Special Theme _ 스마트폰정보보호 스마트폰은기존 PC에서가지고있던위협과모바일기기의위협을모두포함하고있다. 다시말하면, 다양한기능이추가된만큼기존 PC에서나타났던많은위협들이그대로상속되며, 신규서비스부가로인해신규위협도늘어나고있다. 위협은발생위치에따라네트워크상에서발생

Size: px

Start display at page:

Download "Special Theme _ 스마트폰정보보호 스마트폰은기존 PC에서가지고있던위협과모바일기기의위협을모두포함하고있다. 다시말하면, 다양한기능이추가된만큼기존 PC에서나타났던많은위협들이그대로상속되며, 신규서비스부가로인해신규위협도늘어나고있다. 위협은발생위치에따라네트워크상에서발생"

영인 신
5 years ago
Views:

1 국내외스마트폰보안 표준화동향및추진전략 염흥열 순천향대학교정보보호학과교수장기헌 순천향대학교정보보호학과 1. 머리말 스마트폰의보급과활성화에따라기존 PC 에서발 생하던보안위협이스마트폰에서발생하는등사회적 스마트폰 (smart phone) 은 3G망은물론 Wi-Fi, WiBro 등다양한인터페이스를통해시간과장소의제약없이인터넷을이용할수있을뿐만아니라, 사용자의요구에따라애플리케이션의설치및삭제가가능하다는장점을내세워그인기를더해가고있다. 최근에는스마트폰을이용하여업무를처리하는스마트워크및스마트오피스가주목받고있으며, 하나의콘텐츠를여러개의스크린으로이용할수있는 N 스크린시대를위한서비스연동연구가활발히진행되는등스마트폰은사회전반에걸쳐큰관심을불러일으키고있다 년 11월기준국내스마트폰사용자는 550 만명에이르며, 2010 년말까지 670 만명을넘어설것으로예측하고있다. 이와더불어, 스마트폰에서이용할수있는콘텐츠 앱서비스도급속히증가하고있다. 국내최대모바일콘텐츠장터인 SK텔레콤 T스토어 에는약 6만개의응용프로그램 ( 애플리케이션 ) 들이올라와있고, KT는 올레마켓, LG U+ 는 오즈 (OZ) 스토어 를개설해콘텐츠시장을조성하고있다. 으로큰파장을일으키고있다. 최근보고된대표적인스마트폰을대상으로하는악성코드사례는광고메시지에숨어서심비안스마트폰공격을목표로하는중국발악성코드가있는데, 이와같은악성코드는스마트폰을감염시켜스마트폰내에저장되어있는주소록의사람들에게이를또다시전파시켜감염되게한다는점에서그심각성이더해진다. 따라서최근에는스마트폰을보호하고안전하게연동사용이가능케하는스마트폰보안표준에대한요구가스마트폰서비스사업자와보안제품사업자등에서나타나고있다. 본고에서는스마트폰보안표준화를다루고국내외표준화에대한추진전략을제시하고자한다. 본고의 2 장에서는스마트폰위협과이위협에대한대응기술을제시한다. 3장에서는국내외표준화현황을살펴보고, 4장에서는스마트폰표준화추진전략을제시하며, 5장에서는결론을맺는다. 2. 스마트폰위협및보안기술 54

