<4D F736F F D205B D D20B8F0B9D9C0CF20BDC5B7DA20BCADBAF1BDBAB8A620C0A7C7D120BDC5B7DABAB8BEC8B8F0B5E25F4D544D5F20BBE7BFEB20BDC3B3AAB8AEBFC02E646F63>

Size: px

Start display at page:

Download "<4D6963726F736F667420576F7264202D205B323030382D3735325D20B8F0B9D9C0CF20BDC5B7DA20BCADBAF1BDBAB8A620C0A7C7D120BDC5B7DABAB8BEC8B8F0B5E25F4D544D5F20BBE7BFEB20BDC3B3AAB8AEBFC02E646F63>"

무열 송
7 years ago
Views:

1 TTAx.xx-xx.xxxx/R1 제정일: 200x년 xx월 xx일 개정일: 200x년 xx월 xx일 T T A S t a n d a r d 모바일 신뢰 서비스를 위한 신뢰보 안모듈(MTM) 사용 시나리오 (MTM Usage Scenarios for Trusted Mobile Services)

2 제정일 : 2010 년 12 월 xx 일 TTAx.xx-xx.xxxx/R1 개정일 : 200x 년 xx 월 xx 일 모바일 신뢰 서비스를 위한 신뢰보안모듈(MTM) 사용 시나리오 (MTM Usage Scenarios for Trusted Mobile Services) 본 문서에 대한 저작권은 TTA 에 있으며, TTA 와 사전 협의 없이 이 문서의 전체 또는 일부를 상업적 목적으로 복제 또는 배포해서는 안됩니다. Copyrightc Telecommunications Technology Associations All Rights Reserved.

Scenarios for Trusted Mobile Services) 본 문서에 대한 저작권은 TTA 에 있으며, TTA 와 사전 협의 없이

3 서 문 1. 표준의 목적 본 표준은 신뢰 컴퓨팅(TC: Trusted Computing) 기술을 모바일 장치에 도입하여 보다 신뢰할 수 있는 무선 인터넷 환경을 제공할 수 있는 다양한 시나리오들을 정의한다. 본 표준을 바탕으로 신뢰 할 수 있는 무선 인터넷 기술의 확산에 요구되는 다양한 모바일 신뢰 서비스 모델 창출에 활용 가능하다. 2. 주요 내용 요약 주요 내용은 모바일 환경의 보안성 향상을 위해 적용할 수 있는 모바일 신뢰보안모듈 (MTM = mobile TPM(Trusted Platform Module))의 쓰임새 모델(Use Case Model)을 제 공한다. 이들 모델에는 플랫폼 무결성(platform integrity), 안전한 저장 (secure storage), 원격 보증 증명(remote attestation), 디바이스 인증(device authentication), 안전한 소프트웨어 다운로드의 내용을 포함한다. 이 시나리오들에 대한 분석은 특징적 인 정보, 생명 주기, 변형, 위협 분석 등의 항목으로 나누어 기술된다. 3. 표준 적용 산업 분야 및 산업에 미치는 영향 본 표준은 하드웨어 기반 신뢰 보안 기술과 관련한 다양한 장치 응용에 적용될 수 있 을 것이다. 특히 이동통신 시장이 큰 우리나라의 환경에서는 다양한 비즈니스 모델을 도 출하는데 중요한 참고 자료로 활용될 것이다. 모바일 TPM을 스마트 폰 환경에 적용하여 안전한 서비스 환경을 제공함으로써 시장성 확장에 기여할 수 있다. 또한 U-Robot, U- Healthcare, 홈 네트워크 장치 인증, 및 사물통신 환경과 같은 분야들은 우리나라가 주 도적으로 세계 시장에서 선점할 수 있는 기술 가능성을 가지고 있으므로, 본 표준을 활 용하여 많은 수익 모델을 구축할 수 있다. 4. 참조 표준(권고) 4.1 국외표준(권고) - TCG, MPWG Use Case Scenarios, Phase 2 v 2.7, July TCG MPWG Selected Use Case Analysis v 1.0, 국내표준 - 모바일 신뢰 서비스를 위한 신뢰보안모듈(MTM) 사용 시나리오, TTAE.OT (영문) i

이들 모델에는 플랫폼 무결성(platform integrity), 안전한 저장 (secure storage), 원격 보증 증명(remote attestation), 디바이스 인증(device authentication), 안전한 소프트웨어 다운로드의 내용을 포함한다.

4 5. 참조표준(권고)과의 비교 5.1 참조표준(권고)과의 관련성 본 표준은 참조 표준인 TCG MPWG Use Case Scenarios 문서를 바탕으로 쓰임새가 많은 시나리오를 선택하여 자세히 분석 제공한다. 5.2 참조한 표준(권고)과 본 표준의 비교표 참조 표준(TCG MPWG) 본 표준 비 고 1) 플랫폼 무결성(platform 1) 플랫폼 무결성 수용 integrity) 2) 디바이스 인증(device 4) 디바이스 인증 4 장으로 이동 authentication) - 2) 안전한 저장 (secure 안전한 저장 목차 추가 storage) 추가 3) 견고한 디지털 저작권 - 삭제 관리(DRM) 구현(robust DRM implementation) 4) 가입자 식별 모듈 - 삭제 잠금(SIMLock) 5) 안전한 소프트웨어 다운로드 5) 안전한 소프트웨어 수용 다운로드 6) 디바이스와 UICC 간 안전한 채널 제조사의 선택에 의존하여 삭제 7) 모바일 발권 사업자의 선택에 의존하여 삭제 8) 모바일 지불 사업자의 선택에 의존하여 삭제 9) 소프트웨어 사용 사업자의 선택에 의존하여 삭제 10) 단말 사용자에게 플랫폼과 응용 무결성 증명 3) 원격 보증 증명(remote attestation) 원격 보증 증명(remote attestation)으로 대체 6. 지적재산권 관련사항 본 표준의 지적재산권 확약서 제출 현황은 TTA 웹 사이트에서 확인 할 수 있다. ii

2 참조한 표준(권고)과 본 표준의 비교표 참조 표준(TCG MPWG) 본 표준 비 고 1) 플랫폼 무결성(platform 1) 플랫폼 무결성 수용 integrity) 2) 디바이스 인증(device 4) 디바이스 인증 4 장으로 이동 authentication) - 2) 안전한 저장 (secure 안전한 저장 목차

5 7. 적합인증 관련사항 정보통신단체표준(국문표준) 7.1 적합인증 대상 여부 해당 사항 없음. 7.2 시험표준제정여부(해당 시험표준번호) 해당 사항 없음. 8. 표준의 이력 판수 제/개정일 제 개정내역 제1판 XX 제정 iii

6 Preface 1. The Purpose of Standard This is a specification document based on TC(Trusted Computing) for mobile applications. This document includes representative use case scenarios for the mobile communication environment. It can be used for making various service models generated by the spread of TC technology. 2. The Summary of Contents This specification provides 5 use case scenarios to make TCG s specifications applicable to mobile devices. It includes 1) Platform Integrity, 2) Secure Storage, 3) Remote attestation, 4) Device Authentication, 5) Secure Software Download. It describes characteristic information, life cycle, variations and threats for each use case. 3. Applicable fields of industry and its effect This standard is applicable to hardware-based security technologies and applications. Especially, it will be very useful to vendors, service providers, manufacturers and end users in Korea because we have a big and steady growing wireless communication market. They can make various business models using this document. 4. The Reference Standards (Recommendations) 4.1 International Standards (Recommendations) - TCG, MPWG Use Case Scenarios, Phase 2 v 2.7, July TCG MPWG Selected Use Case Analysis v 1.0, Domestic Standards None 5. The Relationship to Reference Standards(Recommendations) This is an adopted specification of TCG MPWG Use Case Scenarios published by TCG. 5.1 The relationship of Reference Standards iv

The Summary of Contents This specification provides 5 use case scenarios to make TCG s specifications applicable to mobile devices.

