㈜씽크에이티...- 금융회사고객정보유출재발방지대책(.01.22)....
TRANSCRIPT
ARS전화인증
This document contains confidential and proprietary information belonging to thinkAT. Inc,
Which may be used only in connection with the business of thinkAT, Inc.
해킹방지
2채널보안㈜ 씽크에이티
thinkAT
Investor Relations
㈜ 씽크에이티는 대한민국 금융기관 2채널 전화인증 1등 기업으로서
고객중심의 사고와 보다 안전하고 편리한 정보보호 서비스 제공을 통해 정보보호 패러다임의 변화를 선도하고 있습니다.
OOBA(Out-Of-Band Authentication) 기반의 전화승인(인증) 원천특허와 10년간의 축적된 기술 및 노하우를 바탕으로
2014년부터는 비약적인 매출 및 실적 실현과 더불어
서비스 분야 확대, 다양한 제품 개발, Global 서비스 준비 등 사업 영역을 확대하고 있습니다.
CONTENTS
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
회사현황POWER PRESENTATION
기업개요
회사연혁
특허및인증, 기술자산현황
조직도
01
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
㈜씽크에이티회 사 명
2006년 6월 8일설 립 일
소프트웨어 자문 개발 및 공급, 별정통신사업사업분야
13.2억 (2015년 02월말 현재)자 본 금
서울특별시 구로구 디지털로 272, 204(구로동, 한신아이티타워)소 재 지
한형덕대표이사
1. 회사현황 (기업개요)
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
1. 회사현황 (회사연혁)
IT 보안의 새로운 패러다임 – 2채널 전화인증 서비스 제휴
게임 분야, 기업 내부 보안 서비스개시
은행, 증권 등 금융분야, 공공분야,
민수분야로 서비스 확대
2014.07 ~ 11 하나대투증권 / 삼성카드 / 브이피 / AIA생명 / 웹젠 / 금융결제원 / 하나SK카드 / NH농협카드 / 외환카드 / 포인트파크 전화인증 서비스 오픈
2014.01 ~ 06 HMC투자증권 / 대신증권 / 부국증권 / 현대선물 / 오에스비 저축은행 / KB투자증권 / 유진투자선물 / 외환선물 / 교보증권 전화인증서비스 계약체결
2013.10 ~ 12 SC은행 / 산업은행/ 경남은행/ 동부증권/ NH농협증권 / 현대증권 / 신한금융투자/ 수협중앙회 / 메리츠종금증권 / 아이엠아이 / 아이템베이전화인증서비스 계약체결
2013.03 ~ 07 새마을금고 / 씨티은행 / 현대증권 / 신한금융투자 / 동부증권 / 외환선물 / 한화투자증권 / 대신증권 / 키움증권 / 메리츠종금증권 / 교보증권 /
외환은행코스콤 / 산림조합중앙회 / 서울특별시전화인증서비스 오픈
2013.02 민원24 복합인증 / 공공보건포털복합인증 서비스 오픈
2012.06 행정안전부 전화승인서비스 계약 체결2012.05 ~ 10 전북은행 / 부산은행 / 한국산업은행 /
대구은행 / 동양증권 / 부국증권수산업협동조합 / 신용협동조합 / 경남은행 / 광주은행 / NH농협증권 / 한국스탠다드차타드은행 / NH농협증권/ KR선물 전화인증서비스계약 체결
2011.10 부산은행 서버 접근통제전화인증서비스 구축
2011.09 현대모비스 전화인증서비스 구축2011.05~07 엠게임 / CJ E&M /
네오위즈게임즈전화인증서비스 제휴 계약 체결
2010.09 기업은행 인터넷뱅킹전화인증서비스 구축
.08 삼성화재 포털시스템전화인증서비스 구축
2009.02 NCSoft 전화인증서비스 제휴계약 체결
2008.06 디지털타임스와전화인증서비스 제공 업무제휴 계약 체결
.05 우리은행 인터넷뱅킹전화승인서비스 제휴 계약체결
2007.04 국민은행 인터넷뱅킹 전화승인서비스 시작
.04 일본 넷무브 주식회사와씽크콜서비스 일본내 독점영업계약 체결
2006.06 ㈜씽크에이티 설립
