1 / 47

이상금융거래 탐지시스템 구축방안

BIG DATA 기반의 실시간 로그분석을 통한. 이상금융거래 탐지시스템 구축방안. 이상금융거래탐지시스템 기술가이드 충족사항. 2014.7. LogSay 는 사전에 철저한 분석을 통해 기능적 , 정책적으로 준비된 솔루션입니다. 이상금융거래탐지시스템 기술가이드 충족사항. 2014.7. LogSay 는 사전에 철저한 분석을 통해 기능적 , 정책적으로 준비된 솔루션입니다. 1. 사업 개요. 1-1 사업의 배경. “ 소비자 자산 보호 및 전자 금융 사고방지 ”. 기술가이드 대응.

fraley
Download Presentation

이상금융거래 탐지시스템 구축방안

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BIG DATA 기반의 실시간 로그분석을 통한 이상금융거래 탐지시스템 구축방안

  2. 이상금융거래탐지시스템 기술가이드 충족사항 2014.7 LogSay는 사전에 철저한 분석을 통해 기능적, 정책적으로 준비된 솔루션입니다.

  3. 이상금융거래탐지시스템 기술가이드 충족사항 2014.7 LogSay는 사전에 철저한 분석을 통해 기능적, 정책적으로 준비된 솔루션입니다.

  4. 1. 사업 개요 1-1 사업의 배경 “소비자 자산 보호 및 전자 금융 사고방지” 기술가이드 대응 모니터링 시스템 고도화 전기통신금융사기 피해방지 및 피해금 환급에 관한 특별법 금융회사 IT부문 보호업무 이행지침 (2014.6) 전자금융거래법 9조 (2013.5) 이상금융거래 탐지시스템 구축 제2조의5(이용자계좌에 대한 임시조치) ①금융회사는 자체점검을 통하여 이용자의 계좌가 전기통신금융사기의 피해를 초래할 수 있는 의심거래계좌로 이용되는 것으로 추정할 만한 사정이 있다고 인정되면 해당 이용자 계좌의 전부 또는 일부에 대하여 이체 또는 송금을 지연시키거나 일시 정지하는 조치를 하여야 한다. (2013.12) 제9조(금융회사 또는 전자금융업자의 책임) ①금융회사 또는 전자금융업자는 다음 각 호의 어느 하나에 해당하는 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다. 1. 접근매체의 위조나 변조로 발생한 사고 2. 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고 거짓이나 그 밖의 부정한 방법으로 획득한 금융정보를 통해 발생하는 이상금융거래를 조기에 탐지.분석하여 신속하게 대응할 수 있도록 이상금융거래 탐지시스템을 구축.운영하여야 한다. - 탐지된 이상금융거래의 확인 과 조치 - 침해사고대응기관에 정보제공 등 공유체계 - 정보공유분석센터(ISAC)를 통한정보공유 - 구축 시 내부통제

  5. 1. 사업 개요 1-2 사업의 특성 카드사나 보험사와 달리 금융거래는 실시간성, 거래/매체/관점이 다양한 구조로 인하여 카드사기방지시스템이나 보험사기예방시스템과는 다른 특성을 가집니다.

  6. 1. 사업 개요 1-3 사업의 범위 이용자가 전자금융거래를 이용할 때 이용하는 금융 거래 이용환경과 금융 거래 패턴, 거래 사전 행위들이 정상적인 범위를 벗어난 비정상적인 금융 거래 (한국정보통신기술협회-TTAK,이상금융거래 탐지 및 대응 프레임워크) “ Behavior Profiling 기반 실시간 Risk 탐지 체계 구현 ” “ 금융시스템의 모든 채널을 이용하는 금융거래정보의 수집.분석이 가능한 시스템 ” 금융거래 이용환경 분석 금융거래패턴 분석 거래사전 행위 분석 • 접속환경 • OS, IP,MAC, 접속시도, 접속장소, • 실패횟수 등 • 보안환경 • 보안솔루션, 암호화, 매체, 다중접속등 • 거래내역 • 출금액, 출금횟수, 출금시간, 수수료, • 이체대상계좌, 최종거래일 등.. • 사용내역 • 누적 사용액, 사용 횟수, 특정업종, • 심야 거래.위험업종 등.. • 로그인 • 로그인, 인증서, 기간별, 비밀번호 등 • 정보 • 공인인증서 발급, 폐기, 재발급, • 개인정보. 본인확인,통보매체 등

