ABOUT OUR COMPANY COMPANY PROFILE 타이거팀은 2012 년 1 월에설립된회사로, 지난 6 년간 250 여건이상의어플리케이션보안진단및모의해킹프로젝트를수행한보안전문기업 OUR MOTTO 새로출시될소프트웨어의에러나보안상의허점, 또는컴퓨터네트웍의보안이

Size: px

Start display at page:

Download "ABOUT OUR COMPANY COMPANY PROFILE 타이거팀은 2012 년 1 월에설립된회사로, 지난 6 년간 250 여건이상의어플리케이션보안진단및모의해킹프로젝트를수행한보안전문기업 OUR MOTTO 새로출시될소프트웨어의에러나보안상의허점, 또는컴퓨터네트웍의보안이"

현성 어
6 years ago
Views:

1 START Into The Tiger Team 2018/01 WEB Application Security Mobile Security VoIP Security Physical Security

2 ABOUT OUR COMPANY COMPANY PROFILE 타이거팀은 2012 년 1 월에설립된회사로, 지난 6 년간 250 여건이상의어플리케이션보안진단및모의해킹프로젝트를수행한보안전문기업 OUR MOTTO 새로출시될소프트웨어의에러나보안상의허점, 또는컴퓨터네트웍의보안이왜깨어지고있는지등의이유를찾아내기위한전문가그룹 OUR VISION 뜨거운열정과끊임없는연구를통해고객에게최고의가치를제공하는 Global 한보안전문회사

3 ABOUT OUR COMPANY 2012 년 01 월창립이후로, 2017 년까지 250 여건의보안컨설팅프로젝트를수행한대한민국최고의보안전문회사입니다. 회사명 타이거팀대표자황석훈 사업분야 주소 홈페이지 정보보안컨설팅및보안솔루션개발, 기술연구용역 ( 모의해킹및취약점진단 ) 서울시강남구테헤란로 87 길 36, 2422 ( 삼성동, 도심공항타워 ) Tel : , FAX : 설립년도 2012 년 1 월 해당부분 종사기간 6 년개월 임직원수 10 명 비고 2017 년까지 250 여건의보안컨설팅 ( 모의해킹 ) 프로젝트수행 웹서비스, 모바일앱서비스, IoT 디바이스진단등다양한모의해킹수행

4 Timeline 2012 년 01 월창립이후로, 다양한회사들과 MOU 를체결 / 다양한고객과신뢰관계를형성하여최고가되기위해한발한발다가가고있습니다. FY 2012 FY 2013 ~ 14 FY 2015 FY 2016 FY 2017 법인설립 (1 월 ) 누적매출 10 억달성 비바리퍼블리카 MOU 머니투데이 2016 대한 업계최초위협모델 안랩협력업체등록 (13 년 7 월 ) (4 월 ) 민국산업대상서비스 링기반의서비스취 (5 월 ) 벤처기업인증 (13 년 8 엔시큐어 MOU (10 월 ) 혁신대상보안컨설팅 약점진단실시 (9 월 ) 엔시큐어기술 MOU (12 월 ) 부문 (3 월 ) 월 ) KOSCOM MOU (13 년 11 영남이공대학교가족 월 ) 회사협약체결 (7 월 ) 기술부설연구소설립 KEB 하나은행 IT 통합프 (13 년 12 월 ) 로젝트수행감사장수 K-Shield 1 차교육기관 료 (8 월 ) 선정 (14 년 4 월 )

5 CREW 타이거팀은컨설팅본부와경영지원본부로구성되어있으며, 컨설팅본부에는특급인력에서부터초급인력까지고루분포된회사입니다. 또한, 지속적으로우수한인재를확보하기위해노력하고있습니다. 조직도 대표이사 고문회계사 컨설팅본부 경영지원본부 등급별인력현황 등급특급고급중급초급전체 인원수

6 SERVICES 타이거팀의대표서비스인어플리케이션취약점점검은고객사에서운영하고있는모든어플리케이션 ( 서비스 ) 이대상이며, 취약점이존재하는지를검증하고이를개선함으로써안정적운영을돕는데목적을두고있습니다. 0x00. 어플리케이션보안점검 업무형태위협모델링기반점검체크리스트기반점검시나리오기반점검 업무 (DFD, 아키텍처, 업무프로세 진단체크리스트를기반으로취 업무설명은없지만, 컨설턴트가 설명 스등 ) 를기반으로위협을분석하 약점존재유무만을테스트하는 시나리오를자체적으로수립하여 고해당위협을검증하는방식 방식 진행하는방식 장점 업무베이스로취약점점검가능 거의모든업무에대해서누락없이검증가능 만족도가매우높음 기능적테스트로업무및복잡한내용에대한이해불필요 진단속도가빠름 비용이저렴 많은수의대상을점검할때주로사용함 업무적이해를동반함 일반적인경우체크리스트기반진단을포함함 사례 ToSS / 윈큐브마케팅등 다수수행 다수수행 대상 중요또는대표서비스 웹 / 모바일 /IoT 등모두해당 중요도낮은회사서비스 웹 / 모바일 /IoT 등모두해당 중요또는대표서비스 웹 / 모바일 /IoT 등모두해당

