슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

성언 강전
5 years ago
Views:

1 바이너리소프트 스마트폰보안취약점및보안대책 바이너리소프트이동근 www. binarysoft.co.kr

2 목차 바이너리소프트 스마트폰보급현황 스마트폰보안취약점 스마트폰보안취약점발생사례 아이폰탈옥 (Jailbreak) 보안취약점현황 스마트폰보안대책 스마트폰인증 / 암호서비스모델 모델 #1 모델 #2 모델 #3 BinarySoft Co., LTD. 1

3 스마트폰보급현황 스마트폰 보급현황 스마트폰제조사및공급현황 BinarySoft Co., LTD. 2

4 스마트폰보급현황 스마트폰 보급현황 해외스마트폰사용자현황 ( 기준 ) 노키아사의심비안 블랙베리사의 RIM BinarySoft Co., LTD. 3

스마트폰보급현황 스마트폰 보급현황 국내스마트폰사용자현황 (2010. 5.

Fever http://todd.tistory.com/280, http://www.

5 스마트폰보급현황 스마트폰 보급현황 국내스마트폰사용자현황 ( 기준 ) iphone4 SK텔레콤 KT LG텔레콤 Window Mobile 75만명 11만 7천명 8만명 iphone - 70만명 - Android 25만명 2만3천명 - Symbian - 11만명 - 계 100만명 95만명 8만명 갤럭시 S iphone Fever BinarySoft Co., LTD. 4

6 보안취약점 스마트폰보안취약점 - 사례 Timofonica 2000 년스페인발생. GSM 단말에이메일통해자기복제, 무작위로 SMS 대량송신함 SMS malicious code 2000 년노르웨이발생. 노키아폰에서특정 SMS 메시지확인지단말기기능정지됨 I-Mode malicious code 2001 년일본. I-Mode App. 악성코드로긴급구조센터 (110) 에다량의전화. 전화망마비초래 Phage PALMOS 에서발생. RAM 에로딩된모든프로그램실행중단. 새로설치된프로그램감염. Vapor 파일실행시모든아이콘이사라짐. 사용자는아이콘이없으므로실행하지못함 BinarySoft Co., LTD. 5

7 보안취약점 스마트폰보안취약점 - 사례 Liberty 파일실행시 RAM 에로딩된 2~3 개프로그램삭제. 계속실행시모든프로그램삭제되고자체아이콘만남음 Commwarrior 윔 MMS+ 블루투스를통해감영된 SIS 파일전송. 폰주소검색, MMS 를이용하여다른사용자에게감영파일자동전송 Cardtrp 웜 2005 년 9 월에최초발견. 2 월현재 5 개추가변종발견. 세계최초의 PC 와이동단말기통합바이러스. 단말기메모리카드에바이러스복제. 이카드가 PC 에삽입되면웜바이러스가정상아이콘으로위장하여사용자의실행을유도한다. PC 에백도어설치, PC 패스워드등사용자정보유출 PBStealer 심비안 OS용트로이목마. 2005년 11월에최초발견. 현재까지 4가지변종. 2006년 1월에 2개변종출현. 사용자개인정보인패스워드, 금융정보, 일정등을불법전송, 주변의블루투스암밴드디바이스검색으로인한배터리소모. BinarySoft Co., LTD. 6

보안취약점 스마트폰보안취약점 - 사례 정보빼가는스마트폰악성코드 [2010.5.

8 보안취약점 스마트폰보안취약점 - 사례 정보빼가는스마트폰악성코드 [ , 머니투데이 ] 트레드다이얼 ( 한 ) : 무단국제전화통화시도 Droid09 ( 美 ): 가짜스마트폰뱅킹앱, 개인정보 / 금융정보유출 레드브라우저 ( 러 ) : 악성웹브라우저, 무료가장한 SMS 전송시과금 PBStealer(2005) ( 美, 유 ) : 전화번호부등개인정보유출 심비안 OS용트로이목마. 2005년 11월에최초발견. 현재까지 4가지변종. 2006년 1월에 2개변종출현. 사용자개인정보인패스워드, 금융정보, 일정등을불법전송, 주변의블루투스암밴드디바이스검색으로인한배터리소모 Commwarrior Arifat Vapor MMS+ 블루투스를통해감영된 SIS 파일전송. 폰주소검색, MMS 를이용하여다른사용자에게감영파일자동전송 특정번호로문자를무작위전송 파일실행시모든아이콘이사라짐. 사용자는아이콘이없으므로실행하지못함 BinarySoft Co., LTD. 7

보안취약점 스마트폰보안취약점 - 사례 정보빼가는스마트폰악성코드 [2010.5.6, 머니투데이 ] iphone/privacy.