  7. 1. 사업 개요 1-4 단계별 업무 RNR 분석∙설계단계 구현∙이행단계 운영단계 • 법규 검토 및 침해사고 방지 프로그램 입안 • 피해 방지 및 배상 업무 프로세스 정립 • 벤치마크 사례 분석 및 개선사항 도출 • 탐지 프로세스 수립 및 법규 적합성 검토 • Risk Factor 추출 • Rule 도출 및 개별 Rule의 가중치 설정 • 탐지 시나리오 설정 • 이상 금융거래 시나리오 검증 및 보완 • 표준 룰&셋 정의 • 모니터링 조직 운영계획 수립 • 모니터링 팀 운영 • 통계분석 및 검증 • 룰/시나리오 보완 및 변경관리 • 피해 발생 보고 및 관련 조치 • 관계법 개정사항 검토 및 반영 • 법규 준수 및 내부통제 관련 교육 컴플라이언스 • 장비도입 및 솔루션 설치 • 부하및 성능테스트 • 통합 및 운영테스트 • 성능 최적화 • 장애대응 계획 수립 • 유지보수 계획 수립 • 시스템 인수테스트 • 시스템 인수 • 시스템 운영자 교육 • 시스템 운영 및 유지보수 • 장애대응 • 구축사업 일정 및 사업관리 총괄 • 연계 시스템 환경조사 • 데이터 발생량/포맷 분석 • 네트워크 연동방식 및 방화벽 분석 • 하드웨어 성능 및 용량 산정 IT • 정보보호 실태 모니터링 및 시정조치 • 정보보호 관련 교육체계 운영 • 정보보호 관련 교육체계 운영 • 수집정보의 범위와 관리지침의 정보보호 • 관련 법규 적합성 검토 및 자문 • 탐지 프로세스의 정보유출 위험 검토 및 자문 • 정보보호 관련 교육체계 수립 • 사고조사 및 조치 • 침해사고 대응기관에 정보 제공 • 소송 및 금융 소비자 보호업무 처리 • 심리자료 제출 및 금융거래 정보의 제공 • 감사 관련 정보의 수집 • 탐지시스템에 대한 평가 및 보고 보안 • 사업 감사계획 수립 감사

  8. 2. LogSay 2-1 시스템구성도 LogSay는순수 국내기술로 개발된 “시나리오기반 실시간 이상금융거래 탐지 시스템 입니다. 다양한 과거 행위 이력을 프로파일링하고 실시간으로 비교.분석하여 금융사고를 사전에 예방합니다. 시스템 구성도 인증로그 실시간 모니터링 SMS 전송 VPN 접속로그 이상거래감시 실시간 분석통계 PUSH 전송 개인정보 변경로그 실시간 수집 및 통합분석 2 채널 인증 요청 한도 조회로그 • 실시간 수집 • 에이전트 설치연동 • Syslog,SNMP Trap • FTP,DB연동,MQ등 실시간 패턴 매칭 - 스트림 쿼리 기반 본인 인증 요청 공인인증서 발급로그 고객지원센터 대응 단말기 정보로그 수집/통합 영역 분석/탐지 영역 예방/통지 영역 실시간 압축 및 암호화 저장 실시간 프로파일 매칭 - 고속 풀 텍스트 검색 계좌 이체로그 자동이체 신청로그 - 실시간 분석 - 사용자 정의 대쉬보드 - 대용량 압축 및 암호화 - 손쉬운 시나리오 및 룰 설정 - 이벤트 선후관계 분석 지원 대출 신청로그 실시간 이벤트 연관 분석 - 선후관계 분석 시나리오분석 - 탐지이벤트 조합 카드 신청로그 보안솔루션 실행로그 배치프로파일 생성 다양한 원천 데이터 예약 주기에 따른 프로파일 재 생성 ….

