<요 약> 1. 법ㆍ제도 동향 - 개인정보보호 관련법 내달 전면 개편 - 1년 넘게 걸리는 CC인증, 속타는 보안업계 2. 보안위협 동향 - 앱 취약점을 이용한 악성코드 2달만에 1위 등극 - 카드회사 고객정보 1억 건 이상 유출 3. 업계 동향 - 정보보호 산업 매출

Size: px

Start display at page:

Download "<요 약> 1. 법ㆍ제도 동향 - 개인정보보호 관련법 내달 전면 개편 - 1년 넘게 걸리는 CC인증, 속타는 보안업계 2. 보안위협 동향 - 앱 취약점을 이용한 악성코드 2달만에 1위 등극 - 카드회사 고객정보 1억 건 이상 유출 3. 업계 동향 - 정보보호 산업 매출"

지유 우
7 years ago
Views:

1 2014년 2월 10일 (제13호) <목차> 1. 법ㆍ제도 동향 2. 보안위협 동향 3. 업계 동향 4. 기술 동향 5. 고객구축 사례 6. SECUI 뉴스 (주)시큐아이 - 1 -

2 <요 약> 1. 법ㆍ제도 동향 - 개인정보보호 관련법 내달 전면 개편 - 1년 넘게 걸리는 CC인증, 속타는 보안업계 2. 보안위협 동향 - 앱 취약점을 이용한 악성코드 2달만에 1위 등극 - 카드회사 고객정보 1억 건 이상 유출 3. 업계 동향 - 정보보호 산업 매출 14.5% (정보보안 2.5%,물리보안 18.6% ) - 연쇄해킹에도.. 보안업계 성장률 저조 4. 기술 동향 - HTML5 환경에서의 새로운 보안위협 5. 고객구축 사례 - ' 카드 콜센터 망분리'에 차세대방화벽 공급 6. SECUI 뉴스 - 시큐아이, '2014년 목표 달성 결의대회' 개최 - 시큐아이, '따뜻한 온정 나누기'행사 개최 - 2 -

5% (정보보안 2.5%,물리보안 18.6% ) - 연쇄해킹에도.. 보안업계 성장률 저조 4. 기술 동향 - HTML5 환경에서의 새로운 보안위협 5.

3 1. 법ㆍ제도 동향 - 개인정보보호 관련법 내달 전면 개편 - 1년 넘게 걸리는 CC인증, 속타는 보안업계 개인정보보호 관련법 내달 전면개편 - 사상 초유의 대규모 금융정보 유출 사건의 구조적 원인으로 지목된 개인정보보호 관련 법안들이 2월 국회에서 개정 예정 ㆍ 금융위원회는 17일 개인 정보보호 정상화 TF 활동을 시작하며 대규모 정보유출 사건 발생 시 금융사에 징벌적 과징금을 부과하 는 제도를 추진하겠다고 밝힘 개정 예정 법안 금융지주회사법 신용정보법 개인정보보호법 전기통신사업법 전자금융거래법 주요 개정 내용 금융계열사간 고객정보 공유금지 암호화 의무조항 유출된 개인정보의 2차 피해 방지 전자자금이체 금액에 대한 지급효력 연기 1년 넘게 걸리는 CC인증, 속타는 보안업계 - CC인증 지체 현상이 극에 달해 평가 대기 시간만 1년 넘게 걸림 ㆍ 인증제 변경으로 인증 유효기간이 3년으로 지정되며 재심사가 몰려 기존 적체현상이 더욱 악화되었으며, CC인증 대상 품목은 총 28개 제품으로 대폭 증가(모바일 단말관리, 소스코드 보안 취 약성 분석도구, 전자여권, 복합기 등 추가) - 3 -

전자금융거래법 주요 개정 내용 금융계열사간 고객정보 공유금지 암호화 의무조항 유출된 개인정보의 2차 피해 방지 전자자금이체 금액에 대한 지급효력 연기 1년 넘게 걸리는 CC인증, 속타는 보안업계 - CC인증 지체 현상이 극에 달해 평가 대기 시간만