7 SERVICES 모의해킹서비스는실제해커와같이해킹을실시하여내부 / 외부에서중요자산에대한접근또는우회등의가능성을검증하고이를개선하도록돕는것을목표로하고있습니다. 0x01. 모의해킹 업무형태블랙박스기반모의해킹시나리오기반모의해킹 설명 장점 고객사에대한어떤정보도제공하지않고진행하는모의해킹으로실제해커와완전히동일한조건에서진행하는방식 실제해커와동일한방법으로진행하므로실제적인보안수준및대응팀의능력등을정확하게측정가능함 예상하지못한취약점들이도출될가능성이있음 고객사에서검증받고싶은시나리오를선정하거나당사에서제안하여해당시나리오가발생가능한지를검증하는방식 내부의프로세스또는새로이구축된솔루션등에대한검증이가능 사례 다수수행 다수수행 대상 실제해커로부터안전한지검증을원하는고객사 새로운솔루션, 프로세스등

8 SERVICES 보안교육서비스는내부임직원및개발자등에대해서보안의필요성을설명하고안전한개발문화정착을돕는것을목표로하고있습니다. 0x02. 보안교육 업무형태보안인식제고교육보안기술적용방안교육 보안의필요성, 보안팀의존재이유, 보안솔루션의 필요성등에대한교육 개발자및운영팀등이보안적용을보다효과적또는 안정적으로하기위한기술교육 설명 [ 주제예시 ] 보안이왜필요한가? 우리회사에꼭보안을해야하는이유는? [ 주제예시 ] 시큐어코딩의이해및적용방법 안전한웹 / 모바일앱개발방법 대상 사내임직원 개발담당자또는기획자등

9 Research 모바일, NFC, Bluetooth, 리버싱, WEB 등다양한기술과환경에대해끊임없이연구를진행하고있습니다. Mobile Communication / Network iphone Windows Android NFC Bluetooth Reverse Engineering WEB Reversing Fuzzing HTML CSS JAVASCRIPT

10 Client ( 개요 ) 공공 / 민간 ( 금융, IT, 제조 ) 등다양한기관및기업에모의해킹, 정보보호컨설팅등다양한정보보호서비스를제공하고있습니다 Referrence 직접 계약 도급 계약

11 Client (2017 년 -1) 2017 년은 26 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 삼성전자모의해킹및보안진단건 ~ 삼성전자제조 2 KTDS 계열사심화모의해킹 ~ KTDS IT 3 슈프리마지문인증단말모의해킹 ~ 슈프리마 IT 4 세메스 2017 년모의해킹 ~ 세메스제조 5 GS 리테일 GS 넷비전모의해킹 GS 리테일 IT 6 GS 리테일점포경영앱모의해킹 ~ GS 리테일 IT 7 한국문화진흥컬쳐랜드년간모의해킹 한국문화진흥 IT 8 대명홀딩스대명그룹모의해킹 ~ 대명홀딩스 IT 9 위닝아이솔루션모의해킹 위닝아이 IT 10 밸런스히어로서비스취약점점검 밸런스히어로 IT 11 NHN 엔터테인먼트페이코모의해킹 ~ NHN 엔터테인먼트 IT 12 제주항공주요서비스정기취약점진단 제주항공물류 13 사이버로지텍웹사이트모의해킹 사이버로지텍 IT 14 알지피코리아주요서비스취약점진단 알지피코리아 IT 15 LG 생활건강모의해킹프로젝트 ~ LG 생활건강제조 16 새마을금고앱모의해킹프로젝트 새마을금고금융 17 신한금융그룹취약점진단 ~ 신한금융그룹금융 18 한국증권금융모의해킹 한국증권금융금융

12 Client (2017 년 -2) 2017 년은 26 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 펄어비스게임취약점진단 ~ 펄어비스 IT 20 원익홀딩스대표웹서비스모의해킹 원익홀딩스제조 21 GS 리테일편의점찾기팝업모의해킹 GS 리테일 IT 22 대림산업 ISO27001 사후심사컨설팅 ~ 대림산업건설 23 기프팅서비스보안컨설팅도급계약 ~ 윈큐브마케팅 IT 24 NHN 엔터테인먼트페이코서비스모의해킹 ~ NHN 엔터테인먼트 IT 25 KEB 하나은행모바일앱점검서비스 ~ KEB 하나은행금융 26 GSITM 결제모듈 API 보안성검토 GS 리테일 IT