  9. 2. LogSay 2-2 시스템구성도 시스템 구성도 전자금융시스템 이상거래탐지시스템 목표 이미지 수집대상 Legacy • 사용자 정의 Dashboard • Report • 이상거래 질의 I/F Unique Key DBMS 수집 메 시 지 버스 • 로그수집 • EndPoint • Rule Engine • - 패턴 매칭 • - 프로파일 매칭 • - 시나리오분석 • - 이벤트 연관분석 • 분석 • 결과 • 관리 • 이상 • 거래 • 질의 • 처리 • 정형/비정형 • 로그파서 Server • 프로토콜 Under Second Report 룰 & 배치 프로파일러 로그처리 이상거래 탐지 • 바이너리 • 코덱 Appliance Service • SMS 전송 • PUSH 전송 • 2채널 인증 요청 • 본인 인증 요청 • 고객지원센터 대응 • 룰 관리 이상거래 데이터 (분석 로그) Rule Raw/Parsing 데이터 프로파일 • 프로파일관리 Legacy Banking System Legacy 후선 처리

  10. 2. LogSay 2-6 시스템 아키텍쳐 시스템 아키텍쳐 연동 대상 시스템 연동방식 실시간/배치 수집 및 저장 사용자 실시간 분석 1 비정형로그 타 IT 인프라(인사DB …) 관제요원 경보 1 SNMP 보안장비 네트워크 장비(F/W, IPS …) 보고서 실시간로그 수집 2 보안관리자 Real 분석 4 상관분석 DB 1 시스템관리자 단말보안 (APC, MDM ) 이상징후 탐지 원본로그 보존 3 업무담당자 시스템 관리 메타데이터 FTP 1 서버 시스템 (DB, Web …) ※기타 연동방식: sFTP, ASEN, OPSEC LEA, Agent

  11. 2. LogSay 2-7 H/W 구성도 H/W Configurations ★★ 이상거래탐지 H/W 시스템 (권장사양) 이상거래탐지시스템 용량산정 주요 가정 이상거래탐지 H/W 시스템 용량산정 • 로그 발생량 : 50GB/day (6개월간 보관) • LOGSay트랜잭션 처리 성능 : 약 15,000건/sec (권장사양 기준) • LOGSay로그 처리 성능 : 평균 480,492건/sec (IIS 로그 160byte / 권장사양 기준) • LOGSay데이터 압축률 : 약 70%(100GB의 경우, 30GB로 압축 / 저장 시, 압축및 암호화) • LOGSay분석 로그 생성률: 약 10%(100GB의 경우, 10GB 생성 / 5년간 보관) • CPU : 권장사양 준용(‘가정 2)’< ‘가정 3)’) • Memory : 권장사양 준용(‘가정 1)’ * 2 + 시스템 요구 Memory(20GB) < ‘권장사양’) • Disk(시스템) : 권장사양 준용(RAID 1 - Mirrored Volume 적용) • Data • 로그 저장 공간(‘가정 1)’ * ‘가정 5)’)= 50GB/day * 30day/month * 6month * (1 - 70%)= 2,700GB= 약 3TB(소수점 첫번째 자리 올림) // External Storage 저장 • 분석 로그 저장 공간(‘가정 1)’ * ‘가정 6)’)= 50GB/day * 30day/month * 12month/year * 5year * 10%= 9,000GB= 약 9TB(소수점 첫번째 자리 올림) // Internal Disk 저장=> Disk 공간 여유율2TB 추가, 11TB 적용 • 종합 Data 용량(‘식 ①’ + ‘식 ②’)=3TB + 22TB= 12TB(Usable) ★★ 이상거래탐지 스토리지 시스템 • Usable 3TB • RAID 6 & BCV 경우- 1TB SAS/10K HDD 가정- BCV는 RAID 5 가정- 1TB * 4ea * 2 + 1TB * 4ea- 1TB * 12ea Physical Disk 필요- 교체용 HDD1TB *2ea- 총 1TB * 14ea 소요 • NFS/CIFS Support

