기술적보안로드맵 네트워크보안 시스템보안 어플리케이션보안 DBMS 보안 End-Point 단말보안 스마트폰보안 F / W I P S Anti-Spam VirusWall UTM / XTM 서버보안 (Secure OS) 암호화 PKI HSM SSO EAM DB 취약점스캐너 PC 보안 / 자산관리 MDM MAM MIN 가상키보드 V P N T M S 서버취약점스캐너 App. 가상화 Data Masking Anti- Virus 모바일백신 유해 Sit e 차단 코드난독화 PMS 통신암호화 좀비탐지차단 차세대방화벽 네트웍포렌식 원격접속통제 ( 서버접근제어 ) 웹쉘탐지 웹방화벽 테스트데이터변환 Anti- Phishi ng 암호화 (E2E/SSL/VPN) 웹취약점스캐너 키보드보안 무선 PKI 무선인증 WIPS N A C Anti- DDo S 서버계정관리 소스취약점스캐너 DB 암호화 HDD 암호화 모바일 DRM 망분리장치 비관밀리번호 WAS 모니터링 ( 접속기록 ) DB 접근제어 / 감사 PC 행위모니터링 Whitelist 기반제어 문서 Streaming Viewer Client 가상화 M-OTP 추가인증 ESM / 종합분석시스템 / 취약점관리시스템 통합로그분석 / SIEM 통합보안모니터링시스템 / Digital Forensic IAM(Identity and Access Management) RMS(Risk Management System) / Security Portal / PI A 시스템 ) 컨텐츠보안 문서보안 ( 서버DRM) 위변조방지 PC DRM 출력보안 보안메일 컨텐츠검색 / 필터링 데이터완전삭제 DLP 보안 USB 문서중앙화 데스크탑가상화 (VDI) 물리 / 융합보안 Speed Gate 출입통제 검색대 (X-Ray 금속 ) E A S R F I D 보안종이 생체인식 OTP 디가우저 도감청보안 CCTV/ VCA/ VMS/ 영상보호 OA 기기복합기보안 스마트카드 PSI M
목 차 1. 배경 2. IT환경의변화 ( 인증관점 ) 3. 인증관련보안사고사례 4. 추가인증 OTP 솔루션 V-FRONT 5. 비밀번호관리솔루션 SGN PM. hc ho
1. 배경 - 변화가없었던로그인 ( 아이디 / 비밀번호 Enter) 많은예산의 IT 사업을진행하며거의변화없는비밀번호관리부문 - 요구도제안도하지않는부문 네트워크장비, 시스템보안은? 1 년이걸려도아이디 / 비밀번호 다양한해킹기법 이중 - 삼중의보안장치! ** 싱글사인온 (SSO) 등다양한정보시스템에대한사용자인증을용이하게하는시스템을운영하는경우병목및침투 ( 인증도용등 ) 시피해확대가능성이있으므로별도의보안대책 ( 주요정보시스템재인증 ) 을마련하여야한다. ( 한국인터넷진흥원 )
1. 배경 추가인증및비밀번호관리규정 금융위원회전자금융감독규정 [2015.3.18] 금융위원회고시제 2015-7 호 No 구분조항조항의내용 1 2 3 4 5 모든정보처리시스템에추가인증체계도입할것 추가인증체계도입시통합인증 / 로그남길것 웹서버에추가인증체계도입할것 암호가없게하거나관리를암호화할것 인증수단의고려사항 ( 안전성, 보안성, 편의성 ) 제 14 조 ( 정보처리시스템보호대책 ) 9 항 14 조 10 항 제 17 조 ( 홈페이지등공개용웹서버관리대책 ) 2 조 제 31 조 ( 암호프로그램및키관리통제 ) 제 34 조 ( 전자금융거래시준수사항 ) 4 항 6 안전한인증방법을사용할것제 37 조 ( 인증방법사용기준 ) 정보처리시스템의운영체제 (Operating System) 계정으로로그인 (Log in) 할경우계정및비밀번호이외에별도의추가인증절차를의무적으로시행할것 < 신설 2013.12.3.> 정보처리시스템운영체제 (Operating System) 계정에대한사용권한, 접근기록, 작업내역등에대한상시모니터링체계를수립하고, 이상징후발생시필요한통제조치를즉시시행할것 < 신설 2013.12.3.> 공개용웹서버에접근할수있는사용자계정은업무관련자만접속할수있도록제한하고아이디 비밀번호이외에추가인증수단을적용할것 < 개정 2015.2.3.> 2 금융회사또는전자금융업자는암호및인증시스템에적용되는키에대하여주입 운용 갱신 폐기에대한절차및방법을마련하여안전하게관리하여야한다.< 개정 2013.12.3.> 일회용비밀번호등거래인증수단채택시안전성, 보안성, 이용편의성등을충분히고려할것 금융회사또는전자금융업자는전자금융거래의종류 성격 위험수준등을고려하여안전한인증방법을사용하여야한다. < 개정 2015.3.18.> 적용해야할정보처리시스템의범위 * 금융기관에서사용하는모든시스템 ( 포털, SSO, 웹서버, 업무용서버, 금융거래용서버, VPN, VDI, 네트워크, 보안장비관리등 )