7 This document based on TCG MPWG use cases provides the analysis of the selected representatives use cases for trusted mobile environments. 5.2 Differences between Reference Standard (recommendation) and this standard Reference Standard (TCG This document Remark MPWG) 1) Platform integrity 1) Platform integrity 2) device authentication 4) device authentication Move to section 4 2) secure storage Add new section 3) robust DRM implementation Delete 4) SIMLock/Device Delete Personalization 5) Secure SW download 5) Secure SW download 6) Secure Channel between Device and UICC To depend on manufacture selection, elimination 7) Mobile Ticketing To depend on manufacture selection, elimination 8) Mobile Payment To depend on manufacture selection, elimination 9) Software Use To depend on manufacture selection, elimination 10) Prove Platform and/or Application Integrity to End User 3) remote attestation Substitute this case to remote attestation 6. The Statement of Intellectual Property Rights IPRs related to the present document may have been declared to TTA. The information pertaining to these IPRs, if any, is available on the TTA Website 7. The Statement of Conformance Testing and Certification None 8. The History of Standard Edition Issued date Contents The 1st edition December 2010 Established v

device authentication Move to section 4 2) secure storage Add new section 3) robust DRM implementation Delete 4) SIMLock/Device Delete Personalization 5) Secure SW download 5) Secure SW download 6)

8 목차 1. 개요 개요 약어 정의 Actors 사용 사례 시나리오들의 전체 관련성 및 의존도 플랫폼 무결성 시나리오 안전한 저장 시나리오 원격 보증 증명(remote attestation) 시나리오 장치 인증 시나리오 안전한 소프트웨어 다운로드 vi

9 Contents 1. Overview... 오류! 책갈피가 정의되어 있지 않습니다. 1.1 Overview... 오류! 책갈피가 정의되어 있지 않습니다. 1.2 Terms and Definition... 오류! 책갈피가 정의되어 있지 않습니다. 1.3 Actors... 오류! 책갈피가 정의되어 있지 않습니다. 2. The relations and dependencies of use case scenarios 오류! 책갈피가 정의되어 있 지 않습니다. 2.1 Platfrom integrity scenario... 오류! 책갈피가 정의되어 있지 않습니다. 2.2 Secure storage scenario... 오류! 책갈피가 정의되어 있지 않습니다. 2.3 Remote attestation scenario... 오류! 책갈피가 정의되어 있지 않습니다. 2.4 Device authentication scenario... 오류! 책갈피가 정의되어 있지 않습니다. 2.5 Secure software download... 오류! 책갈피가 정의되어 있지 않습니다. vii

.. 오류! 책갈피가 정의되어 있지 않습니다. 2.2 Secure storage scenario... 오류! 책갈피가 정의되어 있지 않습니다. 2.3 Remote attestation scenario... 오류! 책갈피가 정의되어 있지 않습니다. 2.4 Device authentication scenario.

10 모바일 신뢰 서비스를 위한 신뢰보안모듈(MTM) 사용 시나리오 (MTM Usage Scenarios for Trusted mobile services) 1. 개요 1.1 개요 본 표준은 차세대의 모바일 장치들의 신뢰 서비스 시나리오에 대한 것이다. 이는 산 업표준 단체인 Trusted Computing Group (TCG)의 Mobile Products Working Group (MPWG) specifications을 근간으로 융.복합 단말기, 스마트폰 보안 등의 서비스에 적 합한 시나리오를 추출하여 재 정의 한다. 독자들은 이와 같은 시나리오들이 어떻게 모 바일 장치에 적용될 수 있는지 이해를 돕고자 한다. 이러한 사용 사례의 시나리오는 모바일 신뢰 모듈을 활용할 수 있는 미래의 TCG 사 용의 가능한 시나리오를 설명하는 것이다. 모든 사용 사례는 구현 세부 정보보다는 솔루션에 집중하여 요약 설명한다. 모든 시나 리오는 TCG의 신뢰할 수 있는 참조 구조 같은 빌딩 블록에 공유될 수 있다. 독자들은 이러한 같은 구성 요소가 서로 다른 기능을 제공하는데 중복으로 사용되는 것을 이해 할 것이다. 사용자 시나리오 포맷 통일 특성 정보 시나리오의 목표(사용 사례가 달성하고자 하는 목표) 사용자의 이점 관련 (모바일 디바이스의 영향 유형) 전제조건 성공 종료 조건 실패 종료 조건 주요 Actors Trigger (어떤 사건이나 조건이 기회를 시작하게 하나) 생명주기 다양성(변의) 위협들 이러한 위협은 신뢰할 수 있는 컴퓨팅의 사용으로 어떻게 만족 시키나 장치 생명 주기 끝 과 같은 라이프 사이클의 한 측면은 모든 사용 사례 공통이고 일 1

독자들은 이와 같은 시나리오들이 어떻게 모 바일 장치에 적용될 수 있는지 이해를 돕고자 한다. 이러한 사용 사례의 시나리오는 모바일 신뢰 모듈을 활용할 수 있는 미래의 TCG 사 용의 가능한 시나리오를 설명하는 것이다. 모든 사용 사례는 구현 세부 정보보다는 솔루션에 집중하여 요약 설명한다.