  12. 2. LogSay 2-8 S/W 구성도 S/W Configurations • LOGSay Server • 통계 및 리포팅 • RPC • CODEC • Netty Network I/O • 이상거래탐지 • iPOJO/OSGi Framework • JDK 7 • 실시간수집 • 저장 • 로그 인덱싱 • LOGSay Agent • Linux64(RHEL/CentOS) • DBMS/syslog/SNMP/Netflow/(s)FTP • JDK 6 • LINUX/UX/AIX/Windows

  13. 2. LogSay 2-9 Net Work 구성 예 DMZ 고객 인터넷 뱅킹서버 스마트 뱅킹서버 모바일 일반PC 텔레뱅킹 서버 SSL 구간 암호화 인터넷 PSTN Binary 인코딩 내부망 ※시나리오 구성시 매체 별로 가중치 다르게 적용 - 텔레뱅킹CD ATM기기 경우 오탐 방지 거래처리 시스템 후선처리 시스템 트랜잭션 서버 범례 ※ 내부망 이외의 시스템에 대해서는 SSL 구간 암호화와 Binary 인코딩을 모두 적용 ※ 운영계 이중화 구성과 개발계 및 테스트계 구성으로 총 4식 필요 Binary 인코딩 운영계/ 이중화 텔레뱅킹 서버 이상거래탐지 서버 개발계 테스트계 외부 수집 내부 수집

  14. 3. LogSay특장점 3-1 One Tool LogSay는빅데이터 수집,저장,분석,시각화의 전 Processor가 하나로 통합 개발 되었습니다. 일반 Stack User Interface, Dashboards, Scorecards, Reports • User Interface • Chart & Report Engine • Rule Engine & Rule Set • Analysis Engine • 암호화 / 압축 / 저장 • 수집 엔진 Lotsof tools Multiple vendors IT driven Months to change One tool One vendor Easy Use Datesto change Query & Reporting tools Rule Engine Analysis Engine Indexing / Parsing layer Integration Layer Gathering Layer 보안/ 네트워크(F/W, IPS …) 타 IT 인프라(인사DB …) 단말보안 (APC, MDM ) 서버 시스템 (DB, Web …) 보안/ 네트워크(F/W, IPS …) 타 IT 인프라(인사DB …) 단말보안 (APC, MDM ) 서버 시스템 (DB, Web …)

  15. 3. LogSay특장점 3-2 순수 국내 자체 기술 LogSay는전 소스가 순수 국내 독자기술로 구축된 빅 데이터 분석 프레임에 “시나리오기반 실시간 이상금융거래 탐지시스템”입니다. 웹 브라우저 FDS_LogSay 로그프레소UI 웹 리소스 로그프레소DB 클라이언트 C#, JAVA 클라이언트 라이브러리 아라크네 웹서버내장 웹서버(comet, 웹소켓지원) 아라크네 웹콘솔 기본 웹서비스 구성요소 아라크네 메시지버스웹소켓RPC 플러그인 시스템 로그프레소 코어로그프레소 시스템 컨트롤 로그프레소 인덱스 고성능 풀텍스트 인덱스 로그프레소 베이스 원격 에이전트 관리 아라크네 RPC 전용 RPC 프로토콜 아라크네 코덱 바이너리 인코딩 Netty 로그프레소 로그스토리지 고성능 병렬 스토리지 확장 아라크네 도메인 개체 모델 공통 데이터 모델 아라크네 로그스토리지 실시간 압축 스토리지 엔진 아라크네 로그 DB 비정형 쿼리 엔진 아라크네 Syslog 시스로그 서버 아라크네 SNMP SNMP 서버 아라크네 Netflow Netflowv5/v9 로그프레소SFTP 원격 SFTP 수집 로그프레소 센트리 원격 에이전트 아라크네 로그 API 실시간 로그 수집 인터페이스 아라크네 iPOJO서비스 컴포넌트 서비스 프로바이더 아라크네 코어 + 설정 DBOSGi R4 애플리케이션 서버