4 ㆍ 인증 대상은 늘고 있는 반면에 평가기관(5개) 확대나 관련 인력 충원은 없어 업체들의 공공사업 참여가 차질을 빚고 있음 ㆍ 임종인 고려대학교 교수는 "인증 절차를 간소화하되 형식적인 면은 대폭 줄이고 핵심적인 부분에 집중 심사가 이뤄지도록 질적 평가에 초점을 둬야 한다"고 언급 법ㆍ제도 기타 동향 년부터 달라지는 정보보호 제도 정책 ㆍ 2014년부터 범 정부차원에서 기존보다 강화된 정보보호 제도 정책이 시행된다. 시행시기 1월 2월 2월 작년 12월 변경 내용 20억원 이상 공공기관 정보화사업에 시큐어코딩 의 무화 적용(기존 40억원 이상) '정보보호 안전진단제도' 폐지, 'ISMS 인증'으로 대체 의무화 CC인증 유효기간 3년, 기존 제품 인증효력연장 신청 개인정보보호 인증제(PIPL) 본격 시행 - 미래부, 정보유출 차단 기술 개발 지원 ㆍ 미래창조과학부는 금융권 개인정보 유출사태의 대책 마련 일환으 로 암호화 기술 고도화에 나선다. ㆍ 강성주 미래창조과학부 정보통신융합정책관, "금융권 정보유출사 태가 '인재'지만 기술적으로 막을 수 있는 방법을 찾겠다"며 - 4 -

시행시기 1월 2월 2월 작년 12월 변경 내용 20억원 이상 공공기관 정보화사업에 시큐어코딩 의 무화 적용(기존 40억원 이상) '정보보호 안전진단제도' 폐지, 'ISMS 인증'으로 대체 의무화 CC인증 유효기간 3년, 기존 제품 인증효력연장 신청

5 "ETRI등 정부 출연연구기관이 보유한 기술을 동원해 암호화 고도 화에 나서고 이를 민간에서 채택할 수 있도록 지원하겠다"고 덧붙 였다. - 미래부, 도 감청 논란 네트워크 장비 점검 ㆍ 美 NSA의 통신 도 감청 논란으로 네트워크 보안 문제가 초미의 관심사로 떠오른 가운데 정부가 보안 문제가 제기된 통신사 네트 워크 장비를 직접 점검하기로 함 ㆍ SK텔레콤, KT, LG유플러스, SK브로드밴드가 운영하는 네트웍 장비 가 대상이며, 삼성전자, 에릭슨LG, NSN, 알카텔루슨트, 화웨이, 시스코, 주니퍼 등 글로벌 기업에 다산네트웍스, 유비쿼스 등 국 내 기업 장비도 포함 ㆍ 국내 통신사 망의 신뢰도를 높이는 반면에 글로벌 장비업계에는 큰 부담이 될 전망이며, 특정 장비에서 보안 취약점이 발견될 경 우 장비업체의 타격이 불가피함 <법ㆍ제도 끝> - 5 -

직접 점검하기로 함 ㆍ SK텔레콤, KT, LG유플러스, SK브로드밴드가 운영하는 네트웍 장비 가 대상이며, 삼성전자, 에릭슨LG, NSN, 알카텔루슨트, 화웨이, 시스코, 주니퍼 등 글로벌

6 2. 보안위협 동향 - 앱 취약점을 이용한 악성코드 2달만에 1위 등극 - 카드회사 고객정보 1억 건 이상 유출 - 미국 대형마트, POS 단말기 해킹으로 고객정보 유출 2014년 1월 악성코드 통계 - 앱 취약점을 이용한 악성코드 2달만에 1위 등극 ㆍ 2달간 2위였던 DangerousObject.Multi.Generic이 다시 1위로 올라 섰으며, 지난달 1위였던 Trojan.Win32.Generic(정보유출형 트로이 목마)이 그 뒤를 이어 2위, Trojan-FakeAV.Win32.Onescan.gen(허 위로 바이러스를 진단 후, 사용자에게 지불 유도)이 3위를 차지함 ㆍ 10위에 오른 HackTool.Win32.Kiser.bse는 Kaspersky를 가장한 해킹 툴로써 개인정보 유출에 이용됨(아래에서 설명) 위 악성코드 Top 10은 국내 Kaspersky 사용자 PC에서 탐지된 통계임 <2014년 1월 국내 악성코드 Top 10 리스트 (출처: Kaspersky)> - 6 -

Generic(정보유출형 트로이 목마)이 그 뒤를 이어 2위, Trojan-FakeAV.Win32.Onescan.gen(허 위로 바이러스를 진단 후, 사용자에게 지불 유도)이 3위를 차지함 ㆍ 10위에 오른 HackTool.

