U-OTP for Enterprise 기업용“Mobile OTP” · 공격유형이모바일장치(스마트폰, 태블릿)로확산 새로운투자수익원으로부상. 1. 제안개요 5 1.1 제안의배경및목적

120-904 서울시 마포구 상암동 1622번지 중소기업DMC타워 12층

T. 02-786-4273 I F. 02-786-4274 I http://www.atsolutions.co.kr

U-OTP for Enterprise기업용 “Mobile OTP”시스템 구축 제안

2015.03

2

1. 제안 개요

1.1 제안의 목적과 배경

1.2 제안의 범위

1.3 사업 추진 전략

1.4 제안의 특∙장점

1.5 기대효과

2. 제안업체 일반

2.1 일반현황 및 주요 연혁

2.2 주요 사업 내용

2.3 주요 유사사업 실적

[ 목 차 ]

3. 사업수행 부문

3.1 제안사 OTP 솔루션 소개

3.2 시스템 구성

3.3 업무 구축 내역

4. 사업관리 부문

4.1 사업관리 계획

AT solutions INC.

3

1. 제안 개요

41. 제안 개요

1.1 제안의 배경 및 목적

“ 기업의 IT보안을 위협하는 사이버 공격 ”

사이버 공격 현황

71% 지난 해 악성코드, 사회공학 및 외부의 악의적 공격 경험

21% 보안 공격 빈도 증가, 그 중 ¼은 공격이 매우 치명적이라 답변

사이버 공격 피해

92%시스템 다운, 임직원 개인신상 정보 및 지적 재산 유출 등의 피해

2010년부터 반복적 등장의 5가지 사이버 공격 테마!

진화를 거듭하는

표적 공격

소셜네트워킹

+ 사회공학공격

제로데이 취약점

& 루트킷

툴킷을 이용한

대규모 공격

모바일 보안위협

증가

APT(Advanced Persistent Threat)의 증가

주요기관, 시설을 대상으로 표적 공격이 심화됨

온라인 상에서 표적에 대한 신상정보 수집

전문가도 속일 만큼 강력한 맞춤형 공격 수법 개발

사용자 몰래 악성 코드를 설치

목적을 달성할 때까지 존재를 드러내지 않음

해킹 기술의 대중화, 일반화

신종/변종 악성코드가 대량으로 생산되는 환경

공격 유형이 모바일 장치(스마트폰, 태블릿)로 확산

새로운 투자 수익원으로 부상

51. 제안 개요


“ 목적”을 가진 Advanced Persistent Threat

피싱, 제로데이 공격,

USB 등 온,오프라인의

다양한 경로를 통해

기업 전산망의 특정

PC에 침투

목적을 위해 키로커 등

툴을 설치하고 잠복, 주

변 PC에 복제, 확산을

통해 다수의 PC를 내부

에서 감염시킴

설치된 키로커를 이용하

여 DB 또는 시스템의

루트 계정을 수집

ID/PW가 확인되면 사용

자가 PC를 사용하지 않

는 시간을 기다리 DB에

서 고객 정보 추출

추출된 고객 정보를 암

호화 하여 외부로 전송

하고 논리폭탄을 설치하

여 자폭, 흔적을 없앰

1 침투 2 잠복 3 감시 4 공격 5 탈출

투자 수익원으로서의 개인정보

개인정보

가치

백신의

한계와

효율적인

방어 체계

필요성

$15봇 1만개당 가격, 스팸, 로그웨어, Ddos용도로 사용

$0.07~ $100

지하 경제에서 광고중인 도용한 신용카드 1개의 가격

합법적인 시장과 마찬가지로 대량 구매 시 할인이 적용됨

대표적인 루트킷으로 Tisderv, Mebratix, Mebroot 등이

있음. 모두 Windows 시스템의 마스터부트레코드를 수정

하는 방식으로 운영체제가 로드되기 전부터 시스템을 제어

함. 루트킷 자체는 새로운 것이 아니지만 새롭게 출현하는

루트킷의 경우 백신과 같은 소프트웨어에서 발견하여 위협

을 탐지하는 것이 어려움

61. 제안 개요


“ 정보보호의 시작인 사용자 인증” 비밀번호 노출에 따른 사고 사례

2008년

2009년

2011년

2012년

2014년

옥션 개인정보 1천 81만 건 유출(전체회원 60%)

GS칼텍스 개인정보 1천 125만 건 유출(내부소행)

옥션 이용자 1천 81만 명 개인정보 유출

100만 명 계좌번호도 유출

농협서버 해킹으로 인한 전산장애로 금융 거래 마비 현대 캐피탈 개인정보 175만 건 유출 네이트, 싸이월드 개인정보 3천 500만 건 유출 한국엡슨 개인정보 35만 건 유출 넥슨 메이플 스토리 개인정보 1천 320만 건 유출

KT휴대전화 개인정보 873만 건 유출 EBS 홈페이지 회원 422만5천681명 개인정보 유출

국민, 농협, 롯데 카드 1억 400만 건 개인정보 유출

대한의사협회,치과,한의사협회 인터넷 사이트 225개

해킹, 1천 700만 건 개인정보 유출

교육출판기업 디딤돌 개인정보 82만 여명 유출

사이트마다 다른 비밀번호를 사용하는 비율은?!

43% 48%44% 44%

14% 9%0%10%20%30%40%50%

Male Female

NO

Yes I have a different password

for most sitesYes I have a completely different

password for every site

국내 주요 해킹 일지

71. 제안 개요


“ 2-Factor Authentication”

Something You Know Something You Have Something You Are

Password, PIN, 생일, 학교, 주민등록번호 보안카드, SmartCard, OTP… 지문, 홍채, 목소리…

※ 효과는 우수하나 비용이 상대적으로 비쌈

81. 제안 개요


사이버 위협 증가와

고정 Password의

위험성

Two-Factor 인증을

통한 보안성

강화 필요

보안인식 확산으로

인한 사용자 인증

보안 강화에 대한

기업의 Need 증가

이를 위해 검증된

제품 및 사용자

중심의 편의성을

고려한 제품 필요

고객의 Need 변화에

대한 신속한 대응력

91. 제안 개요

1.2 제안의 범위

관리자 시스템 구축• 고객사만의 UI 디자인 협의 적용

• 관리자 시스템에서 제공하는 기본 기능 외에 추가 기능 협의 구축

OTP 서버 구축

• 안정적인 고객사 OTP 서버 구축

• 안정적 운영을 위한 서버 및 DB 이중화 구성, DB 정보들의 자동 백업 기능 구축

• OTP Core Engine 및 Web 서버, DB 서버 구축

(DB Interface, 실시간 OTP 인증, 인증키 관리, Mail Session/Thread 관리)