  16. 3. LogSay특장점 3-3 실시간 암호화/위변조 검증 수집된 원본 데이터의 전송부터 파일 저장까지 평문을 노출하지 않고 실시간 암호화를 수행합니다 비인가 조회 불가능 위변조 시도 시 무결성 확인 가능 Network 강도 높은 마스터키를 이용하여 데이터 파일별로대칭키를 생성하고, 마스터키 인증서 파기/교체 시 대칭키 파일만 재암호화 합니다. 전체 과정에서 임시 파일 노출 없이 고속 실시간 암호화가 수행됩니다. Web Server 공격자 암호화된 데이터 App. Server Database PKCS#12 인증서비대칭키 (.pfx) 대칭키파일 (.key) 암호화된 데이터파일 (.dat) 로그프레소센트리

  17. 실시간 블럭 압축된 원본 데이터 유지 • (deflate, snappy 알고리즘 선택) 3. LogSay특장점 3-4 실시간 압축 저장 원본 데이터 포맷을 그대로 보존하면서 고속 실시간 압축 저장을 수행합니다 원본 데이터에 대한 바이너리 인코딩 및 실시간 압축 쓰기 수행 (I/O 비용 감소) • 원본 비정형 데이터 • 아라크네 코덱 지원 타입 Oct 7 20:32:06 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 72.52.98.94#5939: query: logpresso.net IN AAAA - Oct 7 20:32:30 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 216.218.207.130#48281: query: logpresso.org IN AAAA - Oct 7 20:32:35 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 216.218.228.98#36493: query: logpresso.com IN AAAA - Oct 7 20:34:33 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 144.76.95.231#54247: query: araqne.org IN A - Oct 7 20:35:44 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 168.126.63.60#57825: query: wpad.hq.eediom.net IN A -E Oct 7 20:36:11 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 168.126.63.59#45355: query: PC-XERAPH.hq.eediom.net IN A -E Oct 7 20:37:48 6ac2553f-fc02-44c8-baab-cc62ad8396d2 named[6187]: client 218.85.157.4#16590: query: newmets.net IN AAAA -E 블럭헤더 압축된 원본 데이터 아라크네 코덱을 통하여 타입(T)-길이(L)-값(V) 형식으로 바이너리 인코딩된 다수의 레코드를 블럭 단위 압축 (ASN.1 DER과 유사함) 블럭헤더 압축된 원본 데이터 검색/애드혹 쿼리 모드: 낮은 압축률 /고속 검색 위주 설정대용량 배치 분석 모드: 검색 성능이 저하 / 고효율 압축 블럭헤더 압축된 원본 데이터 원본 데이터 암호화 및 블럭 단위 무결성 검증 지원

  18. 3. LogSay특장점 3-5 Under Second 처리시간 LogSay의 LogPresso빅데이터 엔진은 실시간으로 발생하는 정형/비정형 데이터 처리에 있어서 탁월한 성능과 기능을 제공하는 핵심기술로 실시간 분석 및 SMS DB 연동으로 Under Second 분석&통지를 지원합니다 빅데이터 처리 엔진구조 3 in 1 시스템 시스템엔진 구조 빅데이터Viewing 엔진 빅데이터수집엔진 빅데이터분석엔진 Operator CEO, COO, CFO IT Infrastructure • Server • Security • Networking • Application • Desktop • 통합관제 • BI 레포팅 • APP 관제 • 서버 관제 • 네트워크 관제 • 변경관리 • 보안 관제 • 어떤 단어나 조건이든지 • 실시간으로 고속 검색 • 정형, 비정형 데이터를 • 장비에 상관없이 실시간 수집

