및 온라인 사기행위...

1 © Copyright 2014 EMC Corporation. All rights reserved.

웹 위협 및 온라인 사기행위 대응방안 이준희 한국이엠씨컴퓨터시스템즈㈜


목차

• 온라인 위협 환경

• 온라인 위협 및 대응 방안

• 온라인 위협 사전대응 방안

• 온라인 위협 실시간 분석 방안

• 인증 강화를 통한 온라인 위협 대응

• Intelligence 기반 온라인 위협 및 사기 대응


온라인 위협 환경


악성코드 동작 방식

C&C 감염/업데이트 서버 Drop Zone

Victims

감염PC 조작

감염PC


온라인 위협 환경 온라인 사기 집단의 기술적 인프라 및 운영 인프라

정보 교환 사기 포럼 / 채팅 룸

현금갈취 사기집단

대리인 경유지 현금화

고객 정보 수집 사기집단

사용자 계정

공격 도구 호스팅 유포

Intelligence 위협환경 분석

Cloud

안티트로이잔 안티피싱

Intelligence

안전거래

거래 모니터링

위험기반 인증체계

인증강화

위협환경분석

Cloud


다양한 온라인 사기 공격


쉽게 접근 가능한 사기 시장

감염 PC

$20/1000

악성코드 관리 사이트 $15/1달


온라인 사기 거래 Black Market


한달동안 송수신된 데이터 수

하루 다운로드 되는 앱 숫자

네트워크에 연결된 시스템수


온라인 위협 및 대응 방안


온라인 위협 행위

웹 위협 환경

• Layer 7 DDoS 공격

• Man in the Middle/Browser • 패스워드 크래킹/추측 공격 • 파라미터 인젝션 • 신규 계정 등록 행위 • 신규 악성코드 (예. Trojans)

• 계정 탈취 • 신규 계정 등록 사기 • 이벤트 악용 • 등록되지 않은 계정 행위 • 부정 자금 이동

세션 시작

로그인

거래

로그아웃 오픈 웹 환경

• 피싱 • 악성 모바일 앱 • 사이트 스크랩핑 • 취약점 탐색


EMC 온라인 대응 방안

세션시작 로그인

거래

로그아웃 오픈웹

피싱/유출계정

탐지/차단

웹 행위 모니터링 (계정도용, 비즈니스 로직 악용, 사이트 스크랩핑)

부정 거래내역 모니터링

위험분석 기반 차별화된 인증 요청

웹 위협 환경

위험분석 기반 카드 인증 요청


온라인 위협 사전 대응 방안


온라인 침해 사전 대응 방안


거래


Fraud Action

웹 위협 환경

• 사이버 범죄 집단의 행위 모니터링 • 피싱 공격 및 트로이잔 공격 탐지 및 대응 • 악성 모바일 앱 대응


온라인 침해에 대한 사전 모니터링 체계(AFCC)

• Intelligence 정보 모니터링

– 악성코드 분석 및 대응

– 피싱 사이트 조사(하루 60억 URL 조사)

– 사기 포럼 내용 모니터링

– 신규 사기 방법 확인

• 사기 대응

– 피싱 사이트 Shutdown

– Mule 계정 확인

– 유출 고객 정보 확인


RSA FraudAction 서비스

• Anti-Trojan Service 악성코드 공격 대상 고객 정보 탐지 및 경보

• Anti-Phishing Service 피싱사이트 탐지 및 shutdown

• Anti Rogue App Service 고객사 유사 악성 앱 탐지 및 중지

• Cyber Crime Intelligence 사기 행위 및 블랙마켓 트랜드 분석 보고서 제공


온라인 위협 실시간 분석 방안


실시간 온라인 위협 분석 시스템


거래


Web Threat Detection

웹 위협 환경

• 로그인 전후의 모든 행위에 대한 실시간 가시성 제공 • 사용자 및 그룹의 이상행위 분석 • 사기 행위자 분류


위협 스코어링 • 속도

• 웹 사용 행위

• Parameter Injection

• Man in the Middle

• Man in the Browser

스트림 분석


이상 행위 탐지 사이버 범죄행위 자들은 일반적인 온라인 사용자와 다른 사용 패텀을 보임

Sign-in

Homepage

My Account

Bill Pay Home

Add Bill Payee Enter Pay Amount

Select Bill Payee

Submit

Checking Account

View Checking

• 속도

• 사용 페이지 순서

• 접속 지점

• 복합적인 정보


Web Threat Detection 워크 플로우

HTTP 헤더

메소드 방식

POST/GET

Web Threat Detection 정책 엔진

- IP - User - Page

IP - User - Page -

SIEM CM Email LB WAF

사용자 ID Cookie IP 정보

- Man in the Middle - Man in the Browser - 행위 - 속도 - 파라미터

포렌진 대시보드 한번의 클릭으로 상세한 분석 및 확인

실시간 경보

한시간 단위 경보


위협 점수 0-100


Action Server

페이지

Request

Web Threat Detection 사용자 인터 페이스

세션 재구성 및 사용자 클릭 행위 이미지화


동일 사용자 ID, 여러 종류의 패스워드로 접속 시도 • 패스워드는 Hash암호화를 통해 분석 요원도 인지할 수 없는 형태로 변환, 비교 분석은 가능

헤더 데이터를 통해 Linux 기반의 Script를 통한 공격 시도인 것을 확인

로그인 페이지에서 발생하는 Brute force 공격을 탐지하기 위한 가시적인 방안을 가지고 있는가?

