이메일 문의

"사용자의 데스크톱 PC는 해킹 공격의 손쉬운 목표물이기 때문에 은행의 IT 인프라에서 가장 취약한 곳 중 하나입니다. 우리는 워크스테이션이 어떻게 은행의 정보 보안 기술 표준에 부합하는지를 지속적으로 모니터링 받는것이 중요합니다. 문제는, 작업장에서의 안전 수준이 저마다 다르다는 것이고, 우리는 이러한 서로 다른 수준의 보안을 같은 수준으로 끌어올려야 합니다. MaxPatrol의 도입이 이 문제를 해결해 주었습니다."

Ivan Marshev,
UniCredit Bank IT
서비스 부서장

당신의 보안은 당신의 요구사항을 맞춰가고 있습니까?


금융 서비스 업계는 IT 혁신에 앞장서고 있지만 여러 기업들은 갈수록 증가하고 있는 위험에 대처하기 위한 보안 대책 강화에 실패하고 있습니다.

커다란 금전적 이득을 노리는 해커들은 IT 네트워크와 시스템 인프라뿐만 아니라 코어 뱅킹 시스템(CBS), 인터넷 뱅킹 애플리케이션, ATM, POS 단말에도 존재하는 취약점들을 악용할 기회만을 노리고 있습니다.

각국 정부들이 은행과 금융 서비스 기업에 대한 규제를 강화하고, 모바일 뱅킹 애플리케이션에 대한 요구도 증가하고 있는 상황에서 여러 금융 기관들은 사이버 보안과 컴플라이언스 전략을 재고해야 할 때입니다.

금융 시스템 보호의 전문가

지난 10여 년 간, Positive Technologies는 전세계 수 십 여 곳의 주요 은행들에 대한 보안 및 컴플라이언스 진단을 실시해 왔습니다. 그 결과, 은행 시스템 보안과 관련된 실질적인 과제들에 대한 고유의 통찰력을 갖게 되었습니다.

Positive Technologies의 보안 연구진은 업계의 최신 위협과 뱅킹 시스템들에 대해 지속적으로 파악해 오고 있으며, 그 결과 고객사들은 새롭게 등장하는 위험보다 한 발 앞선 대처가 가능합니다. Positive Technologies는 2013년에 실시한 e-뱅킹 애플리케이션에 관한 보안 연구를 통해 테스트 대상 시스템들의 절반이 사기 거래 노출 등 고위험군의 취약점들을 포함하고 있다는 사실을 밝혀냈습니다.

가장 보편적인 e-뱅킹 시스템 취약점들(취약한 시스템들의 비율)

Positive Technologies의 보안 전문가들은 침투 테스트, CBS 하드닝 가이드 개발, 보안 소프트웨어 개발 수명 주기(SSDL) 컨설팅, ATM, POS 단말, 뱅킹 애플리케이션, SAP 등의 보안 및 컴플라이언스 진단 등 심도 깊은 분석을 금융 기관에 제공합니다.

은행 및 기타 금융 기관의 보안에 대한 포괄적인 접근 방식은 다음과 같습니다.

  • 침투 테스트
    • 해커가 기존 보안 메커니즘을 우회하고 사용자가 기존 보안 정책과의 컴플라이언스를 회피하도록 만드는 방법을 보여주기 위해, 기존 취약점을 식별하고 익스플로잇에 관한 실질적 증거를 제공하며 직원의 보안 인지도를 측정합니다.
  • 인터넷 뱅킹 보안 진단
    • 애플리케이션에 접근하지 않고 침입자의 관점에서 인터넷 뱅킹 시스템에 대한 그레이 박스 웹 애플리케이션 보안 테스트 실시(사용자 수준의 접근도 실행하지 않음).
    • 웹 애플리케이션 소스 코드 및 아키텍처 분석을 포함하는 화이트 박스 웹 애플리케이션 보안 테스트 실시
  • ATM 보안 진단
    • 시스템에 관한 일반적인 정보를 획득하기 위한 사전 ATM 감사, 주요 시스템 구성요소 분석, 하드웨어 및 소프트웨어 버전 확인, 네트워크 커뮤니케이션 및 프로토콜 테스트, 취약점 스캔
    • ATM 하드웨어 및 소프트웨어 구성요소의 보안 진단으로는 알려져 있는 취약점들과 제로 데이 취약점들의 탐지, 취약점 검증과 가능한 공격 시연을 위한 익스플로잇 툴의 개발 등이 포함됩니다.
  • SSDL 컨설팅
    • 보안 소프트웨어 개발 수명 주기(SSDL) 컨설팅 서비스는 정보 보안 교육, 보안 정책 및 위험 진단 개발과 보안 코드, 코드 리뷰, 감사 방식 작성법, 구축, 보안사고 대응 등 기업의 안전한 애플리케이션 개발에 필요한 절차 도입을 돕습니다.

시스템 전반의 보안을 보장하는 MaxPatrol

사이버 범죄자들은 조그마한 틈만 보여도 기업에 침입하고 공격합니다. 따라서, 기업은 시스템 일부가 아닌 전체를 파악하는 능력이 필요합니다.MaxPatrol은 CBS, 인터넷 뱅킹 포털, ATM 등 애플리케이션, 데이터베이스, 네트워크, 운영 시스템 내에 존재하는 취약점과 설정 결함들에 대한 블랙박스, 화이트박스 식별을 제공하는 단일 솔루션입니다.

MaxPatrol의 내장형 기술 점검 기능을 통해 PCI DSS, ISO(27001:2005, 27002, 27011:2008), SOX 등 여러 표준들과의 컴플라이언스 수준이 신속하게 설정됩니다. 또한, 맞춤형 점검 기능을 손쉽게 추가함으로써 내부 기업 표준이나 지역 표준에 부합할 수 있습니다.

MaxPatrol을 통해 결제 카드 거래와 관련된 모든 경계 시스템과 애플리케이션에 대한 분기별 PCI DSS 진단을 자동화하여 취약점을 수정하고 Approved Scanning Vendor(ASV)에 부합하는 보고서를 작성할 수 있습니다.

애플리케이션 보안: 뱅킹의 새로운 최전방

Verizon의 2014년도 데이터 침해 조사 보고서(The Verizon 2014 Data Breach Investigation Report, DBIR)는 금융 분야의 가장 큰 위협으로 웹 애플리케이션 공격을 꼽았습니다. 빠른 개발 주기와 대부분의 은행에서 사용되는 다량의 애플리케이션들을 고려해 봤을 때 놀랄 일도 아닙니다. 그런데 기업 내 개발자가 취약점과 익스플로잇으로부터 애플리케이션을 보호하는 데 필요한 첨단 지식이 부족한 경우 어떻게 하시겠습니까?

Positive Technologies PT Application Firewall와 PT Application Inspector는 오늘날의 애플리케이션 보안 과제들에 대한 포괄적이고 현대적인 해답을 제공합니다. 다른 솔루션에서는 찾아볼 수 없는 기능들을 통해 금융 기관은 공격으로부터 내부 및 외부 애플리케이션을 보호하고, 사기 및 민감한 정보의 유출을 차단하며, 네트워크와 서비스의 붕괴를 방지할 수 있습니다.

위험은 큽니다. 뱅킹 및 금융 서비스 정보 보안 전문가인 파트너가 필요합니다. Positive Technologies가 필요합니다.

정보 요청