  19. 3. LogSay특장점 3-6 대용량 배치분석 LogSay의 빅데이터엔진은 멀티코어 성능을 극대화하는 병렬처리로일 기준 PB까지 수집/인덱싱 후 검색/분석이 가능하고수집된 로그의 대용량 배치분석이 가능 합니다. (6개월 이상) AND, OR, NOT 조합된 불린 쿼리 지원 1101010001010100 0110100101010100 1010010100101010 1001010101011100 1001010100010101 고속 구간 탐색 압축된 원본 데이터 (원본 대비 10~25%) 블룸필터 인덱스 (원본 대비 0.05~0.1%) 역 인덱스 (원본 대비 20~30%) 실제사용량 실제사용량

  20. 3. LogSay특장점 3-7 실시간 동적 대시보드 위젯 마법사를 이용한 손쉬운 사용자 정의 실시간 동적 대시보드를 지원합니다.

  21. 3. LogSay특장점 3-8 전문가 설계 LogSay는금융권 전문가를 통한 룰 발굴과 룰에 기반한 룰 엔진을 개발 탑재 하여 업무 적용에 최적화 되어 있습니다.

  22. 4. 룰 분석 엔진 4-1 시나리오 구성전략 LogSay의시나리오와 이벤트는 컴플라이언스기반으로 구성 되었으며, 각각의 변수를 관리모드에서 변경 및 Test 할 수있도록 설계되어 반복형Life Cycle 관리가 용이합니다.(표준 시나리오 기반 Rule 검증 및 수립) 가설 탐지 정책 검증 활성화 사고 패턴 도출 세부 데이터 수집 모니터링 변수 조정 금융감독원 권고사항 단일/복합 룰 구성요소 변수 정의 후처리 정책 세부 룰 별 검증 FFIFC 권고 기준 시나리오 정의 시나리오검증 사고탐지 확인 분석 수정/보안 Report

  23. 4. 룰 분석 엔진 4-2 이상거래 이벤트 탐지 LogSay의구성 시나리오와분석 룰&셋은 고객의 다양한 데이터 유형과 서비스 형태에 따라 유연하게 대응할 수 있으며 다수의 패턴과 실시간 이벤트간 연관분석이 가능하므로 고객사상황에따라 최적화 할 수 있는 구성전략을 제공합니다. 실시간 패턴 매칭 • 데이터의 특정 항목을 패턴 매칭하여 이벤트를 도출합니다. • - 블랙리스트 IP, MAC, 계좌번호, 계정 대조 • - 접속 IP의 국가코드 대조 (예: 중국) • - 보안이 취약한 운영체제 이용 (예: 윈도우 XP) • - 특정 시간대 접속 (예: 새벽 시간대) 실시간 프로파일 대조 • 주기 별로 과거 행위 프로파일 생성 후, • 실시간으로 프로파일과 대조하여 이벤트를 도출합니다. • - 3개월 휴면 계정에서 로그인 • - 6개월 동안 접속하지 않던 IP 주소,MAC 주소, 매체로 접속 • - 6개월 동안 접속하지 않던 국가에서 접속 • - 6개월 동안 이체한 기록이 없는 계좌로 이체 시도 실시간 이벤트 연관 분석 • 사건의 연계 사건의 선후 관계를 대조하여 이벤트를 도출합니다. • - 로그인 후 5분 이내 이체한도 조회 • - 인증서 재발급 후 자동이체 신청 • - 개인정보 변경 후 계좌이체 시도

