Business Overview
1. 회사소개 - 개요 SSR 은미래창조과학부에서선정한지식정보보안컨설팅전문업체로공공및대기업, 금융 / 교육 / 의료기관을대상으로취약점진단, 정보보호관리체계수립, 개인정보보호컨설팅, IT 솔루션개발과구축을포함한종합보안서비스를제공합니다. 컨설팅 기술컨설팅 모의해킹 서비스보안진단 침투성공률 100% 웹, 모바일, C/S 취약점진단 인프라시스템보안진단 정보자산보안진단 스마트가전보안진단 소스코드, 리버스엔지니어링 ISMS ISO27001 정보보호관리체계 ( 국내, 글로벌 ) 지식정보보안컨설팅전문업체 LG CNS 보안컨설팅특화업체 관리컨설팅 PIMS 기반시설 금융기관 개인정보보호관리체계 주요정보통신기반보호시설진단 금융위원회전자금융감독규정진단 MOU : 펜타시큐리티 KISA 업무공유 솔루션 SolidStep : 보안진단매니저 IT 인프라 ( 서버, NW, DB, WEB) 진단 PC 진단 MetiEye : 웹악성코드모니터 침입행위탐지 웹소스변경관리
1. 회사소개 인력 / 조직 2015. 2 월현재 2 개본부, 1 개실, 3 개그룹, 1 개연구소, 13 개팀총 67 명의인원으로운영되고있으며, 전체인원의약 84% 가 IT 보안기술전문인력으로구성되어있습니다. 담당업무 인원 등급 인원 CEO 경영지원실 컨설턴트 38 특급 1 CTO 전략기획 연구, 개발 (R&D) 14 기술지원 4 고급 6 중급 3 영업 8 초급 28 컨설팅사업본부 솔루션사업본부 지원부서 2 인원 ( 명 ) 38 ISTC ISMS 기술연구소 영업그룹 경영진 1 인원 ( 명 ) 67 MENSA 16 명!! 38 명 18 명 기술인력 56 명 최대규모의전문인력!! 8 명 2 명 SSR 은지식정보보안컨설팅전문업체로 최고의정보보호전문가로 구성되어있습니다. 컨설팅사업본부 연구및기술지원 영업본부 지원부서
1. 회사소개 재무구조 / 연혁 주력사업인정보보호컨설팅분야에서괄목할만한성장세를꾸준히유지하고있으며, 2013 년을시작으로정보보호솔루션사업에전략적인투자를집중하고있습니다. X25 2 억 12 억 36억 42억 5 명 11 명 42 명 50 명 2010 년 2011 년 2012 년 2013 년 67 명 50 억 2014 년 4 년간매출증가 x14 4 년간인력증가 2010.8 2010.9 2011.12 2012.9 2012.10 2013.4 2013.12 2014.3 2014.5 2014.8 2014.11 2014.12 ( 주 )SSR 설립 LG CNS 정보보호컨설팅 특화업체선정 기술연구소 설립 ISO 9001 인증 SolidStep MetiEye 출시 ISO/IEC 27001 인증 MOU 펜타시큐리티 지식정보보안 컨설팅전문업체 인증 KISA 정보공유 체결 MetiEye CC 인증 획득 대한민국 기술대상 수상 SolidStep CC 인증 획득
2.1. 모의해킹컨설팅 SSR 의모의해킹서비스는고객사비즈니스의높은이해도를바탕으로다양한시나리오기법을적용하여예상위협에대해심도있는분석을수행하며, 100% 침투성공률을자랑합니다. 서비스영역 내부영역 모바일 웹어플리케이션 메일백도어공격 인사정보시스템 MES 시스템 연구개발시스템 어플리케이션공격 OS 공격,Network 공격 정상접근 SSR 보안전문가 정보자산획득 모의해킹전문가 인프라전문가 모바일전문가 리버싱전문가 소스진단전문가 보안전략팀 컨설팅 1팀 컨설팅 2팀 컨설팅 3팀 컨설팅 4팀 SSR 모의해킹감각이뛰어난보안컨설턴트 100% MENSA 로구성 SSR 최고모의해킹실력의팀장 서버, 네트워크, 보안장비무선장비등의시스템진단전문가들로구성 CCIE, SCSA, SCNA, CISSP, OCP 등의자격보유자들로구성 시스템및보안등다양한경력의팀장 모바일전문가들로구성 스마트가전및 IoT 취약점진단수행 최신기술에강하고, 각종해킹대회입상자들로구성 모바일보안회사출신의팀장 Reverse Engineering 전문가들로구성 시스템영역별전문화된해킹툴개발 오랜리버싱경력의팀장 웹, 모바일, CS 등의프로그래머경력을보유한보안전문가들로구성 리버싱팀과더불어각종해킹툴및보안모듈개발 대기업보안팀출신의팀장 SSR 의모의해킹은각분야의전문가들이다양한방식으로고객사의보안수준을향상시켜드립니다.
