당사 월렛 보안 대책
당사(Bitwallet Service Group)는 고객님의 소중한 자산을 보관하는 서비스 운영자로서 온라인・오프라인을 융합한 최고 수준의 보안 대책과 편리함을 겸비한 서비스 실현을 위해 항상 연구 개발에 힘쓰고 있습니다. 당사에서는 보안과 사용자 마인드가 그 어떤것보다 중요한 서비스의 근간이라는 것을 모든 운영 사원에게 철저한 의식을 심고 있으며, 항상 최신 보안 대책 검증에 임하고 있습니다.
또한 세계적인 월렛 서비스임을 자각하고 부정 대책에 적극적으로 임하여 AML(안티・머니・론더링)・KYC(본인인증)등의 정책에 대해서도 세계 기준의 운영체제를 도입하고 있습니다.
여기에 당사 보안 대책의 일부를 공개합니다.
사이버 보안 위협은 개인의 금융 자산을 위험에 빠트립니다. bitwallet은 보안 대책을 최대 중점 과제로 인식하고, 고객님의 소중한 자산을 위협으로부터 지키는 데 최선을 다하고 있습니다.
따라서 bitwallet은 국제적으로 업계 최고 수준의 보안 대책을 실시합니다. 구체적으로는, 미국 대통령령 "중요 인프라의 사이버 보안을 향상시키기 위한 프레임 워크"에 의거, 보안 및 복원력을 향상시키기 위한 위험 관리 원칙 및 모범 사례를 적용합니다.이것은 미국 국립 표준 기술 연구소(NIST)가 정한 정보 보안 대책의 프레임 워크이며, 프레임 워크 코어, 프레임 워크 인프레메이션티아, 프레임 워크 프로필의 3개로 구성됩니다.
프레임 워크 코어
프레임 워크 코어는 특정 · 방어 · 탐지 · 대응 · 복구의 5 개의 프로세스로 구성되어 있습니다.
1. 특정
(1) 자금 보관 (후견인) 업무를 통해 고객님의 자산의 분리 관리
bitwallet는 고객님의 소중한 자산을 전력으로 보호합니다. 고객님의 통화 등의 자산은 bitwallet가 관리하는 자산과 분리하여 관리하고 있으므로 안전합니다.
(2) 상위 금융 상품 거래업자 수준의 관리 체제
보안 시스템만으로는 충분하지 않습니다. 상위 금융 상품을 취급하는 자라면, 조직 및 프로세스 정비가 없어서는 안됩니다. bitwallet은 상위 금융 상품 거래 업체로서 보안 프레임 워크를 정비했습니다. 이로써 이상을 감지하면 즉시 원인을 규명하고 복구할 수 있도록 복구 프로세스를 명확화하고 있습니다. 또한 이 과정의 적용과 개선에 노력하고 있습니다.
2. 방어
2.1 암호화기술 도입
(1) SSL 도입
bitwallet는 SSL을 도입하여 암호화하고 있습니다. 또한 SSL이란 면허증과 같은 본인 확인이 가능한 전자 버전의 인증서입니다. 암호화함으로써 웹사이트의 신뢰도가 높아지고 있습니다.
(2) SSL-VPN 도입
가상 전용 네트워크에서는 SSL-VPN을 도입하여 데이터를 암호화하여 전송하고 있습니다. 가상 전용 네트워크의 통신 데이터를 암호화하여 제3자에 의한 조작이나 도청을 방지하고 있습니다.
2.2 파이어월에 의한 방어
(1) 파이어월
컴퓨터 바이러스와 해킹 등 보안상 위협은 다양합니다. 이를 방지하는 수단으로 패킷을 감시하고 수상한 패킷을 차단하는 파이어월을 설정했습니다.
(2) 웹 애플리케이션 파이어월
또한 웹 애플리케이션 파이어월을 이용하여 웹 애플리케이션의 취약점을 악용한 공격으로부터 웹 애플리케이션을 보호하고 있습니다. 이에 따라 취약점을 악용 한 공격을 탐지하고 차단합니다. bitwallet의 WAF는 전용 기기, 소프트웨어, 서비스의 3가지 패턴을 설정하여 방어하고 있습니다.
(3) IP Anycast 도입
서비스를 방해하는 방법으로, DoS (Denial of service) 공격이 있습니다. 이에는 대량으로 메일을 보내는 mail bomb와 대량의 Ping 명령을 쓰는 ping flood 등 다양한 공격이 있습니다. 또한 DoS 공격을 분산하여 수행 DDoS 공격도 있습니다. 이러한 DoS 공격과 DDoS 공격에 대해 bitwallet는 IP Anycast를 도입하여 요청을 분산시키고 회피하고 있습니다.
