ABOUT OUR COMPANY COMPANY PROFILE 타이거팀은 2012 년 1 월에설립된회사로, 지난 6 년간 250 여건이상의어플리케이션보안진단및모의해킹프로젝트를수행한보안전문기업 OUR MOTTO 새로출시될소프트웨어의에러나보안상의허점, 또는컴퓨터네트웍의보안이

Similar documents

암호내지


슬라이드 1

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

OUR INSIGHT. YOUR FUTURE. Disclaimer Presentation ( ),. Presentation,..,,,,, (E).,,., Presentation,., Representative.( ). ( ).

untitled

<4D F736F F F696E74202D20C8B8BBE7BCD2B0B3BCAD2D28C1D629C0A7C5B0BDC3C5A5B8AEC6BC2D E >

PowerPoint 프레젠테이션

2015 년 SW 개발보안교육과정안내

[Brochure] KOR_TunA

최종_백서 표지

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

PowerPoint 프레젠테이션

Contents I. 취약점점검소개 II. III. IV. 점검프로세스분석 취약점점검방법 기타

Windows Live Hotmail Custom Domains Korea

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

SBR-100S User Manual

TTA Journal No.157_서체변경.indd

2017 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및개 발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안기본과정 o 교육대상 :

슬라이드 1

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

AhnLab_template

PowerPoint 프레젠테이션

Proposal Template GS

경제관련 주요 법률 제,개정의 쟁점 분석.doc

Windows 8에서 BioStar 1 설치하기

Microsoft Word INTERNET-GAME-JP.docx

Cloud Friendly System Architecture

PowerPoint 프레젠테이션

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3


슬라이드 1

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

- 2 -

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

NFC 서비스 활성화 추진계획 기존 모바일 결제시장 Ecosystem 향후 모바일 결제시장 Ecosystem App Store App사업자의 중요성 증대 통신사 APP. 사업자 금융기관 (카드) APP. 사업자 VAN 휴대폰 제조사 정부 및 규제기관 OS Provide

클라우드컴퓨팅확산에따른국내경제시사점 클라우드컴퓨팅확산에따른국내경제시사점 * 1) IT,,,, Salesforce.com SaaS (, ), PaaS ( ), IaaS (, IT ), IT, SW ICT, ICT IT ICT,, ICT, *, (TEL)

Microsoft Word - src.doc

KIDI_W_BRIEF(제1호)_본문.hwp

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1 전통 소프트웨어 가. ERP 시장 ERP 업계, 클라우드 기반 서비스로 새로운 활력 모색 - SAP-LGCNS : SAP HANA 클라우드(SAP HEC)를 통해 국내 사례 확보 및 아태 지역 진 출 추진 - 영림원 : 아시아 클라우드 ERP 시장 공략 추진 - 더

서현수

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

2

2018 년 SW 개발보안교육과정안내 행정안전부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다 년 SW 개발보안일반과정 교육대상 : 전

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시

5th-KOR-SANGFOR NGAF(CC)

웹서버보안취약점대응및조치 교육사이버안전센터

문서의 제목 나눔고딕B, 54pt

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

년 12월 16일~12월 29일 제100호 종합Ⅱ 소비자 권익 보호 앞장 묵묵히 7년 걸어온 소비자경제 국내 기업 발전 이바지 미디어 업계 위기 타계할 묘안 준비중 100호 국가경제 발전과 소비자 권익 보 호에 힘써온 소비자경제신문이 12 월 16일을 기점

Microsoft PowerPoint - 6.pptx

#WI DNS DDoS 공격악성코드분석

2018_11_06 Nubo 소개자료

FACTOR ANALYSIS : / /... -, APPENDIX Factor,... - Factor Analysis

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

e-tech 발행인 칼럼 세기말 Y2K... 21세기를 앞두고 막연한 두려움과 흥분에 떨었던 게 엊그제 같은데 벌써 10년이 훌쩍 지났습니다. 지금 생각해보면 그때왜우리가 그렇게 21세기를 두려워했을까 싶습니다. 아마도 21세기는 어렸을 때부터

마켓온_제품소개서_ key

<4D F736F F D204D61726B F20C7C9C5D7C5A92C20C0CCB9CC20BBFDC8B020BCD320C0CFBBF3C0D4B4CFB4D95F >

갤럭시윈 SHV-E500S 안드로이드 4.2 신형태그중하 갤럭시노트 3 SM-N900S 안드로이드 4.3 신형태그상 갤럭시 S4 액티브 SHV-E470S 안드로이드 4.2 신형태그중 갤럭시코어어드밴스 SHW-M570S 안드로이드 중 갤럭시그랜드 2 SM-G7

슬라이드 1

K-IFRS,. 2013, , 2, 3,.,.. 2

1 전통 소프트웨어 가. 국내 데이터베이스 서비스 시장, 매출 규모에 따른 양극화 현상 심화 국내 데이터베이스 시장은 지속적으로 성장세를 보이고 있으나 비중이 가장 높은 데이터베이스 서 비스 시장에서 매출 규모에 따른 빈익빈 부익부 현상이 심화되는 추세 - 국내 DB사

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

월간 SW 산업동향 ( ~ ) Ⅰ. Summary 1 Ⅱ SW 5 2. SW 7 Ⅲ Ⅳ. SW SW Ⅴ : Big Data, 38

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

OUTLINE 행사개요 행사명 Inside Bitcoins Conference & Expo 2015 장소 KINTEX 제 2전시장 3층 (회의실 301~304호) 행사시기 2015년 12월 9일(수) - 11일(금)ㅣ9일은

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

2010가입신청서 낱장100501

PowerPoint 프레젠테이션

Smart Home Hacking in Real World

PowerPoint 프레젠테이션

untitled

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

레이아웃 1

2007 상반기 실적회의 - DRM Extension

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

[그림 2] 페이팔의 사업구조 자료: 산업은행, 한국투자증권 페이팔(Paypal) 그리고 알리페이(Alipay) 국내 결제 시장의 향후 변화, 해외 사례로 쉽게 유추 가능 국내 결제 시장에서 어떤 변화가 시도되고 있는지는 해외의 사례를 살펴보면, 비교적 쉽게 알 수 있

