나경아빠의 스케치북 - 고통은 희망의 씨앗이다

기말고사 대비 허접 요약

1. 전자금융거래의 개념

- 금융회사와 전자금융업자가 전자적 장치(CD/ATM, 전화, 휴대폰, 카드 단말기 등)을 이용하여 이용자에게 "비대면"

   "비서면"으로 전자금융서비스 - 전자 여/수신, 전자 증권거래, 전자 보험거래, 전자 지급거래 등 - 를 제공하는 것

- 전자어음거래는 전자금융거래에 포함되지 않는다(전자어음법 적용 때문)

2. 전자금융거래에 있어서 본인인증 종류

1) ID, Password 인증

2) 공인인증서 인증

3) SMS 인증 - 인증번호 입력

4) ARS 인증 - ARS 에서 요구하는 인증번호 입력

5) 단말기 지정 인증

6) OTP 인증 - otp 번호를 휴대폰으로 전송 후 입력

3. 전자금융거래에 있어 공인인증서 사용에 대한 찬성과 반대 입장, 그 이유

- 찬성

- 사설 인증서 필요

- active x 방식 개선 필요

4. 메모리 해킹 수법, 대응방안

1) 2013.6 유형 (1) 메모리 해킹

① 수법

- 이용자가 전자금융 이체 중 공격자는 보안 프로그램을 무력화시키고 이체를 실패를 반복적으로 발생

   시켜 고객의 금융정보들을 탈취하여 사기범 컴퓨터에서 탈취한 정보로 이체

② 대응

- 사기범은 전자금융관련 규정에서 전자금융 이체시 오류가 났을 때 오류가 난 보안카드 번호를 

   다시 물어보는 취약점을 이용하여 이체가 가능

- 전자금융 이체시 오류가 난 컴퓨터와 다른 컴퓨터에서 이체가 있을 시 새로운 보안카드 번호 요구

2) 2013.8 유형(2) 메모리 해킹

① 수법

- 이용자가 전자금융 이체 완료 후 공격자는 악성코드에 의한 보안카드 번호(앞뒤 2자리)를 팝업시켜 보안

   카드 등 금융정보들을 탈취하여 사기범 컴퓨터에서 탈취한 정보로 이체

② 대응

- 대 고객 안내

- 보안 프로그램 패치

3) 2013.9 유형(3) 메모리 해킹

① 수법

- 이용자가 전자금융 이체 중 공격자는 금융회사로 전송하는 이체 전문의 계좌번호를 변조하여 이용자가

   입력하지 않은 사기범 계좌로 이체

- 키보드 보안, 구간 암호화(E2E, End to End) 보안 정책이 브라우저의 DOM 영역에서 일시적으로 평문이

   노출되는 취약점을 이용

② 대응

- 확장 E2E

- 금융부가정보(수취은행명, 수취계좌명, 금액, 이체건수 등) 가 포함된 전화인증/문자인증 강화

5. DDoS 공격의 개념과 대응방안

1) 공격 개념

- 정상 이용자들 컴퓨터를 감염시키고 명령을 전달할 C&C 서버 확보

- 정상 이용자들이 C&C 서버로 접속할 수 있도록 C&C 서버 주소가 삽입된 악성코드를 정상 이용자들이 

   접속하는 정상 사이트에 주입 또는 감염시킴

- 정상 이용자들이 정상 사이트에서 C&C 서버 주소가 삽입된 파일을 다운로드 받음

- 다운로드된 파일은 정상 이용자들 컴퓨터가 C&C 서버로 접속시킴

- 공격자는 C&C 서버를 통해서 명령을 내리고 공격 명령을 내림

- 감염된 이용자들은 공격 대상 사이트로 접속

- 공격을 받은 사이트 또는 서버는 네트워크 트랙픽 대역폭, CPU, 메모리, 커넥션 개수 등의 자원 감소로

   서비스가 지연

- 해당 사이트를 이용하는 정상 이용자들은 서비스 받지 못함

2) 대응

- Anti DDoS 서버 설치

- 통신회사를 통해서 비정상 패킷을 차단

- 서버의 커넥션 유지 시간 감소, 커넥션 개수 증가 등 조치

6. 내부정보 유출 유형과 대응 방안

1) DB 대량조회 후 출력 또는 파일 다운로드

2) 업무용 백오피스 시스템에서 조회 후 출력 또는 파일 다운로드 

3) 테스트 서버에서 실 운영 서버와 같은 데이터 대량조회 후 출력 또는 다운로드

7. IT 아웃소싱에 대한 정보유출 방지 대책

- DB 에서 개인정보 대량 조회 탐지 (테이블, 컬럼, 주민번호 복호화 명령 모니터링)

- 배치, 조회, 개발 시 관리자/팀장의 이중 결제

- 물리적 망분리

- 개인정보 DB 조회용 전용 DB 계정 사용 및 통제

8. 스마트폰 기반 모바일 금융에 대한 위협 두 가지의 개념과 대응 방안

- 모르겠다

- 왜 두가지지?

9. 카드사 정보 유출 원인과 대책

1) 원인

- USB 쓰기 권한 통제가 되지 않음

- 테스트용 데이터를 실 운영 서버에서 조회해서 외주 직원에게 전달

2) 대책

- USB 쓰기 통제가 되는 보안 프로그램 설치, 삭제 불가능

- 실 운영 데이터는 테스트 서버로 가상의 주민번호, 이름, 주소 등으로 변환되고 테스트 데이터는

   변환된 테스트 서버에서 추출해서 테스트에 이용 처리

10. 전산센터 마비 요인 중 가장 크다고 판단한 두 가지 요인 및 대응방안

1) 요인

- 스마트 기기 확산에 따른 출입통제 항목 증가(구글 글래스, 웨어러블 스마트 기기 등)

- 전력선 이중화 -> 현실적으로 2개의 변전소, 2개의 전력회사로부터 전기 수급이 힘듬

2) 대응방안

- 전통적인 출입통제 방식의 변화

- 주요소 주유를 통한 발전기 

키움증권 보안팀

김훈 과장님이 휴가로 베이징 갔다 오면서 사다준 베이징 시티 머그컵

2008년부터 활동한 네이버 부동산 카페의 카페지기 붇옹산님이 세부 휴가 갔다오면서 사다준 필리핀, 세부 시티 머그컵

서울과학종합대학원(aSSIST) 산업보안 MBA 6기 권영은의 선물

1998년부터 노원구 통신 동호회부터 알고 지낸 '마귀' 대화명을 쓰는 홍성옥의 선물

도쿠가와 이에야스의 에도 막부와 관련이 있는 교토. 가보고 싶은 곳