• 고객사 내의 SMS, SMTP, HRMS 등 시스템 연동(별도 협의 필요)

지원 및 교육• 향후 고객사 내부 시스템과의 연동을 위한 기술 지원 및 교육

• 정기적인 예방 점검 지원

스마트폰 OTP APP 구축• 고객사만의 UI 디자인 적용 (아이폰, 안드로이드)

• 기본 기능 외에 추가 기능 협의 적용

연동 인터페이스 구축• OTP 사용 등록/인증 등 내부 시스템과의 연동이 용이 (HTTP or HTTPS)

• 연동 규격서 제공

101. 제안 개요

1.3 사업 추진 전략

-고객사별 특화 기능 적용범위 분석 및

진행 범위 협의

-고객사 내부 업무 프로세스 분석 및 적용

관련 요건 확인

-OTP 내부 연동 시스템 분석 및 적용관

련 요건 확인

• UI 기획 전략

-안정적 운영을 위한 이중화 시스템 구성

-확장성 및 안정성을 고려한 시스템구성

-기존 시스템 연동 규격 준수

•시스템 구성 전략

-내부 규격 가이드 준수 (OTP 인터페이스)

-서비스 확장 및 용이한 유지보수를

고려한 SW 아키텍처 구성

-개발 단계별 산출물 작성 및 점검 작업 진행

-내부 시스템 담당자들과의 협업체제 구축

•서비스 개발 전략

•테스팅 전략

-시스템 설계 단계부터 테스트 계획

및 시나리오 수립

-개발 단위 별 테스트 계획 수립

-테스트 전담 인원에 의한 테스트 진행

-테스트 결과 및 조치에 대한 Repository

구성

•배포 전략

-통합테스트 후 안정적인 버전에 대해서

상용 배포

-구축된 시스템 배포 절차 준수

-배포 후 서비스 안정화 지원 및

지속적인 모니터링.

•지원 전략

-교육훈련계획에 따른 체계적인

기술이전 방안 수립

-프로젝트 참여인원에 의한 개발업무별

이전 수행

-안정적인 시스템 연동/운영 및 확장을

위해 지속적인 지원

UI 기획/디자인 시스템 구축 시스템 시험 서비스 상용화

• 제안 사업의 성공적인 수행을 위해 각 사업 추진 단계별로 아래와 같이 주요 전략을 수립하여 프로젝트를 수행하도록 하겠습니다.

•UI 디자인 전략

-고객사별 고유 디자인 적용범위 분석

및 가이드라인 수립

(적용 대상 : OTP 전용 앱, 관리자 화면)

111. 제안 개요

1.4 제안의 특∙장점

본 사업의 배경과 목표의 명확한 이해 아래, 고객사 Mobile OTP 시스템 구축에 필요한 최적의 시스템을 제안합니다.

고객사 OTP 시스템 구축을 위한 핵심성공요인 AT Solutions는?

다양한 모바일 서비스 구축 프로젝트 수행 경험을 바탕으로 고객사자체 프로젝트 관리 기준 준수

모바일 OTP 서비스 및 구축을 성공적으로 수행한 시스템 업무 전반의구축 경험과 최적화 노하우 보유 인력 투입

다양한 금융 프로젝트를 수행하면서고객사 IT 유관부서 및 현업단과 협업체계를 구축하여 약속한기간 내에 서비스 구축 후 안정화 작업까지 성공적 수행

OTP 시스템(서비스) 구축/개발 및 시스템 안정화 등 장기간의 사업 및 운영을수행하면서 축적한 대/내외 시스템 인터페이스 연동 노하우로 원활한업무 수행 가능

고객사 프로젝트 관리체계에 최적화된시스템 구성인가?

OTP 시스템 업무 전반의 경험을 보유한우수한 전문인력을 투입하는가?

고객사 OTP 시스템 구축 유관부서 및 현업과의유기적인 협업이 가능한가?

고객사 내부 시스템과 OTP 시스템간의안정적인 인터페이스가 가능한가?

121. 제안 개요

1.5 기대효과

OTP 관리를 위한추가 비용 없음

OTP 시스템관리 및 운영 용이

보안사고 시 내부자 책임소재 파악

(로그인 추적)

OTP 도입에 따른기업정보 유출 방지

솔루션 업그레이드 및운영 지원(유/무상)

보안강화에 따른기업이미지 향상

131. 제안 개요

1.5 기대효과

Why

AT ?!

보안수준 이해 및 운영 Know-how 모바일 플랫폼에 최적화된 OTP 기술력

강력한 보안성과 편리성, 확장성을 갖춘 검증된 인증 시스템 OTP 취약성을 해결하는 2채널 인증

OTP 기술은 비교적 공개된 기술

국내 최초 모바일 OTP 개발/구축 운영경험

금융권 OTP기술 환경 분석

• 누적 사용자 700만

• 일 사용자 50만

• 일 인증건수 300만

플랫폼을 이해해야 가장 안전하고 최적화된 OTP 개발 가능

과거 보안은 소프트웨어 플랫폼 기반

향후 보안은 S/W + H/W 플랫폼으로 전환

AT는 TrustZone 응용 서비스 세계 최초 상용화

[USIM, Embedded SE, NFC, Trust Zone ]

• NFC OTP 특허출원 (2011년도)

• NFC OTP 개발

• USIM OTP 개발

• Trust Zone OTP 개발

금융권 OTP 취약성 대안 솔루션 확보

2채널 OTP & 거래세션 연동형 OTP

2채널 인증 특허 보유

AT solutions INC.