PowerPoint 프레젠테이션

<C0B1B8AEC0A7BFF8C8B D322E687770>


PowerPoint 프레젠테이션

the it service leader SICC 생각의 틀을 넘어 ICT 기술의 힘 으로 생각의 틀을 넘어 IT서비스 영역을 개척한 쌍용정보통신. ICT 기술력을 바탕으로 최적의 솔루션을 제공하며 세계로 뻗어나가는 IT Korea Leader 로 도약할 것입니다. Co

실사구시학파의 실증적 학풍이 일어나므로 서구적인 과학사상의 유입을 본 것 등이 인식 의 대상이 될 것이다. 그러나 이조 봉건사회 최종의 절대적 왕권주의자 대원군에 의하여 그 싹은 잘리고 말았다. 따라서 다단한 전기가 될 근대적 개방에 의하여 재건하려던 서구적 교육 즉

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

<5B4B D5FB1B9B3BB20C5ACB6F3BFECB5E520BCADBAF1BDBA20BAB8BEC820C3EBBEE0C1A120C1A1B0CB2020B3BBBFEB2E687770>

*2008년1월호진짜

- 1 -

2009방송통신산업동향.hwp

[2016년조사대상 (19곳)] 대림산업, 대한항공, 동부화재해상, ( 주 ) 두산, 롯데쇼핑, 부영주택, 삼성전자, CJ제일제당, 아시아나항공, LS니꼬동제련, LG이노텍, OCI, 이마트, GS칼텍스, KT, 포스코, 한화생명보험, 현대자동차, SK이노베이션 [ 표

PowerPoint 프레젠테이션

Transcription:

START Into The Tiger Team 2018/01 WEB Application Security Mobile Security VoIP Security Physical Security

ABOUT OUR COMPANY COMPANY PROFILE 타이거팀은 2012 년 1 월에설립된회사로, 지난 6 년간 250 여건이상의어플리케이션보안진단및모의해킹프로젝트를수행한보안전문기업 OUR MOTTO 새로출시될소프트웨어의에러나보안상의허점, 또는컴퓨터네트웍의보안이왜깨어지고있는지등의이유를찾아내기위한전문가그룹 OUR VISION 뜨거운열정과끊임없는연구를통해고객에게최고의가치를제공하는 Global 한보안전문회사

ABOUT OUR COMPANY 2012 년 01 월창립이후로, 2017 년까지 250 여건의보안컨설팅프로젝트를수행한대한민국최고의보안전문회사입니다. 회사명 타이거팀대표자황석훈 사업분야 주소 홈페이지 정보보안컨설팅및보안솔루션개발, 기술연구용역 ( 모의해킹및취약점진단 ) 서울시강남구테헤란로 87 길 36, 2422 ( 삼성동, 도심공항타워 ) Tel : 070-8113-0013, FAX : 070-8113-0090 http://www.tigerteam.kr 설립년도 2012 년 1 월 해당부분 종사기간 6 년개월 임직원수 10 명 비고 2017 년까지 250 여건의보안컨설팅 ( 모의해킹 ) 프로젝트수행 웹서비스, 모바일앱서비스, IoT 디바이스진단등다양한모의해킹수행

Timeline 2012 년 01 월창립이후로, 다양한회사들과 MOU 를체결 / 다양한고객과신뢰관계를형성하여최고가되기위해한발한발다가가고있습니다. FY 2012 FY 2013 ~ 14 FY 2015 FY 2016 FY 2017 법인설립 (1 월 ) 누적매출 10 억달성 비바리퍼블리카 MOU 머니투데이 2016 대한 업계최초위협모델 안랩협력업체등록 (13 년 7 월 ) (4 월 ) 민국산업대상서비스 링기반의서비스취 (5 월 ) 벤처기업인증 (13 년 8 엔시큐어 MOU (10 월 ) 혁신대상보안컨설팅 약점진단실시 (9 월 ) 엔시큐어기술 MOU (12 월 ) 부문 (3 월 ) 월 ) KOSCOM MOU (13 년 11 영남이공대학교가족 월 ) 회사협약체결 (7 월 ) 기술부설연구소설립 KEB 하나은행 IT 통합프 (13 년 12 월 ) 로젝트수행감사장수 K-Shield 1 차교육기관 료 (8 월 ) 선정 (14 년 4 월 )

CREW 타이거팀은컨설팅본부와경영지원본부로구성되어있으며, 컨설팅본부에는특급인력에서부터초급인력까지고루분포된회사입니다. 또한, 지속적으로우수한인재를확보하기위해노력하고있습니다. 조직도 대표이사 고문회계사 컨설팅본부 경영지원본부 등급별인력현황 등급특급고급중급초급전체 인원수 1 1 3 5 10

SERVICES 타이거팀의대표서비스인어플리케이션취약점점검은고객사에서운영하고있는모든어플리케이션 ( 서비스 ) 이대상이며, 취약점이존재하는지를검증하고이를개선함으로써안정적운영을돕는데목적을두고있습니다. 0x00. 어플리케이션보안점검 업무형태위협모델링기반점검체크리스트기반점검시나리오기반점검 업무 (DFD, 아키텍처, 업무프로세 진단체크리스트를기반으로취 업무설명은없지만, 컨설턴트가 설명 스등 ) 를기반으로위협을분석하 약점존재유무만을테스트하는 시나리오를자체적으로수립하여 고해당위협을검증하는방식 방식 진행하는방식 장점 업무베이스로취약점점검가능 거의모든업무에대해서누락없이검증가능 만족도가매우높음 기능적테스트로업무및복잡한내용에대한이해불필요 진단속도가빠름 비용이저렴 많은수의대상을점검할때주로사용함 업무적이해를동반함 일반적인경우체크리스트기반진단을포함함 사례 ToSS / 윈큐브마케팅등 다수수행 다수수행 대상 중요또는대표서비스 웹 / 모바일 /IoT 등모두해당 중요도낮은회사서비스 웹 / 모바일 /IoT 등모두해당 중요또는대표서비스 웹 / 모바일 /IoT 등모두해당