1. 배경 추가인증및비밀번호관리규정 ( 계속 ) 금융위원회전자금융감독규정 No 구분조항조항의내용 1 계정관리제 13 조 ( 전산자료보호대책 ) 1. 사용자계정과비밀번호를개인별로부여하고등록 변경 폐기를체계적으로관리할것 2 제 1 항제 1 호의사용자계정의공동사용이불가피한경우에는개인별사용내역을기록 관리하여야한다 2 사용자비밀번호 제 32 조 ( 내부사용자비밀번호관리 ) 2. 비밀번호는다음각목의사항을준수할것가. 비밀번호는이용자식별번호, 생년월일, 주민등록번호, 전화번호를포함하지않은숫자와영문자및특수문자등을혼합하여 8 자리이상으로설정하고분기별 1 회이상변경나. 비밀번호보관시암호화보관다. 시스템마다관리자비밀번호를다르게부여 안정행정부정보통신보안업무규정 No 구분조항조항의내용 1 계정관리제 27 조 ( 사용자계정관리 ) 2 비밀번호관리제 28 조 ( 비밀번호관리 ) 3 관리자계정은관리자로지정된자만이사용할수있으며, 그외의자에게는대여할수없다. 다만, 업무상필요에의해부득이하게타인에게대여한경우에는회수후즉시비밀번호변경등의보안조치를해야한다. 3 시스템관리자는다음각호의사항을반영하여정보시스템의비밀번호를설정하고분기 1 회이상주기적으로변경해야한다. 6. 동일비밀번호를여러사람이공유하여사용하지말것 7. 응용프로그램등을이용한자동비밀번호입력기능사용금지 4 시스템관리자는정보시스템에등록되어있는비밀번호를암호화하여보관하여한다.
2. IT 환경의변화 ( 인증관점 ) 1 세대 : ID/Password 2 세대 : PKI/OTP, 2FA 차세대 : Device 인증 BYOD 환경, 인증서복제 / 계정탈취를통한공격 액티브피싱공격 (MITM, MITB) 의세션하이재킹 스마트폰의분실및기기변경 글로벌환경에서인증 ( 해외교포, 외국인사용자 )
3. 인증관련보안사고사례 새로운인증매체 ( 부인방지효과 ) 소프트웨어 OTP QR 코드
4. 추가인증 OTP 솔루션 V-FRONT. hc ho
4-1. 추가인증 OTP 솔루션 - 소프트웨어구성 RADIUS 규약의 3A 를준수합니다. - Account : 사용자정보를관리 - Authentication : 승인된사용자의접속인증을한다. - Authorization : 승인받은사용자, 정해진접속장소, 지정된장비, 시스템에접속을허용한다. * 인증엔진기반의국제규격 OTP 모듈
4-2. 추가인증 OTP 솔루션 - 시스템구성 V-FRONT 는망분리, 다중네트워크에서인증대행서버 (OTP Provisioning Server) 를두어다중네트워크에서의 2 팩터인증을지원합니다. 인터넷 사용자단말 Mobile OTP 앱설치 (PC 버전, SMS 지원 ) F/W B/B DMZ VPN inside HA Active Standby OTP Provisioning Server MAIL WWW 서버팜 HA 인사 DB 연동 V-FRONT (Active) V-FRONT (Standby) 업무관리서버 ( 웹기반 ) 업무관리서버 ( 웹기반 ) OTP API 연동 OTP API 연동
4-3. 추가인증 OTP 솔루션 인증절차 사용자단말 PC, ios, Android DMZ 인증대행서버 Private 인증서버 계정서버 포털, SSO VPN, VDI 네트워크장비 1 https://x.x.x App 다운 접근권한에따른전과정감사로그 최초 1 회 단말및 사용자등록 1 차인증 2 차인증 2 단말 ID/PW/UUID https://x.x.x:10004 등록 5 Provision (ID/UUID/PMK) 단말등록 6 Provision 단말활성 7 UUID/PMK/Timestamp 기반단말기자체 OTP 발생 8 계정 ID+OTP Input 2 ID/PW/UUID 승인요청 4 단말 ID/PMK 발행 10 UUID/PMK 검증 3 ID/PW 승인 9 계정 ID+OTP 인증요청 11 계정 ID+OTP 인증승인 로그인시도 12 로그인 업무 *UUID(Universally Unique Identifier) *PMK(Pairwise Master Key) 13 로그아웃