7 HackTool.Win32.Kiser.bse 란? ㆍ 트로이 목마의 일종으로 위협이나 증세는 일반적인 트로이 목마와 유사 ㆍ 보안제품 번들을 가장하여 설치되며, 프로세스 상태로 계속 실행되어, PC의 시스템, 프로세스, 파일 및 폴더를 숨길 수 있고, 사용자가 입력 한 키보드 정보가 유출될 수 있음 ㆍ 실행 시 화면 ㆍ 배포지 1월 보안 이슈 - 카드회사 고객정보 1억 건 이상 유출 ㆍ 이번 국내 카드사의 고객정보 유출규모가 1억 건이 넘는 것으로 드러났으며 신용평가업체 직원에 의한 것으로, 정보유출 사고유형 중에서 가장 많은 내부자 소행임 ㆍ 유출된 고객정보는 NH카드 약 2,500만 명, KB카드 약 5,300만 명, - 7 -

프로세스, 파일 및 폴더를 숨길 수 있고, 사용자가 입력 한 키보드 정보가 유출될 수 있음 ㆍ 실행 시 화면 ㆍ 배포지 1월 보안 이슈 - 카드회사 고객정보

8 롯데카드 약 2,600만 명 총 1억 400건으로 사상 최대 규모 ㆍ 유출된 고객정보에는 이름, 휴대전화번호, 직장명, 주소와 신용카 드 사용과 관련한 정보도 일부 포함되어 만약 외부로 유통됐다면 카드복제, 금융사기 등의 2차 피해도 가능 ㆍ 용의자는 2012년 5월부터 2013년 12월까지 카드회사에 파견되어 프로그램 개발용역 작업 수행 중, 각 회사 전산망에 접근하여 USB 에 고객정보를 복사하는 수법으로 불법 수집(삼성카드와 신한카드 전산망에서는 암호화 프로그램에 걸려 빼내지 못함) ㆍ 용의자는 개인신용평가 전문회사인 KCB의 카드 도난 분실, 위 변조 탐지 시스템 개발 프로젝트(FDS)의 총괄관리 담당 직원 ㆍ KCB는 19개 은행, 신용카드사, 보험사 등 금융회사의 공동출자로 설립되어 개인의 거래정보를 수집 가공해 금융회사에 리스크 관 리 서비스를 제공하며, 금융회사들의 전산 프로그램을 개발 고객 정보 유출사건의 문제점 ㆍ 외부 회사의 직원이 전산망에 접속하는데도 감독을 전혀 하지 않음 ㆍ 매체에 대한 차단이나 데이터 암호화 솔루션이 적용되지 않음 ㆍ 민감한 데이터에 대한 접근 권한이 제한되지 않음 보완 및 대책 ㆍ DB 암호화, 로그/이미지 데이터의 보호에 대한 보완 필요 ㆍ 내부 직원의 유출을 막기 위해 데이터 이동 읽기 편집에 대한 철저한 권한 관리가 필요 ㆍ 비인가 매체에 대한 이동 차단 및 암호화 이동을 수행하는 매체보 안 솔루션 적용 - 8 -

은행, 신용카드사, 보험사 등 금융회사의 공동출자로 설립되어 개인의 거래정보를 수집 가공해 금융회사에 리스크 관 리 서비스를 제공하며, 금융회사들의 전산 프로그램을 개발 고객 정보 유출사건의 문제점 ㆍ 외부 회사의 직원이 전산망에 접속하는데도 감독을 전혀 하지 않음 ㆍ 매체에 대한 차단이나 데이터 암호화 솔루션이

9 - 미국 대형마트, POS 단말기 해킹으로 고객정보 7천만 건 유출 ㆍ 미국의 대형 유통할인마트인 TARGET에서 POS 단말기 해킹으로 인해 고객정보가 유출되는 사고가 발생 ㆍ 2013년 말 수주일 동안 소매업체의 네트워크에 공격자가 침투하여 POS(point-of-sale, 판매 시점 정보관리) 시스템에 악성코드를 설치했고, 이를 통해 약 4천만 명에 달하는 구매자의 신용카드 정보와 7천만명의 고객명, 주소, 전화번호와 같은 개인정보도 유 출되었음 ㆍ 침해에 대한 예방법 공격자에 의한 내부 네트워크 트래픽 또는 네트워크 보안 솔루션 데이터 유출 트래픽을 탐지할 수 있도록 네트워크 보안 솔루션 구축 화이트리스팅 시스템 보안절차와 숙련된 IT 인력 POS 시스템에서는 지정된 프로그램 이외의 프로그램은 실행되지 못하도록 함 적용 가능한 모든 보안절차와 제품들의 사 용 및 설정을 재확인하고 사고에 적절하게 대처할 수 있는 숙련된 IT인력 확보 <보안위협 끝> - 9 -