SERVICES 모의해킹서비스는실제해커와같이해킹을실시하여내부 / 외부에서중요자산에대한접근또는우회등의가능성을검증하고이를개선하도록돕는것을목표로하고있습니다. 0x01. 모의해킹 업무형태블랙박스기반모의해킹시나리오기반모의해킹 설명 장점 고객사에대한어떤정보도제공하지않고진행하는모의해킹으로실제해커와완전히동일한조건에서진행하는방식 실제해커와동일한방법으로진행하므로실제적인보안수준및대응팀의능력등을정확하게측정가능함 예상하지못한취약점들이도출될가능성이있음 고객사에서검증받고싶은시나리오를선정하거나당사에서제안하여해당시나리오가발생가능한지를검증하는방식 내부의프로세스또는새로이구축된솔루션등에대한검증이가능 사례 다수수행 다수수행 대상 실제해커로부터안전한지검증을원하는고객사 새로운솔루션, 프로세스등

SERVICES 보안교육서비스는내부임직원및개발자등에대해서보안의필요성을설명하고안전한개발문화정착을돕는것을목표로하고있습니다. 0x02. 보안교육 업무형태보안인식제고교육보안기술적용방안교육 보안의필요성, 보안팀의존재이유, 보안솔루션의 필요성등에대한교육 개발자및운영팀등이보안적용을보다효과적또는 안정적으로하기위한기술교육 설명 [ 주제예시 ] 보안이왜필요한가? 우리회사에꼭보안을해야하는이유는? [ 주제예시 ] 시큐어코딩의이해및적용방법 안전한웹 / 모바일앱개발방법 대상 사내임직원 개발담당자또는기획자등

Research 모바일, NFC, Bluetooth, 리버싱, WEB 등다양한기술과환경에대해끊임없이연구를진행하고있습니다. Mobile Communication / Network iphone Windows Android NFC Bluetooth Reverse Engineering WEB Reversing Fuzzing HTML CSS JAVASCRIPT

Client ( 개요 ) 공공 / 민간 ( 금융, IT, 제조 ) 등다양한기관및기업에모의해킹, 정보보호컨설팅등다양한정보보호서비스를제공하고있습니다. 200+ Referrence 직접 계약 도급 계약

Client (2017 년 -1) 2017 년은 26 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 삼성전자모의해킹및보안진단건 2017.01 ~ 2017.12 삼성전자제조 2 KTDS 계열사심화모의해킹 2017.01 ~ 2017.04 KTDS IT 3 슈프리마지문인증단말모의해킹 2017.01 ~ 2017.02 슈프리마 IT 4 세메스 2017 년모의해킹 2017.01 ~ 2017.02 세메스제조 5 GS 리테일 GS 넷비전모의해킹 2017.01 GS 리테일 IT 6 GS 리테일점포경영앱모의해킹 2017.01 ~ 2017.02 GS 리테일 IT 7 한국문화진흥컬쳐랜드년간모의해킹 2017.02 한국문화진흥 IT 8 대명홀딩스대명그룹모의해킹 2017.01 ~ 2017.12 대명홀딩스 IT 9 위닝아이솔루션모의해킹 2017.03 위닝아이 IT 10 밸런스히어로서비스취약점점검 2017.03 밸런스히어로 IT 11 NHN 엔터테인먼트페이코모의해킹 2017.04 ~ 2017.05 NHN 엔터테인먼트 IT 12 제주항공주요서비스정기취약점진단 2017.05 제주항공물류 13 사이버로지텍웹사이트모의해킹 2017.05 사이버로지텍 IT 14 알지피코리아주요서비스취약점진단 2017.06 알지피코리아 IT 15 LG 생활건강모의해킹프로젝트 2017.06 ~ 2017.07 LG 생활건강제조 16 새마을금고앱모의해킹프로젝트 2017.07 새마을금고금융 17 신한금융그룹취약점진단 2017.07 ~ 2017.09 신한금융그룹금융 18 한국증권금융모의해킹 2017.08 한국증권금융금융

Client (2017 년 -2) 2017 년은 26 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 펄어비스게임취약점진단 2017.08 ~ 2107.10 펄어비스 IT 20 원익홀딩스대표웹서비스모의해킹 2017.08 원익홀딩스제조 21 GS 리테일편의점찾기팝업모의해킹 2017.09 GS 리테일 IT 22 대림산업 ISO27001 사후심사컨설팅 2017.09 ~ 2017.10 대림산업건설 23 기프팅서비스보안컨설팅도급계약 2017.10 ~ 2017.11 윈큐브마케팅 IT 24 NHN 엔터테인먼트페이코서비스모의해킹 2017.10 ~ 2017.11 NHN 엔터테인먼트 IT 25 KEB 하나은행모바일앱점검서비스 2017.10 ~ 2017.11 KEB 하나은행금융 26 GSITM 결제모듈 API 보안성검토 2017.12 GS 리테일 IT

Client (2016 년 -1) 2016 년은 42 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 삼성전자모의해킹및보안진단건 2016.01 ~ 2016.12 삼성전자제조 2 NHN 엔터테인먼트 PAYCO 모바일앱보안컨설팅 2016.02 ~ 2016.03 NHN 엔터테인먼트금융 3 세메스 2016 년 IT 보안수준진단건 2016.01 ~ 2016.12 세메스제조 4 하나은행모의해킹 2016.01 ~ 2016.06 하나은행금융 5 테라핀테크 IT 보안점검컨설팅용역계약 2016.02 ~ 2016.03 테라핀테크 IT 6 KG 이니시스웹사이트모의해킹 2016.03 KG 이니시스금융 7 비바리퍼블리카 TOSS 앱모의해킹 2016.03 비바리퍼블리카금융 8 SKT 진단스크립트개발프로젝트 2016.01 ~ 2016.03 SKT IT 9 KCB 모의해킹프로젝트 2016.04 ~ 2016.12 코리아크레딧뷰로금융 10 대명라이프웨이모의해킹 2016.03 ~ 2016.04 대명라이프웨이기업 11 로엔엔터테인먼트모의해킹 2016.03 ~ 2016.12 로엔엔터테인먼트 IT 12 CME Soft 웹사이트모의해킹 2016.04 CME Soft IT 13 Yes24 웹사이트취약점점검 2016.05 ~ 2016.07 Yes24 IT 14 신한금융그룹공통 ICT 취약점점검 2016.05 ~ 2016.08 신한금융그룹금융 15 센스톤모의해킹 2016.07 센스톤 IT 16 비바리퍼블리카금융위취약점점검 2016.06 비바리퍼블리카금융 17 KCP 웹사이트모의해킹 2016.08 KCP 금융 18 NH 농협캐피탈모의해킹 2016.07 농협캐피탈금융