11 반적인 현상이다: 개인 정보 보호상(privacy)의 이유로, 어떤 장치의 정체성(identities, 식별자)은 전반적으로 장치에 수명에 포함되어 있으며, 주로 식별자로 표시하며, 이 식 별자(ID)와 장치에 포함된 모든 보안 관련 데이터 (키 등)를 장치의 생명 주기 끝에는 안전하게 삭제해야 한다. 또한, 이러한 데이터는 사용자의 후속 장치로 이동해야 할 수 도 있지만, 먼저 사용하는 장치에서는 사용자에게 다양한 서비스 또는 사용자의 소비에 연결된 모든 보안 데이터는 장치에서 완전히 삭제해야 한다. 이유로 이장치는 물리적으 로 폐기될 수 있고 낡은 장치나 부품을 완전히 신선한 상태로 재활용 할 수도 있기 때 문이다. 그것은 물리적, 폐기될 수 있다고 부품 등 재활용. 일부 시나리오는 특별한 사례 의 생명 주기를 고려하기도 한다 사용 사례 시나리오의 유형 본 문서에는 두 가지 유형이 있다: 실질적인 사용 사례 와 특수한 응용. 실질적인 사용 사례는 MPWG에서 2005 년 후반에 출시된 기술 문서에 따라 모든 장치 가 구현에 필요한 가능성이 있는 실질적인 사용 사례로 기술 사양에 반영된 것이다. 특정 사용 사례란 모든 장치가 필요로 하는 것은 아니지만 특정 응용 케이스를 구현하 는 기능을 설명하는 기술 사양 MPWG 만들 때에 활용되도록 기술한다 표준화의 필요성 휴대 전화 또는 다른 복합 단말기 플랫폼에 신뢰할 수 있는 컴퓨팅이 필요하지 않다고 논쟁 할 수도 있으나, 신뢰할 수 있는 컴퓨팅이 필요한 다음과 같은 이유들이 존재한다. 1. 안전성이 보장 되는 산업 솔루션 개방형 표준은 시작 단계에서 다양한 각도에서 검토가 진행된다. 여기서 산업체 전문가의 의견은 보안 위협이 최소인 새로운 표준 만들 때에 중요하다. 최종 기술 표준이 안전성을 보장함을 증명하기 위해서 조사하고 토론하는 것이 필요하다. 2. 업계 상호 호환성 보장 하드웨어 공급 업체 및 표준에 필요한 기능을 지원하도록 선택할 터미널 공급 업체에게 표준을 널리 사용하게 하여 위험을 감소시킨다. 표준을 따르는 기업은 자신의 제품을 쉽게 신뢰하게 한다. TCG 는 가치 사슬의 다른 기관과 통합 준비를 신속하게 시장에 호환되게 할 수 있다는 자신감을 줄 수 있으며, 시장에 쉽게 대처하게 한다. 3. 다양한 기술원천 가운데에서 덜 위험한 것을 선택하는 자유도를 부여 현재 단말 공급자는 쉽게 하드웨어 공급 업체를 교체할 수 없다. 이유는 특정 칩셋에서 만 지원하는 기능과 특정 칩셋을 위하여 최적화된 소프트웨어 때문이다. MPWG 기술 규격은 보안 소프트웨어와 하드웨어 인터페이스에 대하여 일관성을 보장한다. 이는 상호 운용성을 보장해 준다. 4. 업계 의견 수렴에 의한 문제점 식별 2

그것은 물리적, 폐기될 수 있다고 부품 등 재활용. 일부 시나리오는 특별한 사례 의 생명 주기를 고려하기도 한다. 1.1.1 사용 사례 시나리오의 유형 본 문서에는 두 가지 유형이 있다: 실질적인 사용 사례 와 특수한 응용.

12 MPWG 표준을 공동으로 결정하고 우선 순위뿐 만 아니라 가장 중요한 TCG 는 개념의 일반적인 이해를 협업하여 함께한다. 대조적으로, 표준화가 없다면, 거기에는 편협한 조각난 결정으로 중대한 보안의 목표 및 노력을 훼손할 수 있다. 따라서 중대한 문제를 식별하고 중대한 위험을 최소화 하기 위해 표준화가 필요하다. 5. 함께하면 혼자 하는 것보다 더 많이 알게 되고 더 잘 알게 된다 신뢰할 수 있는 컴퓨팅 분야는 소수 전문가에 의해 진행되는 좁은 분야이다. 하나의 표준은 모든 관련 시장의 입력을 기반으로 생성된다. 이러한 표준이 신뢰할 수 있는 컴퓨팅 업계 전문가를 끌어 모이게 한다. 그리고 한 회사 혼자 하는 것보다 연구 그룹은 더 많은 지식을 가지고 있고, 하드웨어 공급 업체는 무엇이 문제이고 무엇을 먼저 해결할 필요가 있는지를 파악하게 하고 이에 대한 적절한 표준을 준수하는 솔루션을 보다 빨리 구축할 수 있게 한다. 표준을 통해 독자적으로만 활용하는 솔루션을 제공하는 것이 아니라 널리 활용 될 수 있는 솔루션을 만들 수 있는 것을 배우게 된다. 6. 보다 쉽고 보다 빠르게 제품을 설계하고 출시 할 수 있게 한다 표준을 사용하여 제품 개발 속도를 높이고 제품 인증에 대한 비용은 절감한다. 제조 업체들은 자신들의 최고의 아이디어를 빠르게 실행할 수 있는 최초 시장 이득을 얻는다. 1.2 약어 정의 Term AIK CA DRM GSM HW IMEI ME MeT MPWG OEM OMA OS OSGi PCB PDA PKI Repurpose Description Attestation Identity Key Certification Authority Digital Rights Management Global System Mobile Hardware International Mobile Equipment Identity Mobile Equipment Mobile Electronic Transactions organization. Mobile Phone Workgroup Original Equipment Manufacturer Open Mobile Alliance Operating System Open Services Gateway Initiative Printed Circuit Board Personal Digital Assistant Public Key Infrastructure Modifying a Device to perform differently than intended (e.g. 3

그리고 한 회사 혼자 하는 것보다 연구 그룹은 더 많은 지식을 가지고 있고, 하드웨어 공급 업체는 무엇이 문제이고 무엇을 먼저 해결할 필요가 있는지를 파악하게 하고 이에 대한 적절한 표준을 준수하는 솔루션을 보다 빨리 구축할 수 있게 한다.

13 RIM ROM RTM RTR RTS RTV RTVI RVA RVAI SIM SoC SW TCG TIM TPM TSS TTP UICC UMTS USIM 3GPP 정보통신단체표준(국문표준) Linux on Game Console). Reference Integrity Metric Read Only Memory Root of Trust for Measurement Root of Trust for Reporting Root of Trust for Storage Root of Trust for Verification Root of Trust for Verification Identifier Root Verification Authority Root Verification Authority Identifier public key configured in the CRTV for the platform root security authority. Subscriber Identification Module System on Chip: primary platform host execution engine Software Trusted Computing Group Target Integrity Metric Trusted Platform Module TCG Software Stack Trusted Third Party UMTS Integrated Circuit Card Universal Mobile Telecommunications System Universal SIM 3 rd Generation Partnership Project 1.3 Actors 본 문서에서는 다음과 같은 actor들을 사용한다. 4

Identifier Root Verification Authority Root Verification Authority Identifier public key configured in the CRTV for the platform root security authority.