14




회사명 (주)에이티솔루션즈(www.atsolutions.co.kr)

설립일 1999년 11월 1일

대표이사 김 종 서

자본금 13억 원

임직원 82명

주요사업모바일 솔루션/서비스/보안, 스마트그리드/카드

주소지서울시 마포구 상암동 1622 중소기업 DMC타워12F

사업등록번호 107-81-71649

대표전화번호 02-786-4273

2004 기업부설연구소 설립

2004 벤처기업 선정

2006 이노비즈기업선정

2009 병역특례업체 지정

2009 ‘SKT Partner Award 우수상’ 수상

2009 제주 실증단지 한전컨소시엄 업체 선정

2009 AMI 시스템(ADCS)개발업체 선정

2010 ‘SKT Partner Award 우수상’ 수상

2010 ‘웹 어워드 코리아 모바일’ 앱마케팅 부분

통합 대상수상(KB스타뱅킹)

2010 ‘코리아 모바일 어워드’ 비즈니스부분

베스트 앱 수상(KB 스타뱅킹)

2010 Frost & Sullivan 아시아태평양 ICT 어워드

‘올해의 혁신 서비스상’ 수상(T cash)

2011 스마트앱어워드 이노베이션 대상,

증권정보 분야 대상 수상(T stock)

2011 스마트앱어워드 금융서비스 분야 대상 수상

(KB스타뱅킹)

2011 SKP Partners' day 우수파트너 수상

2012 스마트앱어워드 코리아 금융부분 통합대상

(KB스타뱅킹)

2012 금융연계서비스분야 최우수상 (KB말하는 적금)



2000~2003

금융서비스 시작

LG선물 HTS, 한국증권협회 투자정보시스템 구축

동양/현대 선물 WTS구축KGI/대한투자신탁증권 HTS 및 WTS 구축

동부증권 Com HTS 및 Mini HTS 시스템 구축

삼성선물 FIX 시스템 구축

국민은행 Bank on KTF 버전 VM개발 계약

SKT WIPI 증권부분 개발사 선정 및 개발

Moneta Card/Cash 시스템 운영업체 선정

Moneta 증권 WAP&VM/시세서버 구축/운영

SK증권 VM 기반 Mobile HTS 구축

KGI증권/신흥증권 VM기반 Mobile HTS 구축

Smart Card Dummy 단말기 IR모듈개발

LG전자 K-merce phone IRFM 포팅

CRM XML-Gateway 구축

K.merce IR 수신단 납품(KS-NET, 금결원용)

키움 모바일 영웅문 시스템 개발 및 ASP서비스

대신증권 VM기반 Mobile HTS 구축

팍스넷 Plus주가정보 금융모바일컨텐츠 VM개발SKT-interactive 증권 Expert 개발(키움,현대,대신)키움증권 뱅킹칩통합 BankON 증권서비스 개발SKT MSTOCK 신용카드 VM연계버전 개발KB 모바일 신용카드 서비스 개발 계약SKT 모바일 멤버십/카드/상품권 운영/개발SK커뮤니케이션즈 Gift Box 개발/운영KTF-케이티에프엠하우스 **114 개발/운영서울증권 모바일 MTS 개발/운영세종증권 VM 기반 MTS 개발/운영모네타 고객사 VM개발SKT 3G USIM 카드 교통 멤버십 개발KTF **114 시스템 구축SKT 차세대 커머스 단말플랫폼 개발SKT OTA(모바일카드발급) 시스템컨설팅 및 운영철도청KTX Family Card 모바일시스템 개발국민은행 모바일 복권 판매 시스템개발SKT 동글 관리 시스템 컨설팅 및 운영기업은행/신한은행 K-Bank 구축국민은행 K-Bank KTF WIPI 버전 구축브릿지증권 VM 기반 MTS (SKT, KTF)구축/운영모바일주문 서비스(현대/농수산/CJ홈쇼핑)

케이티에프엠하우스 CPA 및 OTA-IN 운영/개발

한국스마트카드 모바일교통서비스 개발

유진투자증권 VM을 활용한 ASP 사업

한국외환은행 VM 7개 국어 서비스 개발

SKT 모네타 4.0 플랫폼 고도화 개발

카멜레온 OTP 구축 (SK 커뮤니케이션즈)TrustZone 및 TrustZone 내 OTP 개발T stock SKT 부가서비스 런칭KB 기업뱅킹 모바일 앱 개발KB카드 모바일 전자지갑 서비스 구축KB카드 모바일 카드 앱 고도화 개발T stock 3.0 개발U-OTP 서비스 SK C&C(T world) 구축 및 운영NH e-금융확대개발KB 그룹 통합 어플리케이션 구축KB 말하는 적금 서비스 개발KB 부동산종합시스템 구축

U-OTP 서비스 웹젠 구축 및 운영

U-OTP 서비스 NHN enterprise(한게임, 테라) 구축 및 운영

U-OTP 서비스 넥슨(넥슨포털) 구축 및 운영

KB 스마트지점 상담예약

KB LGU+4G USIM, KT아이폰 개발

KB카드 인터넷서비스 시스템 서비스 구축

KB 스마트금융 마케팅채널 구축

U-OTP 서비스 한빛소프트 구축 및 운영

U-OTP 서비스 엠게임 구축 및 운영

KB 스타뱅킹&모바일뱅킹 서비스 추가 개발

KB 모바일카드 발급시스템 개발

KB 스마트폰 예,적금 신상품 개발(동물농장)