(4) 침입 탐지 시스템 (IDS)
단시간에 많은 접속 요청을 한 경우 파이어월만으로는 공격 패킷을 확인할 수 없습니다. 그래서 bitwallet는 침입 탐지 시스템(IDS)도 채용하고 있습니다. 침입 탐지란 네트워크 보안 위협을 탐지하는 시스템을 말합니다.bitwallet는 무단 침입을 감지하는 방법으로, 네트워크형 및 호스트형의 2가지로 블록하고 있습니다. 네트워크 유형은 네트워크상 패킷을 모니터링하여 패턴을 대조하면서 무단 침입을 감지하고 있습니다. 호스트 형은 모니터링 대상 서버에 설치하여 파일 조작 등을 감지하고 있습니다.
(5) 통합 위협 관리 (UTM)
파이어월만으로는 수상한 패킷을 통과시켜 버리고 위협을 막지 못할 가능성이 있습니다. 그래서 bitwallet에서는 IDS와 IPS 및 Web 컨텐츠 필터링 등의 여러 기능을 망라한 통합 위협 관리 (UTM)을 도입하고 있습니다. 이로써 여러 위협 탐지를 종합적으로 모니터링하고 있습니다.
2.3 개인 인증
(1) 비밀번호 강도
다른 사람이 유추하기 쉬운 암호를 설정하면 계정이 해킹됩니다. 따라서 bitcoin 등 제3자로부터 유추되기 쉬운 비밀번호는 사용할 수 없습니다. 비밀본호 강도로 영숫자와 기호를 조합하고 충분한 길이를 갖춘 비밀번호인지 확인합니다.
(2) 계정 잠금
단기간에 일정 횟수 이상 비밀번호를 잘못 입력 한 경우, 제3자에 의한 계정 해킹이라고 판단하여, 계정을 잠글 수있게 되어 있습니다. 또한, 본인이 비밀번호를 잊어버려서 계정이 잠긴 경우 계정 잠금 해제 절차가 필요합니다.
(3) 2단계 인증으로 승인 보안 강화
로그인 방식이 비밀번호 단독일 경우, 비밀번호가 제3자에게 노출될 경우 부정 송금 가능성이 있습니다. 그래서 bitwallet는 비밀번호 이외에 보안키를 필요로하는 2단계 인증 프로세스를 도입하고 있습니다. 2단계 인증으로 고객이 설정 한 비밀번호를 해제하고 이를 통과하면 인증 비밀번호를 입력, 이를 클리어하면 로그인 할 수 있습니다.즉, "비밀번호 정보"와 "보유한 단말기로 전송되는 정보"의 두 가지 조건의 성립이 필요합니다. 이는 악의적인 제3자자가 비밀번호를 해킹해도 단말기가 없으면 비밀번호를 알지 못하기 때문에 로그인을 방지 할 수 있습니다. 2개의 벽으로 차단하고 있기 때문에 보안이 강화되어 안전하게 사용할 수 있습니다.
(4) 로그인 기록 관리
로그인 기록은 접속 로그로 서버에 저장하고 있습니다. 따라서 부정 로그인이 판명 된 경우, 접속 로그를 이용하여 분석하고 접속한 시간이나 단말기 등에서 무단 로그인의 원인을 파악합니다.
(5) 자동 로그아웃
로그인 후 PC에서 떨어져 장시간 사용하지 않을 경우 누군가가 무단으로 사용할 수 있습니다. 이러한 위험을 방지하기 위해 로그인 후에 일정 시간동안 사용하지 않으면 자동으로 로그아웃됩니다.
2.4 프로그램 대책
(1) 크로스 사이트 스크립팅 대책
크로스 사이트 스크립팅이란, 웹사이트에 외부에서 임의의 스크립트들을 조합하여 실행하면서 취약점을 공략한 공격입니다. bitwallet에서는 이러한 크로스 사이트 스크립팅 대책으로서 세니타이징 처리를 실시하고 있습니다. 즉, 입력 데이터에서 위험한 문자를 바꾸거나 제거함으로써 무력화하고 있습니다.
(2) SQL 인젝션 대책
SQL 인젝션은 외부에서 SQL 문을 실행하여 데이터베이스를 무단으로 조작하여 취약점을 공략한 공격입니다. bitwallet에서는 이러한 SQL 인젝션 대책으로서 바인드기구의 사용이나 이스케이프 처리를 실시하고 있습니다. 이것은 특별한 의미를 가진 기호를 일반 문자로 대체하고, SQL 문이 실행되지 않도록 하는 대책입니다.