14 Actor 콘텐츠 제공자 회사 장치 장치 소유자 장치 제조사 최종 사용자 고용인 서비스 제공자 네트워크 제공 자 애플리케이션 제공자 공격자 정보통신단체표준(국문표준) 설명 DRM를 사용하여 보호를 요구하는 콘텐츠의 법적 소유인. 모바일 장치로 기업의 데이터나 네트워크를 접근 하도록 지원하는 기업 하나 이상의 TPM을 장착한 플랫폼으로 구성된 객체로 원격 보증 증명 을 TPM으로부터 제공 장치의 법적 소유자. 장치 소유자는 플랫폼을 주문 받아서 개인화할 자 격이 있다. 소유자는 일반 소비자 일수 있고 기업용에서는 IT 조직의 관리자 일수 있다. 장치 - 전형적으로 OEM의 제조자 또는 상표 장치의 사용자. 최종 사용자는 장치 소유자이지 않을 수도 있다. 모바일 장치를 사용하는 고용인으로 기업 내의 업무나, 데이터나 네트 워크를 접근 가능하다. 신뢰할 수 있는 모바일 플랫폼인지 확인하고자 하는 서비스 제공자 및 장치에서비스를 탑재하는 제공자 플랫폼에 통신 기능을 제공하는 사업자 플랫폼 상에서 응용서비스를 제공하여 실행되도록 하거나 응용 서비스 를 파는 콘텐츠 제공자 장치, 서비스 제공자, 애플리케이션 제공자 또는 네트워크 제공자의 취 약점을공격 하거나 정책을 포위하는 것을 시도하는 사람 또는 조직 2. 사용 사례 시나리오들의 전체 관련성 및 의존도 본 장에서는 이를 위하여 5 개의 시나리오를 도출하였으며, 세부적으로는 1) 플랫폼 무결성(platform integrity), 2) 안전한 저장 (secure storage), 3) 원격 보증 증명(remote attestation), 4) 디바이스 인증(device authentication), 5) 안전한 소프트웨어 다운로드의 내용을 포함한다. (그림 2-1) 사용자 시나리오의 의존성 및 관련성 5

장치 - 전형적으로 OEM의 제조자 또는 상표 장치의 사용자. 최종 사용자는 장치 소유자이지 않을 수도 있다. 모바일 장치를 사용하는 고용인으로 기업 내의 업무나, 데이터나 네트 워크를 접근 가능하다.

15 2.1 플랫폼 무결성 시나리오 정보통신단체표준(국문표준) 특성 정보 시나리오의 목표: 장치를 소유한 권한자 만이 장치를 사용하고 권한을 가진(정품 구매) 운영체제와 하드웨어 상에서만 실행 할 수 있도록 하려면 플랫폼 무결성이 유지됨을 파 악할 수 있어야 한다. 예를 들어 실행 권한이 없는 운영체제는 원본 운영체제(정품 운영 체제)가 어떠한 이유이든 수정되었을 때를 말한다. 이러한 수정된 운영체제는 잘못된 장치 인증 번호(예 false IMEI code)를 내보낼 수 있다. 또 메모리 내용이나 위치 정보 등을 수정하여 송출할 수도 있고 송신 프로그램이 수정된 경우에는 이상 행동을 할 수 있다. (Jail break phone, 대포폰 등) 권한이 없는 하드웨어(비정품 하드웨어)는 원래 검증된 하드웨어 외에 추가되거나 장치 의 데이터버스상의 하드웨어 신호를 수정하거나 삭제하는 경우로 악의적으로 사용될 수 있는 경우다. 플랫폼의 무결성을 유지 한다는 의미는 플랫폼의 하드웨어와 플랫폼의 주요 소프트웨어 (boot 코드, OS kernel)들이 제조사가 시험 검증을 완료한 상태와 같음을 말한다. 사용자의 이점: 사용자는 자신의 장치의 신뢰성에 의존할 수 있다. 맬웨어에 대하여 장 치들과 장치들이 스스로를 방어할 수 있으므로 신뢰성을 가진다. (예를 들면 바이러스, 웜, 이메일). 플랫폼의 무결성은 사용자에게 주요한 이점이다. 다른 모든 시나리오에 공 통적으로 적용 가능하므로 이것도 주요한 이점이다. 예를 들면, 사용자 데이터의 기밀은 플랫폼 무결성에 달려 있어서 데이터 보호 없이는 불가능하다; 따라서, 더 강한 플랫폼 무결성은 더 강한 데이터 프라이버시를 제공 가능하게 한다. 이동 전화가 법인 플랫폼으로 지원되기 수 있기 때문에 기업과 그들의 직원은 유익할 것이다. 그것은 기업 네트워크에 접근이 허용되고 법인 문서를 취급하고 저장하는 것을 허용할 수 있다. 이것은 보통 그 기밀 정보 및 기업 네트워크 안전을 추측할 수 없으면 기업을 위해 수락 가능하지 않을 것이다. 관련: 전화, 스마트폰, 복합 단말기, PMP, PDAs 및 어떤 임베디드 장치 전제조건: 장치는 전원 오프 상태이거나 다른 어떤 미리 결정된 초기 상태에서 출발 (시 동 시간 플랫폼 무결성 체크를 위해) (부팅시점에 시동 시간 플랫폼 무결성 체크가 실행 된다.) 장치는 해킹되거나 변경되지 않았음을 매 시동 시 점검한다. 성공 종료 조건: 정상적으로 장치가 시동 되었다면 플랫폼 무결성이 유지되고 있음을 보 장한다. 나아가, 플랫폼 무결성 체크는 장치가 운용 중일 때도 가능하다. 이 때도 성공적 이면 플랫폼 무결성 유지되고 있음을 보장한다. 이 "런타임" 무결성 체크는 장치 소프트 웨어 업그레이드와 같이 보안 관련이 실행 되기 전에 실행될 수도 있다. 실패 종료 조건: 공격자는 플랫폼 소프트웨어를 변경한다. 이 때 플랫폼 무결성 체크가 실패하고 장치 시동이 일반적으로 정상이면 실패 종료 조건이 된다. 주요 Actors: 최종 사용자, 장치, 장치 소유자, 장치 제조사 Trigger: 장치 전원을 넣고 장치 내의 초기 상태를 생성하고 플랫폼 무결성 체크를 요 구하는 주요한 런타임 가동 요구 사건이 있을 때 6

(Jail break phone, 대포폰 등) 권한이 없는 하드웨어(비정품 하드웨어)는 원래 검증된 하드웨어 외에 추가되거나 장치 의 데이터버스상의 하드웨어 신호를 수정하거나 삭제하는 경우로 악의적으로 사용될 수 있는 경우다.