KB 스타뱅킹, 스타플러스 뱅킹 시스템 구축

U-OTP 서비스 라이브플렉스 (게임클럽) 구축 및 운영

현대증권 아이폰, 안드로이드폰 모바일거래서비스 구축

동양증권 외 9개 증권사 안드로이드 모바일 증권거래 서비스구축

U-OTP 서비스 넥슨지티(게임하이) 구축 및 운영

U-OTP 서비스 엔트웰 구축 및 운영

KB 공인인증서 기반 모바일 뱅킹 시스템 구축

SKT 증권대기화면 ASP 서비스(13개 증권사)키움증권 WTS실시간 서비스 개발KB &d뱅킹 – WM CE 전용단말 개발

KB 차세대 인터넷뱅킹 재구축키움증권 차세대 VM 서비스 개발 및 웹포탈 시스템 구축

T cash 프리존, 네버랜드 서비스 VM 개발

2009~2014

차세대 금융 솔루션 시장 선도

2004~2008

국내 모바일 솔루션 시장 주도

KTF 쇼머니라이프 T-money 결제모듈 Wap 개발KB 칩 없는 모바일 신용카드 서비스 개발

KB투자증권 VM을 활용한 ASP사업 계약 체결

SKT 모바일 사원증 서비스 제공

SCT 바우처 시스템 개발/운영

신한은행 IBMS 구축

2009~2014

차세대 금융 솔루션 시장 선도



카드 서비스

Non-Chip 스마트폰Chip

• KB카드 • KB스타플러스• MONETA 삼성카드

SKT의 MONETA 플랫폼을 통해 휴대폰용으로 발급된 삼성카드Chip 서비스를 시작으로, 모바일 카드 시장 진입

카드 기본 정보 및 AR/LBS 등의 다양한 기술을 이용해 신용카드 고객의 편리성을 극대화 시킴

iPhone

Android

Window Mobile

WITOP

WIPI

GVM

BREW

KVM

WITOP

WIPI

스마트폰

• KB USIM Card / KB Wise Wallet

iPhone

Android



커머스 서비스

Mobile payment 시장 개척, 이용자 중심의 편리한 결제 시스템 구축

신용카드, 교통카드, USIM을 이용 & 각종 멤버십 혜택을 적용한 Mobile 결제 시장 개척

iPhone

Android

T Cash PayOn결제SKT

Smart Wallet하나 SK

안심클릭 결제Mobile통합결제 포인트 모아



2000년 증권사/선물사의 HTS/WTS 개발을 시작으로, 2002년 국내 최초 휴대폰을 이용한 증권 서비스를 개발

최신 기술동향에 맞추어 각종 스마트폰 플랫폼기반의 증권서비스 제공하는 모바일 증권의 선두주자

HTS/WTS

• 4개 증권/선물사- KGI증권, 하나대투증권,삼성증권, LG선물 등

• 9개 증권사- 키움, 대신, 유진투자, NH투자,

현대, KB투자, HMC투자, 브릿지, 메리츠증권

• 8개 증권사- 키움, 대신, 유진투자, NH투자,

현대, KB투자, HMC, 메리츠

• SKT – 증권엑스퍼트/NATE증권 대기화면

(16개증권사)

• KT - 팝업증권

• T stock(14개 증권사)• 현대증권

iPhone

Android

Window

Mobile

WITOP

WIPI

GVM

BREW

KVM

WIPI

Chip Non-Chip 대기화면 스마트폰

증권서비스



뱅킹 서비스

• 칩(Chip)기반 서비스- KB, 기업, 제일, 신한은행

• 공인인증서 적용 서비스- KB뱅킹

• 다국어용 서비스- 7개 언어 서비스- 영어, 중국, 태국, 스리랑카, 몽골, 베트남, 인도네시아

• 노년층/저시력 고객을 위한큰 폰트의 뱅킹 VM서비스

• NH큰글뱅킹

• KB 스타뱅킹(전용상품, 드림톡, 스타톡, 스마트지점)

• KB 말하는 적금• KB 종합부동산

주요 대형은행의 Chip기반 모바일 뱅킹서비스를 시작으로, 국내 최초 공인인증서를 적용한 모바일 금융 서비스 구축

다국어/큰글뱅킹 등 고객 편의를 위한 다양한 서비스와 각종 스마트폰 플랫폼기반의 스마트 뱅킹 서비스를 제공

iPhone

Android

Window Mobile

& D (KB전용 단말기)

WITOP

WIPI

GVM

BREW

KVM

WIPIWITOP

WIPIWIPI

Chip Non-Chip(공인인증서기반)

다국어 뱅킹 큰글뱅킹 스마트폰


2.2 주요 사업 내용2.2.1 주요 레퍼런스

• U-OTP for enterprise (기업용 OTP, 구 카멜레온)

기업 내 핵심기술 및 정보를 저장 관리하는 기업내부시스템(인트라넷그룹웨어 혹은 보안이 필요한 시스템 등)에 대한 기업 보안용 OTP 서비스

SK communications 상용

iPhone / Android


2.2 주요 사업 내용2.2.1 주요 레퍼런스

• U-OTP+

Ubiquitous One Time Password

기존 OTP의 단점인 휴대성을 보강하여, 휴대폰 Application으로 제공하는 보안 서비스

국외에서 인정된 160bit 표준 해쉬 함수와 국내표준 블록암호화 알고리즘 사용

이중 보안체계 구축방식으로 사이트 자체에 대한 해킹 및 정보 유출 시, 타인의 접근을 원천적으로

Ver 1.0 Ver 2.0

SITE ID/PW

OTP

Log-in[U-OTP 이용]