Client (2016 년 -2) 2016 년은총 42 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 대명홀딩스리뉴얼웹사이트취약점점검 2016.07 대명홀딩스기업 20 GS 리테일나만의냉장고 APP 모의해킹 2016.08 GS 리테일기업 21 GS 리테일 POP 카드모의해킹 2016.07 GS 리테일기업 22 코리아엑스퍼트인증모듈모의해킹 2016.07 ~ 2016.08 코리아엑스퍼트 IT 23 성모병원 ISMS 인증취약점진단 2016.07 ~ 2016.09 성모병원의료 24 한국문화진흥컬쳐랜드년간모의해킹 2016.07 한국문화진흥 IT 25 NH 농협생명모의해킹 2016.08 NH 농협생명금융 26 ACE 생명보험모의해킹 2016.08 ACE 생명보험금융 27 NH 농협캐피탈모의해킹 2016.09 NH 농협캐피탈금융 28 대명홀딩스 2016 년하반기모의해킹 2016.09 ~ 2016.11 대명홀딩스기업 29 SK 인포섹 IOT 모의해킹 2016.08 ~ 2016.09 SK 인포섹기업 30 PAYCO 모의해킹 2016.08 ~ 2016.09 PAYCO IT 31 대한간호사협회웹사이트취약점진단 2016.09 대한간호사협회의료 32 라이나생명웹 / 앱모의해킹 2016.10 ~ 2016.12 라이나생명금융 33 대법원취약점진단및모의해킹 2016.10 ~ 2016.11 대법원공공 34 KB 자산운용취약점진단 2016.08 ~ 2016.10 KB 자산운용금융 35 로엔엔터테인먼트웹사이트모의해킹 2016.10 로엔엔터테인먼트 IT 36 비바리퍼블리카금융위취약점진단 2016.10 ~ 2016.11 비바리퍼블리카금융

Client (2016 년 -3) 2016 년은총 42 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 37 KCP 2016 년하반기금융위취약점진단 2016.10 ~ 2016.11 KCP 금융 38 CMEsoft 웹모의해킹 2016.11 ~ 2016.12 CMEsoft 기업 39 KTDS 계열사심화모의해킹 2016.11 ~ 2017.02 KTDS 기업 40 비바리퍼블리카 FDS 취약점진단 2016.11 비바리퍼블리카금융 41 사이버안전센타취약점진단 2016.05 ~ 2016.12 사이버안전센타공공 42 KISA ICT 융합산업분야신규취약점심층분석공유 2016.08 ~ 2016.12 한국인터넷진흥원공공

Client (2015 년 -1) 2015 년은 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 모빌리언스모의해킹진단 2014.12 ~ 2015.01 모빌리언스 IT 2 로엔모의해킹 ( 웹 / 모바일 ) 진단 2015.01 ~ 2015.02 로엔 IT 3 삼성카드모의해킹인력지원건 2015.01 ~ 2015.02 삼성카드금융 4 링투페이지진단건 ( 라온시큐어 ) 2015.01 ~ 2015.02 라온시큐어금융 5 RedBend_ 안드로이드모바일앱진단 2015.03 Redbend IT 6 모바일솔루션기능평가 ( 엔시큐어 ) 2015.03 ~ 2015.04 엔시큐어 IT 7 한국지역정보개발원공공아이핀모의해킹 2015.03 한국지역정보개발원공공 8 한국지역정보개발원공공아이핀모의해킹 2015.03 ~ 2015.04 한국지역정보개발원공공 9 농협은행계정관리고도화취약점진단 2015.03 농협금융 10 로엔모의해킹 ( 웹 / 모바일 ) 진단 2015.06 ~ 2015.07 로엔 IT 11 녹십자홀딩스모의해킹용역계약 1 차 2015.03 ~ 2015.04 녹십자제약 12 코리아크레딧뷰로 2015 연간모의해킹 2015.04 코리아크레딧뷰로금융 13 한국문화진흥전문가서비스 2015.03 ~ 2015.04 한국문화진흥 IT 14 롯데닷컴웹사이트취약점점검 (MK 트렌드 ) 2015.03 롯데닷컴 IT 15 GS 아이수퍼웹 / 모바일모의해킹 2015.04 GSITM IT 16 롯데앱카드보안기술진단 2015.03 ~ 2015.04 롯데카드 IT 17 알리안츠생명 Life@Digital 취약점분석 / 평가 2015.04 ~ 알리안츠생명금융 18 연합뉴스 Open API 구축강화사업보안성테스트 2015.04 연합뉴스언론

Client (2015 년 -2) 2015 년은총 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 녹십자홀딩스모의해킹용역계약 2 차 2015.04 녹십자제약 20 신한금융그룹공통 ICT 인프라진단 2015.05 ~ 2015.06 신한금융지주금융 21 하나 SK 카드 10 개서비스모의해킹 2015.05 ~ 2015.06 하나 SK 카드금융 22 하나금융그룹보안취약점분석평가프로젝트 2015.05 하나금융지주금융 23 녹십자웹사이트전수점검컨설팅 2015.05 ~ 2015.07 녹십자제약 24 비바리퍼블리카금융위취약점점검 ( 홈페이지 ) 2015.06 비바리퍼블리카 IT 25 SK 인포섹피에스앤마케팅모의해킹 2015.05 ~ 2015.06 SK 인포섹 26 SK 인포섹 SK D&D 모의해킹 2015.05 SK 인포섹 27 KT ( 안랩 ) 2015.08 ~ 2015.10 KT 28 SK 인포섹한국기업데이터모의해킹 2015.05 ~ 2015.06 SK 인포섹금융 29 비씨카드 TSP 서비스모의해킹점검계약 2015.06 비씨카드금융 30 알리안츠생명 CSSP 개발보안컨설팅 2015.06 알리안츠생명금융 31 SEMES 모의해킹 2015.07 SEMES 제조 32 대명엔터프라이즈신규웹사이트모의해킹 2015.06 ~ 2015.07 대명그룹기업 33 대명그룹차세대시스템구축보안성테스트 2015.07 대명그룹기업 34 더블유쇼핑웹사이트모의해킹 2015.06 더블유쇼핑 IT 35 호텔신라모의해킹용역계약 2015.06 ~ 2015.07 호텔신라기업 36 옥션모의해킹 2015.08 이베이 IT