16 2.1.2 생명 주기 생명 주기 단계 장치 제조사의 초기 설 정 단계 부팅 시점(시동 시점) 주요한 런타임 활동 이 전에 허가한 플랫폼 업그레이 드 정보통신단체표준(국문표준) 각 단계에서 취해지는 활동 장치가 승인된 상태와 제어 환경에 있을 때 플랫폼 무결성을 위해 근본 자료, 정책 및 열쇠는 장치에 안전하게 설치 공급된 다. 플랫폼 무결성은 플랫폼의 선정된 부분 혹은 전체의 무결성이 검사된다. 플랫폼 무결성은 플랫폼의 선정된 부분 혹은 전체의 무결성이 검사된다. 플랫폼 소프트웨어 및/또는 하드웨어는 허가되고 통제된 방법 으로 업그레이드 된다. 플랫폼 무결성을 위해 근본적인 자료, 정책 및 열쇠 역시 허가하고 통제한 방법으로 업그레이드된다 다양성(변이) 성능 향상을 위해 전체적인 장치 OS 검사 대신에, 주요 OS의 단지 몇몇 부분만 첫째로 검증한다. 다음으로, 런타임에, OS의 다른 security-relevant 부분은 수행되기 전에 검 사한다 위협들 1. 장치 펌웨어 로직 수정. 2. 장치 하드웨어 수정. 3. 장치 제조사가 의도한 것과 다른 방식으로 장치가 동작 4. 장치가 수정되어 거짓된 ID 를 장치 박으로 내 보냄 (예, 거짓 IMEI 코드) TCG 명세의 사용은 위의 위협을 어떻게 완화하는가? 플랫폼 무결성을 보호하는 것은 이 문서에 있는 모든 연속적인 사용 케이스를 위한 전 제조건이다. 그러므로 플랫폼 무결성을 위한 수단과 가능 기술을 설명하는 것이 MPWG 의 표준화 하려는 의도이다. (1) 에 (4) 위협은 자료의 부족에서 또는 플랫폼의 원하는 상태가 무엇이어야 하는지에 대한 기록이나 수단이 장치 내에 부족으로 인해 발생할 수 있다. 원하는 상태가 유지되고 있다는 것을 검사 가능한 수단이 있다면 위협을 완화할 수 있다. 이 자료를 기술하는 TCG 명세의 사용은 현재 가능하고 수단이 적기에 있다면 완전성을 지킬 것이다. 무결성을 유지하고 그리고/또는 권한외 수정을 검출하고 그 결 과로 지정된 행동을 취하게 하는 것으로 튼튼한 장치 구현이 가능하다. 2.2 안전한 저장 시나리오 특성 정보 시나리오의 목표: 이 시나리오는 안전한 저장 공간과 그 이용에 관한 것이다. 7

3 다양성(변이) 성능 향상을 위해 전체적인 장치 OS 검사 대신에, 주요 OS의 단지 몇몇 부분만 첫째로 검증한다. 다음으로, 런타임에, OS의 다른 security-relevant 부분은 수행되기 전에 검 사한다. 2.1.4 위협들 1. 장치 펌웨어 로직 수정. 2. 장치 하드웨어 수정. 3. 장치 제조사가 의도한 것과 다른 방식으로 장치가 동작 4.

17 이 시나리오의 목표는 권한이 없는 응용에 의해 개인의 민감 데이터를 접근하는 것을 보호하는 능력을 모바일 사용자에게 제공하기 위한 것인데 여기서 개인의 민감 데이 터 (주소록, 핀, 암호, 식별자(ID), 열쇠, 증명서 등등) 보호의 기능 은 프라이버시 측 면에서도 매우 중요하다. 민감 데이터의 한가지 예로 IMEI 보호에 관한 것으로 물리적 공격이나 하드웨어 수 준 공격, 풤웨어 수준 공격을 가장 많이 받는 부분이다. 이는 하드웨어로 보호된 저장 공간 및 안전한 저장 수단 제공과 깊은 관련이 있다. 일반적으로 모바일 장치는 가입 자 장치 식별자(ESN, IMEI) 등을 사용하며 제조사와 사업자가 이를 관리한다. 여기서 IMEI 자체 관리가 중요한데 한번 장치에 주입하게 되면 변경이 불가능해야 한다. 그 리고 단말기와 수명을 같이 해야 한다. 특정 단말기에 바인딩되어서 부팅 시점에 무 결성이 지켜짐과 진위 체크가 가능해야 한다. 이러한 단말 고유 번호는 이후에 장치 인증 시나리오나 소프트웨어에서 이 고유 번 호를 체크하도록 하여 라이센싱을 부여 하는 등의 파생 시나리오에 활용 가능하다. 아울러 단말을 훔치거나 중고폰을 구입하면 바로 IMEI 보호을 풀려고 시도하게 된다. 따라서 단말의 소유권이 종료되면 소거권 권한자가 보호된 저장도 소거해서 파생되는 위험을 줄여야 한다. 위와 같은 시나리오는 한 쪽은 변경 불가능 해야 하고 다른 쪽 은 소거 등의 변경 가능의 모순점을 가지는 중대한 문제이다. 그러므로 이를 보완하 는 방식을 취해야 한다. 그리고 권한 검증은 필수이며 3GPP 모뎀 소프트웨어 만 공 기 중으로 평문의 장치 식별자(clear IMEI)정보를 보내는 것이 허용되기 때문에 암호 화나 복호화 만으로 보호 될 수 없다. 장치 제조사는 유일한 고유 번호를 기록하고 안전한 부팅시 고유 번호가 침해가 발생 했는지 검사하며 안전한 부터(secure booter) 또한 무결성이 지켜짐을 증명해서 위험을 줄이는 방식을 고려해 볼 수 있다. TCG 표준에서는 위와 같은 목적을 달성하는 안전한 수단을 기술하고 있다. MTM에서는 5 종류의 하드웨어로 보호된 저장 공간 및 안전한 저장 수단 제공을 제공한다. MTM 내에는 RTS, RTM, RTR, RTV, RTE가 있다. 이는 무결성 정보나 열쇠 꾸러미, 인증서들, 및 데이터를 안전하게 담고 있고 안전한 수단으로 열람하게 한다. 열람하는 수단으로 Initialization, Binding, Signing, Sealing, Sealed-sign과 안 전한 프로토콜 만이 접근하는 QUOTE, RIMCertVerfication 등 등이 있다. 장치는 이러한 안전한 저장 공간과 저장 방식을 제공해야 한다. 사용자의 이점: 기밀 정보를 하드웨어적으로 보호해 주고 기밀이 지켜지고 있는지 확인 할 수 있으므로 장치를 믿고 열쇠들이나 인증서들을 보관할 수 있는 이점이 있다. 향후 민감 데이터를 다루는 다양한 응용 서비스를 이용할 수 있다. 관련: 전화, 스마트폰, 복합 단말기, PMP, PDAs 및 어떤 임베디드 장치 전제조건: 장치에는 Shielded location을 가진다. 장치가 안전한 저장 수단을 접근하는 수단은 권한 방식으로만 가능하다.. 성공 종료 조건: 하드웨어적으로 보호되는 Shielded location은 위.변조 될 수 없다. 장 치에서 Shielded location에 저장된 모든 정보는 정해진 권한 수순으로만 제공되며 비권 한자는 열람이 불가능하다. 장치 변경시에도 안전한 마이그레이션 수단으로만 정보 이동 이 가능하다. 실패 종료 조건: 공격자는 장치에서 열쇠 또는 자료를 추출하여 다른 장치에 주입 시켜 8

여기서 IMEI 자체 관리가 중요한데 한번 장치에 주입하게 되면 변경이 불가능해야 한다. 그 리고 단말기와 수명을 같이 해야 한다. 특정 단말기에 바인딩되어서 부팅 시점에 무 결성이 지켜짐과 진위 체크가 가능해야 한다.