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
지식재산권 인▪허가 자산
원천 특허 서비스 인프라
씽크콜 서비스
1. 회사현황 (특허 및 인증, 자산현황)
전화인증원천특허에대한국내외특허보유
특허국내 28건, 해외 2건(미국,
중국,일본) 등지적재산권보유
LGU+ 가산, 상암 IDC 센터
IVR 5,000 채널보유
2011.03 벤처기업
2011.08 별정통신사업자
2012.12 기술연구소
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
지식 재산권 (상세)
구분 건수 비고
국내
특허
등록 28
출원 1
상표
등록 1
출원 0
국제 특허
등록2건 3개국
(미국,중국,일본)전화인증 서비스를 통한 인터넷 기반의 사전 검증 시스템 (2개국)- 미국, 일본
전화인증을 통한 해킹 차단 시스템 (9개국)- 미국, 일본, 유럽, 태국, 대만, 베트남, 필리핀,
중국, 인도네시아출원 1
2015.2.28 현재
1. 회사현황 (특허 및 인증, 자산현황)
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
서비스 인프라 (상세)
구 분 내 용
메인 설비&자산 LGU+ (가산 IDC, 상암 IDC), SK텔링크(가산 IDC)
기타 설비&자산 노스텍, 회사 (서버룸, OP룸)
WEB
WAS
DB
TC
FW
VPN
TTS
SMS
씽크콜1센터
FW
가산IDC 상암IDC
L4
TCFW
씽크콜2센터
L4
WAS
DB
FW
씽크콜3센터
L4
앱인증
라우터
VPN
L4
라우터
WEB
WAS
DB
TC
L3
SMS
IVR
IVR
상암IVR
IVR
IVR
가산IVR3센터
IVR
IVR
가산IVR1센터
IVR
IVR
노스텍IVR1센터
ARS
안양
IVR
IVR
가산IVR2센터
1. 회사현황 (특허 및 인증, 자산현황)
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
조 직 도
1. 회사현황 (조직도)
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
사업내용POWER PRESENTATION
사업배경
주요사업내역
02
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (사업 배경)
해킹으로 인한 중요 정보 유출 및 전자금융거래 사고 지속 발생
안전한 금융거래및
인증서비스
보안토큰
낮은 편의성
?
서비스 투자비용
메모리해킹취약성
OTP
기존 인증 수단의 한계 및 보안 위협의 지속 증가
보안 매체 별 편의성 천차만별
서비스 이용에 대한 이중 또는 별도 부담비용 발생
현재 제시되고 있는 방안은 최선책이 될 수 없다!
이용제약(인터넷뱅킹만이용가능)
공인인증서 사용의무화 폐지 (14.05) : 5.20일부터 의무사용 폐지
삼성카드 앱카드 해킹 (14.05) : 6,000만원 해킹사고 6개 카드사
카드사 정보유출 (14.01) : 카드사 고객정보 1억건 이상 유출
SMS인증, OTP인증, 아이핀, 메모리 해킹 사고 : 지속 발생
※ 각 언론매체 관련 기사 발췌
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (사업 배경 - 계속)
해킹 사고 및 보안 강화를 위한 제도 개선 및 기술 요건 강화
2014
2013
2012
- 카드사 1억4천만건 정보유출 (국민카드, 롯데카드, 농협카드)
- 삼성카드 앱카드 해킹 6000만원 해킹 사고 발생 (신한, 현대, KB국민, NH농협카드, 하나SK카드)
- 휴대폰 소액결제 사기
- 전자금융사기 예방서비스 9월부터 시범서비스 300만원 이상 이체시, 공인인증서 업무 등
- YTN, KBS, MBC 전산망 마비, 신한은행도 마비
- `개인정보 유출` 책임논쟁 가시화 위탁자 관리감독 책임 강화, 수탁자와법적 갈등 본격화 우려
- ‘모바일 뱅킹 해킹 앱’ 판친다 대형 금융 보안 사고 우려...대책 마련 시급
- EBS 메인 홈페이지 해킹, 일부 회원 정보 유출 (5월, 400백만 회원)