13 Client (2016 년 -1) 2016 년은 42 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 삼성전자모의해킹및보안진단건 ~ 삼성전자제조 2 NHN 엔터테인먼트 PAYCO 모바일앱보안컨설팅 ~ NHN 엔터테인먼트금융 3 세메스 2016 년 IT 보안수준진단건 ~ 세메스제조 4 하나은행모의해킹 ~ 하나은행금융 5 테라핀테크 IT 보안점검컨설팅용역계약 ~ 테라핀테크 IT 6 KG 이니시스웹사이트모의해킹 KG 이니시스금융 7 비바리퍼블리카 TOSS 앱모의해킹 비바리퍼블리카금융 8 SKT 진단스크립트개발프로젝트 ~ SKT IT 9 KCB 모의해킹프로젝트 ~ 코리아크레딧뷰로금융 10 대명라이프웨이모의해킹 ~ 대명라이프웨이기업 11 로엔엔터테인먼트모의해킹 ~ 로엔엔터테인먼트 IT 12 CME Soft 웹사이트모의해킹 CME Soft IT 13 Yes24 웹사이트취약점점검 ~ Yes24 IT 14 신한금융그룹공통 ICT 취약점점검 ~ 신한금융그룹금융 15 센스톤모의해킹 센스톤 IT 16 비바리퍼블리카금융위취약점점검 비바리퍼블리카금융 17 KCP 웹사이트모의해킹 KCP 금융 18 NH 농협캐피탈모의해킹 농협캐피탈금융

14 Client (2016 년 -2) 2016 년은총 42 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 대명홀딩스리뉴얼웹사이트취약점점검 대명홀딩스기업 20 GS 리테일나만의냉장고 APP 모의해킹 GS 리테일기업 21 GS 리테일 POP 카드모의해킹 GS 리테일기업 22 코리아엑스퍼트인증모듈모의해킹 ~ 코리아엑스퍼트 IT 23 성모병원 ISMS 인증취약점진단 ~ 성모병원의료 24 한국문화진흥컬쳐랜드년간모의해킹 한국문화진흥 IT 25 NH 농협생명모의해킹 NH 농협생명금융 26 ACE 생명보험모의해킹 ACE 생명보험금융 27 NH 농협캐피탈모의해킹 NH 농협캐피탈금융 28 대명홀딩스 2016 년하반기모의해킹 ~ 대명홀딩스기업 29 SK 인포섹 IOT 모의해킹 ~ SK 인포섹기업 30 PAYCO 모의해킹 ~ PAYCO IT 31 대한간호사협회웹사이트취약점진단 대한간호사협회의료 32 라이나생명웹 / 앱모의해킹 ~ 라이나생명금융 33 대법원취약점진단및모의해킹 ~ 대법원공공 34 KB 자산운용취약점진단 ~ KB 자산운용금융 35 로엔엔터테인먼트웹사이트모의해킹 로엔엔터테인먼트 IT 36 비바리퍼블리카금융위취약점진단 ~ 비바리퍼블리카금융

15 Client (2016 년 -3) 2016 년은총 42 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 37 KCP 2016 년하반기금융위취약점진단 ~ KCP 금융 38 CMEsoft 웹모의해킹 ~ CMEsoft 기업 39 KTDS 계열사심화모의해킹 ~ KTDS 기업 40 비바리퍼블리카 FDS 취약점진단 비바리퍼블리카금융 41 사이버안전센타취약점진단 ~ 사이버안전센타공공 42 KISA ICT 융합산업분야신규취약점심층분석공유 ~ 한국인터넷진흥원공공

16 Client (2015 년 -1) 2015 년은 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 모빌리언스모의해킹진단 ~ 모빌리언스 IT 2 로엔모의해킹 ( 웹 / 모바일 ) 진단 ~ 로엔 IT 3 삼성카드모의해킹인력지원건 ~ 삼성카드금융 4 링투페이지진단건 ( 라온시큐어 ) ~ 라온시큐어금융 5 RedBend_ 안드로이드모바일앱진단 Redbend IT 6 모바일솔루션기능평가 ( 엔시큐어 ) ~ 엔시큐어 IT 7 한국지역정보개발원공공아이핀모의해킹 한국지역정보개발원공공 8 한국지역정보개발원공공아이핀모의해킹 ~ 한국지역정보개발원공공 9 농협은행계정관리고도화취약점진단 농협금융 10 로엔모의해킹 ( 웹 / 모바일 ) 진단 ~ 로엔 IT 11 녹십자홀딩스모의해킹용역계약 1 차 ~ 녹십자제약 12 코리아크레딧뷰로 2015 연간모의해킹 코리아크레딧뷰로금융 13 한국문화진흥전문가서비스 ~ 한국문화진흥 IT 14 롯데닷컴웹사이트취약점점검 (MK 트렌드 ) 롯데닷컴 IT 15 GS 아이수퍼웹 / 모바일모의해킹 GSITM IT 16 롯데앱카드보안기술진단 ~ 롯데카드 IT 17 알리안츠생명 Life@Digital 취약점분석 / 평가 ~ 알리안츠생명금융 18 연합뉴스 Open API 구축강화사업보안성테스트 연합뉴스언론