2 Special Theme _ 스마트폰정보보호 스마트폰은기존 PC에서가지고있던위협과모바일기기의위협을모두포함하고있다. 다시말하면, 다양한기능이추가된만큼기존 PC에서나타났던많은위협들이그대로상속되며, 신규서비스부가로인해신규위협도늘어나고있다. 위협은발생위치에따라네트워크상에서발생할수있는위협과소프트웨어를이용한위협, 그외물리적위협등으로구분된다. 스마트폰에서악성코드가발생하는이유는스마트폰이음성통신뿐만아니라인터넷통신도가능하며, 초고속무선데이터통신을사용하게됨에따라악성코드전파가더욱쉬워졌음에기인하다. 이외에도 Wi- Fi 및와이브로등의액세스확대, 무선브라우징확대, 휴대폰기기의성능향상, 휴대폰의개인화및전자결재지원, 공개플랫폼화등은악성코드전파의확대가 가능한주요요인으로작동하고있다. 악성코드는스마트폰을원격으로제어하거나, 애플리케이션의동작변경, 파일실행차단, 불필요한통신요금발생, 사용자데이터도난, SMS 훔쳐보기, 위치정보의유출, 다른악성코드의설치및타스마트폰으로의전파등의리스크를초래한다. 또한, GPS 는스마트폰에서편리한위치기반서비스를제공할수있지만사용자의위치정보가노출될위협이존재하며, 특히최근이슈가되었던 오빠믿지 애플리케이션의경우 SMS 를통해상대위치정보가노출되어개인프라이버시침해논란을일으켰다. 스마트폰시장이확대되면서애플리케이션을사고파는시장인애플리케이션스토어 ( 일명앱스토어 ) 가대중화되고있다. 기존의모바일애플리케이션과는달 Special Report 4 단말기영역 < 표 1> 스마트폰위협및보안기술 영역위협보안기술 네트워크영역 Service 영역 PC, Memory 영역 애플리케이션스토어영역 애플리케이션분석을통한악용 애플리케이션의기능을이용한악용 음성도청 분실및도난 공개된 Exploit 공격 패스워드크랙 악성코드 애플리케이션설치동의우회 데이터스니핑및변조 모바일 VoIP 에서의기존 VoIP 취약점적용및스니핑 애플리케이션취약점을이용한악용 웹사이트를통한피싱및악성코드다운로드 이메일을통한악성코드첨부및스팸메일발송 내부망을우회한외부정보유출 스마트폰과 PC 연결을통한악성코드전파및접근 외장메모리를이용한악성코드전파 개인정보유출 AD-HOC 을통한비인가된접근 악의적개발자에의한악성프로그램유포 보안메커니즘을우회한악성프로그램등록 애플리케이션코드의난독화기술적용 데이터의암호화 도난및분실방지솔루션 정기적인업데이트 안티바이러스 데이터암호화 방화벽, VPN 디바이스인증 스마트폰안티바이러스기술 첨부파일필터링 스팸메일필터링 불법 AP 및인터넷사용방지 스마트폰안티바이러스기술 보안저장장치 개인정보유출방지솔루션 AD-HOC 을통한접근통제 GPS 영역 GPS 를통한위치정보노출 위치정보보호 전자서명기술을이용한코드서명기술 TTA Journal No