(3) 크로스 사이트 리퀘스트 포 젤리 대책
크로스 사이트 리퀘스트 포 젤리란, 덫을 쳐서 사용자의 요구로 속여 리퀘스트(요청)을 보내 취약점을 공략한 공격입니다. bitwallet는 문제의 원인이되는 취약점을 만들지 않도록 안전한 코딩 약정을 제정하여 준수하고 있습니다. 또한 정기적으로 보안 감사를 실시하고 있습니다.
(4) 블루 드 포스 공격 대책
블루 드 포스 공격이란, 무차별 공격이라고 불리며, 많은 비밀번호를 입력하며 돌파하는 방법입니다. 이에 대해서는 위의 개인 인증 조항에 명시되어 있습니다만, 강력한 비밀번호 설정, 2단계 인증, 일정 횟수 이상 잘못 입력한 경우 계정 잠금 등 다양한 방법으로 막고 있습니다 .
(5) 비밀번호 저장시 암호화
고객이 입력 한 비밀번호를 데이터베이스에 저장할 경우 암호화하고, 솔트 처리 하고 있습니다. 솔트 처리란, 비밀번호에 프로그램에서 문자열을 부여하고 저장하는 방법입니다. 이렇게하면 데이터베이스의 비밀번호 정보를 해킹 당하더라도 해독할 수 없게 되어 있습니다.
(6) 등록된 IP 주소 이외의 조작 제한
bitwallet은, 등록된 IP 주소가 아니면 결제 수속을 할 수 없도록 되어 있습니다. 따라서 제3자가 다른 단말기에서 무단 조작을 해도 IP 주소 제한에 의해 차단됩니다.
2.5 운용
(1) 셀카 제출
신분증, 주소 증명서 외에 셀카 이미지 제출을 부탁하고 있습니다. 셀카는 최근 구미 각국에서 도입된 온라인상의 본인 확인 수단입니다. 이에 따라 온라인으로도 대면 인증에 가까운 본인 확인이 가능합니다.
(2) 우편 또는 SMS로 인증
카드 결제 한도를 높이기 위해 우편 또는 휴대폰 번호로 SMS를 보내 인증을 실시하고 있습니다. 고객님이 등록하신 휴대폰 또는 주소에 랜덤으로 숫자를 보낸 후, 일정 시간 내에 그 숫자를 사이트에 입력하여 본인 확인을 할 수 있습니다.
(3) 출금 은행 계좌 정보 확인
고객님이 등록하신 은행 계좌 정보에 은행 및 지점명, 또는 계좌 번호 등 잘못된 부분이 없는지, 사람이 직접 눈으로 매번 확인하고 있습니다.
(4) 은행 입금시 송금처 확인
은행 송금에 의한 입금시에는, 송금처 계좌 정보를 확인하고, 경우에 따라서는 송금 명세서 제출을 요구하는 등 정당성을 확인합니다. 송금자 이름란에 사용자 각각에 할당된 계좌 식별 번호 (계좌 ID + 3자리 숫자)를 입력하시는 방법으로 본인 인증을 실시하고 있습니다.
(5) 외부 기관 데이터베이스에 의한 부정 이용 사용자의 확인
악용을 목적으로 한 사용자의 이용을 방지하기 위해, 외부 기관의 데이터베이스와 연계하여 매일 체크를 실시하고 있습니다. 악성 사용자를 감지하면 즉시 이용 정지 등의 조치를 취하고 다른 사용자에게 피해가 발생하는 것을 방지합니다.
(6) 적절한 환불・출금 대처
머니 론더링과 신용 카드의 부정 이용 방지의 관점에서, 환불이나 출금시에는 과거의 거래 내역을 확인하고 사람이 직접 눈으로 정당성을 확인합니다. 만일 도난 카드 등에 의한 입금이 발생한 경우에도 인출 측에서 검사를 실시하는 것으로, 자금의 손실을 방지 할 수 있습니다.
3. 감지
(1) 서버 진단
서버에 이상이 발생했을 경우, 정기적인 자동 진단으로 비상콜이 발동되어, 전체 시스템이 강제 종료되며 피해를 최소화합니다.
(2) 고객 관리 정보 DB 암호화
고객님의 개인정보는 데이터베이스에 저장할 때 암호화합니다. 데이터베이스 내용을 해킹당한 경우에도, 개인정보를 해독할 수 없도록 되어 있습니다.