17 Client (2015 년 -2) 2015 년은총 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 녹십자홀딩스모의해킹용역계약 2 차 녹십자제약 20 신한금융그룹공통 ICT 인프라진단 ~ 신한금융지주금융 21 하나 SK 카드 10 개서비스모의해킹 ~ 하나 SK 카드금융 22 하나금융그룹보안취약점분석평가프로젝트 하나금융지주금융 23 녹십자웹사이트전수점검컨설팅 ~ 녹십자제약 24 비바리퍼블리카금융위취약점점검 ( 홈페이지 ) 비바리퍼블리카 IT 25 SK 인포섹피에스앤마케팅모의해킹 ~ SK 인포섹 26 SK 인포섹 SK D&D 모의해킹 SK 인포섹 27 KT ( 안랩 ) ~ KT 28 SK 인포섹한국기업데이터모의해킹 ~ SK 인포섹금융 29 비씨카드 TSP 서비스모의해킹점검계약 비씨카드금융 30 알리안츠생명 CSSP 개발보안컨설팅 알리안츠생명금융 31 SEMES 모의해킹 SEMES 제조 32 대명엔터프라이즈신규웹사이트모의해킹 ~ 대명그룹기업 33 대명그룹차세대시스템구축보안성테스트 대명그룹기업 34 더블유쇼핑웹사이트모의해킹 더블유쇼핑 IT 35 호텔신라모의해킹용역계약 ~ 호텔신라기업 36 옥션모의해킹 이베이 IT

18 Client (2015 년 -3) 2015 년은총 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 37 NAVER PAY 모의해킹 ~ 엔에이치엔 IT 38 현대카드, 캐피탈, 커머셜블라인드테스트 ~ 현대카드금융 39 GS 리테일통합배송보안시스템모의해킹 ~ GS 리테일 IT 40 SK C&C 프로젝트보안점검모의해킹 ~ SK C&C IT 41 KB 자산운용 ~ KB 자산운용금융 42 비씨카드모의해킹 (SK C&C) ~ 비씨카드금융 43 한국특허정보원웹취약점점검 ~ 한국특허정보원기업 44 한국통신사업자연합회웹취약점점검 ~ 한국통신사업자연합회기업 45 대법원 ~ 대법원공공 46 JB 금융지주공동침투 ~ JB 금융지주금융 47 한국문화진흥연간보안컨설팅 ~ 한국문화진흥원금융 48 서울메트로정보유출컨설팅 ~ 서울메트로공공 49 신한금융그룹 ~ 신한금융그룹금융 50 비바리퍼블리카금융위취약점점검 ~ 비바리퍼블리카금융 51 한국통신사업자연합회인프라진단 ~ 한국통신사업자연합회공공 52 농협은행제 3 자진단 ~ 농협은행금융 53 하나금융지주웹, 앱모의해킹 ~ 하나금융지주금융 54 신세계아이앤씨모바일진단 ~ 신세계INC 기업

19 Client (2015 년 -4) 2015 년은총 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 55 한국사이버결제 ~ 한국사이버결제금융 56 KG 이니시스취약점진단 ~ KG 이니시스금융 57 KISA 모의해킹전문과정파견교육 ~ KISA 공공

20 Client (2014 년 -1) 2014 년은 49 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 삼성카드비정기보안점검 삼성카드웹금융 2 연합뉴스침해사고사고분석 연합뉴스침해사고분석언론 3 한국문화진흥대표홈페이지모의해킹진단 한국문화진흥웹 IT 4 미래에셋모바일앱보안진단 미래에셋모바일금융 5 부국증권금융위취약점진단컨설팅 부국증권모바일금융 6 SBI 저축은행보안취약점분석평가컨설팅 ~ SBI 저축은행웹 / 인프라금융 7 코레일홈페이지리뉴얼보안성검토 코레일웹공공 8 티켓몬스터웹모의해킹 ~ 티켓몬스터웹 / 모바일 IT 9 대명홀딩스리뉴얼홈페이지 ( 승마, 리조트 ) 대명홀딩스웹 IT 10 삼성카드보안점검 ( 추가사업 ) ~ 삼성카드웹금융 11 코레일홈페이지리뉴얼보안성 2 차검토 코레일웹공공 12 롯데닷컴스마트픽보안테스트 롯데닷컴웹 IT 13 라온시큐어 Veraport 솔루션보안검증 ~ 라온시큐어웹 (ActiveX) IT 14 엠앤서비스웹서비스모의해킹 ~ 엠앤서비스웹 IT 15 요기요서비스웹취약점검및 DDoS 대응 요기요모바일 IT 16 신한카드웹모의해킹및모바일진단 ~ 신한카드웹금융 17 지마켓웹모의해킹진단 ~ 지마켓웹 IT 18 에임메드웹모의해킹진단 ~ 에임메드웹 IT