기반인증코드 (6 자리 ) 를훔쳐내어원격지로전송하는등의금전적인피해유발가능 < PBStealer 에감염된단말기 > < PBStealer

9 보안취약점 스마트폰보안취약점 - 사례 정보빼가는스마트폰악성코드 [ , 머니투데이 ] iphone/privacy.a(2009) 감염된아이폰에서무선랜을접속하는경우개인정보 ( 문자메시지, 이메일등 ) 를원격지로전달 Duh Worm (2009) 아이폰을이용한금융관련거래에서 SMS 기반인증코드 (6 자리 ) 를훔쳐내어원격지로전송하는등의금전적인피해유발가능 < PBStealer 에감염된단말기 > < PBStealer 감염된단말기와인접한단말기가수신한전화번호파일 > 제4회인터넷 & 정보보호세미나 - 스마트폰활성화방안및정보보호 : 스마트폰보안이슈및대응방향 (KISA, , 전길수팀장 ) BinarySoft Co., LTD. 8

10 보안취약점 스마트폰보안취약점 - 사례 스마트폰정보유출시나리오 안드로이드기반스마트폰의보안문제및개선방안 ( 지란지교소프트, , 이영종 ) BinarySoft Co., LTD. 9

11 보안취약점 스마트폰보안취약점 - 사례 스마트폰정보유출대상 안드로이드기반스마트폰의보안문제및개선방안 ( 지란지교소프트, , 이영종 ) BinarySoft Co., LTD. 10

12 보안취약점 스마트폰보안취약점 - 사례 단말기 UI 변경, 단말기파손 ( 오류발생 ), 배터리소모, 정보 ( 파일, 일정, 전화번호등 ) 및프로그램삭제등 장치이용제한악성코드 [ , 머니투데이 ] Skull (2004) 단말기의시스템어플리케이션을다른파일로교체, 단말기사용을불가능하게함 Bootton(2005) 단말기에설치된응용프로그램아이콘변경, 전화통화외에다른기능사용불능 BlankFont(2005) 단말기폰트파일사용불가능하게함 Ikee(2009) 아이폰의바탕화면을 80 년대팝가수릭애슬리사진으로변경 제4회인터넷 & 정보보호세미나 - 스마트폰활성화방안및정보보호 : 스마트폰보안이슈및대응방향 (KISA, , 전길수팀장 ) BinarySoft Co., LTD. 11

13 보안취약점 스마트폰보안취약점 - 사례 단말기 UI 변경, 단말기파손 ( 오류발생 ), 배터리소모, 정보 ( 파일, 일정, 전화번호등 ) 및프로그램삭제등 < Skull 에감염된단말기 > < Bootton 에감염된단말기 > < BlankFont 에감염된단말기 > < Ikee 에감염된단말기 > 제4회인터넷 & 정보보호세미나 - 스마트폰활성화방안및정보보호 : 스마트폰보안이슈및대응방향 (KISA, , 전길수팀장 ) BinarySoft Co., LTD. 12

14 보안취약점 스마트폰보안취약점 - 사례 스마트폰이해킹도구로활용됨 특정회사의사무실에스마트폰을들고방문하여무선 AP 의 WEP 키 ( 패스워드 ) 를탈취한후특정서버에접속하여데이터를전송다운로드하여정보유출함 인트라넷 데이터전송 특정서버접속 WEP 패스워드탈취 App SERVER BinarySoft Co., LTD. 13

15 보안취약점 스마트폰보안취약점 - 사례 해킹위한 AP 를통한접속스마트폰의정보유출 해킹을위한 AP 를설치하고, 무작정접속하는이용자의스마트폰을해킹하여정보유출 인트라넷 데이터 dump 스마트폰의 IP 로접속해킹 가짜 AP 를설치 임의의사용자 BinarySoft Co., LTD. 14