  24. 4. 룰 분석 엔진 4-3 이상거래 시나리오 탐지 여러 개의 탐지 이벤트를 AND, OR, NOT 연산자로 조합하여 이상거래 시나리오를 구성합니다. 사전환경 비교 후 내장된 시나리오를 즉시 적용하거나 시나리오 관리 화면에서 담당자가 구상하는 시나리오를 정의합니다. 탐지 이벤트 이상거래 시나리오 3개월 휴면 계정 로그인 OR 중국 로그인 AND 이상징후를 보이는 로그인 후 이체 시도 이체 기록이 없는 계좌로 이체 시도 블랙리스트 계좌 사용 거래 차단 계정이나 계좌로 이체 시도 OR 블랙리스트 로그인 계정 사용 공인인증서 재발급 후 이체 시도 공인인증서 발급 후 소액 이체 다수 시도 AND 동일한 계좌로 소액 이체 다수 시도

  25. 4. 룰 분석 엔진 4-4 사고탐지 후처리 절차 사고탐지 후 후처리 절차는 다양한 금융기관의 요구에 변화 적응할 수 있도록 설계되어 부담을 최소화 하였습니다. Auto 사고 이상거래 사고탐지 Yes Yes 사고등록 고객확인 사고 Report 수동 No No 분석 유형분석 정탐 Yes No 정책 수정/보안 No Report

  26. 4. 룰 분석 엔진 4-5 표준준수 LogSay는 TTAK(한국정보통신기술협회)의이상금융거래 탐지.대응 프레임워크를 준수하고 금융감독원의 지침을 성실히 반영한 솔루션 입니다. 정보 수집 및 탐지정책 전달 2 추가인증 요청 거래차단 8 추가인증 정책 적용 금융거래 시도 7 1 금융거래 이용자 이용정보 수집모듈 거래차단 관리모듈 추가인증 모듈 정보공유 분석센터 이용정보 수집 3 9 추가인증 결과 수신 탐지/차단결과 송신 차단정보 저장 거래차단 정책 적용 9 11 10 5 6 탐지정보 공유 모듈 탐지정책 관리모듈 침해사고 대응기관 이용정보 저장소 거래차단 저장소 거래패턴 저장소 탐지정책 전달 탐지결과 보고 8 탐지결과 통계분석 7 이상거래 탐지모듈 탐지 분석정보 수집 4 금융거래 분석 통계분석 모듈 금융거래 분석모듈

  27. 5. 구축 방안 5-1 구축절차 및 소요기간 LogSay구축 프로세스는 5단계를 거쳐 적용됩니다. 비즈니스의 규모, 산업특성, 보안위협의 강약 등 요인들에 따라 차별적 모니터링 체계를 용이하게 적용하도록 설계 되었습니다. 또한 기존 정보보호 인프라를 활용을 통한 효율성 극대화 합니다. M +3 M +1 M +2 M +4 M +5 업무/환경 분석 데이터 분석/설계 설치/데이터 통합 검증화/최적화 운영교육/이관 정책설정/준법감시부서 영역 IT 업무 영역

  28. 5. 구축 방안 5-2 구축절차 및 소요기간 상세 LogSay구축 프로세스는 5단계를 거쳐 적용됩니다. 비즈니스의 규모, 산업특성, 보안위협의 강약 등 요인들에 따라 차별적 모니터링 체계를 용이하게 적용하도록 설계 되었습니다. 또한 기존 정보보호 인프라를 활용을 통한 효율성 극대화 합니다. M +3 M +1 M +2 M +4 M +5 업무/환경 분석 데이터 분석/설계 설치/데이터 통합 검증화/최적화 운영교육/이관 과거 데이터 이관 인터뷰 업무담당자,운영자 하드웨어 성능 및 용량 산정 장비도입 및 솔루션 설치 수집데이터 정합성 검증 장애 대응 절차 수립 연동시스템 환경조사 과거 데이터 패턴 도출 방화벽 구간별 포트 개방 데이터 정규화 검증 시스템 운영자교육 데이터발생량 및 포맷 분석 이상거래 탐지 룰 도출 암호화용 마스터 인증서 생성 마트 통계 정합성 검증 보안 담당자교육 네트워크 연동 방식 분석 이상거래 시나리오 도출 에이전트설치 및 수집 연동 이상거래 시나리오 검증 네트워크 방화벽 구성조사 모니터링 요원 교육 원천 데이터 정규화 원천 데이터 파서 개발 부하 테스트 및 통합 테스트 이상거래 후처리 연동 협의 유지보수 개발자 교육 데이터마트 설계 마트 생성용 ETL 쿼리 개발 장기간 운영테스트 전체 업무 프로세스 정의 Dash-Board 화면 설계 이상거래후처리 연동 개발 성능 최적화