- KT 전산망 해킹 : 전체 고객 절반 870만 고객 정보 유출 (7월)
- 금융회사 고객정보 유출 재발방지 대책 (.01.22)
. 현행 300만원 이상 이체 거래 → 100만원 이상* 이체 거래로 확대
- 「전기통신금융사기 피해금 환급에 관한 특별법 시행령 일부개정령안」 입법예고
(02.11) : 저축성 보험ㆍ공제등에 본인확인 조치 수단으로 전화인증 명시
- 전자금융감독규정 시행세칙 개정 (시행: 05.20)
. 신용카드, 직불카드 등 카드에 의한 결제시 공인인증서 사용 의무 폐지
- 전자상거래 결제 간편화 방안 (2014.07.28), 규제개혁장관회의
. 카드 결제 시 공인인증서 사용문제 개선 방안
. 간편한 신 결제방식 도입 방안, 신용카드 간편결제 서비스 확대 추진 ‘14,8 ~
- 전자금융거래법 개정 국회 본회의 통과 (10.14)
. 모든 전자금융거래에서 공인인증서 사용 의무 폐지 (기존: 이체 시에는 의무 사용)
- 전자금융사기 예방서비스(.03.12) : 대상 : 비은행권
- 전자금융사기 예방서비스(.09.26) : 대상 : 전금융권, 추가인증 의무화
- 전자금융거래법 시행령 개정(11.22)
. 주요내용 : 금융기관에서 제공하는 보안수단을 이용자가 정당한 사유 없이 거부
하여 사고 발생 시 이용자 책임
- 청소년 보호법(09.16) : 청소년유해물 제공 시 나이 및 본인확인
- 전자금융사기 예방서비스(.09.25), 대상 : 은행권
. 적용거래 : ①공인인증서 (재)발급 및 ②인터넷뱅킹을 통해 300만원 이상
(1일 누적) 이체시 본인확인절차 추가, PC지정 , SMS+OTP , 2채널인증을 통한
추가인증
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (사업 배경 - 계속)
해킹 사고 및 보안 강화를 위한 제도 개선 및 기술 요건 강화 (계속)
2011
2010
2009
2008
- 보이스피싱 사고 금액 (11월) : 879억원
- 농협 해킹 사고 (4월, 장애기간 15일)
- 현대캐피탈 해킹 사고 (4월, 고객 42만건)
- SK컴즈 해킹 사고 (7월, 3,500만건)
- 넥슨 해킹 사고(11월, 1,320만건)
- 인터넷뱅킹 사고 및 금액 (1~6월) : 4건, 470백만원
- 보이스피싱 사고 금액 : 544억원
- RSA OTP 해킹 사고 ( 3월, OTP 리콜)
- 인터넷뱅킹 사고 및 금액 : 23건, 342백만원
- 보이스피싱 사고 금액 : 621억
- IBK캐피탈 해킹 사고 (9월, 3만건)
- 인터넷뱅킹 사고 및 금액 : 8건, 155백만원
- 보이스피싱 사고 금액 : 877억
- 파밍 공인인증서 유출 (1월, 5,000여개) : 금융기관 사칭 : 국민은행, 농협
- 옥션 해킹 사고 (3월, 900만명)
- GS칼텍스 정보 유출 사고 (9월, 1,100만명)
- 금감위 전자금융거래한도 차등화 개정 (4월)
. 1등급 : 1억 (2채널인증, OTP, 보안토큰)
. 2등급 : 보안카드+공인인증서+SMS
. 3등급 : 보안카드+공인인증서
- 전자금융감독규정 개정안 의결 (06.23)
. 공인인증서 의무 사용 규제 해제
. 공인인증서 대체 인증 수단 평가 착수
- 개인정보보호법 제정 (03.29), 시행 : 2011.09.30
. 공공, 민간 정보보호 규율 통합, 인터넷상 주민번호 이외 가입 방법 제공 의무
- 금감원 OTP 회수 및 대체 인증 권고 (4월) : RSA OTP 회수 지시
- 금융위 금융IT보안 가이드라인 (08.09)
- 보이스피싱 방지책 (12.22) : 인증서 저장매체 변경 시 본인확인 의무화
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (사업 배경 - 계속)
전자금융 거래 인증 수단의 확대와 한계
CVC카드번호/계좌번호
주민번호보안카드일련번호
보안카드/OTP
카드비밀번호/계좌비밀번호
공인인증서ID/PW인터넷 뱅킹인증요소
보관수단 사용자 기억
PC
사용자 기억 매체 매체사용자기억/매체
사용자기억/매체
매체
이동매체(HSM,H/P..)
