워크 관리 - 이상 트래픽 탐지시 대응 - 장애 및 이슈 개선작업
※ 침해사고 대응 1. 보안 모니터링 및 관제센터 운영 - 관제 보고 검토, 보안 모니터링 현황 관리 - 보안 솔루션 모니터링 2. 침해사고 대응 - 악성코드 및 APT 대응, DDoS 공격 대응, 솔루션 보안 정책 설정 - 침해사고 관리와 보고, 대응 절차 수립 3. 보안 로그 분석 - 외부 보고서 ( 금융 ISAC) 검토, 침해사고 분석, 일별 로그 분석 1 2 3
※ 내부 정보보호 구분주요목적주요 통제 방안 관리적 통제 실수나 부주의 예방, 정보보호 의식 제고 정보보호 서약서 징구, 보안 정책 지원, 외부 업체관 리 물리적 통제 도난 예방, 비인가 IT 기기 반입 및 이를 통한 내부 자료 유출방지 출입인원 통제, IT 기기 반출입 통제, PC 시건장치, USB LOCK, 서버실 출입 통제 기술적 통제 산업 스파이, 인터넷이나 내부자의 해킹, 내부 직원 및 반문객 등의 실수나 부주의로 인한 자료유출예방 단말 PC 보안, 보안 USB, NAC, 백신, 완전삭제 프로그램, DRM, 자산관리 프로그램 네트워크 FW, 인터넷차단, 메신저차단, 망분리, 무선망접근통제, WIPS 응용 프로그램업무서비스 접근통제 서버 시스템시스템 접근통제, DB 암호화 정보보안 위험관리 CVE 취약점 /CCE 취약점 관리
※ 솔루션 도입 및 구축 진행 도입년월솔루션 명기능 및 개선효과 문서반출통제시스템 - 금융권 컴플라이언스 준수하는 내부 통제 구현 - 보안 해제 감사 추적성 확보 취약점점검자동화 - 취약점 점검 자동화 통한 업무 개선 - 감독기관 점검에 대응 가능한 체계 수립 전사 망분리 - 규정 준수 위한 IT 사용자 망분리 진행 - 관련 솔루션 구축 지원 및 솔루션 정책 설정 웹쉘차단솔루션 - 웹쉘의 탐지 및 차단 통한 웹기반 공격 대응 - 소스코드의 변경 및 파일 변경 탐지 APT 모의훈련시스템 - APT 공격에 대응하여 사용자 보안 인식 훈련 SSL VPN - 공개망에서의 안전한 접속을 보장 - 구축을 통한 관련 규정 준수 통합로그분석시스템 - 로그의 연관 분석 및 집중화 - 로그 분석을 통한 침해사고 선제적 대응 2015.~ 네트워크분석솔루션 - 트래픽 분석을 통한 네트워크 증거 확보 - 네트워크 분석 통한 장애 대응 2015.~ SSL 복호화 솔루션 - SSL 트래픽 복호화 통한 가시성 확보 - 보안 모니터링 강화
내부사용자 공격자 일반 웹사이트 악성코드 경유지 악성코드 유포지 취약점을 내재한 PC ① 공격자는 사용자가 접속하는 사이트에 악성 스크립트를 주입 ② 사용자는 웹사이트에 접 속 ③ 악성 스크립트에 의해 악성코드 경유지로 이동 ④ 악성코드 저장소로 이동되어 사용자 PC 로 다운로드 됨 ⑤ 악성코드 자동 실행되어 PC 취약점에 의해 감염됨
1 차 접속 지 2 차 경유지 3 차 경유지 4 차 경유지 3 차 경유지 최종 유포 지 1 공격자는 유포지 하나에 다수의 경유지를 연결하여 공격 → 접속지의 접근성 / 경유지의 용도 2 중간 경유지는 사용자 PC 에 존재하 는 취약점을 파악하고 익스플로잇 하기 위한 서버로 리다이렉션 3 다수의 경유지를 이용하므로써 다양 한 악성코드를 유포하는데 이용할 수 있고, 사용자 PC 의 취약점 파악에 용이함 악성코드 다운로드 경유 과정