2.2. 정보보호기술진단컨설팅 SSR 의기술컨설팅은서버, 네트워크, 웹, 모바일, 스마트가전등각분야에최적화된인력으로고도화된컨설팅을수행하며, 상시진단이가능하여고객맞춤형컨설팅서비스를제공합니다. 웹취약점진단 정책관리진단 웹모의해킹 운영관리진단 소스코드진단 : 웹 App. 정보보호시스템 접근권한관리진단 : 스마트가전진단 리버스엔지니어링 소스코드진단 : C/S, Smart App. 서비스영역 정보자산영역 서버 OS 취약점진단 WEB 취약점진단 WAS 취약점진단 DBMS 취약점진단 : 모바일취약점진단 정보유출위험진단 소스코드진단 : Mobile App. 네트워크 구성보안진단 장비취약점진단 : 주요수행실적 상시 : 두산, 넥슨, LG U+, SK 플래닛, ebay 코리아일반 : 옥션, LG 전자, G 마켓, BC 카드, 현대오토에버, 포스코, 다음, 국립재활원, 한국교육학술정보원, 현대 HMC 투자증권, 대림산업, 영남대학교, 질병관리본부외다수
2.3. 정보보호관리컨설팅 SSR 의관리컨설팅은다수의프로젝트경험을기반으로고객사의다양한환경에서성공적인지속가능비즈니스를위해가시적인정보보호관리해법을제공합니다. SSR 의관리컨설팅서비스 정보보호전략 보안관리 정보보호를위한목표 정보보호조치 정보보호정책 정보보호프로세스 정보통신기반시설 / 금융위원회 ISMS/PIMS ISO27001 PIPL 정보보호준비도평가 IT 보안인프라 & 정보보호인식기반 관리체계 컨설팅 5 팀 수립, 구현, 전파등각역량에최적화된전문가 최고의효율과퍼포먼스로무결점프로젝트수행 비즈니스환경에맞춘산출물제공 기반시설 컨설팅 6 팀 영향평가부터관리체계까지 1-Stop Service 지속가능비즈니스환경구축 Self-care 모델을통한고객의자체역량강화 ISMS, PIMS/PIPL ISMS, PIMS 규격에따라중요정보및개인정보관리가체계적, 효율적으로운영되어보안수준이지속적으로향상되도록지원 ISO270001:2013 글로벌스탠다드정보보호경영시스템규격에따라정보관리가체계적, 효율적으로운영되어보안수준이지속적으로향상되도록지원 주요정보통신기반보호시설 국가주요기반시설 의주기적인취약점 관리및보안수준 향상을지원하고, 기간망보안관리와 대국민서비스의가 용성을확보지원 금융기관금융위원회전자금융감독규정및관련컴플라이언스를충족하고, 특히상대적으로민감한금융환경보안수준을향상시켜기관신뢰도의완성을지원
2.4. 정보보호컨설팅 - 실적 SSR 의주요공공기관및기업에 230 건이상의정보보호컨설팅, 보안솔루션개발및구축등다양한정보보호서비스를제공하고있습니다. (2015 년 2 월현재 )
3.1. 웹악성파일탐지솔루션 - MetiEye MetiEye 는웹서버내보안위협이되는악성파일및스크립트 ( 웹쉘 ) 의출현및홈페이지무단위, 변조등을실시간탐지 / 차단하여안전한웹서비스운영환경을지원합니다. 제품개요 해커 개인정보유출코드삽입 웹쉘업로드 악의적인백도어프로그램삽입 테스트및백업파일생성 내부개발자 침해행위탐지조치관리통계보고서관리자 MetiEye 모니터링시스템 주요기능 웹쉘 / 악성 URL 탐지 웹소스변경관리 파일생성 ( 업로드 ) 제한 원격관리 엔터프라이즈급관리 UI 특장점 솔루션지원 풍부한패턴 DB 제공 휴리스틱엔진탑재 NO Agent Install NO Update Reboot 최적화알고리즘 기술연구소 컨설팅사업본부 개발자대다수보안컨설팅수행경력보유 신규및변종웹쉘패턴개발시휴리스틱엔진에반영
3.1. 웹악성파일탐지솔루션 MetiEye ( 특장점 ) 실전모의해킹컨설턴트 ( 웹쉘개발노하우보유 ) 에의해연구, 개발된유일한제품으로정형화된패턴탐지를넘어압도적인탐지능력으로경쟁사대비높은퍼포먼스를자랑합니다. 지능형 main 탐지 title ( 휴리스틱엔진 ) 해커들이실전에서사용하는다양한신종 변종웹백도어 ( 웹쉘 ) 를자동인식하는 인공지능적인탐지엔진탑재 ( 특허등록된비패턴식탐지엔진으로 MetiEye 만이가지고 있는기능 ) main title 패턴수집역량 웹백도어 ( 웹쉘 ) 분석능력을넘어선백도어자체제작기술을보유한모의해킹인력을 통한고도화된신규및변종웹쉘패턴확보 빠른속도의 main title 알고리즘 현대적코딩요구사항에있어가장빠른수행을보이는개발언어채택함으로써 웹악성파일탐지속도약 18 배향상 ( 정규식최적화알고리즘적용 ) main title Agent 안정성 4-Free Agent 기술적용 (install, resource, acl, os) Non-Installation Portable 프로그램, CPU 소모량 1% 이하, Agent Port Listening 없음, 5 종 12 개타입 OS 지원