개인정보도 유 출되었음 ㆍ 침해에 대한 예방법 공격자에 의한 내부 네트워크 트래픽 또는 네트워크 보안 솔루션 데이터 유출 트래픽을 탐지할 수 있도록 네트워크 보안 솔루션 구축 화이트리스팅 시스템 보안절차와 숙련된 IT

10 3. 업계 동향 제13호 ( ) - 정보보호 산업 매출 14.5% (정보보안 2.5%,물리보안 18.6% ) - 연쇄해킹에도.. 보안업계 성장률 저조 정보보호 산업 매출 14.5 (정보보안 2.5%,물리보안 18.6% )(1/29) - KISA는 기업 618개를 대상으로 2013년 국내 정보보호산업 실태 조사 결과를 발표 ㆍ 정보보안 제품의 경우 네트워크 보안 제품(4천778억원, 2.3% )과 콘텐츠 및 정보유출 방지 제품(2천804억원, 1.7% )의 증가율이 높음 ㆍ 정보보안 서비스의 경우 유지보수 서비스(769억원, 7.7% ), 보안 관제 서비스(1천421억원, 7.3% ) 증가 정보보안 제품 정보보안 서비스 <2013년 국내 정보보호산업 실태조사> (단위: 백만원) 구분 2012년 2013년(E) 성장률(%) 네트워크 보안 466, , 시스템 보안 168, , 콘텐츠/정보유출 방지 275, , 암호/인증 112, , 보안관리 117, , 기타 제품 109, , 소계 1,250,714 1,271, 보안컨설팅 78,053 80, 유지보수 71,400 76, 보안관제 132, , 교육/훈련 인증 서비스 44,720 45, 소계 326, , 합계 1,577,587 1,616,

3% ) 증가 정보보안 제품 정보보안 서비스 <2013년 국내 정보보호산업 실태조사> (단위: 백만원) 구분 2012년 2013년(E) 성장률(%) 네트워크 보안 466,979 477,818 2.3 시스템 보안 168,381 170,139 1.0 콘텐츠/정보유출 방지 275,817 280,369 1.7 암호/인증 112,584 113,604 0.

11 업계 기타 동향 - 연쇄해킹에도.. 보안업계 성장률 저조(1/27) ㆍ 지난해 대형 사이버테러와 해킹을 통한 금융사기 기승으로 보안에 대한 경각심을 높아졌지만, 보안업체들은 최악의 성장률 기록 ㆍ 최근 5년간 정보보안 업계 성장률이 매년 추락하고 있음 (2009~2010년 33%, 2011~2012년 10%대, 2013년 2.5%) ㆍ 시장이 포화로 성장에 한계를 느끼는 상황이며, 정부의 정보보호 산업 정책 수정이 필요 - '윈도XP' 보안부문만 2015년 7월까지 서비스 연장(1/27) ㆍ 마이크로소프트가 오는 4월8일 종료하기로 했던 윈도XP 지원 서비 스 중 보안 부분에 한해 2015년 7월14일까지 지원을 연장 ㆍ MS가 이례적으로 보안 부문 지원 연장을 결정한 것은 미국과 중국 등 주요 국가에서 윈도XP 사용률이 높고, 지원 중단 시 발생 위험 을 줄이기 위한 조치로 분석 ㆍ 미국 대통령과학기술자문위원회는 MS 지원 중단 이후 위험에 노출 될 수 있음을 지적하였으며, 중국 국가판권국에서도 MS에 윈도 XP 지원기간 연장을 요청 <업계 끝>