18 본래 장치로 위장(가장)할 수 있다. 주요 Actors: 장치 소유자, 장치, 서비스 제공자 혹은 백업을 요구하는 장치 소유자 Trigger: 장치 소유자, 서비스 제공자나 네트워크 제공자의 백업 요구 생명 주기 생명 주기 단계 장치 제조사의 초기 설 정 단계 부팅 시점 및 주요한 장 치인증 이전 단계 장치에 Sealing, binding 사건 IMEI 검사 사건 각 단계에서 취해지는 활동 장치 최초 열쇠와 인증서를 장치에 안전하게 설정한다. 플랫폼의 무결성이 체크되고 장치에 저장된 어떠한 데이터, 정 책 및 열쇠도 수정되지 않았음 부팅 시점에 소프트웨어는 무결성 검사를 하고 제조 도중에 주입한 IMEI 및 IMEI in MTM와 장치의 IMEI를 비교하여 완전 무결하게 지켜 지고 있음을 확인 장치는 서비스 제공자의 관리 소프트웨어를 수행하여 안전한 저장 수단을 이용하다 다양성(변이) 동일한 장치에 다수의 안전한 저장 수단이 있을 수 있다. (MTM, TPM1, TPM2) 위협들 1. 인증서나 열쇠를 갈취하기 위하여 관리자 권한 획득을 시도 한다. 2. 장치에 저장된 정보가 더 이상 유지되지 못하거나 안전한 열람이 거부됨 3. 모바일 장치의 도난 TCG 명세의 사용은 위의 위협을 어떻게 완화하는가? 위협 (1) ~ (3)은 장치 인증에 사용하는 장치상의 데이터, 및 열쇠를 충분히 보호하지 못 해서 발생한다. TCG 표준 스펙은 위와 같은 인증 정보를 안전하게 저장하고 사용하며 공격자가 가로 챌 수 없도록 한다. 9

플랫폼의 무결성이 체크되고 장치에 저장된 어떠한 데이터, 정 책 및 열쇠도 수정되지 않았음 부팅 시점에 소프트웨어는 무결성 검사를 하고 제조 도중에 주입한 IMEI 및 IMEI in MTM와 장치의 IMEI를 비교하여 완전 무결하게 지켜 지고 있음을 확인 장치는 서비스 제공자의 관리 소프트웨어를 수행하여 안전한 저장 수단을 이용하다. 2.

19 2.3 원격 보증 증명(remote attestation) 시나리오 정보통신단체표준(국문표준) 특성 정보 시나리오의 목표: 이 시나리오는 원격 플랫폼 인증이라고도 하나 엄밀히 말하면 인증이 라기 보다 클라이언트에 대한 보증서를 확인하고 다음 서비스를 결정하므로 원격 보증 증명이라 한다. 사용자 인증과 별도로 통신하고자 하는 플랫폼이 신뢰할 수 있는 상태인 지 원격으로 검증할 수 있다. 이때는 플랫폼 인증이라 한다. 원격 증명은 클라이언트가 원격 서버에게 클라이언트 자신의 하드웨어와 소프트웨어 구성 정보를 확인시키는 방법 이다. 따라서 모바일 장치는 클라이언트가 되고 서비스 서버들이 필요 시 구성 관리를 하여 클라이언트를 관리 해 주는 것이다. 이 시나리오는 앞에서 소개한 플랫폼 무결성 시나리오와 연관된다. 장치 자체의 무결성을 보증서로 발송하고 이를 증명하는 과정을 포함하므로 보증 증명이라 한다. 보증 증명의 목표는 원격 시스템 (challenger,도전 자,verifier)를 다른 클라이언트 시스템(attestator, requestor)의 플랫폼 무결성이 지켜지 고 있는지의 신뢰 수준을 결정 하기 위한 것이다. 서버를 클라이언트가 원격 검증하고자 하면 반대 수순으로 하면 된다. 원격 보증 수단은 1) 장치의 위 변조 되지 않은 ID만 확인하는 방식, 2) 장치에 위.변조 되지 않은 인증서를 검증하여 하는 방식, 3) 장치에 위.변조 되지 않은 보증서 및 열쇠 를 검증 하는 방식, 4) 장치에 무결성 검사 정보에서 플랫폼 구성 정보를 검증 하는 방 식으로 다양성을 가진다. 원격 보증은 무결성 검증 구조(IMVA)와 원격 보증 프로토콜에 의존적이다. (그림 2-2) 는 원격 보증 증명 시나리오를 보여준다. (그림 2-2) 원격 보증 증명 시나리오 사용자의 이점: 플랫폼의 무결성 시나리오와 마찬가지 효과 관련: 전화, 스마트폰, 복합 단말기, PMP, PDAs 및 어떤 임베디드 장치 전제조건: 장치에는 원래 유일한 EK를 담고 있고 AIK를 안전하게 발급 받아 담고 있다. 원격 보증 요구는 장치가 받는 것이다. 10

따라서 모바일 장치는 클라이언트가 되고 서비스 서버들이 필요 시 구성 관리를 하여 클라이언트를 관리 해 주는 것이다. 이 시나리오는 앞에서 소개한 플랫폼 무결성 시나리오와 연관된다. 장치 자체의 무결성을 보증서로 발송하고 이를 증명하는 과정을 포함하므로 보증 증명이라 한다.

20 성공 종료 조건: 장치에 저장된 무결성 정보와 열쇠 및 인증서들은 복제되거나 변경될 수 없다. 장치에서 저장된 무결성 정보를 포함한 보증 증명원은 서비스 제공자가 기기 및 플랫폼의 상태 확인을 위하여 이용된다. 상태 확인에 따라 서비스 제공자는 요구되는 서비스 및 콘텐츠를 수여하거나 거부할 수 있다. 어떠한 경우도 장치 또는 최종 사용자 도 동일한 상태를 재현할 수 없다. 실패 종료 조건: 공격자는 장치에서 열쇠 또는 보증서 자료를 추출하여 다른 장치에 주 입 시켜 본래 장치로 위장(가장)할 수 있다. 주요 Actors: 최종 사용자, 장치, 서비스 제공자 혹은 보증을 요구하는 다른 장치 Trigger: 서비스 제공자나 네트워크 제공자의 보증 요구 생명 주기 생명 주기 단계 장치 제조사의 초기 설 정 단계 부팅 시점 및 주요한 장 치보증 이전 단계 장치 보증 증명 사건 각 단계에서 취해지는 활동 장치 무결성 정보를 포함한 보증 증명원과 관련 있는 데이타, 정책 및 열쇠는 장치에 안전하게 설정된다. 플랫폼의 무결성이 체크되고 장치에 저장된 장치 보증 증명과 관련된 어떠한 데이터, 정책 및 열쇠도 수정되지 않았음 장치는 서비스 제공자나 네트워크 제공자에게 attestation 프 로토콜을 수행하여 서비스 접속 허가를 받는다 다양성(변이) 동일한 장치에 다수의 AIK가 있을 수 있다. (예, 사용자 교체) 위협들 1. 서비스 권한을 얻기 위하여 식별자를 스푸핑(spoofing)하려 한다. 2. 장치에 유일해야 할 보증원이 더 이상 유지되지 못함 3. 모바일 장치의 도난 4. 장치 보증 증명이 장치 추적에 사용됨, 이는 근원적으로 프라이버시 위협임 5. 장치의 구성 정보가 노출되어 프라이버시 위협이 됨 TCG 명세의 사용은 위의 위협을 어떻게 완화하는가? 위협 (1) ~ (3)은 장치 인증에 사용하는 장치상의 데이터, 및 열쇠를 충분히 보호하지 못 해서 발생한다. TCG 표준 스펙은 위와 같은 attestation 정보를 안전하게 저장하고 사용 하며 공격자가 가로 챌 수 없도록 한다. 위협 (4)~(5)는 프라이버시 강화기술인 TCG 의 DAA 기술을 채용하면 완화 된다. 11

