보안

보안

사이버 보안이 손상되면 개인 금융 자산에 큰 위협이 될 수 있습니다. bitwallet는 보안 위협으로부터 고객을 보호하기 위한 전략을 지속적으로 구축하고 있습니다.

bitwallet는 중요 인프라 사이버 보안 개선 아래 행정 명령에 명시된 업계 모범 사례 및 원칙을 준수합니다. 이를 통해 bitwallet는 국제 보안 표준을 충족하고 인프라의 탄력성을 향상시킬 수 있습니다. 다음은 NIST(National Institute of Standards and Technology) 프레임워크를 기반으로 하는 정보 보안 조치이며, 프레임워크 코어, 구현 계층 및 프레임워크 프로필의 세 부분으로 구성됩니다.

프레임워크 코어

Framwork Core는 식별, 보호, 탐지, 대응, 복구의 5가지 기능으로 구성됩니다.

1. 식별

(1) 고객 자산의 보관 및 관리 제공

bitwallet에서는 사용자의 자산이 안전하게 보호됩니다. 화폐 등의 자산은 별도로 안전하게 관리됩니다.

(2) 금융기관의 고위관리

고위 금융 기관 딜러는 시스템 자체에 대한 보안 조치를 구현하는 것뿐만 아니라 조직 및 프로세스를 개선해야 합니다. 따라서 bitwallet는 이상 탐지 시 복구 프로세스를 시작할 수 있는 보안 프레임워크를 구현했습니다. 근본 원인을 파악하고 이상 징후를 신속하게 진단합니다. 우리는 이 기능을 구현하고 더욱 개선할 계획입니다.

2. 보호

2.1 암호화

(1) SSL 인증서

bitwallet는 데이터 통신에 SSL 암호화 기술을 사용합니다. SSL은 모든 데이터의 기밀을 유지하면서 플랫폼과 서버 간의 보안 연결을 가능하게 하는 보안 인증서입니다.

(2) SSL-VPN 인증서

당사의 네트워크 서버 SSL-VPN은 모든 데이터가 전송되기 전에 암호화되므로 무단 제3자의 액세스가 데이터를 도용하는 것을 방지하기 위해 암호화되었습니다.

2.2 방화벽 네트워크 보안

(1) 방화벽

방화벽은 네트워크와 인터넷 사이의 필터 역할을 합니다. 방화벽은 악성 코드, 바이러스 등의 위협이 전송되는 것을 방지하여 서버에 보안을 추가합니다.

(2) 웹 애플리케이션 방화벽

bitwallet는 웹 애플리케이션 방화벽(WAF)을 사용하여 시스템을 손상시키거나 데이터를 유출하려는 악의적인 시도로부터 보호합니다. bitwallet WAF는 운영 체제, 소프트웨어 및 서비스에 대한 일반적인 공격 패턴을 차단합니다.

(3) IP 애니캐스트

Dos(서비스 거부) 공격은 쓸모 없는 트래픽으로 사용자 네트워크를 가득 채우려는 시도, 스팸 이메일(메일 폭탄) 및 다중 ping 요청 패킷을 사용한 공격으로 시스템이나 네트워크를 종료시켜 의도한 사용자가 액세스할 수 없게 만드는 시도입니다. . 네트워크 기능을 영구적으로 중단시키는 DDoS 공격도 있습니다. bitwallet는 IP Anycast를 사용하여 요청을 리디렉션합니다.

(4) 침입탐지시스템(IDS)

서버로 여러 네트워크 트래픽이 수신되면 IDS는 의심스러운 활동을 모니터링 및 감지하고 이들 사이에 경고를 발행할 수 있습니다. 시스템은 발견된 악성 활동 및 비정상적인 트래픽에 대해 조치를 취할 수 있습니다. bitwallet는 네트워크 침입 탐지 시스템과 호스트 침입 탐지 시스템의 두 가지 유형의 시스템을 사용합니다. 네트워크 침입 탐지는 인바운드 및 아웃바운드 트래픽을 모니터링하는 반면, 호스트 침입 탐지는 호스트 자체에서 들어오는 악성 트래픽을 식별할 수 있습니다.

(5) 통합 위협 관리(UTM)

UTM은 IDS, IPS, 기타 웹 콘텐츠 등 다양한 보안 서비스와 기능을 통합하여 보안 위협으로부터 bitwallet를 보호합니다.