Client (2015 년 -3) 2015 년은총 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 37 NAVER PAY 모의해킹 2015.08 ~ 2015.09 엔에이치엔 IT 38 현대카드, 캐피탈, 커머셜블라인드테스트 2015.09 ~ 2015.10 현대카드금융 39 GS 리테일통합배송보안시스템모의해킹 2015.08 ~ 2015.08 GS 리테일 IT 40 SK C&C 프로젝트보안점검모의해킹 2015.08 ~ 2015.12 SK C&C IT 41 KB 자산운용 2015.10 ~ 2015.10 KB 자산운용금융 42 비씨카드모의해킹 (SK C&C) 2015.10 ~ 2015.11 비씨카드금융 43 한국특허정보원웹취약점점검 2015.10 ~ 2015.10 한국특허정보원기업 44 한국통신사업자연합회웹취약점점검 2015.10 ~ 2015.10 한국통신사업자연합회기업 45 대법원 2015.10 ~ 2015.11 대법원공공 46 JB 금융지주공동침투 2015.05 ~ 2015.06 JB 금융지주금융 47 한국문화진흥연간보안컨설팅 2015.10 ~ 2016.09 한국문화진흥원금융 48 서울메트로정보유출컨설팅 2015.11 ~ 2015.11 서울메트로공공 49 신한금융그룹 2015.11 ~ 2015.11 신한금융그룹금융 50 비바리퍼블리카금융위취약점점검 2015.11 ~ 2015.11 비바리퍼블리카금융 51 한국통신사업자연합회인프라진단 2015.11 ~ 2015.11 한국통신사업자연합회공공 52 농협은행제 3 자진단 2015.11 ~ 2015.11 농협은행금융 53 하나금융지주웹, 앱모의해킹 2015.11 ~ 2015.12 하나금융지주금융 54 신세계아이앤씨모바일진단 2015.12 ~ 2015.12 신세계INC 기업

Client (2015 년 -4) 2015 년은총 57 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 55 한국사이버결제 2015.11 ~ 2015.12 한국사이버결제금융 56 KG 이니시스취약점진단 2015.12 ~ 2015.12 KG 이니시스금융 57 KISA 모의해킹전문과정파견교육 2015.03 ~ 2015.03 KISA 공공

Client (2014 년 -1) 2014 년은 49 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 삼성카드비정기보안점검 2014.01 삼성카드웹금융 2 연합뉴스침해사고사고분석 2014.01 연합뉴스침해사고분석언론 3 한국문화진흥대표홈페이지모의해킹진단 2014.01 한국문화진흥웹 IT 4 미래에셋모바일앱보안진단 2014.02 미래에셋모바일금융 5 부국증권금융위취약점진단컨설팅 2014.02 부국증권모바일금융 6 SBI 저축은행보안취약점분석평가컨설팅 2014.02 ~ 2014.03 SBI 저축은행웹 / 인프라금융 7 코레일홈페이지리뉴얼보안성검토 2014.02 코레일웹공공 8 티켓몬스터웹모의해킹 2014.02 ~ 2014.04 티켓몬스터웹 / 모바일 IT 9 대명홀딩스리뉴얼홈페이지 ( 승마, 리조트 ) 2014.03 대명홀딩스웹 IT 10 삼성카드보안점검 ( 추가사업 ) 2014.03 ~ 2014.06 삼성카드웹금융 11 코레일홈페이지리뉴얼보안성 2 차검토 2014.03 코레일웹공공 12 롯데닷컴스마트픽보안테스트 2014.03 롯데닷컴웹 IT 13 라온시큐어 Veraport 솔루션보안검증 2014.03 ~ 2014.04 라온시큐어웹 (ActiveX) IT 14 엠앤서비스웹서비스모의해킹 2014.03 ~ 2014.04 엠앤서비스웹 IT 15 요기요서비스웹취약점검및 DDoS 대응 2014.04 요기요모바일 IT 16 신한카드웹모의해킹및모바일진단 2014.05 ~ 2014.07 신한카드웹금융 17 지마켓웹모의해킹진단 2014.05 ~ 2014.06 지마켓웹 IT 18 에임메드웹모의해킹진단 2014.05 ~ 2014.06 에임메드웹 IT

Client (2014 년 -2) 2014 년은총 49 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 대명홀딩스리뉴얼홈페이지 ( 비발디외 1 개 ) 2014.05 대명홀딩스웹 IT 20 KISA 공공기관소스점검 ( 모의해킹 ) 2014.06 ~ 2014.08 KISA 웹공공 21 연합뉴스 OpenAPI 신규취약점점검 2014.06 연합뉴스웹언론 22 롯데닷컴신규오픈 VOC 서비스취약점점검 2014.06 롯데닷컴웹 IT 23 대법원모의해킹취약점진단건 2014.06 ~ 2014.07 대법원웹공공 24 삼성카드인터넷테마점검 2014.06 ~ 2014.07 삼성카드웹금융 25 동양증권모바일앱진단 (6 종 ) 2014.07 동양증권모바일금융 26 삼성카드전문가서비스하반기 2014.07 ~ 2014.12 삼성카드웹 / 모바일금융 27 SPC 네트웍스내부모의해킹취약점점검 2014.07 ~ 2014.08 SPC 웹제조 28 누스킨홈페이지모의해킹취약점점검 2014.07 ~ 2014.08 누스킨웹 IT 29 [ 장 ] SKT NW 부문보안진단 2014.07 ~ 2014.12 SKT 웹 / 하드웨어 IT 30 삼성물산정기취약점점검 2014.07 ~ 2014.08 삼성물산웹제조 31 LG 전자스마트 TV 진단 2014.07 ~ 2014.08 LG 전자하드웨어제조 32 대명그룹및분양, 소노펠리체모의해킹 2014.07 ~ 2014.08 대명홀딩스웹 IT 33 롯데닷컴 LECS3.0 템플릿모바일매장 2014.07 롯데닷컴모바일 IT 34 NICE 평가정보취약점진단 2014.07 ~ 2014.08 교과부웹 / 모바일 IT 35 롯데닷컴백화점 / 에비뉴엘 / 홍보보안성검토 (SK2 / 콜롬비아 / 백화점에비뉴엘 ) 2014.08 롯데닷컴웹 IT 36 엘롯데구축프로젝트보안성검토 2014.09 롯데닷컴웹 IT