3.2 생명 주기 생명 주기 단계 장치 제조사의 초기 설 정 단계 부팅 시점 및 주요한 장 치보증 이전 단계 장치 보증 증명 사건 각 단계에서 취해지는 활동 장치 무결성 정보를 포함한 보증 증명원과 관련 있는 데이타, 정책 및 열쇠는 장치에 안전하게 설정된다.

21 2.4 장치 인증 시나리오 정보통신단체표준(국문표준) 특성 정보 시나리오의 목표: 이 시나리오는 두 가지의 세부 목표가 있다. 첫째로, 장치 인증은 안전하게 보호되는 장치에 유일한 ID 정보를 이용하여 최종 사용자 를 인증, 기존의 사용자 인증 만으로는 허가된 사용자 이지만 불법 장치로 스팸 발송을 할 경우 이를 식별하지 못하므로 사용자 인증에 추가로 장치 인증이 필요하다. 사용자 인증은 신원 확인과 발급한 유일한 식별자로 2-factor 인증을 하지만 장치에 대해서는 어떠한 것도 묻지 않는 단점을 가지고 있다. 광의적으로는 사용자 인증에 장치 인증은 포함 될 수 있는 문제이다. 서비스 제공자나 네트워크 제공자는 허가된 사용자를 판단하 고 접속 제어를 하고자 하나 유일한 ID를 도용하여 서비스 제공자의 의도를 피하려 할 수 있다. 신원을 확인하는 열쇠로서 ID는 다양한 모습일 수 있다. 둘째로, 장치 인증은 장치의 신원 자체를 증명하는데 만 사용되고, 어떤 식으로든 최종 사용자 인증을 돕지 못할 수도 있다. 이유는 다중 인증 수단을 복합적으로 사용하는 경 우 사용자 인증은 다중 인증에 의존하기 때문이다. 예를 들면 DRM의 경우 장치 인증과 사용자 인증을 별도로 요구한다. 경우에 따라 인증 환경에서 서비스 제공자나 네트워크 제공자에게 다수 신원 인증이 사용 될 수도 있다. 몇몇은 신원 확인 수단으로 이 사용자 인증과 장치 인증 둘 다 사용 할 수 있다. 장치는 이러한 인증 정보를 안전하게 저장하 고 필요 시 안전하게 제공해야 한다. 사용자의 이점: 어떤 경우에, 신뢰할 수 있는 장치를 사용하는 사용자가 보다 양질의 서 비스를 제공 받을 수 있는 환경이 되면 고신뢰를 요하는 응용 서비스(예, 핼스케어, 금 융거래, 원격 로봇제어)를 많이 제공할 수 있게 한다. 그러므로 신뢰된 단말과 장치 인 증을 이용하면 사용자는 부가의 혜택을 받을 수 있다. 장치 인증은 한다고 해서 사용자 의 프라이버시 침해가 늘게 되는 것이 아니다. 이는 서비스 제공자의 프라이버시 정책에 의존하여 사용자 및 장치 인증에 기초한 부가 서비스를 판단 할 수 있게 하는 이점을 가지고 사용자의 기밀을 감소시키지는 않는다. 추가로, 장치 인증은 사용자의 개인적인 ID에 관하여 아무 정보도 드러내지 않아서 경우에 따라서는 기밀을 강화하는 수단이 될 수 있다. 강한 장치 인증은 장치 도난에 대한 전반적으로 전략의 한 부분으로 사용될 수 있다. 이것은 장치 도난을 방지하는 사용자를 위한 유익한 방식이 될 수도 있다. 관련: 전화, 스마트폰, 복합 단말기, PMP, PDAs 및 어떤 임베디드 장치 전제조건: 장치에는 원래 유일한 ID 정보가 담겨 있다. 인증 요구는 장치가 받는 것이다. 성공 종료 조건: 신원 식별 ID는 복제되거나 변경될 수 없다. 장치에서 저장된 신원 식 별 ID는 서비스 제공자가 신원 확인을 위하여 이용된다. 신원 확인에 따라 서비스 제공 자는 요구되는 서비스 및 콘텐츠를 수여하거나 거부할 수 있다. 어떠한 경우도 장치 또 는 최종 사용자도 동일한 신원이 존재할 수 없다. 실패 종료 조건: 공격자는 장치에서 열쇠 또는 자료를 추출하여 다른 장치에 주입 시켜 본래 장치로 위장(가장)할 수 있다. 주요 Actors: 최종 사용자, 장치, 서비스 제공자 혹은 인증을 요구하는 다른 장치 Trigger: 서비스 제공자나 네트워크 제공자의 인증 요구 12

22 2.4.2 생명 주기 생명 주기 단계 장치 제조사의 초기 설 정 단계 부팅 시점 및 주요한 장 치인증 이전 단계 장치 인증 사건 정보통신단체표준(국문표준) 각 단계에서 취해지는 활동 장치 신원 식별 ID와 관련 있는 데이타, 정책 및 열쇠는 장치 에 안전하게 설정된다. 플랫폼의 무결성이 체크되고 장치에 저장된 장치 인증과 관련 된 어떠한 데이터, 정책 및 열쇠도 수정되지 않았음 장치는 서비스 제공자나 네트워크 제공자에게 인증 프로토콜 을 수행하여 서비스 접속 허가를 받는다 다양성(변이) 동일한 장치에 다수의 ID가 있을 수 있다. (예, 인도에서 부족 폰) 위협들 1. 서비스 권한을 얻기 위하여 식별자를 스푸핑(spoofing)하려 한다. 2. 장치에 유일해야 할 식별자가 더 이상 유지되지 못함 3. 모바일 장치의 도난 4. 장치 인증이 장치 추적에 사용됨, 이는 근원적으로 프라이버시 위협임 TCG 명세의 사용은 위의 위협을 어떻게 완화하는가? 위협 (1) ~ (3)은 장치 인증에 사용하는 장치상의 데이터, 및 열쇠를 충분히 보호하지 못 해서 발생한다. TCG 표준 스펙은 위와 같은 인증 정보를 안전하게 저장하고 사용하며 공격자가 가로 챌 수 없도록 한다. 위협 (4)는 프라이버시 강화 TCG 기술을 채용하면 완화 된다. 2.5 안전한 소프트웨어 다운로드 특성 정보 시나리오의 목표: 사용자는 안전하게 응용 소프트웨어를 다운 받기를 원한다. 그리고 upgrade patch 나 펌웨어 업그레이드도 마찬 가지다. 응용 소프트웨어란 장치의 native OS 상에 설치하는 DRM agent나 browser를 의미하고 게임응용과 같은 것은 아니다. 펌 웨어 설치 및 업그레이드는 장치 제조사나 네트워크 사업자가 풤웨어에 보안 결함이 있 어서 업그레이드 하는 경우이다. 응용 소프트웨어의 설치 및 패치를 위한 다운 로딩은 적절한 보안이 지켜지는 상황에서 행해지며 설치 권한이나 특권을 요구한다. 사용자의 이점: 소프트웨어 서명(signed SW) 사용하여 악성 코드가 의도와 달리 설치 되지 못하게 한다. 악성 코드를 가진 소프트웨어를 서명하여 설치하려고 하는 경우에 도 이를 추적 할 수 있도록 한다. 응용 소프트웨어 개발자가 배포 한 이후에 누군가 13

