최신 소셜 엔지니어링 공격
기업 뱅킹에서의 소셜 엔지니어링 사기는 중소기업 및 대기업을 대상으로 현금 및 신용 관리, 자산 관리 및 인수와 같은 영역에서 사기성 디지털 운영 및 거래를 수행하도록 설계된 광범위한 악의적 조작 행위를 일컫는 용어입니다.
소셜 엔지니어링(컴퓨터 기반) 공격이 특히 유해한 이유는 시스템 취약성 대신 오해, 일상, 지나친 신뢰와 같은 오류에 취약한 인적 요소를 악용한다는 점입니다.
디지털 세계에서 금융 기관을 대상으로 가해지는 최근 소셜 엔지니어링 공격에는 다음과 같은 시도가 있습니다.
- 위임받은 계정 소유자 및 서명자를 사칭하여 대신 사기 활동을 수행합니다.
- 위임받은 사용자가 서명하면 운영의 내용 또는 목적을 수정합니다.
젬알토 PKI 소프트웨어 제품군에는 기존 PKI 인프라를 위해 더 많은 방어 기능을 개발할 수 있는 보완 솔루션이 포함되어 있습니다.
인증. 암호화. 서명. 모든 폼 팩터에서.
탈레스 젬알토 PKI 솔루션은 기업 자산을 안전하게 보호합니다.
이 솔루션은 기업 뱅킹을 지원하며 소매 은행 고객을 위해 개발된 디지털 뱅킹 보안 솔루션을 보완합니다.
서명 내용 이해(UWYS)
젬알토 스와트는 고객과 자회사에 eBAM(전자 은행 계좌 관리), ACH(자동 이체 처리 기관) 활동, 송금 및 은행 간 결제에 업계 최고의 보안을 제공하고자 하는 기업 은행을 위한 하이엔드 솔루션입니다.
젬알토 스와트 리더기는 서명 기기로, 기존 PKI 시스템에 통합되어 모든 PKI 서명 작업 과정에서 상황별 제어 및 장치 인증을 제공합니다.
이 솔루션을 통해 금융 기관은 모든 민감한 작업을 컨텍스트 설명과 연결하여 내용(참조: WYSIWYS)과 작업 목적(참조: UWYS) 모두의 무결성을 보장할 수 있습니다.
"350달러에 해당하는 52건의 거래에 일괄 서명"하는 경우를 예로 들어보겠습니다.
서명자에게 UWYS(Understand-What-You-Sign) 경험을 제공하여 사용 편의성과 이동성을 보장하는 동시에 최첨단 MitB(Man in the Browser) 및 소셜 엔지니어링 공격을 완화합니다.
젬알토 스와트 리더기
이 서명 기기는 기존 PKI 시스템에 통합되어 모든 PKI 서명 작업 과정에서 상황별 제어 및 장치 인증을 제공합니다.
- 임베디드 보안 요소 처리 기기 인증 및 표시된 텍스트 서명
- 보안 PIN 입력
- 대표적인 목적을 설명하는 대형 디스플레이
- USB 또는 BLE 연결
- PC, 휴대기기 및 태블릿 지원
젬알토 eToken 5300
직원들에게 편리한 솔루션을 유지하면서 보안 수준이 높은 PKI를 배포하고자 하는 기업에 이상적인 솔루션입니다.
- 존재 감지 기능을 갖춘 컴팩트한 위변조 방지 USB로 3단계 인증(3FA) 생성
- 디지털 서명, 이메일 암호화, 부팅 전 인증과 같은 고급 인증서 기반 애플리케이션
- VPN, 웹 포털 및 보안 네트워크 로그온에 대한 안전한 원격 액세스
- 미니 또는 마이크로의 두 가지 크기
젬알토 eToken 5300은 기존 PKI 시스템을 개선하기 위한 3단계 인증 스마트 토큰입니다.
보이는 대로 서명(WYSIWYS)
WYSIWYS는 전자 문서와 디지털 서명의 무결성을 가시적으로 보장하는 방법을 의미합니다.
사실 서명자는 자신이 디지털 서명하는 내용을 실제로 볼 수 없습니다.
전자 문서와 전자 서명이 표시된 형태만 볼 수 있습니다. 이 프로세스는 디지털 서명 구현의 기반이 되는 기술 때문입니다. 문서와 서명은 비트의 집합일 뿐입니다.
그렇다면 서명자는 브라우저에서 읽은 메시지가 올바른 출처에서 온 진짜 메시지라는 것을 어떻게 확신하고 표시된 내용에 동의할 수 있을까요?
완전히 '보고 이해하는' 서명 경험.
주요 브라우저 공급업체들이 추진하는 새로운 웹 확장 기술인 젬알토 Websigner를 통해 스와트 솔루션은 최신 Chrome, Firefox, Edge 브라우저에서 완전한 웹 기반 WYSWYS 및 UWYS 서명 경험을 제공할 수 있습니다.
스와트 디바이스에는 보안 PIN 입력(SPE)이 가능한 표준 PIN 패드가 있으며 PKI 스마트카드를 사용하여 일반적인 암호화 작업을 수행할 수 있습니다.
또한 스와트 기기를 사용하면 서명자가 서명 요청을 받은 내용을 정확히 파악할 수 있어 특정 소셜 엔지니어링 공격을 완화할 수 있습니다.
이 기능은 세 가지 기능에 의존하는 UWYS 개념입니다.
- 보안 PIN 코드(PIN 로그인 악성 프로그램 및 리플레이 방지)
- WYSIWYS를 통해 사용자가 보고 확인한 내용을 은행 PKI 서명 제어와 동기화하여 제어(MitB 및 MitM 방지)
- 서명자가 상황을 제어하는 UWYS 방식(사용자를 속이기 위한 소셜 엔지니어링 및 HTML 삽입 방지)
IAM Trends
75% of decision-makers surveyed in our research study conducted by Enterprise Strategy Group said legacy identity tech is holding back innovation.