2.3 신원 확인

(1) 강력한 비밀번호

“비트코인”과 같은 문자만으로 구성된 간단한 비밀번호를 재사용하거나 만들면 취약하고 쉽게 깨질 수 있습니다. bitwallet는 대문자와 소문자, 숫자, 구두점의 긴 조합을 포함하여 해독하기 어려운 강력한 비밀번호만 허용합니다.

(2) 계정 잠금

사용자가 로그인 시도에 여러 번 실패하면 제3자로부터 무단 액세스로 간주되어 계정이 잠깁니다. 비밀번호를 잊어버린 경우 비밀번호를 재설정하세요. 귀하의 계정은 본인 인증을 거쳐야 복구됩니다.

(3) 2단계 인증

제3자의 무단 액세스를 방지하기 위해 2FA(2단계 인증)는 bitwallet에 로그인할 때 추가 보안 계층 역할을 합니다. 사용자는 자신의 계정에 액세스하려면 계정 비밀번호와 자신의 토큰을 사용한 두 번째 로그인이 필요합니다. 이로 인해 잠재적인 침입자가 로그인할 토큰이 없기 때문에 액세스 권한을 얻는 것이 더 어려워집니다.

(4) 로그인 기록 모니터링

일반 위치 및 IP 주소를 포함하여 특정 장치 또는 웹을 통해 로그인할 때마다 로그인 기록이 서버에 저장됩니다. 인식할 수 없는 로그인이 있는지 확인하세요.

(5) 세션 시간 초과

로그인 후 일정 시간 동안 활동이 없을 경우, 무단 접속을 방지하기 위해 자동으로 계정에서 로그아웃됩니다.

2.4 프로그램 조치

(1) 크로스 사이트 스크립팅

교차 사이트 스크립팅은 공격자가 신뢰할 수 있는 다른 웹 사이트에서 취약한 웹 사이트를 공격할 수 있는 보안 공격입니다. bitwallet는 이러한 종류의 공격을 방지하기 위해 삭제되었습니다. 잠재적으로 위험한 데이터는 프로세스 중에 제거되거나 변경되어 실행할 수 없게 됩니다.

(2) SQL 인젝션

SQL 주입은 취약한 오픈 소스 데이터베이스와 통신하는 데 사용되는 프로그래밍 언어입니다. 사용자 정보를 공개하기 위해 서버에 명령을 보냅니다. bitwallet는 입력 삭제 기능을 사용하여 악의적인 명령 실행을 방지합니다. 데이터는 실행 불가능한 SQL 언어로 변경됩니다.

(3) 사이트 간 요청 위조

사이트 간 요청 위조는 사용자가 인증되지 않은 원치 않는 작업을 실행하도록 강제하는 보안 공격입니다. bitwallet는 보안코딩과 WAF를 사용하여 보안시스템을 모니터링하면서 잠재적으로 유해한 공격을 차단합니다.

(4) 무차별 공격

무차별 공격(Brute Force Attack)은 다양한 비밀번호를 해독하여 강제로 계정을 뚫는 시행착오를 거쳐 비밀번호를 해독하는 방법입니다. 제한된 시도 내에 계정이 잠기므로 강력한 비밀번호를 사용하고 2FA를 설정하여 이 공격으로부터 계정을 강화하세요.

(5) 비밀번호 암호화

귀하가 입력한 비밀번호는 암호화되어 데이터베이스에 저장되며, 비밀번호에 솔트(salt)를 추가하여 해싱 과정을 거치므로 읽기가 복잡해집니다.

(6) IP 화이트리스트

bitwallet에서는 화이트리스트에 등록된 IP 주소만 결제 거래를 진행할 수 있습니다. 인식할 수 없는 IP 주소의 사용 및 액세스가 차단됩니다.

2.5 작동 점검

(1) 셀카 제출

신분증, 거주지 증명서, 셀카 제출이 필요합니다. 셀카는 다양한 서구 국가에서 온라인 신원 확인 목적으로 채택되었습니다. 이러한 절차의 확인 목적은 가짜 신원 도용을 방지하는 것입니다.

(2) 메일 또는 SMS 인증

신용카드 한도 상향을 원하실 경우, 인증을 위해 생성된 ID를 메일이나 SMS로 보내드립니다. 정해진 시간 내에 아이디를 입력하시면 인증이 완료됩니다.

(3) 출금계좌 확인

저희 팀에서는 은행명, 지점명, 계좌번호 등 잘못된 계좌 정보가 있는지 매일 확인하겠습니다.

(4) 송금인 계좌 확인

모든 거래정보는 발송 전 확인을 거치며, 확인에 소요되는 추가 시간으로 인해 지연될 수 있습니다. 계좌이체 시 송금인 이름에 계좌식별번호(계좌ID+3자리)를 기재해 주시기 바랍니다.