한게임, 엠게임, 넥슨포털, 마비노기, 메이플 스토리, 게임하이, 게임클럽, 티월드, 네이트, 싸이월드, 11번가, 한빛 소프트

iPhone / Android


2.5 주요 유사 사업 실적2.5.1 주요 개발 실적

발 주 처 상세업무 내용 구축 기간 비 고

비씨카드 내부 시스템 모바일 OTP 구축사업(U-OTP for enterprise) 2014.08 ~ 2014.10

SKT TrustZone 및 TrustZone 내 OTP 개발 2013.11 ~ 2014.04

에이스톰 U-OTP+ 서비스 공급 계약 2013.06 ~ 2014.06

KB KB전자지갑 서비스 개발 2012.12 ~ 2013.05

비씨카드 모바일 카드 발급 시스템 고도화 2012.12 ~ 2013.01

비씨카드 모바일 발급 시스템 연간 운영 2012.09 ~ 2013.09

비씨카드 모바일 멤버쉽 및 선불카드 시스템 구축 (이마트) 2012.09 ~ 2012.10

비씨카드 모바일 무선발급 통신 3사 확대 개발 2012.06 ~2012.08

SKT Smart wallet SMB사업자용 멘버십 개발 2011.07 ~ 2011.12

SKT Smart wallet Gateway 서비스 운영 2011

SKT CG(모바일 카드) 서비스 운영 2011

한국스마트 카드(KSCC) 티머니 프로모션 대행 2011

SKT PayPin(신결제) 개발 2011.06 ~ 2011.12

SK Communications U-OTP for enterprise(기업용 OTP) 납품 2011.08

SKT 이통 3사 NFC 통합결제 시스템 개발 2011.09 ~ 2011.12

SKT Smartwallet 2차 고도화 개발 2011.03 ~ 2011.06

SKT Smartwallet 아이폰 개발 2011.06 ~ 2011.08

SKT T Smartwallet 서비스 고도화 2010.12.06 ~ 2011.03.06

SKT T Stock 서비스 고도화 2010.12.13 ~ 2011.03.31

SKT Open API고도화(Moneta core) 2010.11.08 ~ 2010.12.31

SKT USIM 관리자 app.개발 및 USIM OTP서비스 2010.10.01 ~ 2010.12.31


2.5 주요 유사 사업 실적2.5.1 주요 개발 실적

발 주 처 상세업무 내용 구축 기간 비 고

SKT OK 포인트 서비스 개발 2010.11.03 ~ 2011.03.30

SKT Smart wallet 멤버십 제휴사 G/W 구축 2010.04.01 ~ 2010.09.31

SKT 안드로이드 모바일 안심클릭 app개발 2010.06.01 ~ 2010.09.31

SKT Chip기반 금융 서비스 운영 2010.01.01 ~ 2010.12.31

현대증권 현대증권 모바일 아이폰,안드로이드 시스템 구축 2010.02.01 ~ 2010.06.31

KB KB 아이폰 안드로이드 시스템 구축 2010.04.01 ~ 2010.08.31

KB KB 모바일 뱅킹 시스템 구축 2010.01.01 ~ 2010.03.31

KT KT T-money고도화 2010.01.01 ~ 2010.04.31

AT 자체 OTP 신규 사이트 개발 2010.01.01 ~ 2010.12.31

SK MNC CG개발 2010.07.01 ~ 2010.08.31

웹젠 U-OTP 서비스 공급 계약 2010.12 ~ 현재 운영중

라이브플렉스 U-OTP 서비스 공급 계약 2010.09 ~ 현재 운영중

넥슨지티(게임하이) U-OTP 서비스 공급 계약 2010.01 ~ 현재 운영중

한빛소프트 U-OTP 서비스 공급 계약 2009.08 ~ 현재 운영중

엠게임 U-OTP 서비스 공급 계약 2008.08 ~ 현재 운영중

넥슨 U-OTP 서비스 공급 계약 2007.12 ~ 현재 운영중

NHN enterprise U-OTP 서비스 공급 계약 2007.02 ~ 현재 운영중


2.3 주요 유사 사업 실적2.3.2 보유기술 현황

NO. 보유 기술 내역(발명의 명칭) 보유시기(출원/등록일) 비 고

1 특허 출원 공통이용 저장영역을 가지는 메모리 카드와 공통이용 저장영역 접근 제어방법 2012.12.28

2 특허 출원 랜덤 링크키를 이용하여 보안화된 지그비 네트워크에서의 네트워크 접속 방법 및 지그비 통신 시스템 2012.12.26

3 특허 출원 모바일 계좌조회 보안처리를 위한 무선단말장치와 그의 모바일 계좌조회 보안처리 방법 2012.07.10

4 특허 출원 아이씨 칩 2012.07.10

5 특허 출원 모바일 계좌이체 검증처리 방법 2012.07.10

6 특허 출원 모바일 계좌이체 검증처리를 위한 무선단말장치와 그의 모바일 계좌이체 검증처리 방법 2012.07.10

7 특허 출원 아이씨 칩 2012.07.10

8 특허 출원 증권 서비스 시스템 및 방법 2012.06.12

9 특허 출원 알에프 기반 근거리 통신을 이용한 사용자 인증 보안 처리 방법 2012.05.10

10 특허 출원 ＡＥＳ－ＯＴＰ기반의 보안 시스템 및 방법 2012.04.27

11 특허 출원 보안응용모듈의 비밀키 운영방법 및 시스템과 이를 위한 기록매체 2011.11.09

12 특허 출원 모바일 엔에프씨 결제를 위한 보안응용모듈 운영 방법 및 시스템과 이를 위한 기록매체 2011.11.02

13 특허 출원 보안응용모듈을 이용한 모바일 엔에프씨 결제 처리용 무선단말과 그의 엔에프씨 결제처리 방법 및 기록매체 2011.11.02

14 특허 출원 광고비 산정 방법 및 시스템과 이를 위한 기록매체 2011.09.29

15 특허 출원 검색처리 방법 및 시스템과 기록매체 2011.09.16

16 특허 출원 무선단말과 기록매체 2011.09.16

17 특허 출원 근거리 통신을 이용한 검색처리 방법 및 장치와 기록매체 2011.09.16

18 특허 출원 근거리 통신을 이용한 검색처리를 위한 무선단말과 기록매체 2011.09.16

19 특허 출원 웹사이트(또는 브라우저) 로그인 또는 인증처리 방법 및 시스템과 기록매체 2011.09.16

20 특허 출원 웹사이트(또는 브라우저) 로그인 또는 인증처리를 위한 무선단말 및 그 방법과 기록매체 2011.09.16

21 특허 출원 근거리 통신을 이용한 인증처리 방법 및 장치와 기록매체 2011.09.16

22 특허 출원 근거리 통신을 이용한 인증처리를 위한 무선단말과 방법 및 기록매체 2011.09.16

23 특허 출원 금융거래처리 방법 및 시스템과 기록매체 2011.09.16


2.3 주요 유사 사업 실적2.3.2 보유기술 현황

NO. 보유 기술 내역(발명의 명칭) 보유시기(출원/등록일) 비 고

24 특허 출원 금융거래처리를 위한 무선단말 및 그 방법과 기록매체 2011.09.16

25 특허 출원 근거리 통신을 이용한 금융거래처리 방법 및 장치와 기록매체 2011.09.16

26 특허 출원 근거리 통신을 이용한 금융거래처리를 위한 무선단말과 방법 및 기록매체 2011.09.16