Client (2014 년 -3) 2014 년은총 49 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명 기간 발주처 진단대상 구분 37 대법원모의해킹및소스진단 2014.09 ~ 2014.10 대법원 웹 공공 38 모바일웹및롯데면세점사이트보안성검토 2014.09 롯데닷컴 모바일 IT 39 IBK 모의해킹진단건 2014/09 ~ 2014/12 IBK 웹 / 모바일 /CS 금융 40 [ 전 ] 한국문화진흥전문가서비스 2014.09 ~ 2014.10 한국문화진흥 웹 공공 41 KISA 공공기관소스점검 ( 모의해킹 ) 2014/10 ~ 2014/12 KISA 웹 공공 42 현대캐피탈모의해킹인력지원 2014/10 ~ 2014/12 현대캐피탈 웹 / 모바일 /VOIP 금융 43 비바리퍼블리카금융앱모바일진단 2014.10 비바리퍼블리카 모바일 금융 44 신영증권모바일앱진단 2014.12 신영증권 모바일 금융 45 옥션하반기모의해킹진단 2014/11 ~ 2014/12 옥션 모바일 IT 46 한국도서보급웹서비스모의해킹 2014/10 ~ 2014/11 한국도서보급 웹 / 인프라 IT 47 삼성카드비정기보안점검 2014.12 삼성카드 웹 / 모바일 금융 48 은행연합회모의해킹지원 2014.12 은행연합회 웹 금융 49 모빌리언스모의해킹진단 2014.12 모빌리언스 웹 IT

Client (2013 년 -1) 2013 년에총 40 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 1 KBS 디지털뉴스룸주요시스템 2013.01 KBS 웹 / 인프라신문 / 방송 2 현대오토에버 TMS 모의해킹 2013.01 현대오토에버모바일제조 3 삼성카드모의해킹서비스업무위탁 2013.01 ~ 2013.02 삼성카드웹금융 4 SW 보안약점진단도구시범검증및검증코드개선 2013.02 ~ 2013.09 KISA SW 개발공공 5 삼성카드모의해킹진단 2013.03 삼성카드웹금융 6 LIG 손해보험취약성점검수행프로젝트 2013.03 ~ 2013.05 LIG 웹 / 인프라금융 7 삼성반도체모의해킹진단 2013.04 삼성전자반도체인프라 / 관제제조 8 삼성메디슨관리체계수립및취약점진단 2013.03 ~ 2013.04 삼성메디슨웹 / 인프라제조 9 대검찰청모의해킹 2013.03 대검찰청웹공공 10 대법원모바일앱보안점검 2013.04 대법원모바일공공 11 카카오톡모바일앱모의해킹진단 2013.05 카카오모바일 IT 기업 12 코스콤 MTS 진단 (LIG 투자증권 ) 2013.05 KOSCOM 모바일공공 13 공공 SW 취약점진단 _KISA 장기파견 2013.05 ~ 2013.12 KISA SW 개발공공 14 동부생명모의해킹진단 2013.05 ~ 2013.06 동부생명웹 / 인프라금융 15 한국전기안전공사 _ 개인정보보호수준진단 2013.05 ~ 2013.06 한국전기안전공사웹공공 16 대법원모의해킹진단 2013.06 대법원웹공공 17 삼성카드장기파견건 2013.07 ~ 2013.11 삼성카드웹금융 18 대명골프, 호텔예약시스템보안성검토 2013.06 대명레저산업웹 IT기업

Client (2013 년 -2) 2013 년에총 40 개의프로젝트를계약하였으며, 웹 / 모바일위주의프로젝트를수행하고있습니다. 고객사만족도가높아재투입이이루어지는고객사가다수있습니다. No 프로젝트명기간발주처진단대상구분 19 신한카드 Araxn 솔루션도입검증 2013.06 신한카드모바일금융 20 부산시청대외홈페이지취약점진단 2013.06 부산시청웹공공 21 동양증권모바일앱진단 2013.07 동양증권모바일금융 22 GS 홈쇼핑 _ 모의해킹 2013.07 GS 홈쇼핑웹기타 23 PB 모바일계좌개설 APP 진단 2013.07 KOSCOM 모바일공공 24 GS 네오텍인프라및모의해킹진단 2013.07 ~ 2013.09 GS 네오텍웹 / 인프라 IT 기업 25 김포공항공사정보보호컨설팅기술진단 2013.07 김포공항공사웹 / 인프라공공 26 SK Plannet 모바일앱보안점검 2013.07 ~ 2013.08 SK Planet 모바일 IT 기업 27 보건복지부 13 년정보보호체계강화사업 2013.08 ~ 2013.12 보건복지개발원웹 / 인프라공공 28 YES24 대외서비스모의해킹 2013.08 YES24 웹 IT 기업 29 신한은행주요정보통신기반시설취약점분석및평가 2013.08 ~ 2013.09 신한은행웹금융 30 유라코퍼레이션취약점진단 2013.09 ~ 2013.10 유라코퍼레이션웹 / 인프라 IT 기업 31 Inka 엔터웍스모바일게임앱진단 2013.09 인카엔트웍스모바일 IT 기업 32 신한카드모바일앱추가진단 _19 번항목 2013.09 신한카드모바일금융 33 한국무역보험공사 2013.10 한국무역보험공사웹 / 인프라 / 기타공공 34 KG 모빌리언스스밍싱방지앱진단 2013.09 ~ 2013.10 KG 모빌리언스모바일 IT 기업 35 대법원모의해킹진단 2013.10 ~ 2013.11 대법원웹공공 36 NH 증권모바일앱서비스진단 2013.10 ~ 2013.11 NH 증권모바일금융 37 대우건설대표홈페이지보안성검토 2013.10 대우건설웹기타 38 SW 보안약점진단도구 2 차검증코드개선용역 2013.11 ~ 2013.12 한국인터넷진흥원개발공공 39 경제인문사회연구회웹취약점점검 2013.12 경제인문사회연구회웹공공 40 롯데닷컴정기보안점검 2013.12 롯데닷컴웹 IT 기업