4-4. 추가인증 OTP 솔루션 - 도입후인증절차 V-FRONT 도입후 기존의로그인화면 (1) 새로 OTP 값입력란추가 (2) 아이디 / 패스워드입력후 OTP 발행클릭 (3) 발행된 OTP 값을확인 ( 문자또는앱 ) (4) OTP 값입력 (5) OTP 인증후서비스활성화, 이용할서비스를클릭
4-5. 추가인증 OTP 솔루션 - 기대효과 포털, SSO, 웹서비스, VPN, VDI, 네트워크, 보안장비추가인증보안계정공유금지!! As-Is (ID 인증 ) To-Be ( 본인인증 + OTP 추가인증강화 ) A 씨 모두접속 ID : AAA 가능 접속가능 A 씨 OTP 41499376 A 씨친구 B 씨 동일 ID ID : AAA 사용 A 씨친구 B 씨 OTP A 씨친구 C 씨 접속불가 A 씨친구 C 씨 ID : AAA OTP 강력한아이디공유 / 도용방지 > 개인스마트단말로본인인증
4-6. V-FRONT 특장점 추가인증솔루션 유무선인증전문 600 여고객 짧은구축기간무장애 - 3 대통신사및국내외 600 여이상고객 - 계정솔루션과많은연동경험 - 많은고객의다양한이슈솔루션에구현 - API 제공및설정만으로짧은기간에포털, SSO, VPN, VDI, 네트워크장비에적용 - 장비일체형제공및설치되는프로그램이없어구축이후무장애 ( 장애최소화 ) 운영 인증프로토콜정확히구현 다중네트워크지원 - RADIUS, Oauth 정확히구현 - 단순인증처리외, 보안규정에있는권한관리구현 - 승인된사용자, 지정된장소, 지정된장비에접속허용 DMZ 구간에인증대행서버 (OTP Provisioning Server) 를두어다양한네트워크구간에서인증처리
4-7. 인증사업실적 ( 공공부문 )
4-7. 인증사업실적 ( 기업 / 금융부문 )
4-7. 인증사업실적 ( 병원 / 학내망부문 ) 병원 대학
5. 비밀번호관리솔루션 SGN PM (Password Management). hc ho
5-1. 비밀번호관리솔루션 - 개요및특장점 SecureGuard PM 은최대규모의데이터센터에적용된전문패스워드관리솔루션입니다. 자체개발한 Rule 엔진을통해서다양한플랫폼 / 장비에대한신속한패스워드관리를지원합니다. 패스워드일괄변경, 일회용패스워드발급으로안전한패스워드관리환경을제공합니다. 패스워드자동관리 자체개발 AI-Rule 엔진으로신속하고편리한확장성주기적변경, 수동변경, 요청시변경기능제공국산네트워크, 보안장비완벽지원 Agent-less 대상시스템에에이전트설치불필요전용어플라이언스형태장비제공시스템관리편의성제공 SecureGuard PM 외부인원에대한일회용패스워드제공기능 패스워드변경 / 발급에대한이력저장및보고서생성 워크플로우 / 리포팅 2 팩트인증 (OTP) 을통한관리자인증접속 계정패스워드암호화저장 ( 국정원인증암호화모듈 ) 보안강화
5-2. 비밀번호관리 - 솔루션구성도 비밀번호관리솔루션은이전에수작업으로관리되어진공용계정및주요계정에대하여안전하고자동화된패스워드관리기능을제공합니다. AS-IS TO-BE 관리자 사용자 비밀번호변경 1 변경 2 Unix / Linux Windows Network Security 자동변경 자동변경 비밀번호변경 비밀번호승인결재 1 관리자 사용자 수동변경 Unix / Linux Windows Network Security 자동변경 개발자 변경 100 개발자 외주 / 유지보수 Unix / Linux Windows Network Security 외주 / 유지보수
5-3. 비밀번호관리프로세스 One Time Password SecureGuard PM 은워크플로우를통해서패스워드의임시적사용을허가합니다. 패스워드사용을허가받은사용자는정해진시간에대상시스템접속이가능합니다. 사용기간이만료된계정의패스워드는자동으로변경되어시스템접근이제한됩니다. SecureGuard PM 사용자 7 사용기간경과후패스워드자동회수 4 승인이후드자동변경 패스워 책임자 대상시스템 2 차인증접근제어연동 서버네트워크보안장비데이터베이스 VM ESX
