김경호

김경호

Slow but steady wins the race
2022.01 ~

느리더라도 꾸준하게…

[Daily Contents] 금융권 모의해킹


보안이란?

  • 대상의 안녕과 질서를 유지하는 것
  • 정보 보안 : 대내외의 공격으로부터 정보 자산을 안전하게 지키는 전략적 행위
    • 정보보안, IT보안, 사이버보안, information security 또는 infosec
    • 1918년 독일인에 의해 고안되어 폴란드의 보안 전문가들이 개발한 Enigma가 시초
    • 정보의 수집, 가공, 저장, 검색, 송신, 수신 도중에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 방법
    • 내/외부의 위협요인들로부터 네트워크, 시스템 등의 하드웨어 및 데이터베이스, 통신 및 전산시설 등에서 정보자산을 안전하게 보호/운영하기 위한 일련의 행위
    • 안전은 상태, 보안은 활동을 전제
  • 허락된 사람에게만 접근하도록 지키는 것
  • 정보를 여러 위협으로부터 보호하는 것
  • 예외 처리를 철저히 하는 것

정보보안은 왜 하는가

  • 지키려고 » 가족과 재산
  • 완벽한 보안은 없다 : 100% 보안은 불가능하다.
    • ex) 2011년 SK Nate 3500만명 고객전원 정보 유출, 2014년 국민, 농협, 롯데카드 2000만명, 8000만건 내역유출, 2014년 KT 1200만명 개인정보 유출 전 국민의 20%

금융권 Domain

  1. 계정계 : 금융업무처리 시스템 그 자체
    예금, 대출
  2. 정보계 : 계정계 데이터를 기반으로 영업점 및 각 부서의 업무처리를 위해 필요한 거래데이터의 기록 및 기록의 통계를 관리하는 시스템
  3. 대외계 : 은행 외부기간과 연계되는 업무용 금융 공동망 등 연결 시스템
  4. 채널계 : End User에 따른 다양한 접속채널에서 발생하는 데이터들을 관리하는 시스템
  5. 운영계 : 시스템의 안정적인 운영을 위한, 통합관제, Net 모니터링, 유지보수 등을 담당
  6. 기간계 : Lagacy. 신규 시스템 도입 시점에서 기존에 사용하던 시스템. 아주 오래된 시스템.

금융권 모의해킹 항목

  • 실제 점검 항목 일부
    • 별점 4 자체 보안성심의 점검 항목
      • 거래 당사자 인증
      • 거래 정보의 기밀성 및 무결성
      • 정보처리시스템 보호대책

금융권 보안의 핵심

  • 데이터를 설계한 케이스 외에는, 절대로 주지 않는 것.
  • 사고 발생 시 조치될 시간을 버는 것.
{
	"res_code"
    "res_mesg"
    "transaction_id"
    "user_info" : {
    	"user_no"
        "user_nm"
        "user_nm_enc"
        "regist_no"
        "regist_no_enc"
        "mobile_no"
        "mobile_no_enc"
    }
    "account_info" : {
    	"account_no"
        "account_no_enc"
        "amount"
        "amoutn_enc"
    }

ex)
user_nm : "김*준",
user_nm_enc : "D5A43256313…"

enc 정보는 유출이 되더라도 해킹이 불가능.
양방향 암호화. Server에서 암호화. Client에서는 복호화가 불가능.

비밀번호를 반복해서 틀리는 등 기준점을 초과하면 재인증 관련 가이드를 주면서, 한편으로는 모니터링 팀의 모니터링이 들어간다.
'시간을 번다'라는 뜻.

보안설계 개념설명

  • Lagacy
HTTPS
Session Ctrl, AccessToken(비동기, JWT)
Request Monitoring - drools
= certbot - TLS, SSl

Redis(리프레시 토큰을 사용할 때 많이 사용, JWT 토큰을 잘 활용하기 위한 장치)
AccessToken - Expired Time

* Data Tier
Session - Expired Time
Data Transaction 이력 저장

* Logic Tier, Application Tier
Data
단방향, 양방향 암호화
  • Trendy
HTTPS
Request Monitoring - drools(JWT)

* 변화하는 트랜드
JWT Gateway
kubernetes
https(MSA, 서버 간에도 구간 암호화)
	service Discovery : 유레카, consul, ELB(AWS)
    서킷 브레이커, Monkey test(무작위 테스트)
istio : 서비스 메쉬, 통신 모니터링
	프로메테우스, 그라파나
spring bott - Security filter

* Data Tier
Data Transaction 이력 저장

* Logic Tier, Application Tier
Data
단방향, 양방향 암호화

JWT

핵심은 Hash

{
	"header" : {
    	// HashString등의 Header 정보
    },
    "payload" : {
    	// 실제 토큰 정보들
        // 발급시스템 정보
        // 사용권한 - api, email 등등…
    },
    "hash" : {
    	// header와 payload 정보를 "서버에서" 암호화한 Hash값
    }
}
// HeaderBase64.PayloadBase64.hash

OWASP Top 10 Trend

  • 2017년과는 다르다!
  • 2021년
Broken Access Control
Cryptographic Failures
Injection
Insecure Design
Security Misconfiguration
Vulnerable and Outdated Components
Identification and Authentication Failures
Software and Data Integrity Failures
Security Logging and Monitoring Failures
Server-Side Request Forgery(SSRF)

마치며

  • 정보보안의 내 일은 넘쳐나니 골라라!

댓글남기기

참고