• RSA Web Threat Detection는 두가지 방식의 패스워드 추측 공격 모두에 유용한 탐지 기법을 제공합니다. - Vertical. 동일 사용자 ID, 패스워드 변경을 통한 추측 공격 - Horizontal. 동일 패스워드, 사용자 ID 변경을 통한 추측 공격

패스워드 추측 공격 스크립트를 통한 계정 획득 시도


이벤트 악용 – 쿠폰 코드 입력 스크립트를 통한 쿠폰 코드 변경 입력 시도

하나의 IP에서 한시간동안 977번의

클릭 발생

쿠폰 악용의 영향

• 인증되지 않은 쿠폰 획득에 따른 일반 사용자들의 불이익 발생

• 기업의 이익 감소 • 스크립트 공격으로 인한 해당 페이지의 부하 가중 및 실제 사용자에 영향 발생


판매자 등급 상승을 위한 거짓 거래

비즈니스 로직 악용– 판매자 등급

9분동안 10번의 동일 구매 행위 발생(동일 구매자/동일 판매자)

새벽 5시부터 한시간 동안 21번의 구매 발생

한번 구매시 약 백만원 상당의 구매


인증 강화를 통한 온라인 위협 대응


위험 기반 인증을 통한 위협 대응


거래


Adaptive Authentication

웹 위협 환경

Transaction Monitoring

• 위험 기반 인증 • 위험한 로그인/거래 발생시에만 요청 질의(challenge) 발생 • 전세계에서 수집된 사기 정보 공유 • PC, 모바일등 모든 시스템에서 로그인 및 이후 행위 분석


위험의 개념

• 이상적인 행위에서 시작

– 이상적인 상태에서 약간의 편차가 발생하는 것은 허용

• 대부분의 행위는 안전지대 내에 속함

– 안전한 영역에서의 행위를 확실히 구분할 수 있는 경우 비용 관리 효과

• Challenge는 안전한 영역에서 벗어난 행위만을 구분해 내는 것

Ideal Activity

Activity A Activity B

Activity C

Activity D

Area of Concern

Comfort Zone


온라인 위협 환경

• 100개 이상의 위험 척도 분석 -디바이스 프로파일(OS, 쿠키, 브라우저등)

-사용자 행위 비교 분석

• 실시간 분석을 통한 대응

• RSA eFraudNetwork 정보를 통한 대응


위험기반 분석 엔진

리스크 엔진

케이스 관리

위험 기반 인증

정책 관리

행 위 디바이스 eFraudNetwork

인증 인증 계속

인증 방식 설정 피드백

피드백

설정

질의

전화

,SM

S

인증

기타

인증

개인정보

기반

271 937


IP: 83.109.219.9

IP: 65.75.83.176

eRisk Engine

Bank A: Account 4007

The RSA® eFraudNetwork™

IP: 83.109.219.9

IP: 65.75.83.176

IP: 201.242.122.167

IP: 201.242.122.167

Bank A

UK

Venezuela

Bahamas


eRisk Engine

Bank A

The RSA® eFraudNetwork™

Bank A: Account 4007

Bank C: Account 0064

Bank B: Account 7558 IP: 83.109.219.9

IP: 65.75.83.176

IP: 201.242.122.167

IP: 65.75.83.176

Bank B

Bank C

USA

Bahamas

Venezuela

IP: 201.242.122.167

IP: 83.109.219.9


“단계별” 인증 사용자 인증을 위한 추가 요소 및 절차

Challenge 질의

부가 인증

동적 Knowledge Based

Authentication(KBA)

멀티 인증 프레임

• 선택된 비밀 질문을 하고 사용자가 등록한 응답 전송

• 임시 인증 번호를 전화로 알려주거나 SMS, Email 등으로 전송

• 거래 금액과 같은 거래 상세 내역 포함 전송

• 실시간으로 사용자에 특화된 동적 질의 생성

• RSA Identity Verification service (US,UK 가능)

• 자체 개발 또는 3rd Party 방안 사용을 통한 인증 강화


Intelligence 기반 온라인 위협 및 사기 대응


Adaptive Controls 위험/위협 기반 및 인증강화

Advanced Analytics 여러 상황정보 제공 및 모든 위협 행위 에대한 가시성

정보 공유 신뢰할 수 있는 곳에서 제공된 사용가능한 Intelligence 정보

위험 Intelligence 정보 위험에 대한 이해를 통한

행위 우선순의 결정

Intelligence 기반 온라인 사기 대응 Risk 기반, 다양한 상황정보, 빠른 대응


온라인 사기 대응 공조

고객에게 보안 강화 및 편의 제공

악성코드에 의한 고객 정보 유출 내역 확인을 통한 사기행위

사전 대응

웹에서 발생하는 모든 행위 분석을 통한 신규 위험 감지

위험 기반 인증 강화를 통한 로그인시, 거래시 위험 대응 강화

신뢰할 수 있는 정보, 행위 분석 및 인증/거래 인증 강화를 통한

정상 사용자와 악의적인 사용자를 구분


온라인 사기 대응 계층(Gartner)

• Layer 1 + 3 – 위험기반 인증(Adaptive Authentication)

• Layer 2 + 5 – RSA Web Threat Detection

• Layer 4 – RSA WTD + RSA AA + RSA FraudAction

엔드포인트 중심

Navigation 중심

사용자 계정 중심(UAC)

멀티채널을 통한 사용자 계정 중심

Entity Link Analysis


온라인 사기 대응 방안

• 빅데이터 기반 분석 대응 – 사기에 대한 풍부한 자료 분석 – 사기행위 예측 분석 및 자동 학습을 통한 분석 방법 업데이트

• 실행 가능한 대응 방안

• 실시간 분석 및 온라인 사기 공동 대응을 위한 자체 인프라 확충

• 사전 대응: Offence is the Best Defense

및 온라인 사기행위...

Documents