SK_MOUSE 개발일기

서론 FDS개발자가 말하는 FRAML로 나아가는 미래에 대한 개인적인 견해 카드사 FDS담당업무를 맡은지 오래되지는 않았지만, 들어온 역사는 기존 10여년전 FDS(이상거래탐지시스템)에 비해 현재는 그 규모가 점점 커지고있다. 이러한 양상에 더불어, 가상화폐의 등장과 금융 도메인의 확대로 AML(자금세탁방지시스템)의 중요성도 커지고 있다. 2개의 시스템은 룰탐지/AI기반 스코어링 정보를 바탕으로 사전예방/사후탐지하는 업무 프로세스를 공유하고 있다. 필자의, 개인적인 견해로는 FDS를 활용하는 은행/카드/증권/가상화폐거래소 등의 도메인에서 위 FDS+AML의 업무는 합치되, 멀티모듈을 넘어서 MSA기반의 아키텍처와 퍼블릭클라우드/API활용을 적극적을 반영하여 설계를 할 필요성을 느낀다. 이를 바탕으로 부하..

*본 글에 앞서, 사내 업무 보안 내용을 준수하였으며, 대외적인 FDS 관련 구글링 및 금융 지식을 바탕으로 본 글을 작성함을 밝힙니다. 1. FDS란? : Fraud Detction System(금융업에서는, '이상거래탐지 시스템'으로 주로 일컫는다.) 흔히, 필자는 FDS를 일반인들에게 설명할 때 이해를 위해 아주 극단적인 예시로 설명하곤 한다. 예를들어, 80대 할머니가 새벽1시에 아프리카티비같은곳에서 별풍선 100만원어치를 충전했어. 그럼 이상한 거래임을 일반적으로 알잖아? 그걸 차단하는 시스템이라고 가볍게 이해해보자. 위와 같은 말로 좀 유머스럽게 설명하곤 한다.. #확장 은행으로 치면 출입금, 카드로 치면 결제승인, 증권으로 치면 매수매도 등을 FDS의 예시로 떠올릴 수 있을 것이다. 물론, ..

참고 유튜브링크 목표: 1. Spring Boot에서 기본 로그설정인 Logback을 Log4j로 바꾼 후 취약서버로 만든 후 공격을 시도합니다. 2. Log4j2 취약점을 이용해 웹서버에 악성 요청 보낼 경우 웹 서버에 어떤 일이 일어나는지 확인합니다. 3. log4j2의 버전을 올려서 방어가 되는지 확인합니다. spring-boot initializer로 아래와 프로젝트를 같이 만들어준다. 더보기 더보기 더보기 소스코드 보기 HomeController.java @RestController public class HomeController { Logger log = LoggerFactory.getLogger(HomeController.class); @RequestMapping("/") public St..

암호의 3요소 기밀성(Confidentiality) 무결성(Integrity) 인증(Authentication) 1. 단방향 암호화 방식 : 무결성을 위한것(돌이킬 수 없음) ex) md5 , sha : 해쉬 알고리즘 => 어떤 키가 조작되었는지를 확인할 수 있음. 2. 양방향 암호화 방식 : 대칭키(1개의 키) vs 비대칭키방식(2개의 키 for 암호화용&복호화용) 2-1. 대칭키=비밀키 ex) AES : 하나의 키를 이용해 암호화/복호화 하는방식 2-2. 비대칭키=공개키방식("공개키" + "비공개키" ex) RSA : 하나의 키로 암호화시, 나머지 다른키로 복호화 A의 공개키를 모두에게 공유. A의 공개키로 암호화 한 파일을 A는 비공개키로 복호화해서 본다. 전자서명 : RSA+Hash를 섞어서 써서..