21 Client (2014 년 -2) 2014 년은총 49 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 대명홀딩스리뉴얼홈페이지 ( 비발디외 1 개 ) 대명홀딩스웹 IT 20 KISA 공공기관소스점검 ( 모의해킹 ) ~ KISA 웹공공 21 연합뉴스 OpenAPI 신규취약점점검 연합뉴스웹언론 22 롯데닷컴신규오픈 VOC 서비스취약점점검 롯데닷컴웹 IT 23 대법원모의해킹취약점진단건 ~ 대법원웹공공 24 삼성카드인터넷테마점검 ~ 삼성카드웹금융 25 동양증권모바일앱진단 (6 종 ) 동양증권모바일금융 26 삼성카드전문가서비스하반기 ~ 삼성카드웹 / 모바일금융 27 SPC 네트웍스내부모의해킹취약점점검 ~ SPC 웹제조 28 누스킨홈페이지모의해킹취약점점검 ~ 누스킨웹 IT 29 [ 장 ] SKT NW 부문보안진단 ~ SKT 웹 / 하드웨어 IT 30 삼성물산정기취약점점검 ~ 삼성물산웹제조 31 LG 전자스마트 TV 진단 ~ LG 전자하드웨어제조 32 대명그룹및분양, 소노펠리체모의해킹 ~ 대명홀딩스웹 IT 33 롯데닷컴 LECS3.0 템플릿모바일매장 롯데닷컴모바일 IT 34 NICE 평가정보취약점진단 ~ 교과부웹 / 모바일 IT 35 롯데닷컴백화점 / 에비뉴엘 / 홍보보안성검토 (SK2 / 콜롬비아 / 백화점에비뉴엘 ) 롯데닷컴웹 IT 36 엘롯데구축프로젝트보안성검토 롯데닷컴웹 IT

22 Client (2014 년 -3) 2014 년은총 49 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명 기간 발주처 진단대상 구분 37 대법원모의해킹및소스진단 ~ 대법원 웹 공공 38 모바일웹및롯데면세점사이트보안성검토 롯데닷컴 모바일 IT 39 IBK 모의해킹진단건 2014/09 ~ 2014/12 IBK 웹 / 모바일 /CS 금융 40 [ 전 ] 한국문화진흥전문가서비스 ~ 한국문화진흥 웹 공공 41 KISA 공공기관소스점검 ( 모의해킹 ) 2014/10 ~ 2014/12 KISA 웹 공공 42 현대캐피탈모의해킹인력지원 2014/10 ~ 2014/12 현대캐피탈 웹 / 모바일 /VOIP 금융 43 비바리퍼블리카금융앱모바일진단 비바리퍼블리카 모바일 금융 44 신영증권모바일앱진단 신영증권 모바일 금융 45 옥션하반기모의해킹진단 2014/11 ~ 2014/12 옥션 모바일 IT 46 한국도서보급웹서비스모의해킹 2014/10 ~ 2014/11 한국도서보급 웹 / 인프라 IT 47 삼성카드비정기보안점검 삼성카드 웹 / 모바일 금융 48 은행연합회모의해킹지원 은행연합회 웹 금융 49 모빌리언스모의해킹진단 모빌리언스 웹 IT

23 Client (2013 년 -1) 2013 년에총 40 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 KBS 디지털뉴스룸주요시스템 KBS 웹 / 인프라신문 / 방송 2 현대오토에버 TMS 모의해킹 현대오토에버모바일제조 3 삼성카드모의해킹서비스업무위탁 ~ 삼성카드웹금융 4 SW 보안약점진단도구시범검증및검증코드개선 ~ KISA SW 개발공공 5 삼성카드모의해킹진단 삼성카드웹금융 6 LIG 손해보험취약성점검수행프로젝트 ~ LIG 웹 / 인프라금융 7 삼성반도체모의해킹진단 삼성전자반도체인프라 / 관제제조 8 삼성메디슨관리체계수립및취약점진단 ~ 삼성메디슨웹 / 인프라제조 9 대검찰청모의해킹 대검찰청웹공공 10 대법원모바일앱보안점검 대법원모바일공공 11 카카오톡모바일앱모의해킹진단 카카오모바일 IT 기업 12 코스콤 MTS 진단 (LIG 투자증권 ) KOSCOM 모바일공공 13 공공 SW 취약점진단 _KISA 장기파견 ~ KISA SW 개발공공 14 동부생명모의해킹진단 ~ 동부생명웹 / 인프라금융 15 한국전기안전공사 _ 개인정보보호수준진단 ~ 한국전기안전공사웹공공 16 대법원모의해킹진단 대법원웹공공 17 삼성카드장기파견건 ~ 삼성카드웹금융 18 대명골프, 호텔예약시스템보안성검토 대명레저산업웹 IT기업