입력방식 Keyboard
Keyboard
Keyboard Keyboard Keyboard Keyboard Keyboard Keyboard
매체직접입력 (H/P)
유출경로 PC해킹
PC 해킹
PC해킹
PC 해킹PC해킹
도난,분실PC해킹
PC 해킹 PC 해킹
도난,분실 도난,분실도난,분실도난,분실
공격방법 키보드해킹
키보드해킹,백도어,원격제어
인증서 재 발급
키보드해킹
키보드해킹백도어,원격제어노출된 일회용
번호 도용
키보드해킹
노출된일련번호
도용
키보드해킹 키보드해킹 키보드해킹
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (사업 배경 - 계속)
기존 인증 방법의 근본적인 문제점
유효한 모든 인증 정보는 결국 키보드에 의해 사용자PC에 입력되므로,
사용자 PC가 해킹되는 경우, 기존의 인증 수단으로는 해킹 사고를 방지할 수 없음
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역)
OOBA 인증 방법
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
2채널 OOBA 기반의 전화승인 서비스
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 – 핀테크 인증
씽크콜 – 전화번호 확인
■ 금융기관에 전화인증을 최초로 서비스한 업체로 약 10년간에 노하우 바탕으로 단순한 전화인증하는 기술
이 아닌 시대 흐름에 맞추어 전화인증에 보안성을 향상 시킴
• 개인정보에 중요성이 증가 됨에 따라 전화인증에 가장 중요한 전화번호에 대한 보호 방법에 대한 기술 보
유 중
• 공인인증서 의무 사용 폐지에 따른 부인방지 기능 보유
• 바이오 인증이 대두 됨에 따라 바이오인증과 결합된 전화인증 기술 개발
■ 전화번호를 통한 본인확인 방법등이 중요시 됨에 따라 전화번호 진위확인 필요성 대두 됨.
■ 서비스 방법
• 입력한 전화번호로 전화를 걸어 전화번호에 대한 진위확인 하는 방법
• 서버에서 제공한 전화번호로 전화를 걸어 전화번호를 확인 하는 방법
■ 활용예
• 안드로이드 기기와 다르게 iOS 기기에서는 전화번호를 알 수 없지만 서버에서 제공된 전화번호를 통해 전화번호 확인 가능
• 전화번호(휴대전화번호 , 일반전화번호 등) 등록 시 모든 전화번호 진위 확인 가능(SMS 인증은 휴대전화만 가능)
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 – 로그인 서비스
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 – 뱅킹 서비스
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 – 접근통제 서비스
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
2채널 전화인증 서비스 적용 업무 예시 - 금융기관
씽크콜 서비스
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 서비스 – 타 인증 수단 대비 경쟁 우위 요소
구 분 전화인증스마트폰앱 인증
OTP 공인인증서 SMS PC지정 생체인증
인증 방법전화기에
직접 입력 (2채널)전화기에
직접 입력 (2채널)PC에 입력(1 채널)
PC 에 입력(1채널)
PC 에 입력(1채널)
PC에 입력(1채널)
지문,음성,홍채
분실 및 미소지시
예비전화로 인증 인증 불가 인증 불가 인증 불가 인증 불가 인증 불가 인증 불가
불법 도용 인지 가능 불가능/가능 불가능 불가능 가능 불가능 불가능
이상징후 신고 가능 불가능 불가능 불가능 불가능 불가능 불가능
지원 가능 범위일반전화,
스마트폰, 피쳐폰등 제한 없음
일반전화, 피쳐폰 등앱이 설치 불가능한핸드폰 지원 불가능