16 보안취약점 스마트폰보안취약점 - 사례 아이폰의 pdf 다운로드취약점 Safari 브라우저를통해특정사이트에접속하거나 PDF 문서를내려받으면자신도모르게악성프로그램이설치될수있음 Pdf의글꼴설치파일을설치할때악성코드가설치될수있음 BinarySoft Co., LTD. 15

17 보안취약점 개인휴대기기의특성상이용자의부주의로인한정보유출가능 스마트폰및메모리카드등의분실로인한정보유출우려 다량의개인정보 ( 데이터를포함한통화내역, 문자, 사진등 ) 를저장하고있는스마트폰분실시심각한개인정보유출가능 스마트폰은업무용, 영업용으로활용가능하여기업정보를담고있는스마트폰의분실로인해기업의기밀정보등유출가능 이용자편의에의하여디바이스변형 개조및불법애플리케이션등보안인식미흡에의한위협발생 폐쇄적으로운영관리되는아이폰의경우이용자편리대로개조하는탈옥으로검증받지못한애플리케이션을이용할수있게되어바이러스 악성코드등의유포가능 탈옥 (jailbreak) : 애플사인증을거치지않고 S/W를임의로설치할수있도록아이폰의잠금장치를해제하는행위 BinarySoft Co., LTD. 16

18 보안취약점 개인휴대기기의특성상이용자의부주의로인한정보유출가능 스마트폰의블루투스및애플리케이션을통해이용자가인지하지못한채 SMS, 통화기록, 위치정보등의개인정보유출가능 자녀및직원관리목적으로정상적으로판매되고있는프로그램 (ex. Mobile- Spy) 을이용하여 SMS, 통화기록, 위치정보등을포함한이용자의개인정보를유출및모니터링하는등악의적으로사용 블루투스나무선랜기능등이인지하지못하는상태에서사용가능하게되었을경우, 타인의무단접속등으로정보유출가능 인터넷시큐리티이슈 3월호 BinarySoft Co., LTD. 17

19 보안취약점 아이폰탈옥 (Jailbreak) 아이폰은안전한가? 아이폰앱스토어를통해검증된앱만등록되기때문에안전 탈옥하기전에는안전하다고볼수있음 (pdf 건은 Update 됨 ) 탈옥폰은? 사파리실행하고 접속한후탈옥수행 탈옥후반드시 root password를변경하여해커의접속을차단 인터넷시큐리티이슈 3월호 BinarySoft Co., LTD. 18

20 대응방안 스마트폰보안공격및대응방안 - 공격대상에의한분류 분류 공격내용 공격방법 대응방안 바이러스 / 웜 WiFi/ 블루투스 /Web등여러채널을이용한전파및 PC동 기화 (Active Sync) 전파 - 단말기 UI변경, 단말기파손 ( 오류발생 ) - 배터리소모, 자동프로그램삭제및설치 플랫폼공격 시스템 Unlock JailBreak(iPhone),Rooting(Android), SecurityOff(WM) 플랫폼취약점이용악용 (API 취약점등악용 ) 스마트폰백신 ( 실행중인프로세스에대한실시간검사, 일반파일검사, 행위판별인프라등 ) 시스템 Unlock 탐지 - 플랫폼취약점의빠른보완 공격대상 애플리케이션공격 네트워크공격 키보드해킹 Rootkit 가상키보드, PC 와차별화된입력방식도입 Malicious 앱 Fishing 앱 WiFi/ 무선네트워크도청 / 변조 DDOS 공격 Web 다운로드, PC 동기화를통한설치 - 개인정보 ( 파일, 일정, 주소록, SMS, 통화내역, 메모, 위치정보등 ) 유출 - 인터넷뱅킹, 소액결제등의금융거래정보, 업무용파일등기밀정보유출 - SMS의부정사용및스팸문자발송오과금발생 - 단말기사용불능발생, 좀비단말기발생 - 휴대전화소액결제, 무선인터넷이용유료전화서비스악용 WiFi/ 블루투스네트워크공격으로인한단말기통신도청 / 변조특정사이트, 특정단말기, AP 등에트래픽유발 DOS 공격스마트폰채널을통한직접적인이동통신망에대한 DDO S 공격등발생 앱스토어기반설치권장앱스토어 App 검증강화 (Code Signing 등 ) 자원제어모니터링 WiFi 통신사용자인증 / 암호화강화 Server-User 상호인증체계구축 SSL-VPn, IPSec 등암호화통신 WIDPS, Rouge AP 에대한접속금지자원제어모니터링 BinarySoft Co., LTD. 19