(5) 부정사용 확인을 외부에 위탁하는 행위

우리는 아웃소싱 서비스를 통해 각 사용자의 일일 사용량을 모니터링하여 무단 사용을 찾아냈습니다.

(6) 탈퇴 및 환불 안내

자금세탁 및 신용카드 오용을 방지하기 위해 당사는 환불 및 출금 거래가 이루어지기 전에 먼저 사용자의 과거 사용 내역을 수동으로 검토합니다. 이렇게 하면 카드 사기를 적시에 막는 데 도움이 됩니다.

3. 감지

(1) 서버 점검

당사 서버에 오류가 발견되면 당사의 자동 서버 점검을 통해 긴급 호출이 활성화되어 모든 시스템을 종료하여 피해를 최소화합니다.

(2) 데이터베이스 암호화

귀하의 민감한 데이터는 당사 데이터베이스에 저장되는 동안 모두 암호화됩니다. 암호화된 데이터는 해독하기 어렵습니다.

(3) 독립적인 사기 탐지 시스템

퍼블릭 블록체인은 다중 노드로 생성된 네트워크입니다. 완전히 개방되어 있어 누구나 네트워크에 가입하고 참여할 수 있습니다. 노드는 프로세스와 성능에 대한 모니터링이 필요합니다. bitwallet는 각 노트의 로그를 저장하면서 실시간으로 정보를 수집할 수 있는 모니터링 서버를 구현했습니다. 이를 통해 노드 간 거래 검증을 통해 사전에 감지된 무단 접근이나 거래에 대해 확인하고 조치할 수 있습니다.

4. 응답

(1) 비상계획

보안 오류를 해결하기 위한 비상 계획이 마련되어 있습니다. 보안 실패를 모방한 광범위한 시나리오 기반 문제를 통해 대응책과 예방이 효율적으로 공식화되고 실행됩니다.

(2) 사건 분석

bitwallet는 개발 과정에서 수많은 검증 테스트와 분석을 거쳤으며, 출시 후에도 지속적으로 보안 점검을 실시할 예정입니다. 점검 과정에서 보안 허점이 발견될 경우, 팀에서는 신속하게 문제를 찾아 수정하기 위해 노력할 것입니다.

5. 복구

(1) 복구 계획

복구 계획은 보안 오류를 해결하기 위해 마련되어 있으며 복구 시간을 단축할 수 있도록 문제 해결 매뉴얼에 기록된 광범위하고 세부적인 단계를 기반으로 실행됩니다.

(2) 엔지니어링 팀은 안정성을 개선하고 새로운 위험에 대한 솔루션을 마련하기 위해 지속적으로 노력하고 있습니다.

bitwallet 팀은 최신 기술로 예상치 못한 위험에 맞서 싸우는 암호화 전문가, 전문 개인 및 숙련된 엔지니어로 구성됩니다.

(3) 보안 대응 프로세스 개선

여러 회사 간 공동 보안 장애가 발생한 경우, 해당 정보는 데이터 통신 개선을 위해 공유를 위해 저장 및 보관됩니다. 또한, 보안 침해에 대응하기 위한 대응 프로세스를 지속적으로 검토하고 개선하고 있습니다.

구현 계층

계층은 조직이 핵심 기능을 구현하고 위험을 관리하는 방법을 반영합니다. bitwallet는 강화된 관리 프로세스로 최고 수준 달성을 목표로 합니다.

1. 리스크 관리 프로세스

bitwallet에서는 보안위험 관리방안을 경영진의 승인을 받아 정책으로 수립합니다. 우리 팀은 보안 조치를 최우선으로 다룰 것입니다.

2. 통합 리스크 관리 프로그램

bitwallet 전 직원은 사이버보안 정보와 관련된 위험관리에 참여합니다.

프레임워크 프로필

bitwallet가 사이버 보안 위험을 줄이기 위한 로드맵을 수립하고 현재 상태, 원하는 목표 상태 및 위험 관리 프로세스를 설명하는 데 도움이 되는 프로필입니다.

bitwallet는 미국 행정 명령인 "중요 인프라 사이버 보안 개선을 위한 프레임워크"를 기반으로 하며 국제적인 관점에서 업계 모범 사례를 결합합니다.

---

추가 조항

표시된 요금은 2018년 7월 1일부터 적용됩니다.

개정

2.5 운영 점검(1) 셀카 제출이 2018년 8월 1일에 개정되었습니다.
1. 식별방법이 2022년 1월 21일 개정되었습니다.