공용 OTP의 경우
공통 사용 가능
범용 공인인증서의 경우
공통 사용 가능일반전화 불가능 PC
인증 수단 장애인 경우불가능
인증 수단 구매(구축 비용)
기 보유 매체 사용 스마트폰 구매 OTP 구매 공인인증서 구매기 보유 매체
사용기 보유 매체
사용기 보유
인증 정보 사용
Plug-in (Active-X)설치 여부
없음 앱 설치 없음 공인인증 모듈 설치 없음 설치 생체인식 장치 필요
인증번호정책설정가능여부
가능(2~8자리 까지정책설정 가능)
불가능(6자리)
불가능(6자리)
가능(8자리 이상)
불가능(6자리)
불가능가능
(시스템에 따라)
보안 이슈등
없음앱도 Application이므로 해킹 가능
OTP 대기시간, 중간자 공격 등
보안 취약
유출, 도용피해 사례 심각
인증 대기시간, 중간자 공격 등
보안 취약해킹에 취약
인증 우회 또는PC 단말에 연결되어
운영되므로, 보안 취약개인정보 보호 이슈
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 서비스 – 타 전화인증 업체 대비 경쟁 우위 요소
별정통신사업자로서 책임감 있는 신뢰 서비스 제공 2채널 유무선 전화망을 이용한 원천특허 보유 (매체, 인증 절차, 인증 행위 등의 내용 포함)
- OutBound 기반의 최적화 및 서버 Side 인증 기술 등
7x24 씽크콜 인증서비스 제공
- (이중화 및 DR센터 보유 – 통신사 이중화 : LGU+ 가산 IDC, 상암 IDC 센터)
7x24 ARS 서비스 제공 (이중화 및 DR센터 보유 – 통신사 2중화 : SK텔링크)
- 일일 500만건 인증 처리 수용 능력 보유
시스템, 장비, 인력의 효율적 관리 및 운영을 통해 합리적 인증시스템 서비스 제공 가능
기존 고객사 시스템 (FDS, 서버보안 솔루션, SAC 등) 과의 연동 I/F 제공
Outbound 기반의 최적화된 전화인증 서비스 제공
- 일반적인 콜센터의 경우 Inbound 용 서비스 제공
10년 이상 축적된 경험과 Know-how를 바탕으로 지속적인 기술개발 진행
- 자체 개발팀 및 인프라 관리 전담 조직 운영
- 인증 요청 후 3-4초 다이얼링 제공
패키지 기반의 빠른 프로젝트 구축 및 운영 시스템 제공
풍부한 프로젝트 구축 및 운영 Reference 보유
- 금융 : 국민은행, 우리은행, 농협, 기업은행 등 금융기관 95% 시장 점유
- 게임사 : NCSoft, 네오위즈게임즈, CJ E&M, 엠게임 메이저 게임사 90% 시장 점유
- 기업 등 : 안전행정부, 현대모비스, 이베이코리아 등 서비스 제공
저작권 및 서비스요건 충족
안정적 시스템 운용
우수한 기술력
프로젝트 구축 및 운영 능력
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 서비스 – Reference
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
2. 사업 내용 (주요사업 내역 - 계속)
씽크콜 서비스 – Reference (계속)
Ⓒ 2015, thinkAT, Inc. ALL Rights ReservedthinkAT Confidential
Think AT
Security
Technology
Arrangement
Revolution
STARThink AT
Think AT
Thank You For your Attention
Presented by
Two –Channel Security Solution
로그인 서비스 뱅킹 서비스 접근통제 사전승인
This document contains confidential and proprietary information belonging to thinkAT. Inc,
Which may be used only in connection with the business of thinkAT, Inc.