서브메뉴
검색
본문
Powered by NAVER OpenAPI
-
-
POS 시스템 해킹과 방어 (개인 신용정보 유출 방지를 위한 안전한 결제 시스템 구축)
저자 : 슬라바 곰진
출판사 : 에이콘출판
출판년 : 2015
정가 : 40000, ISBN : 9788960777262
책소개
이 책은 무수히 많은 보안 관련 서적에서 지금껏 다루지 않았던, 현대인의 소비 생활에서 가장 중요한 컴퓨터 시스템이라고 할 수 있는 POS 시스템의 보안 위협에 관해 다룬다. 어떻게 하면 보안의 위협으로부터 안전한 POS 시스템이 될 수 있는지를 POS 시스템의 구조와 관련된 보안 위협을 설명하는 것을 시작으로, 보안 표준에서부터 방어에 필요한 기술의 활용 방법까지 설명한다.
목차
1부 지불 애플리케이션 취약점 해부
1장 지불 처리 절차
__지불 카드
__카드 입력 방법
____MSR
____핀패드
__중요 요소
____소비자(카드 소지자)
____상점
____인수자
____발급자
____카드사
__추가 참여자
____지불 처리자
____지불 게이트웨이
__더 많은 구성 요소
____지불 처리 소프트웨어 제공자
____하드웨어 생산자
__지불 처리 단계
____인증
____결제
__지불 처리
____사전 인증/완료와 판매
____무효화와 반환
____대체 처리
____시간제한 역전
____특별한 처리 형태
__지불 애플리케이션의 주요 취약 영역
__정리
__참고 자료
2장 지불 애플리케이션의 구조
__지불 애플리케이션의 본질
____인터페이스
____처리 모듈
____데이터 저장소
____일반적인 지불 처리 흐름
__모듈 간 통신
____물리적 통신
____통신 프로토콜
____내부 통신
____메시지 프로토콜
____내부 프로토콜
____통신 요약
__지불 애플리케이션의 배치
____EPS의 개념
____지불 스위치
____배치 형태 비교
____상점 EPS 배치 형태
____POS EPS 배치 형태
____혼합 POS/상점 배치 형태
____주유소의 지불 시스템
____모바일 결제
__정리
__참고 자료
3장 지불 카드 산업
__PCI란?
__PCI 표준
____PA-DSS와 PCI DSS
____PA-DSS
____PCI DSS
____PA-DSS와 PCI DSS 요구 사항 비교
____PTS
____P2PE
__PCI 지침
____토큰화에 대한 잘못된 생각
____EMV 지침
____개발자를 위한 이동식 지불 지침
__정리
__참고 자료
2부 POS 시스템 공격
4장 40개의 숫자를 황금으로 전환
__마법의 플라스틱
__물리적 구조와 보안 기능
____보안 기능이 실패하는 이유
__마그네틱 선의 내부
____트랙 1
____트랙 2
____PAN
____유효기간
____ISO 접두어와 BIN 범위
____PAN 검사 숫자
____서비스 코드
____카드 확인 값
__정규 표현식
__덤프 얻기: 해커
____보안 위반
____가장 큰 규모의 POS 유출
__비트를 현금으로 전환: 카더
__수익화 전략: 환전업체
__위조 카드 생산
____인코더
____프린터
__정리
__참고 자료
5장 보안 취약 구역 침투
__지불 애플리케이션의 메모리
____램 스크래핑
____윈헥스
____메모리스크래퍼
____윈도우 페이지 파일
__스니핑
____내부 네트워크 통신
____네트워크 스니퍼
____넷스크래퍼
____추가적인 통신 취약 지점
__기타 취약점 공격
____애플리케이션 조작
____하드웨어 조작
____신기술을 목표로 한 공격
____무결성과 가용성에 대한 공격
__정리
__참고 자료
6장 PCI 표준으로 보호되는 구역 침입
__PCI 표준이 관심을 갖는 영역
__저장된 데이터: PCI의 진언
____임시 저장소
____애플리케이션 로그
____해시로 작성된 PAN
____안전하지 않은 암호화 키 저장소
____디스크스크래퍼 도구
__전송되는 데이터: PCI가 보호하는 것
____SSL 취약점
____중간자 공격
__정리
__참고 자료
3부 방어
7장 지불 애플리케이션 암호화
__빙산의 일각
__대칭, 비대칭, 또는 단방향?
__길이가 중요할까?
____키 엔트로피
____키 늘임
__대칭 암호화
____강한 알고리즘
____EncryptionDemo
____대칭 암호화 구현
____키 생성
____블록과 패딩, 초기화 벡터
____암호화와 복호화
__비대칭 암호화
____공개 키 암호화 구현
____키 생성
____자체 서명 인증서
____PFX 인증서 파일
____암호화
____복호화
__단방향 암호화
____단방향 암호화 구현
____토큰 솔트 구성
____패스워드 솔트 구성
____패스워드 검증
__전자 서명
____첨부되는 서명과 분리되는 서명
____코드와 설정 서명
____데이터 파일과 메시지 서명
__암호화 하드웨어
__암호화 표준
____NIST와 FIPS
____ANSI
____PKCS
__정리
__참고 자료
8장 카드 소유자 정보 보호
__메모리에 있는 데이터
____데이터 유출 최소화
____종단 간 데이터 암호화
__전송 중인 데이터
____SSL 구현
____암호화된 터널 사용
__저장되는 데이터
____안전한 키 관리
____다중 키 컴포넌트
____KEK와 DEK
____키 순환
__점대점 암호화
____점대점이 실제로 의미하는 것
____P2PE 수준
____하드웨어 P2PE
____DUKPT 키 관리
__EMV
__모바일과 비접촉식 지불
__정리
__참고 자료
9장 애플리케이션 코드 보호
__코드 서명
____인증 코드
____코드 서명 인증서
____OpenSSL을 사용한 루트 CA 생성
____인증서 형식
____운영 환경 수준의 코드 서명 인증서 생성
____타임스탬프
____코드 서명 구현
__설정과 데이터 파일 서명
____첨부할 것인가, 분리할 것인가?
____데이터 서명 인증서
____인증서 저장소
____분리된 서명 구현
____첨부된 서명
____XML 파일 서명
____첨부된 서명 구현
__코드 난독화
____리버스 엔지니어링
____코드 난독화
__보안 코딩 지침
____OWASP Top 10
____CWE/SANS Top 25
____언어별 지침
__정리
__참고 자료
결론
부록A POS 취약성 등급 계산기
부록B 부록 B 용어와 약어 해설