21 대응방안 스마트폰보안공격및대응방안 - 공격목표에의한분류 공격목표 분류정보유출오작동과금회피 공격내용공격방법대응방안 개인정보유출업무정보유출위치정보노출금융거래정보유출 단말기사용불능단말기전력소모 DDOS 공격 SMS/MMS 과금 Malicious/Fishing 앱을통한 SMS, 휴대폰정보, 주소록, 사진, 위치정보등탈취아이디도용, SNS 피싱, 결제도용, 계좌정보유출분실도난바이러스 / 웜 PC/WiFi 동기화 멀티태스킹에의한리소스부족및악성코드의동작지속적인단말기접속이나리소스사용으로단말기배터리소모 Malicious/Fishing 앱이용으로인한 DOS 공격및오과금등발생바이러스 / 웜동작 컨텐츠무단복제 JailBreak(iPhone),Rooting(Android), SecurityOff(W M) 악의적인컨텐츠발생 앱스토어기반설치권장앱스토어 App 검증강화자원제어모니터링통신및내장정보사용자인증 / 암호화자동잠금, 비밀번호입력제한 Remote Wiping, 단말기사용자인증체계마련자동로그인시스템대책마련 스마트폰백신자원제어모니터링통신및내장정보사용자인증 / 암호화 시스템 unlock 탐지통신및내장정보사용자인증 / 암호화 BinarySoft Co., LTD. 20

22 대응방안 스마트폰보안대책 아이폰에서의보안대책 앱 (App) 의검증 / 등록 / 배포및개발자등록제운영 JB 사용하지않기 리소스의공유차단 CPU, Mem, Data 공유하지않음 공유라이브러리제작 / 배포불가 아이폰 OS Upgrade [ 그럼에도불구하고 ] 아이폰취약점 Wi-Fi 취약점 JB 취약점 분실 BinarySoft Co., LTD. 21

23 대응방안 스마트폰보안대책 안드로이드폰의보안대책 스마트폰백신설치 / 운영 응용프로그램 (App) 서명 Permission 관리 Network Communication Your Location Development Tools System Tools 사용자의보안의식고취 BinarySoft Co., LTD. 22

24 대응방안 스마트폰보안대책 공통 구분 사용자측면 앱공급자측면 내용 스마트폰백신설치및주기적점검 앱스토어에서인증된앱만설치 비인가된앱의설치금지, JB 사용주의 비사용앱종료하기 ( 백그라운드실행중지 ) 안전한비밀번호사용하기 분실에대비한비밀정보의접근성제한 ( 제거또는암호화 ) 비사용네트워크제한하기 (wifi, 블루투스등 ) 개발자의보안성고려한개발진행 서버인증, 단말기인증, 앱 (App) 인증, 사용자인증 암호통신 스마트폰단말기및 OS 공급자측면 플랫폼취약성분석및업그레이드 BinarySoft Co., LTD. 23

25 앱공급자보안체계 스마트폰앱공급자보안체계 - 사용자인증및암호 스마트폰전자상거래를위한인증및암호필요성 사용자인증 앱수준의합당한사용자인지사용자의신원확인 ID/Pwd 만으로는보안취약성 PKI 기반공인인증서로그인 계좌이체등본인확인강화방안 공인인증서사용자인증 OTP (One Time Password) / SMS (Simple Messaging Service), 확인등의신원확인강화방안의추가채택 암호화통신 전자상거래서버와의데이터기밀성유지 3G 이동통신및 Wifi 구간으로전송되는데이터에대한암호화 성능등을고려한선별적암호고려 SSL과같은전데이터에대한암호화는성능저하및배터리소모촉진 Digital Envelop 방식 Key Exchange BinarySoft Co., LTD. 24