① 이메일을 통한 APT 공격 ② 악성코드의 분석결과 구분내용 파일명 CI _ PL.exe MD54c262bbd87cde67bba2c80d3e273fef3 C&C IP 지속적으로 변경됨 C&C URL ipsc0rp.com 주요 악성행위 암호화된 HTTP 통신 샌드박싱 분석 우회 ( 보안 매커니즘 우회 ) iexplore.exe 감염 뒤 금융기관 사칭 파밍 윈도우에 자동실행 프로세스로 등록 시스템 내 개인정보 등의 주요정보 수집
“ 각 수준별 다단계 방어 (Defense in Depth) 의 전략 필요 ” 1 네트워크에서의 악성코드 패턴 차 단 및 C&C 유포지로의 연결 차단 2 PC 에서의 감염 예방을 위한 주기 적인 업데이트 및 취약점 관리 3 감염 PC 의 네트워크 격리 및 방역 조치 4 재감염 방지 및 후속 조치
No. 개선과제진행내용추진일정 1 DNS Sinkhole 악성코드 감염 분석과 대응에 대한 공부 ' DNS 싱크홀 해외사례 ( 일본의 CCC) 공부 ' DNS 싱크홀 관련자료 및 타사 사례 파악 ' 일별 감염 현황에 대한 파악과 KT DNS 비교 ' 주요 C&C 의 DNS 싱크홀 적용 및 모니터링 ' 보안관제 및 일별 분석을 통한 Sinkhole 적용 ' 침입방지시스템 정책 개선 IPS 오탐률에 대한 파악 및 오탐원인 조사 ' IPS 오탐룰에 대한 튜닝 진행 ' 중복 탐지 구간에 대한 예외처리 진행 ' IPS 정책 2,048 개 패턴 분석 및 방어설정 ' 임계치 기반 방어 정책 적용 ' 보안분석 기반의 패턴 정책 적용 ' 윈도우 패치자동화 사내 내근직 대상 PMS WSUS 패치 자동화 ' 악성코드 대응 NAC 을 통한 조치 절차 적용 ' 악성코드 대응 절차의 변경 '15.01
DNS 싱크홀이란 ? 1 해커 들은 도메인을 악용하여 좀비 PC 들을 조종하기 위한 원격명령제어 서버 (C&C) 로 이용 2 국내 주요 ISP 업체와의 협력을 통해 악성봇에 감염된 PC 가 해커의 명 령을 받아 C&C 로의 연결을 시도 할 때 C&C 의 도메인 주소 대신 싱크 홀 서버 ( 임의로 지정 ) 로 우회 시켜 해커로부터 조종 명령을 받지 않도록 함 3 악성코드에 감염된 PC 는 가장 먼저 C&C 의 도메인 주소를 DNS 에 요 청, 이 요청을 DNS 에서 임의의 싱크홀 주소로 변경하여 PC 로 반환 4 C&C 와 연결이 실패하는 악성코드는 무의미한 연결만 반복하며 PC 에 악성행위를 가하지 못함
DNS 싱크홀의 운영현황 내부사용자 명령제어서버 (C&C) ① 인터넷 등을 통해 사용자 PC 는 악성코드에 감염됨 내부 DNS 서버 (Infoblox DNS) 現 280 개 Sinkhole 운영 ② 감염 PC 는 콜백을 위해 악성코 드 에 내포된 URL 주소를 질의함 Query: malware.com ? ③ DNS 는 URL 의 싱크홀 여부를 판단하여 설정된 주소를 리턴함 Answer: Malware.com is ④ 악성코드에 감염되었더라도 C&C 와 연결이 되지 않아 PC 에서 는 악성코드의 악성행위 불가능
※ 4 月 DNS 싱크홀 적용개시