12 4. 기술 동향: HTML5 환경에서의 새로운 보안위협 편집자 주: 기술 동향은 매월 중요한 보안기술을 선정하여, 그 기술을 이해하는 기회를 제공하고자 마련되었다. 1월에는 HTML5 환경에서의 새로운 보안위협을 설명하였다. HTML5는 차세대 웹문서 표준으로 Active X 등 비 표준 기술의 남용 및 이의 방치로 인해서 발생되는 웹의 취약성을 해결하고 멀티미디어 데이터를 플러 그인 없이 지원 가능하게 하는 웹 프로그래밍 언어이다. 여기서는 HTML5에 서 신규 태그들의 추가로 인해 발생 가능한 보안 위협을 제시하고자 한다. HTML5 란? - HTML5는 웹 문서를 만들기 위한 기본 프로그래밍 언어 'HTML(Hyper Text Markup Language)'의 최신 규격 ㆍ HTML5는 Active X를 설치하지 않아도 동일한 기능을 구현할 수 있고, 특히 플래시나 실버라이트, 자바 없이도 웹 브라우저에서 화려한 그래픽 표현이 가능한 차세대 웹 프로그래밍 언어 HTML5의 신규기능 별 보안위협(1) - CORS - CORS(Cross Origin Resource Sharing)는 웹페이지 상에서 자바 스크립 트를 이용하여 XML 요청을 다른 도메인에 발생시킬 수 있도록 해주는 기능 - CORS의 근본적인 보안 문제는 XML 요청을 다른 도메인으로 발생시킬 때 사용자의 허가 요청을 받지 않는 것이다. 이를 통해 접근제어를 우회하여 허가되지 않은 리소스에 접근 할 수 있다

- HTML5는 웹 문서를 만들기 위한 기본 프로그래밍 언어 'HTML(Hyper Text Markup Language)'의 최신 규격 ㆍ HTML5는 Active X를 설치하지 않아도 동일한 기능을 구현할 수 있고, 특히 플래시나 실버라이트, 자바 없이도 웹 브라우저에서 화려한 그래픽 표현이 가능한 차세대 웹 프로그래밍

13 관련 보안 위협 접근제어 우회 CORS와 Web Socket을 이용한 원격 쉘 CORS와 Web Socket을 이용한 웹기반 CORS와 Web Worker를 이용한 DDoS 공격 설명 사용자가 속해있는 내부 네트워크에 존재하는 웹사이트가 "Access-Control-Allow-Origin" 응답 헤더를 잘못 정의했을 경우 공격자는 외부에서 직접 접근할 수 없는 내부 네트워크 의 웹사이트에 접근할 수 있다. XHR과 Web Socket 기술을 이용하면 사용자의 브라우저 세션 을 탈취하고 행동을 제어할 수 있다. 대표적인 예로 세션 하 이재킹 공격이 있다. CORS와 Web Socket 기술을 이용하면 사용자의 브라우저들을 제어하여 다양한 정보를 수집하거나 명령을 내릴 수 있다. CORS와 Web Worker를 이용하면 보다 효과적으로 DDoS 공격을 수행할 수 있다. <표 1> CORS 관련 보안 위협 (출처:KISA HTML5 보안연구) HTML5의 신규기능 별 보안위협(2) - 웹 스토리지 - 웹 스토리지는 쿠키의 4KB 사이즈 제약과 HTTP 요청마다 쿠키값이 포 함되어져야 하는 문제들을 개선하기 위해 웹사이트와 관련된 컨텐츠를 사용자의 PC에 저장하고 이후 자바 스크립트를 통해 접근제어가 가능 하게 하며 도메인당 5MB 정도의 크기를 저장할 수 있다. <그림 1> 웹 스토리지 타입 - 웹 스토리지의 보안이슈는 해당 공간에 저장되어 있는 데이터에 대한 불법적인 접근과 이를 사용자 측에서 인지할 수 없다는 것이다

CORS와 Web Socket 기술을 이용하면 사용자의 브라우저들을 제어하여 다양한 정보를 수집하거나 명령을 내릴 수 있다. CORS와 Web Worker를 이용하면 보다 효과적으로 DDoS 공격을 수행할 수 있다.