23 악성 코드를 추가 하는 것도 막아 준다. 정보통신단체표준(국문표준) 신뢰 플랫폼의 특별한 이점은 사용자의 불편과 위험을 줄여 준다. 장치는 안심하고 믿을 수 있는 소프트웨어만 설치하게 도와 준다. 소프트웨어 생산자를 원하면 파악할 수 있다. 플랫폼의 무결성 검증을 통해 신래 플랫폼은 다운로드 과정에 트릭을 사용하 는 것을 걸러 내고 위험성을 줄여 준다. 기업 업무용으로 모바일 장치를 지급하는 경 우에 안전한 방식으로 설치 소프트웨어의 구성 정보를 관리 할 수 있다. 따라서 신뢰 플랫폼은 안전한 소프트웨어 다운로딩을 지원한다. 관련: 전화, 스마트폰, 복합 단말기, PMP, PDAs 및 어떤 임베디드 장치 전제조건: 사용자, 장치 제조사, 네트워크 제공자가 장치에 응용 소프트웨어나 펌웨어를 설치하려고 한다. 성공 종료 조건: 장치에 안전하게 소프트웨어가 반영되었다. 실패 종료 조건: 공격자는 장치로 응용 소프트웨어를 송신 중에 변경한다. 주요 Actors: 장치 사용자, 장치 제조사, 네트워크 제공자, 서비스 제공자 Trigger: 사용자는 응용 소프트웨어 또는 소프트웨어 갱신을 다운로드하는 것을 시도한다. 장치 제조사는 장치에 보안 패치를 설치 하고자 한다. 네트워크 제공자는 장치에 보안 패치를 설치 하고자 한다 생명 주기 생명 주기 단계 장치 제조사의 초기 설 정 단계 부팅 시점 및 주요한 소 프트웨어 다운 사건 이 전 단계 소프트웨어 다운로드 사 건 장치 갱신(필요 시) 다운 로딩 서비스의 종 료 각 단계에서 취해지는 활동 Data, policies, keys 와 소프트웨어 다운로딩과 관련된 program code가 통제된 적절한 방식으로 장치에 설치 및 설 정 된다. 데이터, 정책, 열쇠의 무결성 검사와 소프트웨어 다운로딩과 관련된 program code의 무결성을 검사 한다. 정책과 프로그램 코드에 따라 장치에 소프트웨어가 다운로딩 된다. 소프트웨어의 업그레이드 정책에 따라 안전하게 권한 통제하 에 갱신한다. 장치 사용자가 사업자를 변경하거나 다운로딩 열쇠가 파손된 경우는다운로딩이 가능하지 않게 한다 다양성(변이) 해당 사항 없음 14

24 2.5.4 위협들: 정보통신단체표준(국문표준) 1. 설치되는 응용 소프트웨어들이 악성 코드를 포함 할 수 있고 장치의 민감 데이터를 점근하는 코드를 가질 수 있다. 2. 설치 소프트웨어는 장치의 운영체제의 결함을 이용하여 악성 코드를 전파할 수 있다. 3. 설치 응용 소프트웨어 또는 소프트웨어 갱신은 권한 밖의 방법으로 변경될 수 있다. 4. 펌웨어 갱신은 공격자가 역설계를 목적으로 분석 될 수 있다. 5. 소프트웨어의 갱신 중 장치의 다운로드 정책을 위반하여 이전 버전으로 설치할 수 도 있다 TCG 명세의 사용은 위의 위협을 어떻게 완화하는가? TCG 기술은 설치되는 소프트웨어의 무결성 검증이 가능한 새로운 시도이다. 물론 설 치 권한 하에서 가능하다. 예를 들어 TCG는 보안 서비스를 기술하고 있는데 이는 서명 검증이나 권한 검증이 가능한 API를 제공한다. 검증 과정에는 안전하게 주입된 Keys (public CA root keys)들이 사용된다. 위협 (1)은 이와 같은 방식으로 만족될 수 있다. 유사하게, TCG는 소프트웨어 갱신의 완전성 그리고 기밀성을 보호하기 위하 여 이용될 수 있는 enablers를 지정할 수 있어, 그로 인하여 위협을 (3)와 (4)를 만족 시킨다. TCG 명세는 장치 소프트웨어를 위한 권한 관리 구조나 특권 구조를 지정하여 기술할 수 있다. 그래서 장치에서 제공하는 기술 만으로 소프트웨어 갱신이 가능하다. 위협 (2)는 그로 인하여 감소될 수 있다. TCG 명세는 정책을 지정하고 이에 따라 다 운 로딩 정책을 실행하게 할 수 있어서 위협 (5)를 만족시킨다. 15

25 표준작성 공헌자 표준 번호 : TTAx.xx-xx.xxxx/R1 이 표준의 제 개정 및 발간을 위해 아래와 같이 여러분들이 공헌하였습니다. 구분 성명 위원회 및 직위 연락처 소속사 과제 제안 박정숙 PG504 위원 ETRI 권혁찬 PG504 위원 hckwon@etri.re.kr ETRI 남택용 PG504 위원 tynam@etri.re.kr ETRI 표준 초안 전성익 PG504 위원 제출 sijun@etri.re.kr ETRI 나재훈 PG504 의장 jhnah@etri.re.kr ETRI 서동일 TC5 부의장 bluesea@etri.re.kr ETRI 표준 초안 검토 및 작성 표준안 심의 사무국 담당 오흥룡 TTA 사무국 과장 hroh@tta.or.kr TTA 16

26 (뒷 표지) 정보통신단체표준(국문표준) 모바일 신뢰 서비스를 위한 신뢰보안모듈(MTM) 사용 시나리오 (MTM Usage Scenarios for Trusted Mobile Services) 발행인 : 한국정보통신기술협회 회장 발행처 : 한국정보통신기술협회 , 경기도 성남시 분당구 서현동 Tel : , Fax : 발행일 :

±èÇö¿í Ãâ·Â

±èÇö¿í Ãâ·Â Smartphone Technical Trends and Security Technologies The smartphone market is increasing very rapidly due to the customer needs and industry trends with wireless carriers, device manufacturers, OS venders,