24 Client (2013 년 -2) 2013 년에총 40 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 신한카드 Araxn 솔루션도입검증 신한카드모바일금융 20 부산시청대외홈페이지취약점진단 부산시청웹공공 21 동양증권모바일앱진단 동양증권모바일금융 22 GS 홈쇼핑 _ 모의해킹 GS 홈쇼핑웹기타 23 PB 모바일계좌개설 APP 진단 KOSCOM 모바일공공 24 GS 네오텍인프라및모의해킹진단 ~ GS 네오텍웹 / 인프라 IT 기업 25 김포공항공사정보보호컨설팅기술진단 김포공항공사웹 / 인프라공공 26 SK Plannet 모바일앱보안점검 ~ SK Planet 모바일 IT 기업 27 보건복지부 13 년정보보호체계강화사업 ~ 보건복지개발원웹 / 인프라공공 28 YES24 대외서비스모의해킹 YES24 웹 IT 기업 29 신한은행주요정보통신기반시설취약점분석및평가 ~ 신한은행웹금융 30 유라코퍼레이션취약점진단 ~ 유라코퍼레이션웹 / 인프라 IT 기업 31 Inka 엔터웍스모바일게임앱진단 인카엔트웍스모바일 IT 기업 32 신한카드모바일앱추가진단 _19 번항목 신한카드모바일금융 33 한국무역보험공사 한국무역보험공사웹 / 인프라 / 기타공공 34 KG 모빌리언스스밍싱방지앱진단 ~ KG 모빌리언스모바일 IT 기업 35 대법원모의해킹진단 ~ 대법원웹공공 36 NH 증권모바일앱서비스진단 ~ NH 증권모바일금융 37 대우건설대표홈페이지보안성검토 대우건설웹기타 38 SW 보안약점진단도구 2 차검증코드개선용역 ~ 한국인터넷진흥원개발공공 39 경제인문사회연구회웹취약점점검 경제인문사회연구회웹공공 40 롯데닷컴정기보안점검 롯데닷컴웹 IT 기업

25 Client (2012 년 -1) 2012 년 5 월부터 2012 년 12 월까지 25 개의프로젝트를수행하였으며, 공공, 금융, 방송등다양한경험을확보하였습니다. No 프로젝트명기간발주처진단대상구분 1 KISA, SW 보안약점진단도구검증코드개발 ~ KISA SW 개발공공 2 SM 엔터테인먼트웹사이트취약점진단 SM 엔터테이먼트웹 / 인프라기타 3 imbc 취약점진단 imbc 웹 / 인프라신문 / 방송 4 신한카드 _ 웹 & 모바일진단 ~ 신한카드웹 / 모바일금융 5 우체국, 모바일뱅킹 & 보험앱진단 우정국모바일금융 6 LIG 손해보험모의해킹프로젝트 LIG 웹금융 7 SC 금융지주 (SC 펀드, SC 저축은행 ) 정보보호컨설팅 ~ SC 금융지주인프라금융 8 KB 국민카드 2012 년보안전문가서비스용역 KB 카드웹금융 9 건강보험심사평가원대내외홈페이지취약점점검 건강보험심사평가원웹공공 10 SKPlanet_ 모의해킹인력지원 ~ SKPlanet 웹 IT 기업 11 삼성카드모의해킹서비스업무위탁 삼성카드웹금융 12 현대오토에버인력파견 ~ 현대오토에버모바일제조 13 이베이보안점검컨설팅용역 ~ 이베이웹 IT 기업 14 통합관제시스템구축개발계약 동양증권기타금융 15 SW 보안약점진단도구시범검증지원 ~ KISA SW 개발공공 16 대법원등기시스템모바일앱모의해킹 대법원웹공공 17 대명홈페이지리뉴얼정보보호컨설팅프로젝트 , 대명레저산업웹 IT 기업 18 BC 카드모의해킹 ~ BC 카드웹금융

26 Client (2012 년 -2) 2012 년 5 월부터 2012 년 12 월까지 25 개의프로젝트를수행하였으며, 공공, 금융, 방송등다양한경험을확보하였습니다. No 프로젝트명 기간 발주처 진단대상 구분 19 연합뉴스정보보안컨설팅용역 ~ 연합뉴스 웹 / 관제 신문 / 방송 20 코나엠블랙박스모의해킹 코나엠 기타 기타 21 아프러스시스템모의해킹컨설팅용역 러시앤캐시 웹 기타 22 바로크레디트 바로크레디트 웹 / 인프라 기타 23 만도보안컨설팅자문용역 만도 웹 / 인프라 제조 24 롯데면세점홍보 / 상거래사이트보안진단 롯데면세점 웹 기타 25 아프러스시스템모의해킹컨설팅용역 (2차) 러시앤캐시 웹 기타

27 PENTEST METHODOLOGY 시나리오기반어플리케이션진단절차 모의해킹방법론은총 5 단계로구성되어있으며, 비즈니스와서비스의특성을이해하고이에맞는추가해킹시나리오를도출, 비즈니스에실질적인피해가발생할가능성에대해서검증을수행하도록구성되어있습니다.