27 특허 출원 엔에프씨를 이용한 무선 결제 방법 및 시스템과 이를 위한 무선단말 2011.08.23

28 특허 출원 오티피 카드와 오티피를 생성하는 방법 및 단말장치 2011.08.19

29 특허 출원 입력 값을 통해 암호화하는 장치 및 방법 2011.08.08

30 특허 출원 서명 오류 보정을 위한 서명키 관리 방법 및 시스템 2011.07.19

31 특허 등록 크로스 도메인 간 전자서명 방법 2012.11.06 등록완료

32 특허 등록 연쇄 해시에 의한 전자서명 시스템 및 방법 2013.01.08 등록완료

33 특허 등록패턴 인식 기술을 이용한 지능형 절전 제어 시스템 및 그 지능형 절전 제어 시스템에서의 지능형 절전 정책설정방법

2012.12.05 등록완료

34 특허 등록 안전 ＯＴＰ 생성 장치 및 방법 2011.07.18 등록완료

35 특허 등록 모바일 단말기 정보를 이용한 사용자 정보 보안 방법 2012.01.11 등록완료

36 특허 등록 입력값에 따른 ＯＴＰ 발생키를 생성하여 ＯＴＰ를 발생하는 장치 및 방법 2011.01.26 등록완료

37 특허 등록 보안카드 생성 및 갱신 시스템 그리고 그 방법 2011.02.24 등록완료

38 특허 등록 오디오 음원을 이용한 어학 학습시스템 2009.08.10 등록완료

39 특허 등록 Ｈｔｔｐ를 사용하지 않는 웹 어플리케이션 제공 장치 및방법 2010.05.25 등록완료

40 특허 등록 모바일 단말기 인증 방법 2010.01.25 등록완료

41 특허 등록 ＯＴＰ를 이용한 금융거래 시스템 2010.07.01 등록완료

42 특허 등록 현수 시스템의 케이블 장력 측정을 위한 표준 실험 장치 2008.08.29 등록완료

43 특허 등록 일회용 비밀번호 생성방법과 일회용 비밀번호 인증 시스템 2007.08.16 등록완료

44 특허 등록 모바일 단말기용 어플리케이션 갱신 시스템 2007.10.10 등록완료

45 특허 등록 차트정보 전송 및 표시방법과 그 시스템 2007.01.17 등록완료

46 특허 등록 아이디를 이용한 전화통화 방법 2002.08.24 등록완료

AT solutions INC.

27




3.1.1 개요

“ 모바일 OTP 솔루션”

제안사의 모바일 OTP(One-time Password) 솔루션은 기존의 ID/Password를 이용한 인증방식의 문제점을 보완한 이중요소인증

(Two-Factor Authentication) 솔루션입니다.

이벤트방식이 아닌 시간동기 방식을 이용하여 더욱 안전합니다.

등록된 기기에서만 인증이 가능한 이중요소인증을 사용하여 계정정보노출에도 안전하게 기업정보를 보호할 수 있습니다.

모든 인증기록을 DB에 저장하여 로그추적이 가능하므로 외부해킹 뿐 아니라 내부자에 의한 보안위협에 효과적으로 대응할 수 있습

니다.

수준 높은 암호화 기술 및 안전한 키 관리 방법(특허 보유)을 사용하여 해킹에 안전합니다.

안 전 성 편 리 성 확 장 성

시간동기방식 – 30초 HMAC_SHA1 및 SEED 암호 안전한 키 관리(특허등록) Two-Factor 인증

모바일 S/W 토큰 웹 기반 사용자관리 HTTP(S) 연동 웹 브라우저 중립성

다양한 TCP/UDP 프로토콜 확장 Radius 프로토콜 지원 Java 기반 확장 클래스 API 제공 스마트폰 어플 연동규격 제공



3.1.2 솔루션 특∙장점

기본 HTTP(S) 프로토콜 연동을 통해 시스템간 연계 용이

TCP 및 UDP 프로토콜을 확장할 수 있는 JAVA 클래스 API 제공

VPN 연동을 위한 Radius 프로토콜 기본 제공

Telnet, SSH 등 호스트 원격접속에 대한 권한 체크 및 감시

iOS, Android 플랫폼 기기 모바일 어플리케이션 제공

사용자 관리 Web Admin 제공

< 모바일 어플리케이션> < 사용자 관리 웹 어드민 > < Shell >

Shell

DefaultTCP

CustomTCP

CustomTCP

Radius Development API

PHP Extension U-OTP for enterprise Core

Apache Web Server(HTTP(S))

J2SE

RDBMS(MySQL, SQLite, Oracle..)

OS(Linux, Unix)



3.1.3 솔루션 구성

U-OTP for enterpriseCore Engine

• DB Interface

• Multi Ports

• 실시간 OTP 인증

• 인증키 관리

• Mail Session/Thread

관리

Web Server

• Apache

• PHP Extension

• 사용자관리 웹 어드민

제공

Extension

• Server Authentication

• Forensic logging

• Protect System

Accounts

• Command Filtering

RDBMS & I/F

• MySQL, SQLite, Oracle

등의 RDBMS 지원

• Radius-VPN 연동

• TCP/IP – Custom

Development API 제공

• Shell-Telnet, SSH 등 호스

트 원격접속에 대한 권한

체크 및 감시

• HTTP(S)-OTP사용등록/인

증 등 외부시스템과의

연동이 용이

• 모바일 기기 지원

• (iOS, Android)

• Multi Ports

• 실시간 OTP 인증

• 인증키 관리

• Mail Session/Thread 관리

제품 구성

제품군

구 분 U-OTP for enterprise Basic Extension

적용 대상 인트라넷 보안 Host(Unix & Linux) 보안

제품 구성U-OTP for enterprise Core Engine, Apache Web

ServerRDBMS & HTTP(S) I/F, Radius 프로토콜지원(VPN)

U-OTP for enterprise Basic 필수 Host Shell

인증 수단 OTP + SMS OTP

부가 기능 임시비번 인증 명령어 권한 제어

Mobile Application



3.1.4 레퍼런스 (1)

구 분 내 용

고객사 SK Communications

도입목적 자택 근무자를 위한 VPN을 통한 내부 시스템 접근 인증 강화

도입 솔루션 U-OTP for enterprise

비고 VPN과 U-OTP for enterprise 서버 연동을 위해 RADIUS 프로토콜 사용

SK Communications 망

내부 업무망

VPN 서버

U-OTP for enterpriseOTP시스템

DB

INTERNET

User VPN Client

+



3.1.4 레퍼런스 (2)

구 분 내 용

고객사 국내 게임사 다수(비고 참조)

도입목적 사용자 인증 강화를 통한 게임 아이템 및 게임 머니 보호

도입 솔루션 U-OTP+

비고

게임 사용자를 대상으로 OTP 서비스를 ASP 서비스로 제공

User 게임 Client

+

게임사(넥슨,한게임 등..)