26 스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 스마트폰에배포되는 App 에보안모듈이내장되는방식 현행은행 / 증권등서비스 App. Security 인증서저장관리전자서명암호화통신보안키패드 OTP 확장신원확인기능 App - Server Security 인증서중계관리전자서명검증암호화통신 OTP 발행확장신원확인기능 BinarySoft Co., LTD. 25

27 스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 Relay SERVER App SERVER BS_CryptoLibrary 1 인증번호전달 SSL Secure Channel 2 인증번호확인 App User 3 전송인증서선택및비밀번호입력 4 인증번호입력 5 인증서전달 DATA BS_CryptoLibrary BS_SmartCrypto NPKI Signcert.der aaa.txt Signpri.key bbb.png ccc.mp3 ddd.mp4 BinarySoft Co., LTD. 26

28 스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 PC PC PC BinarySoft Co., LTD. 27

29 스마트폰금융거래보안모델 PC 스마트폰인증서비스모델 #1 PC BinarySoft Co., LTD. 28

30 스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 BinarySoft Co., LTD. 29

31 스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 BinarySoft Co., LTD. 30

32 스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 스마트폰에 App 과독립적으로인증서를관리하는방식 ETRI 의 Smart App. App - Server 암호화통신보안키패드 OTP 확장신원확인기능 암호화통신 OTP 발행 확장신원확인기능 Security 전자서명 인증서저장관리 전자서명검증 인증서중계관리 BinarySoft Co., LTD. 31

33 스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 Relay SERVER App SERVER 1 인증번호전달 App DATA BS_CryptoLibrary BS_SmartCrypto 2 인증번호확인 aaa.txt bbb.png ccc.mp3 User ddd.mp4 3 전송인증서선택및비밀번호입력 5 인증서전달 App BS_CryptoApp BS_SmartCrypto 4 인증번호입력 NPKI xxx.txt yyy.dat Signcert.der Signpri.key zzz.enc BinarySoft Co., LTD. 32

34 스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 BinarySoft Co., LTD. 33

35 스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 BinarySoft Co., LTD. 34

36 스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 BinarySoft Co., LTD. 35

37 스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 BinarySoft Co., LTD. 36

38 스마트폰금융거래보안모델 스마트폰인증서비스모델 #3 3 인증서전송 DB CRS SERVER Memory Data 1 인증서등록 Private Key Data Certification Data User App App DATA BS_CryptoLibrary BS_SmartCrypto aaa.txt bbb.png ccc.mp3 ddd.mp4 App SERVER BinarySoft Co., LTD. 37

SERVER DB BinarySoft BinarySoft BinarySoft 원문 :

Certification Data BS_CryptoLibrary 전자서명 전자서명데이터

wggp7oamcaqicawx6rzanbg kqhkig9w0baqufadbumqswc

39 스마트폰금융거래보안모델 스마트폰인증서비스모델 #3 BinarySoft BinarySoft BinarySoft Test Crypto 전자서명 CRS SERVER DB BinarySoft BinarySoft BinarySoft 원문 : Hello World Memory Data Private Key Data Certification Data BS_CryptoLibrary 전자서명 전자서명데이터 : MIIGfgIBADELMAkGBSsOAwIaB QAwGgYJKoZIhvcNAQcBoA0EC 0hlbGxvIFdvcmxkoIIFFzCCBRM wggp7oamcaqicawx6rzanbg kqhkig9w0baqufadbumqswc QYDVQQGEwJLUjESMBAGA1U ECgwJU2lnbktvcmVhMRUwEwY DVQQLDAxBY2NyZWRpdGVkQ0 ExGjAYBgNVBAMMEVNpZ25L BinarySoft Co., LTD. 38

40 스마트폰금융거래보안모델 스마트폰인증서비스모델 #4 서명대행 App. ETRI 의 SmartSign BinarySoft Co., LTD. 39

41 감사합니다. Message 바이너리소프트는항상고객의이익창출을위해최선을다합니다. 감사합니다 BinarySoft co., LTD. 바이너리소프트서울구로구구로동 두산도림베어스타워 5 층 511 호 Tel: 02) FAX: 02) 대표이사이동근 leedg@binarysoft.co.kr BinarySoft Co., LTD. 40

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770> 스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고