28 PENTEST PROCESS (WEB SERVICE) 시나리오기반어플리케이션진단절차 웹서비스의대상이확정되면, 해당시스템에대해서목적와용도, 기능등을분석하고이를통해서주요공격포인트를선정하여취약점점검을실시합니다. 웹모의해킹진단절차 1. 대상분석 진단대상접속여부확인 진단대상사이트규모, 용도, 주요기능목록, 예상취약점등을목록화 주요공격포인트및목표설정 진단대상확정 2. 스캐닝실시 3. 취약점점검실시 포트스캐닝실시 배너스캐닝실시 ( 필요시 ) 고객사와협의시웹취약점스캐너사용 (Nikto 등 ) 대상분석과정에서정의한공격포인터업데이트 사이트대상별로기능별예상취약점테스트실시 정보유출, DB 유출, 권한획득등의다양한공격시도 4. 권한획득 웹서비스관리자권한획득및정보유출시도 웹서버시스템권한획득 ( 웹쉘또는원격터미널연결등을통한권한획득, 필요시 Exploit 을통한루트권한획득 ) 해당서버를경유하여내부망또는인접서버침투시도

29 PENTEST PROCESS (MOBILE APP) 시나리오기반어플리케이션진단절차 모바일앱의경우크게대상을분석한후정적 / 동적분석이이루어지며공격포인터에따라코드패치및메모리변조, 조작등의공격을실시하게됩니다. 모바일앱진단절차 1. 대상분석 정상폰에진단대상을설치하여구동함 주요기능및네트워크트래픽등분석하여공격포인트선정 연결서버환경조사 ( 웹서비스인웹서비스대상분석과동일 ) 2. 정적분석 APK, IPA 파일해제하여소스디컴파일, IPA 의경우 IDA 등으로소스분석 환경설정파일분석및소스내하드코딩내역분석 암호화및보안모듈이있을경우해당모듈분석 진단대상확정 3. 코드패치및동적분석 보안모듈존재시해제하고공격포인터코드패칭및재설치 필요시동적분석을통한메모리정보확인및조작 서버시스템직접공격시도 ( 웹서버인경우웹서비스공격과동일 ) 4. 정보유출및권한획득 데이터조작, 권한획득등실시 숨겨진관리자페이지강제활성화및정보유출시도 서버측관리자획득시도및정보유출, 변조등시도

30 PENTEST PROCESS (C/S) 시나리오기반어플리케이션진단절차 C/S 프로그램의경우, 클라이언트와서버를구분하여클라이언트의환경설정내역및바이너리분석을수행하고, 서버는직접연결시도및다양한테스트를통해서검증을수행합니다. C/S 프로그램진단절차 1. 대상분석 PC 에클라이언트프로그램설치하여기능및동작형태분석 네트워크트래픽분석 서버시스템의구성분석 진단대상확정 2. 클라이언트분석 3. 동적분석 클라이언트프로그램의환경설정파일, 로그파일등을분석 클라이언트동작과정및접속하는서버주소, 포트등을확인 서버반응이나패킷조작가능성을확인 주요공격포인트선정 프락시를이용하여패킷조작 메모리확인및변조등을통한정보유출및권한상승등실시 서버측버퍼오버플로우등의공격테스트 서버가웹서버일경우에는웹서버공격절차순으로진행 4. 정보유출및권한획득 데이터조작, 권한획득등실시 서버측관리자획득시도및정보유출, 변조등시도

PENTEST CHECKLIST (WEB SERVICE) 체크리스트기반어플리케이션진단절차 국가정보원의 홈페이지보안관리매뉴얼 에명시된홈페이지 8 대취약점과한국인터넷진흥원의 홈페이지개발보안가이드 의 10 대취약점, OWASP 에서발표한 10 대가장심각한웹어플리케이션보안취약점 에명시된 10 가지취약점, 기타 HTML5, AJAX

31 PENTEST CHECKLIST (WEB SERVICE) 체크리스트기반어플리케이션진단절차 국가정보원의 홈페이지보안관리매뉴얼 에명시된홈페이지 8 대취약점과한국인터넷진흥원의 홈페이지개발보안가이드 의 10 대취약점, OWASP 에서발표한 10 대가장심각한웹어플리케이션보안취약점 에명시된 10 가지취약점, 기타 HTML5, AJAX 등최신해킹기법등을반영하여아래의점검항목을기반으로진단을수행합니다. Source 웹서비스영역에대한진단항목 영역분류진단항목 CrossSite Scripting 취약점 SQL Injection 취약점 GET/POST 취약점 입력값유효성검증 파일업로드취약점 ( 웹 ) 서비스영역 중요정보암호화 취약한인증및권한체크 파일다운로드취약점쿠키변조및조작가능성외부소스코드삽입암호화되지않은데이터베이스사용자개인정보노출취약점소스내중요정보노출 URL 강제접속및인증우회취약점취약한계정 / 패스워드존재웹인증키검사부재클라이언트기반인증처리 HTML5 / AJAX 등 부적절한환경설정 불필요한파일및서비스존재 부적절한에러처리 디렉터리인덱싱