Client (2012 년 -1) 2012 년 5 월부터 2012 년 12 월까지 25 개의프로젝트를수행하였으며, 공공, 금융, 방송등다양한경험을확보하였습니다. No 프로젝트명기간발주처진단대상구분 1 KISA, SW 보안약점진단도구검증코드개발 2012.04 ~ 2012.09 KISA SW 개발공공 2 SM 엔터테인먼트웹사이트취약점진단 2012.05 SM 엔터테이먼트웹 / 인프라기타 3 imbc 취약점진단 2012.07 imbc 웹 / 인프라신문 / 방송 4 신한카드 _ 웹 & 모바일진단 2012.06 ~ 2012.07 신한카드웹 / 모바일금융 5 우체국, 모바일뱅킹 & 보험앱진단 2012.07 우정국모바일금융 6 LIG 손해보험모의해킹프로젝트 2012.08 LIG 웹금융 7 SC 금융지주 (SC 펀드, SC 저축은행 ) 정보보호컨설팅 2012.08 ~ 2012.09 SC 금융지주인프라금융 8 KB 국민카드 2012 년보안전문가서비스용역 2012.09 KB 카드웹금융 9 건강보험심사평가원대내외홈페이지취약점점검 2012.09 건강보험심사평가원웹공공 10 SKPlanet_ 모의해킹인력지원 2012.08 ~ 2012.09 SKPlanet 웹 IT 기업 11 삼성카드모의해킹서비스업무위탁 2012.10 삼성카드웹금융 12 현대오토에버인력파견 2012.10 ~ 2012.11 현대오토에버모바일제조 13 이베이보안점검컨설팅용역 2012.11 ~ 2012.12 이베이웹 IT 기업 14 통합관제시스템구축개발계약 2012.09 동양증권기타금융 15 SW 보안약점진단도구시범검증지원 2012.10 ~ 2012.12 KISA SW 개발공공 16 대법원등기시스템모바일앱모의해킹 2012.11 대법원웹공공 17 대명홈페이지리뉴얼정보보호컨설팅프로젝트 2012.07, 2013.01 대명레저산업웹 IT 기업 18 BC 카드모의해킹 2012.11 ~ 2013.01 BC 카드웹금융

Client (2012 년 -2) 2012 년 5 월부터 2012 년 12 월까지 25 개의프로젝트를수행하였으며, 공공, 금융, 방송등다양한경험을확보하였습니다. No 프로젝트명 기간 발주처 진단대상 구분 19 연합뉴스정보보안컨설팅용역 2012.12 ~ 2012.01 연합뉴스 웹 / 관제 신문 / 방송 20 코나엠블랙박스모의해킹 2012.11 코나엠 기타 기타 21 아프러스시스템모의해킹컨설팅용역 2012.11 러시앤캐시 웹 기타 22 바로크레디트 2012.11 바로크레디트 웹 / 인프라 기타 23 만도보안컨설팅자문용역 2012.12 만도 웹 / 인프라 제조 24 롯데면세점홍보 / 상거래사이트보안진단 2012.12 롯데면세점 웹 기타 25 아프러스시스템모의해킹컨설팅용역 (2차) 2012.12 러시앤캐시 웹 기타

PENTEST METHODOLOGY 시나리오기반어플리케이션진단절차 모의해킹방법론은총 5 단계로구성되어있으며, 비즈니스와서비스의특성을이해하고이에맞는추가해킹시나리오를도출, 비즈니스에실질적인피해가발생할가능성에대해서검증을수행하도록구성되어있습니다.

PENTEST PROCESS (WEB SERVICE) 시나리오기반어플리케이션진단절차 웹서비스의대상이확정되면, 해당시스템에대해서목적와용도, 기능등을분석하고이를통해서주요공격포인트를선정하여취약점점검을실시합니다. 웹모의해킹진단절차 1. 대상분석 진단대상접속여부확인 진단대상사이트규모, 용도, 주요기능목록, 예상취약점등을목록화 주요공격포인트및목표설정 진단대상확정 2. 스캐닝실시 3. 취약점점검실시 포트스캐닝실시 배너스캐닝실시 ( 필요시 ) 고객사와협의시웹취약점스캐너사용 (Nikto 등 ) 대상분석과정에서정의한공격포인터업데이트 사이트대상별로기능별예상취약점테스트실시 정보유출, DB 유출, 권한획득등의다양한공격시도 4. 권한획득 웹서비스관리자권한획득및정보유출시도 웹서버시스템권한획득 ( 웹쉘또는원격터미널연결등을통한권한획득, 필요시 Exploit 을통한루트권한획득 ) 해당서버를경유하여내부망또는인접서버침투시도

PENTEST PROCESS (MOBILE APP) 시나리오기반어플리케이션진단절차 모바일앱의경우크게대상을분석한후정적 / 동적분석이이루어지며공격포인터에따라코드패치및메모리변조, 조작등의공격을실시하게됩니다. 모바일앱진단절차 1. 대상분석 정상폰에진단대상을설치하여구동함 주요기능및네트워크트래픽등분석하여공격포인트선정 연결서버환경조사 ( 웹서비스인웹서비스대상분석과동일 ) 2. 정적분석 APK, IPA 파일해제하여소스디컴파일, IPA 의경우 IDA 등으로소스분석 환경설정파일분석및소스내하드코딩내역분석 암호화및보안모듈이있을경우해당모듈분석 진단대상확정 3. 코드패치및동적분석 보안모듈존재시해제하고공격포인터코드패칭및재설치 필요시동적분석을통한메모리정보확인및조작 서버시스템직접공격시도 ( 웹서버인경우웹서비스공격과동일 ) 4. 정보유출및권한획득 데이터조작, 권한획득등실시 숨겨진관리자페이지강제활성화및정보유출시도 서버측관리자획득시도및정보유출, 변조등시도