14 ㆍ 웹 스토리지에 대한 모든 접근 및 제어는 자바 스크립트를 통해 이루어지며 특정 도메인이 스크립트 기반 취약점을 가지고 있을 경우, 공격자는 사용자의 브라우저에 있는 모든 웹 스토리지 데이 터들을 사용자 모르게 조작하거나 가져올 수 있다. HTML5의 신규기능 별 보안위협(3) - 웹 소켓 - HTTP는 브라우저가 서버에게 요청을 해야만 서버에서 응답을 해주는 구조로서 HTTP 세션관리에 많은 오버헤드를 가져오기 때문에 실시간 정보 전달을 요구하는 어플리케이션을 개발하는데 제한적이다. ㆍ 한 번의 네트워크 세션 수립을 통해 전 이중 통신이 가능한 기술 에 대한 개발자들의 요구사항이 커지게 되었고, 이러한 필요에 의해 웹 소켓이 만들어졌다. <그림 2> DNS 질의/응답 수행 과정 - 웹 소켓은 사용자의 허가 없이 다른 도메인으로 연결요청을 발생시킬 수 있으며, 요청이 발생했다는 사실을 사용자에게 알려주지 않는다. ㆍ 공격자는 사용자의 브라우저에 임의의 자바 스크립트 코드를 실행 하여 사용자 모르게 다른 도메인에 있는 시스템과 통신채널을 형 성한 후, 데이터 송수신이 되게하여 보안위협을 야기시킬 수 있다

ㆍ 한 번의 네트워크 세션 수립을 통해 전 이중 통신이 가능한 기술 에 대한 개발자들의 요구사항이 커지게 되었고, 이러한 필요에 의해 웹 소켓이 만들어졌다.

15 HTML5의 신규기능 별 보안위협(4) - Geolocation - 모바일 기기를 통한 인터넷 이용률 증가는 위치기반의 서비스들이 급증하는 역할을 했으며, HTML5의 Geolocation API가 등장하면서 브라 우저 자체 기능만으로 단말의 위치정보 계산이 가능해졌다. <그림 3> Geolocation API를 이용한 위치정보 확인 - 대부분의 브라우저들은 Geolocation API를 사용할 때 사용자의 동의를 구하도록 되어 있지만 동일 도메인에서는 단 한번의 동의를 통해 사용 자의 위치정보를 계속 수집할 수 있다. 이 경우 사용자가 공격자의 위치정보 수집 악성 링크를 클릭하고 동의를 누를 경우 자신의 위치정 보가 지속적으로 공격자에게 전달될 수 있는 위험요소가 있다

<그림 3> Geolocation API를 이용한 위치정보 확인 - 대부분의 브라우저들은 Geolocation API를 사용할 때 사용자의 동의를 구하도록 되어 있지만 동일

16 정리 - HTML5는 웹의 표준화를 위해 만들어진 신 HTML 표준이지만 신규로 추가된 편의기능들에 의한 보안 취약점이 발견되고 있다. HTML5 신규기능 CORS 웹 스토리지 웹 소켓 보안위협 XML 요청을 다른 도메인으로 발생시킬 때, 접근제어를 우 회하여 허가되지 않은 리소스에 접근 가능 해당 공간에 저장되어 있는 데이터에 대한 불법적인 접근 이 가능하며 이를 사용자 측에서 인지할 수 없음 사용자의 허가 없이 다른 도메인으로 연결요청을 발생시킬 수 있으며, 이 요청에 대해 사용자에게 알려주지 않음 동일 도메인에서는 한 번의 동의로 사용자의 위치정보를 Geolocation 계속 수집할 수 있으므로 악성 링크에서 동의할 경우에도 지속적으로 공격자에게 위치정보를 전달 <표 2>HTML5 신규기능에서의 보안위협 ㆍ 보안 담당자들은 우선적으로 HTML5 기반 웹서버 구축 시, 보안 어플라이언스들이 HTML5 표준에 대한 보안기능을 보유하고 있는지 에 대한 검증이 요구된다. ㆍ 기 보유중인 웹 어플리케이션 방화벽 및 UTM 제품군이 해당 표준 을 지원하는지 여부를 점검하고, 특히 공공사이트의 경우에는 HTML5에 대한 보안성 검토 및 유지를 위한 제반 장치가 마련되어 져야 한다. <기술 끝>

없이 다른 도메인으로 연결요청을 발생시킬 수 있으며, 이 요청에 대해 사용자에게 알려주지 않음 동일 도메인에서는 한 번의 동의로 사용자의 위치정보를 Geolocation 계속 수집할 수 있으므로 악성 링크에서 동의할 경우에도 지속적으로 공격자에게 위치정보를 전달 <표