5-4. 비밀번호관리 접근제어솔루션연동효과 작업자 1 작업신청 3 승인번호발급 접근제어시스템 2 작업결재 승인번호동기화 SecureGuard 패스워드관리시스템 작업승인자 Security 작업자에게작업시간동안관리자권한제공. 승인되지않은작업시간및시스템은임시번호사용불가. 신청자별다른임시번호발급으로 작업자 작업자 4 승인번호로원격서버접속 승인내역확인 SecureGuard 접근제어관리시스템 Login Network Server 패스워드유출및공유방지. 대상시스템의패스워드를매번변경하지않음. 자동패스워드회수와동일한효과 4-A 대상시스템접속 - oracle 계정 4-B su root 입력후승인번호요구 4-C 결재승인번호입력 4-d 승인완료후패스워드자동입력 4-d root 계정접속성공 특허제 10-1259472 호
5-5. 비밀번호관리 스크립트내패스워드변경 스크립트 / 환경파일에저장되어있는패스워드를손쉽게변경할수있게 API(C/C++, JAVA) 를제공합니다. 하드코딩패스워드시스템 정보시스템 암호화된패스워드파일 주기적패스워드동기화... USERNAME=root PASSRORD=$SGPassword PASSWORD=123456 HOST=192.168.0.31 변경된패스워드전달 SecureGuard 패스워드관리시스템 1. 패스워드변경 WINDOWS UNIX, Linux 스크립트 / 환경파일 패스워드요청 API 호출 변경된패스워드로시스템접속 보안시스템 네트워크장비 Login * 스크립트내패스워드연동구현시, 패스워드솔루션의장애로인한안정성확보방안필요 각로컬시스템암호화파일 C/C++ 사용예 JAVA 사용예 void GetSGPassword(API_CLIENT *ac) { if (SetPasswordApi(ac) < 0) printf( error...\n ); public void doget(apiclient ac) { try { ApiClientPwd = new ApiClientPwd(ac); String retp = ApiClientPwd.SetPassword(); System.out.println(...); } printf( The Password is %s\n, ac->newp); } } catch (Exceptione) {... }
5-6. 비밀번호관리솔루션 도입효과 SecureGuard PM 은전문적인패스워드관리 (Password Management) 솔루션으로, 모든계정에대한안전한패스워드변경을위한자동화된기능을지원합니다. 계정의패스워드를안전하게관리하기어려움 문서로출력하여금고에보관 패스워드수정시문서의변경작업어려움 파일로패스워드관리할경우전체패스워드유출위험 시스템접속어플리케이션에서패스워드저장하여사용할경우보안에취약 외주직원에게패스워드발급후회수가불가능 계정패스워드발급후회수때마다패스워드수동변경및패스워드대장의변경이필요 패스워드회수후미변경시보안에취약 공용계정의패스워드공유에대한패스워드유출위험 수많은계정의패스워드를주기적으로변경하는데많은노력과시간이소요됨 모든계정의패스워드를암호화하여안전하게보관 국정원인증암호화모듈로안전하게암호화 원타임패스워드사용으로패스워드보관및기억불필요 내부규정상패스워드보관필요시출력하여보관 시스템접속어플리케이션의패스워드저장기능원천봉쇄 접근제어솔루션과연동시사용자인증후패스워드자동입력기능으로주요계정패스워드유출방지 외주직원의요청시패스워드발급후자동회수 접근기간혹은패스워드사용기간만료시해당사용자의권한을회수하여계정패스워드자동변경 공용계정의패스워드공유이슈차단 계정의패스워드요청자, 확인자를실시간확인 정기적으로계정패스워드변경작업의소요시간감소 시스템별패스워드변경규칙에의거변경작업자동수행
5-7. 비밀번호관리솔루션 납품실적
감사합니다. 담당 : 김정호수석 010-8388-5477 jhkim436@secusys.co.kr 서울영등포구국제금융로 6 길 33, 맨하탄빌딩 928 호 www.secusys.co.kr * 추가인증 OTP 솔루션 V-FRONT 총판사 * 비밀번호관리솔루션 SGN PM 협력사 * 자산관리솔루션넷헬퍼협력사 * 안티바이러스바이러스체이서협력사