3.1. 웹악성파일탐지솔루션 MetiEye ( 비교 ) 메티아이는컨설팅전문업체에서개발한솔루션으로실제웹해킹에대한전문적인노하우가반영된제품입니다. 솔루션의태생이다르다. 지식정보보안컨설팅전문업체 MetiEye 타사제품 개발인력 정보보호컨설턴트 ( 해커 ) IT Developer ( 개발자 ) 패턴수집 내부개발 + 외부수집 ( 공급 ) 외부공급에의존 ( 내부역량부재 ) QA & Text 실전웹쉘공격테스트 내부구성점검 (Coding Error) 신규대응 최신트렌드연구및웹쉘개발 외부공급에의존 ( 내부역량부재 ) 사후지원 컨설팅트렌드를반영한업데이트 일반유지보수 (H/W, S/W) 실제웹쉘을사용하여모의해킹을수행하는 전문컨설턴트에의해개발되었습니다.
3.2. 인프라취약점진단자동화솔루션 - SolidStep SolidStep 은서버, 웹, 네트워크, DBMS 시스템의보안진단을전수자동화수행하여, 전문인력이상의결과보고서를제공하고누적된통계확인으로보안수준의향상을측정가능합니다. 제품개요 SolidStep 서버네트워크 DBMS WEB/WAS 계정관리 파일및디렉토리관리 서비스관리 패치및로그관리 기능및옵션관리 환경구성관리 통계보고서 SSR 의솔루션과일반보안업체의진단방식비교 방식단위정확도속도공수금액관리보고서안정성 기존진단 샘플링 1M/M 100 여대 ±75% 보고서완료 1 1 기존결과와비교불가 결과수정시재진단필요 수집데이터평문저장 SolidStep 전수검사 무한대 100% 단시간에보고서출력 1/300 1/10 누적통계보고서가능 다양한양식의보고서출력 수집결과암호화
3.2. 인프라취약점진단자동화솔루션 - SolidStep SolidStep 은서버, 웹, 네트워크, DBMS 시스템의보안진단을전수자동화수행하여, 전문인력이상의결과보고서를제공하고누적된통계확인으로보안수준의향상을측정가능합니다. CCE CVE Infrastructure 취약점진단 IT Infra Configuration 진단 (OS, Network, DBMS, WEB/WAS 등 ) Application 취약점진단 어플리케이션취약점진단 (Microsoft, Adobe, Open SSL, Java 등 ) Web 취약점진단 웹서버의소스진단 (HTML, ASP, JSP, PHP 등 ) 취약점해결 : 자체개선가능내부대응 : 운영자수정가능 취약점해결 : 자체개선불가 ( 제조사패치에절대의존 ) 내부대응 : 운영자수정불가 취약점해결 : 자체개선일부가능내부대응 : 개발자수정일부가능 Compliance Compliance 취약점진단의컴플라이언스는자체적으로개선이가능한인프라및웹취약점을위주로선정
3.2. 인프라취약점진단자동화솔루션 SolidStep ( 특장점 ) SSR 고유의정보보호컨설팅 Knowhow 를반영하여개발된 SolidStep 의핵심역량으로지속적으로수행되는보안수준관리에있어타사대비높은경쟁력을확보할수있습니다. 100% main title 조치가능한결과 고객사내부보안지침과 100% 일치하는진단을수행하여보안팀및운영팀모두수용 가능한진단결과도출 보안컨설팅 main title 노하우적용 200 건이상의보안컨설팅경험의전문컨설턴트에의해수행하는인프라보안진단이상의 고도화진단수행 독보적인 main title 진단구조 진단대상시스템의안정성을최대로확보하는 수집 - 분석 분리구조 * SSR 만이가지고있는유일한구조이며특허진행중 다양한 main 운영 title 환경지원 Agent, Agentless, Offline 방식등고객사환경및문화에맞는다양한운용 방식제공, 동종제품대비가장많은플랫폼지원 (OS, DBMS, WEB/WAS, Network 장비 )