PENTEST CHECKLIST (MOBILE APP) 체크리스트기반어플리케이션진단절차 금융감독원의 스마트폰보안안전대책이행실태점검체크리스트 의 14

안티바이러스프로그램적용 ( 안드로이드 ) 여부 환경설정분석 중요정보입력보호 ( 스크린키보드 ) 여부 어플리케이션변조여부 (Self Checking) 로그인 (

인증정보 ( 패스워드 ) 복잡도검증 중요정보평문저장 개인 / 중요정보관리현황 중요정보저장시, 취약한암호화사용 기타정적 / 동적디버깅등 ( 메모리변조, 메소드후킹,

32 PENTEST CHECKLIST (MOBILE APP) 체크리스트기반어플리케이션진단절차 금융감독원의 스마트폰보안안전대책이행실태점검체크리스트 의 14 대취약점과금융위원회의 금융분야취약점분석평가기준 의 15 대취약점, OWASP 에서발표한 10 대가장심각한모바일어플리케이션보안취약점 에명시된 10 가지취약점, 기타정적 / 동적디버깅등을반영하여아래의점검항목을기반으로진단을수행합니다. Source 모바일영역에대한진단항목 영역분류진단항목 OS 변조 ( 탈옥, 루팅 ) 탐지및제한 App 살제시, 개인정보 ( 사진, 파일 ) 의완전한제거 안티바이러스프로그램적용 ( 안드로이드 ) 여부 환경설정분석 중요정보입력보호 ( 스크린키보드 ) 여부 어플리케이션변조여부 (Self Checking) 로그인 ( 동일인증서동시접속금지 ) 세션관리 ( 서비스타임아웃설정 ) 단말기영역 App 바이너리내중요정보점검 소스코드분석 App 구동시, Debug 정보노출방지 역분석방지 인증정보 ( 패스워드 ) 복잡도검증 중요정보평문저장 개인 / 중요정보관리현황 중요정보저장시, 취약한암호화사용 기타정적 / 동적디버깅등 ( 메모리변조, 메소드후킹, 액티비티강제호출 ) 통신망영역 중요정보미표시 ( 주민번호마스킹등 ) 메모리내중요정보의영구적로딩금지중요정보평문전송송 / 수신정보암호화여부취약한암호화사용암 / 복호화알고리즘의적정성 (SEED 등 ) 취약한프로토콜사용 SSL 통신적용여부 점검항목은고객사의진단대상을분석후현황에따라일부조정될수있음

33 PENTEST CHECKLIST (C/S) 체크리스트기반어플리케이션진단절차 C/S 영역보안점검은웹과모바일영역의점검항목과크게다르지않으며, Cert.org 의 Secure Coding in C and C++, NIST 의 SP Technical Guide to Information Security Testing and Assessment, OWASP 의 Thick Client Application Security, MS 의 Secure Client Applications 등을반영하여일반적으로정보유출과권한획득등아래의점검항목을기반으로진단을수행합니다. Source C/S 영역에대한진단항목 영역분류진단항목 SQL Injection 취약점 Command Injection 취약점 XML Injection 취약점 환경설정분석 인증정보수집및조작취약점 파일다운로드취약점 버퍼오버플로우위챡점 포맷스트링취약점 단말기영역 서버환경설정상의취약점 소스코드분석 클라이언트프로그램 Debug / Log 정보과다저장 클라이언트프로그램내에중요정보하드코딩 인증정보 ( 패스워드 ) 복잡도검증 클라이언트프로그램에중요정보평문저장 개인 / 중요정보관리현황 중요정보저장시, 취약한암호화사용 중요정보화면미표시 ( 주민번호마스킹등 ) 메모리내중요정보의영구적로딩금지 중요정보평문전송 송. 수신정보암호화여부 통신망영역 취약한암호화사용암. 복호화알고리즘의적정성 (SEED 등 ) 취약한프로토콜사용 SSL 통신적용여부

34 CASE BASED SCENARIO DEDUCTION 예시 ) 시나리오기반모의해킹 정상적인사용자로로그인하여타고객정보의열람가능여부를확인하고, 정보수집프로그램을통해소량의정보를주기적으로모아대량의파일형태로유출을시도합니다.

35 CONTACT US A 서울시강남구테헤란로 87 길 36, 2422 ( 삼성동, 도심공항타워 ) P (070) F (02) E h9430@tigerteam.kr W

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%