U-OTP+ 센터 (에이티솔루션즈 운영)

방화벽

L4

OTP 서버1 OTP 서버2 OTP DB 서버 1,2

INTERNET

게임 인증 서버

게임 서버

방화벽

INTERNET

총 사용자수 : 약 700만 이상

일 사용자 수 : 약 50만 이상

일 인증 건수 : 약 300만 건 이상



3.2.1 네트워크 구성

L4

HRMS

통합로그관리

방화벽

방화벽

HA 구성을 위해 OTP 시스템 Front에 L4 스위치 (고객사 인프라 사용)를 두고 OTP 서버를 Active/Active 방식으로 2중화로

구성합니다. OTP 시스템 DB는 Master/Slave 방식으로 2중화로 구성합니다. (DB 리플리케이션 사용)

…

내부망

Manager

User

(Master)

OTP DB

(Slave)

OTP DB

OTP 서버1(Active)

OTP 서버2(Active)

리플리케이션

OTP 솔루션 제안 범위



3.2.2 하드웨어 & 소프트웨어

OTP 서버는 아래 H/W 사양 서버장비 2EA 구성하여 서비스 장비를 이중화(Active/Active모드)하며, OTP DB는 DB 리플리케이션

기능을 이용하여 이중화(Active/Standby모드) 합니다.

구 분 H/W 구성 S/W 구성

CPU: Intel Xeon 2.6GHz 4core * 2 MEM: 16GB HDD: 300GB(RAID 1+0) * 2

WAS: Tomcat 7 DB: MySQL 5.5 Java: JDK 1.5 이상 OS: Linux CentOS 6.5

iPhone,iPod,iPad 기기 Android 기기

iOS 5.X 이상 권장 Android 4.X 이상 권장

1.제공사항

User OTP License 설치

OTP 서비스 운영을 위한 운영 매뉴얼 및 인증 시스템 연동 규격서 제공

2.구현 알고리즘

OTP 생성 알고리즘: HMAC_SHA1

OTP 클라이언트 비밀번호 암호화 알고리즘: SEED

3.유지보수 정책

무상 유지보수: iOS, Android U-OTP for enterprise 클라이언트 업그레이드 지원 (보안강화 및 신규 OS버전 대응 등)

유상 유지보수: OTP 서버 업그레이드 및 개발 지원 (추후 협의 필요)

DBOTP 서버

OTP 클라이언트

35

• OTP 서버 구성

OTP 서버 시스템은 인증 시스템과 관리자 시스템(웹 서비스)으로 구성되어 있습니다. OTP 인증이 필요한 고객사 업무 시스템은 인증

시스템과 연동하여 인증 결과를 수신합니다. OTP 관리자는 관리자 시스템을 통해 등록된 OTP 기기를 관리합니다.



3.2.3 OTP 서버

OTP 관리자 시스템

인증정보 DB 로그 DB

OTP 기기관리

사용이력 관리

라이선스 관리

DB I/F

OTP 인증 시스템

인증요청 수신부

인증 처리부

OTP 생성부

OTP 라이선스 DB

시스템 설치 관리 데이터 백업

DB I/F

OTP DB

연동 인터페이스부



3.3.1 업무의 구성

OTP 솔루션을 사용하여 고객사 내에 다음과 같은 업무를 구축합니다.

주요 구축 업무 상세 설명

최초 사용 등록 사용자가 OTP 시스템을 사용하기 위해 최초로 정보를 등록

OTP 사용 등록 사용자가 스마트폰(아이폰/안드로이드)을 보유하고 있고, OTP 인증방식으로 사용하기 위해 정보를 등록

SMS 사용 등록 사용자가 SMS인증방식으로 사용하기 위해 정보를 등록

계정 추가 OTP 시스템에 사용등록을 완료한 사용자가 인증 받기 위한 계정 아이디를 등록

인증키 갱신 OTP 인증방식을 사용하는 사용자가 인증키 만료 전 인증키를 새로 갱신

인증키 재발급 신청OTP 인증방식을 사용하는 사용자가 인증키가 만료되었거나, 어플리케이션을 삭제하거나, 휴대폰을 변경하여 어플리케이션을재 설치한 경우 관리자에게 인증키 재발급을 신청

인증키 재발급 OTP인증방식을 사용하는 사용자가 인증키를 재발급

임시 비밀번호 발급 사용자가 OTP/SMS인증 모두 사용할 수 없는 환경에 있을 때 임시로 비밀번호를 발급

임시 비밀번호 리셋 임시비밀번호 인증 상태를 원래 상태(OTP/SMS)로 리셋

인증 사용자가 OTP/SMS/임시비번 중에 하나의 방식으로 본인임을 인증

인증키 재발급 승인 관리자가 인증키 재발급을 신청한 사용자의 정보를 확인하고 승인 (일괄 승인 가능)

계정 삭제 관리자는 사용자의 특정 계정을 삭제하거나 블록

해지 (인증키 폐기) 관리자는 OTP 시스템에 등록된 사용자의 인증키 정보를 폐기

사용자 정보 변경 사용자의 기본정보(이메일/핸드폰번호/MAC 등) 변동사항을 업데이트

어드민 OTP 사용자관리/이용로그 조회/환경설정 등



3.3.2 업무 Flow

2차 인증 대상자의 정보(핸드폰번호, 이메일, 보조이메일, 인증구분 등)가 변경되었을 경우(계정삭제 포함) OTP 사용자원장에도 정보가

변경되어야 합니다.

필요에 따라 SMS인증, 인증키 발급 등의 추가 절차가 따를 수 있으며 이는 사용자정보변경 요청 시 OTP 시스템에서 사용자에게 이메일을

전송하여 추가절차를 따를 수 있도록 합니다.

구 분 1단계 2단계

시스템 사용자 정보 변경 신청 페이지 사용자 정보 변경 페이지

Who 인증 대상자 인증 대상자

What 사용자 정보 변경 요청 사용자 정보 변경

API 연동 사용자 정보 변경 요청

OTP 인증서버수행 기능 사용자 정보 변경 페이지 이메일 전송 사용자 정보 업데이트

사용자 정보 변경 Flow



3.3.3 관리 시스템

메뉴 항목 상세 설명

로그인OTP 관리 시스템은 아이디/OTP 인증을 통해 로그인 합니다.어드민은 마스터 관리자/운영관리자 권한의 소유자만 로그인이 가능합니다.

사용자 관리사용자 리스트 조회, 상세보기, 상세 편집으로 구성되어 있습니다.사용자의 기본정보, 연결계정, 인증키 정보, 임시인증번호 등과 관련된 업무 (정보수정, 정지, 해지, 승인 등)를행할 수 있습니다.