3.3. 국내외솔루션구축사례 50,000 License 판매및 300,000 회이상진단실적 공공기관 국군사이버사령부, 국가보훈처, 한국건설기술연구원, 한국통신사업자연합회 국가평생교육진흥원, 한국교육개발원, 서울시농수산식품공사, 세종특별자치시 대기업 / 일반기업 KT, LG U+, 현대자동차, 코웨이, LG 생활건강, CJ 오쇼핑, 세메스 금융권 LIG 손해보험, KB 생명보험, 한화손해보험, KG 모빌리언스, 스마트로 교육기관 / 병원 울산과학기술대학교
3.3. 국내외솔루션구축사례 MetiEye 는단일사업최대규모수준의설치, 운영레퍼런스를보유 3,000 License 판매 공공기관 송파구청, 국립대구과학관 대기업 / 일반기업 대림산업, 현대중공업, 코웨이, LG 생활건강, 한솔그룹 통신 / 게임 LG U+, 무브게임즈, L&K Logic Korea 금융권, 예금보험공사, KB 투자증권, SK 증권, 스마트로 여행 / 서비스 여행박사, 옐로우캡, 리서치애드, 까페베네, 토니모리 교육기관 / 병원 신라대학교, 경남정보대학교, 정철어학원, 중앙대학교병원
3.4. 주요적용사례 LG U+ : SolidStep, MetiEye 3 사합병에따른 LG U+ 의다양한시스템환경에대한안정성높은진단요구에맞춰 10 년이상운영된구형시스템의보안을 SolidStep 및 MetiEye 로강화하여관리하고있습니다. Internet Network 1 2 3 3사통합에따른다양한종류의시스템진단필요 Windows, AIX, Solaris, HPUX, Linux 5종진단 아키텍처에따른 12종류의진단모듈실행최고의안정성확보된진단필요 서버운영자직접실행방식선택 10년이상운영된 legacy 시스템의안정적진단격리네트워크에위치한시스템진단필요 OFFLINE 수집결과의관리서버자동화처리 Windows Unix DBMS WEB WAS SolidStep UI 2012.04 2012.05 2012.06 2012.11 기대효과 프로젝트시작 투입인원 :1 명 전수검사 이행점검 후속대응 투입인원 :1명 투입인원 :1명 투입인원 :1명 보안컨설팅수준의인프라전수검사 비용및리소스절감 진단방법협의 점검가이드 12 개종류서버 6,000 여대전수검사 서버 6,000 여대이행점검 보안가이드개선및상시점검 보안지침준수여부의감사및보안수준수치화 지속적이행점검으로인한보안수준상향평준화 12 개종류 6,000 대시스템에대해 200 개의보안항목들을 300 명의속도로점검
3.4. 주요적용사례 LIG 손해보험 : SolidStep 금융위원회전자금융감독규정의컴플라이언스를준수하는항목구성으로기존샘플링기반의컨설팅외주업무를자동화된솔루션으로전수검사하여관리하고있습니다. Internet Network 1 2 3 인프라전체에대한단기간의진단필요 SolidStep 이용하여 1,600대이상진단수행관련법규및전자금융감독규정준수 SolidStep을통해기존컨설팅대체 향후지속적인항목업데이트지원연간스케줄및이벤트발생시수시점검 신규, 변경되는시스템에대한즉각적인보안점검 지속적으로상향되는보안수준의객관적평가수행 Windows Unix DBMS WEB WAS SolidStep UI 2014.02 2014.03 2014.04 기대효과 인프라전체에대한단기간전수검사 비용및리소스절감 금융위원회전자금융감독규정준수 기존인력투입컨설팅을대체하여컴플라이언스대응 프로젝트시작시범운영정기검사 투입인원 : 1 명 진단방법협의 점검가이드 개발 투입인원 : 1 명 2013 년 이행점검 투입인원 : 1 명 1,600 대대상 전수검사 정기컨설팅 사업수행 1,600 대시스템에대해 144 개의보안항목들을 300 명의속도로점검
Contact Us Tel. 02-6124-6690 Fax. 02-6124-6693 Homepage. www.ssrinc.co.kr E-mail. biz@ssrinc.co.kr 서울시구로구구로동디지털로 26길 111 JnK디지털타워 1606호