17 5. 고객구축 사례 편집자 주: 고객구축 사례는 당사 제품이 도입된 대표적인 성공사례를 공유하기 위해 마련되었다. 1월 사례는 " 카드 콜센터 망분리"를 선정하였다. 보안 上 실구축 사례에 근거한 일반적 내용만 언급한다. 카드 콜센터 망분리 [이슈] 콜센터망과 서버팜 대역을 카드 업무망과 분리함 [내역] 서울CRM센터 : MF 대 구축 대전CRM센터 : MF 대 구축 부산CRM센터 : MF 대 구축 백본 서버팜 및 인터넷몰 : MF 대 구축 [효과] 차세대 방화벽을 Active-Active HA로 구성하여 고가용성 확보 정보보호시스템 성능 보강을 통한 정보보호 수준 향상 사례 개요 구분 내용 사업명 카드 콜센터 망분리 사업기간 2013년 12월 ~ 2014년 2월 (3개월) 구축장비 SECUI MF * 10 추진 배경 및 필요성 - 콜센터 망과 서버팜 대역을 카드 업무망과 분리해야 한다는 필요성 대두

백본 서버팜 및 인터넷몰 : MF2 1500 4대 구축 [효과] 차세대 방화벽을 Active-Active HA로 구성하여 고가용성 확보 정보보호시스템 성능 보강을 통한 정보보호 수준 향상 사례 개요 구분 내용 사업명 카드

18 사업 내용 제13호 ( ) - 보안장비 구축 구분 센터명 수량 비고 서울 CRM 센터 2 업무망과 콜센터망으로 분리 카드 대전 CRM 센터 2 업무망과 콜센터망으로 분리 부산 CRM 센터 2 업무망과 콜센터망으로 분리 백본 서버팜 및 인터넷몰 4 센터백본용 구성도(참고도)

19 도입 효과 제13호 ( ) - 정보보호시스템 성능 보강 등, 정보보호 수준 향상 ㆍ 업무망 내부의 불법 자료 유출 삭제 변경 방지 ㆍ 콜센터망과 서버팜을 통한 업무망의 Virus, 해킹 침투 방지 - 차세대 방화벽 도입에 따른 고가용성 보장 ㆍ 차세대 방화벽의 Active-Active HA 방식의 이중화 구성을 통해, 장애 발생시 중단없는 서비스 가용성 확보 ㆍ 통합관리시스템과 연계기능 제공을 통해 편리성 및 효율성 증대 ㆍ 노후화된 방화벽 교체로 인한 H/W 장애 예방 <고객사례 끝>

20 6. SECUI 뉴스 - 시큐아이, '2014년 목표 달성 결의대회' 개최 (1/6) - 시큐아이, '따뜻한 온정 나누기'행사 개최 (1/15) 시큐아이, '2014년 목표 달성 결의대회' 개최 (1/6, 디지털타임스) - 시큐아이(대표 배호경)는 지난 3일 경기도 과천시 막계동에 위치한 청계산에서 '2014년 목표 달성 결의대회'를 개최했다. ㆍ 시큐아이는 지난해 창사 14년 만에 매출 1000억원과 수출 1000만 불을 달성했다. 이같은 성과를 바탕으로 올해에는 국내 정보보안 시장을 선도하고, 해외시장을 적극적으로 개척해 글로벌 정보보안 회사로 성장할 것이라고 설명했다. ㆍ 배호경 대표는 "시큐아이가 국내 1위를 넘어, 글로벌 시장에서 우뚝 서기 위해 갑오년 청마의 해에 꿈과 용기를 갖고 거침없이 질주하는 힘찬 한 해를 만들어가자"고 말했다

ㆍ 시큐아이는 지난해 창사 14년 만에 매출 1000억원과 수출 1000만 불을 달성했다.

21 시큐아이, '따뜻한 온정 나누기'행사 개최 (1/15, 디지털타임스) - 시큐아이(대표 배호경)는 지난 10일 서울 성북구에 위치한 성북장애인 복지관을 방문해 '따뜻한 온정 나누기'활동을 펼쳤다. ㆍ 이날 행사에 2014년 시큐아이 신입사원이 참가해 장애인들의 식사, 목욕, 청소 등 일상생활을 보조하는 활동을 펼쳤다. ㆍ 이번 활동과 함께 지난해 12월 임직원 전체가 모금한 3300만원의 성금을 KBS 사랑의 열매에 기부했으며, 이 성금은 저소득, 무의탁 이웃을 위한 지원 사업에 쓰일 예정이다. ㆍ 배호경 대표는 "사회공헌 활동을 통한 기업의 사회적 책임 완수는 경영의 필수 요소"라며 "신입사원들에게 이번 봉사활동으로 타인 을 이해하고 배겨하는 인재로 성장해 주기를 기대한다"고 말했다. - 以上

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%