PENTEST PROCESS (C/S) 시나리오기반어플리케이션진단절차 C/S 프로그램의경우, 클라이언트와서버를구분하여클라이언트의환경설정내역및바이너리분석을수행하고, 서버는직접연결시도및다양한테스트를통해서검증을수행합니다. C/S 프로그램진단절차 1. 대상분석 PC 에클라이언트프로그램설치하여기능및동작형태분석 네트워크트래픽분석 서버시스템의구성분석 진단대상확정 2. 클라이언트분석 3. 동적분석 클라이언트프로그램의환경설정파일, 로그파일등을분석 클라이언트동작과정및접속하는서버주소, 포트등을확인 서버반응이나패킷조작가능성을확인 주요공격포인트선정 프락시를이용하여패킷조작 메모리확인및변조등을통한정보유출및권한상승등실시 서버측버퍼오버플로우등의공격테스트 서버가웹서버일경우에는웹서버공격절차순으로진행 4. 정보유출및권한획득 데이터조작, 권한획득등실시 서버측관리자획득시도및정보유출, 변조등시도

PENTEST CHECKLIST (WEB SERVICE) 체크리스트기반어플리케이션진단절차 국가정보원의 홈페이지보안관리매뉴얼 에명시된홈페이지 8 대취약점과한국인터넷진흥원의 홈페이지개발보안가이드 의 10 대취약점, OWASP 에서발표한 10 대가장심각한웹어플리케이션보안취약점 에명시된 10 가지취약점, 기타 HTML5, AJAX 등최신해킹기법등을반영하여아래의점검항목을기반으로진단을수행합니다. Source 웹서비스영역에대한진단항목 영역분류진단항목 CrossSite Scripting 취약점 SQL Injection 취약점 GET/POST 취약점 입력값유효성검증 파일업로드취약점 ( 웹 ) 서비스영역 중요정보암호화 취약한인증및권한체크 파일다운로드취약점쿠키변조및조작가능성외부소스코드삽입암호화되지않은데이터베이스사용자개인정보노출취약점소스내중요정보노출 URL 강제접속및인증우회취약점취약한계정 / 패스워드존재웹인증키검사부재클라이언트기반인증처리 HTML5 / AJAX 등 부적절한환경설정 불필요한파일및서비스존재 부적절한에러처리 디렉터리인덱싱

PENTEST CHECKLIST (MOBILE APP) 체크리스트기반어플리케이션진단절차 금융감독원의 스마트폰보안안전대책이행실태점검체크리스트 의 14 대취약점과금융위원회의 금융분야취약점분석평가기준 의 15 대취약점, OWASP 에서발표한 10 대가장심각한모바일어플리케이션보안취약점 에명시된 10 가지취약점, 기타정적 / 동적디버깅등을반영하여아래의점검항목을기반으로진단을수행합니다. Source 모바일영역에대한진단항목 영역분류진단항목 OS 변조 ( 탈옥, 루팅 ) 탐지및제한 App 살제시, 개인정보 ( 사진, 파일 ) 의완전한제거 안티바이러스프로그램적용 ( 안드로이드 ) 여부 환경설정분석 중요정보입력보호 ( 스크린키보드 ) 여부 어플리케이션변조여부 (Self Checking) 로그인 ( 동일인증서동시접속금지 ) 세션관리 ( 서비스타임아웃설정 ) 단말기영역 App 바이너리내중요정보점검 소스코드분석 App 구동시, Debug 정보노출방지 역분석방지 인증정보 ( 패스워드 ) 복잡도검증 중요정보평문저장 개인 / 중요정보관리현황 중요정보저장시, 취약한암호화사용 기타정적 / 동적디버깅등 ( 메모리변조, 메소드후킹, 액티비티강제호출 ) 통신망영역 중요정보미표시 ( 주민번호마스킹등 ) 메모리내중요정보의영구적로딩금지중요정보평문전송송 / 수신정보암호화여부취약한암호화사용암 / 복호화알고리즘의적정성 (SEED 등 ) 취약한프로토콜사용 SSL 통신적용여부 점검항목은고객사의진단대상을분석후현황에따라일부조정될수있음

PENTEST CHECKLIST (C/S) 체크리스트기반어플리케이션진단절차 C/S 영역보안점검은웹과모바일영역의점검항목과크게다르지않으며, Cert.org 의 Secure Coding in C and C++, NIST 의 SP 800-115 Technical Guide to Information Security Testing and Assessment, OWASP 의 Thick Client Application Security, MS 의 Secure Client Applications 등을반영하여일반적으로정보유출과권한획득등아래의점검항목을기반으로진단을수행합니다. Source C/S 영역에대한진단항목 영역분류진단항목 SQL Injection 취약점 Command Injection 취약점 XML Injection 취약점 환경설정분석 인증정보수집및조작취약점 파일다운로드취약점 버퍼오버플로우위챡점 포맷스트링취약점 단말기영역 서버환경설정상의취약점 소스코드분석 클라이언트프로그램 Debug / Log 정보과다저장 클라이언트프로그램내에중요정보하드코딩 인증정보 ( 패스워드 ) 복잡도검증 클라이언트프로그램에중요정보평문저장 개인 / 중요정보관리현황 중요정보저장시, 취약한암호화사용 중요정보화면미표시 ( 주민번호마스킹등 ) 메모리내중요정보의영구적로딩금지 중요정보평문전송 송. 수신정보암호화여부 통신망영역 취약한암호화사용암. 복호화알고리즘의적정성 (SEED 등 ) 취약한프로토콜사용 SSL 통신적용여부

CASE BASED SCENARIO DEDUCTION 예시 ) 시나리오기반모의해킹 정상적인사용자로로그인하여타고객정보의열람가능여부를확인하고, 정보수집프로그램을통해소량의정보를주기적으로모아대량의파일형태로유출을시도합니다.

CONTACT US A 서울시강남구테헤란로 87 길 36, 2422 ( 삼성동, 도심공항타워 ) P (070) 8113-0013 F (02) 2252-0012 E h9430@tigerteam.kr W http://www.tigerteam.kr

2024 © docsplayer.org 개인정보보호 | 약관 | 지원