(3) 자체 트랜잭션 부정 감지 모니터링 서버의 도입
퍼블릭 블록 체인은 여러 노드(중계점)에서 네트워크가 형성됩니다. 이것은 개방적인 환경이기 때문에 누구나 네트워크에 참가할 수 있습니다. 또한 사용자가 편안하게 처리 할 수 있도록 노드의 처리 작업과 성능을 모니터링할 필요가 있습니다.bitwallet은 감시 전용 서버를 설치해, 각 노드의 정보를 수집하고 실시간으로 감시 및 로그 저장을 합니다. 이로써 항상 노드를 감시하고, 잘못된 노드가 없이, 노드가 처리하는 작업과 성능을 확인하고 있습니다. 따라서 노드 간 트랜잭션을 확인하고 무단 접속이나 트랜잭션이 있는 경우는 그것을 조기에 발견하고 조치 할 수 있습니다.
4. 대응
(1) 사고 대응 방안 수립
보안 사고 발생시 신속하게 대응할 수 있도록 사고 대응 방안을 수립하고 있습니다. 이에 의거해서 해당 설명서의 작성 및 사고 발생을 가상한 예방 교육을 실시하고 신속하게 대응할 수 있도록 하고 있습니다.
(2) 인시던트 분석
bitwallet은 개발 과정에서 충분한 테스트 검증을 실시하고 있습니다. 또한 출시 후 내부 보안 검사를 지속적으로 실시하고 있습니다. 만일 보안에 허점이 발견 된 경우는 신속하게 원인을 파악합니다.
5. 복구
(1) 복구 계획 수립
보안 사고 발생시 신속하게 대응할 수 있도록, 사고 복구 계획을 수립하고 있습니다. 사고 발생시, 이 사고 대응 설명서에 따라 대응합니다. 설명서에는 대응 흐름과 대응시의 조작 방법이 명기되어 있으며, 신속하게 복구 할 수 있도록 해 두었습니다.
(2) 많은 보안 기술자들로 인해 안전성을 향상시키고, 새로운 위험에 항상 대응
bitwallet은 암호화에 능통한 보안 전문가 등 다양한 전문 기술자를 내부에 배치하고, 최신 기술 도입을 추진하고 있습니다. 이로 인해, 예기치 않은 새로운 위험에 대응할 수 있는 체제를 갖추고 있습니다.
(3) 보안 대응 프로세스 개선
타사를 포함하여 보안 사고가 발생한 경우, 그 연구 결과를 데이터베이스에 저장하고 당사 전원이 정보를 공유 할 수 있도록 했습니다. 또한 대응 설명서도 개선하고 있습니다. 다양한 보안 공격에 대응할 수 있도록 대응 프로세스를 매일 개선하고 있습니다.
프레임 워크 인플메이션 티아
티아(등급)는 보안 위험을 관리하기 위해 어떤 프로세스를 실시하고 있는지의 기준을 보여줍니다. bitwallet에서는 높은 티아을 목표로 프로세스를 개선하고 있습니다.
1. 위험 관리 프로세스
bitwallet에서는 보안 위험 관리 대책은 경영진에 의해 승인 되며, 정책으로써 자리 매김하고 있습니다. 따라서, 보안 대책에 대해 최우선으로 노력합니다.
2. 통합 리스크 관리 프로그램
bitwallet에서의 보안 위험 관리는, 시스템 보수 부문뿐만 아니라 조직 전체의 노력으로써 자리 매김하고 있습니다. 따라서, 사이버 보안 정보를 모든 직원이 공유하고, 위험 관리 프로그램에 전원이 참여합니다.
프레임 워크 프로필
bitwallet에서는 프로필에 현재의 보안 수준, 목표로하는 보안 수준, 위험 허용도 등을 표시했습니다. 이것은 모범 사례를 고려하여 만들어졌으며, 사이버 보안 위험을 줄이기위한 로드맵을 나타냅니다.
이상과 같이, bitwallet은 미국 대통령령 "중요 인프라의 사이버 보안을 향상시키기위한 프레임 워크" 에 입각해 있으며, 국제적으로 업계 최고 수준의 보안 대책을 갖추고 있습니다.
부칙
개정 내역
Copyright © 2013-2023 Bitwallet Service Group. All rights reserved.
PCI DSS 3.2 Assessed to Bitwallet by ICMS-PCI 0287, a QSA for the Payment Card Industry Data Security Standard Council.