  29. 5. 구축 방안 5-3 권장 서버사양

  30. 6. 확장 & 연계 영역 6. 확장 LogSay의 확장성은 기초 데이터 수집과 UX기반의 유연한 룰 엔진을 기반으로 실시간 분석과 사후분석까지 All in One으로 구성된 강력한 프레임으로 룰 기반의 다양한 확장영역을 제공 합니다. 이상금융거래 FATCA Rule 외부침입 보이스피싱 방지 직원 & 외주 비정상 행위 대포통장 거래 방지 기타 Rule 기반 각종 탐지업무 전반 개인정보보호 모니터링

  31. 7. 주요 화면 7-1 이상거래 징후 탐지

  32. 7. 주요 화면 7-2 내부고객정보 유출탐지

  33. 7. 주요 화면 7-3 룰 템플릿 관리

  34. 7. 주요 화면 7-4 룰 템플릿 관리 조회 편집

  35. 7. 주요 화면 7-5 룰 관리

  36. 7. 주요 화면 7-6 시나리오 관리

  37. 7. 주요 화면 7-7 시나리오 편집 룰 룰 템플릿 패턴 비교 화면 입니다.

  38. 7. 주요 화면 7-8 탐지내역 조회 룰 룰 템플릿 패턴 비교 화면 입니다.

  39. 7. 주요 화면 7-9 조회이상거래탐지 조건추가 룰 룰 템플릿 패턴 비교 화면 입니다.

  40. 7. 주요 화면 7-10 행위 프로파일링 조회 룰 룰 템플릿 패턴 비교 화면 입니다.

  41. 7. 주요 화면 7-11 시뮬레이션 특정한 계정이 지정한 기간 범위 내에서 현재 설정된 이상거래 시나리오에 탐지되는지 확인합니다. 탐지된 모든 시나리오와 기간 내 탐지된 이벤트 목록이 출력되므로 손쉽게 시나리오를 시뮬레이션 할 수 있습니다.

  42. 7. 주요 화면 7-12 매개 변수에 의한 룰 생성 룰 템플릿을 선택하여 매개변수를 입력하기만 하면 이상거래 탐지 룰을 손쉽게 생성할 수 있습니다.

  43. 7. 주요 화면 7-13 블랙리스트 IP IP, MAC, 계좌번호, 계정 아이디에 대한 블랙리스트를 관리합니다. 이상탐지 이벤트 발생 시 자동으로 블랙리스트에 등록되도록 룰을 설정할 수 있습니다.

  44. 6. 주요 화면 7-14 공휴일 관리 법정 공휴일 목록을 별도로 관리하여 휴일 거래를 탐지합니다.

  45. LogSay엔진 특허 및 보도자료 특허 제 10-1112568 실시간 역인덱스 생성 및 검색 기술 전자신문-2013. 6. 20

  46. LogSay엔진 구축사례

  47. 감사합니다. Data Value Creating Group ㈜에이치티원 서울시 구로구 한화비즈메트로1차 505호 T : 02)2621-2180 F : 02)2621-2182 담당 : 이사 황영호 @ oho66@naver.com M 010-5171-1966 for FDS

More Related