이용내역 조회OTP 사용자의 이용내역을 조회하여 해당 사용자의 최종사용상태, 연결계정, 이용내역 등을 다양한 검색조건을이용하여 조회할 수 있습니다.

환경 설정OTP 시스템의 전체적인 환경 설정을 설정합니다. 관리자 이메일 주소, 이메일로 발송되는 계정추가내용, 사용승인 내용, 임시번호 발급 관련 내용, 업무 URL등을지정할 수 있습니다.

관리자 등록 OTP 관리 시스템에 접속하기 위해 관리자를 등록합니다.

어드민 가이드 각 기능에 대한 온라인 가이드를 지원합니다.

OTP 관리시스템은 크게 로그인, 사용자 관리, 이용내역 조회, 환경설정, 관리자등록 메뉴로 구성되어 있으며 각각에 대한 설명은 다음과

같습니다. 관리자 기능에 대한 추가 기능은 양사 협의 하에 구축될 수 있습니다.




OTP 사용 신청 시 등록한 아이디 입력

SMS 사용자의 경우 SMS 요청 기능

OTP 사용자의 경우 App의 OTP 입력

로그인

기본정보 관리

연결계정 관리

인증키 정보 관리

임시 인증번호 관리

OTP 발급/정지/해지 업무 (일괄 기능 포함)

사용자 관리




기기별 인증 내역 조회

기기별 상태 변경 내역 조회

OTP 사용자의 경우 App의 OTP 입력

연결계정 최종 인증 상태 조회

이용내역 조회

OTP 서버 설정 값 관리

관리자 환경 변수 관리

이메일 문구 관리 (사용신청, 승인 등)

외부 연동 시스템 (SMS, SMTP) 설정 관리

임시 비밀번호 발급 관련 변수 관리

환경 설정



3.3.4 스마트폰 어플리케이션

복제 및 부정사용

방지 방안

스마트폰 앱 복제/부정사용을 하기 위해서는 스마트폰의 보안 장치를 해제하는 일명 탈옥, 루팅 과정을 우선

진행해야 합니다. U-OTP for enterprise 는 프로그램 복제 및 부정사용 방지를 위해 U-OTP for enterprise

OTP 실행 시 스마트폰의 탈옥, 루팅 여부를 확인하여 스마트폰이 안전한 상태에서만 OTP 번호를

생성하도록 개발되었습니다. 또한, 보안성 향상을 위해 코드 난독화 기법을 적용 하여 해커가 내부 코드를

쉽게 열람할 수 없도록 보안을 강화했습니다.

※ 에이티솔루션즈는 자체 앱 위/변조 솔루션을 보유하고 있으나 이번 제안 시스템의 특징 상 앱에서 서버

통신이 발생하지 않기 때문에 앱 위/변조 솔루션 적용은 무의미 합니다.

※ 에이티솔루션즈는 U-OTP for enterprise 클라이언트 프로그램 업데이트를 통해 향후 발생할 수 있는

보안 문제에 적시에 대응할 수 있는 모든 방안을 강구하고 있습니다.



3.3.5 시스템 인터페이스 방안

고객사 사내업무 시스템(예:통합계정관리)에 OTP 인증 절차 추가를 위해, 해당 시스템은 U-OTP for enterprise 인증 시스템과 http or

https 프로토콜로 연동합니다. 필요 시 OTP 인증 로그를 통합로그 시스템에 전달하는 방법은 통합로그 연동모듈을 이용한

커스터마이징 개발을 통해 실시간, 배치처리가 가능합니다. 또한 HRMS 연동은 퇴사자, 입사자 등 필요한 정보를 주기적으로 배치

처리하여 OTP 데이터 베이스에 적용합니다. OTP 계정신청, 사용등록 등에 필요한 SMS 및 SMTP는 고객사 인프라를 사용합니다.

http or https

JSON 데이터 포맷

통합로그 /HRMS 연동 인터페이스

사용자인증 모듈

OTPI/F

SMS I/F

SMTP

Biz 모듈

…

OTP 인증 수신 모듈

OTP 처리 모듈

DB 연동 모듈

OTP 생성 모듈

통합로그처리모듈

통합로그수신부

HRMS DB VIEW

Biz 모듈

…

OTP 인증처리 모듈

DB 연동 모듈

OTP 인증로그추출배치 모듈

실시간전송or 배치전송 통합

로그I/F

사내업무시스템 OTP 서버

사내업무시스템 OTP 서버

DB

OTP 인증 인터페이스

통합로그/HRMS OTP 서버

실시간/배치 전송

OTP 인증로그

통합로그시스템/HRMS OTP 서버

DB

사용자 데이터

배치

43

OTP 신청 페이지에서 세부사항 (ID, 부서, 이메일, 보조 이메일, 전화번호 등) 입력 후 관리자에게 사용 신청

관리자 사용승인 시 OTP 사용 등록 URL을 사용자 이메일로 자동 전송 (사용자가 URL 클릭 시 로 이동)

사용자 핸드폰에서 마켓 이동 및 고객사 OTP 어플 설치/실행 한 후 화면에 표시되는 MAC 값을 사용등록 페이지 “1. MAC” 입력란에 동일하게 입력

사용등록 페이지에서 “1. MAC” 의 “인증키 요청” 버튼 선택

2. 생성된 인증키 값을 OTP 어플 내 인증키 입력란에 동일하게 입력

입력 완료 후 사용등록 페이지 내 “3. 검증코드” 값과 OTP 어플 내 검증코드 값이 동일하게 나타남을 확인

검증코드가 일치함을 확인체크 후 하단 등록완료 선택

생성된 OTP 번호를 확인 후 사용등록 페이지에 “4. OTP” 란에 동일값 입력

하단 사용등록 선택 시 사용등록 완료됨



3.4.1 업무 Flow

32

4

6

1

5

6

7

9

04 1B BA 27 3A 83

1234 5678 9011 9063

1234 5678 9011 9063

AB123 CD456

AB123 CD456

8301552

1

4

6

7

사용 등록 페이지

사용 등록 페이지

2

3

5

8 9

10

10

8

Thank you

Documents

U-OTP for Enterprise 기업용“Mobile OTP” · 공격유형이모바일장치(스마트폰, 태블릿)로확산 새로운투자수익원으로부상. 1. 제안개요 5 1.1 제안의배경및목적