3 리스마트폰에서는애플리케이션스토어가개방적이기에개발자들은애플리케이션을개발해자유롭게배포할수있다. 통상개인개발자혹은프로그램제작사나통신회사에서만든애플리케이션들이오픈마켓이라고하는애플리케이션스토어에등록되고, 사용자는무료혹은비용을지불한뒤다운로드받아설치하는방식으로작동한다. 하지만이러한콘텐츠가만일악성코드에감염된상태로배포되어사용자에게전파되거나구매한콘텐츠설치과정에서웜, 바이러스등에감염된다면심각한보안위협이발생할여지가있다. 애플리케이션스토어상에저장된데이터를기한없이사용하기위한크랙시도, 제작툴을이용한커스텀펌웨어생성, 탈옥 (Jailbreak) 한아이폰과안드로이드의루팅폰에의해불법애플리케이션다운로드등은대표적인애플리케이션스토어에대한보안위협이다. 또다른스마트폰의위협으로개인정보유출을들수있다. 스마트폰의경우신상정보, 금융정보, 개인민감정보등중요한정보를내부에저장하고있기에개인정보를노리는공격에쉽게노출되어있다. 특히, 스마트오피스의활성화에따라기업의기밀정보까지유출될가능성이존재한다. 앞으로이와같이개인정보침해유형의공격이지능화범죄화될것으로예상되며, 불특정다수의대량데이터유출뿐만아니라, 불특정다수의다종류의소량데이터유출및범죄악용가능성도예상된다. 이외에도스마트폰은분실, 음성도청및아이디와패스워드등의개인크리덴셜유출등의많은보안위협이존재한다. 다양한스마트폰보안위협에대한보안기술및대응책은다음과같다. 스마트폰에는다양한개인정보가저장되어있기때문에이를관리하는것은중요하다. 간단한보안관리프로세스는동의없이개인정보를포함한중요정보를 수집할수없으며, 수집된정보는공개가되어서는안된다. 이정보를이용할시에는그에할당한사용과동의가필요하며이용완료시에는파기되어야한다. 기업의주요자산인고객의개인정보를안전하게보호하기위한정책및전략과솔루션, 프로세스는스마트폰서비스제공측면에서지속적으로개선되어야한다. 또한애플리케이션보안정책도중요하다. 더불어개인정보및기타주요정보를안전한저장공간을확보하여저장하고이를암호화저장함으로써보호해야한다. 이저장매체에접근시접근권한을설정하고각종인증및개인정보를안전하고손쉽게관리하는시스템이요구된다. 각종개인정보, 전자인증정보를저장하여필요할때제출하는기술로카드형태로표현된다. 또한사용자가이용하는 PC와동일하게모바일상에서도파일암호화가필요하다. 더불어데이터통신시주고받는데이터에도암호화가필요하다. 이는정보가유출시해당정보노출을막을수있다. 스마트폰이 PC에가까워지고 PC와흡사한 OS를사용하며, 사용자가늘수록발견되지않는정보유출경로가발견될수있다. 모바일 VPN 과방화벽을사용하여모바일디바이스를사용자의사설네트워크에안전하게연결할수있으며, 하드웨어및무선통신네트워크에대한무단액세스및사용으로부터보호한다. 이를이용하여악성코드의접근이나외부자의접근에대하여보호할수있고, 정책을설정하여보다안전한모바일서비스환경을구축할수있다. 보안관련데이터저장 / 데이터접근통제 /API를통한 UICC 애플리케이션보안서비스를제공하는 USSM(UICC Security Service Module) TS (stage1) 가있다. 이는 ETSI 에서정의한 UICC 보안모델로서표준모델로표준화를진행하였으며, UMTS 기반의목적및요구사항등이정의되어있다. 인터넷으로부터파일을업로드하고다운로드하는경 56

4 Special Theme _ 스마트폰정보보호 우통상두가지보안위협이발생하게된다. 하나는게시자의신원을도용하는것이고, 두번째는게시된애플리케이션의위변조방지와데이터발신지확인이다. 이를막는방법이애플리케이션게시자의신원확인 / 인증이고, 게시된애플리케이션코드의무결성과데이터인증성확인하는것이다. 이를해결하는방법이전자서명기법기반의코드 (Code Signing) 이며, 이를가능케하는것이공개키인증서를사용하고있다.[5~7] 스마트폰보안연관기술은지문 / 홍체 / 생체인식기술을이용한사용자인증기술이있으며, RFID 휴대폰잠금기능, 안티바이러스등이있다. 이러한보안기술들이우회될가능성을포함하는위협이존재한다. 도난및분실시이러한기능을스마트폰의장점중하나인사용자가기능을추가삭제할수있는사용자맞춤형기능에의해삭제되거나서비스를종료시킬수있다. 이에각통신사에서는스마트폰분실및도난솔루션을제공하고있으며, 모바일보안회사에서도이를제공하고있다. 분실시신고가접수되면통신사에서는원격으로모든스마트폰 OS에대해공장초기화, 카메라차단, 프린트스크린차단등을할수있으며, 이외에도 GPS 를이용한핸드폰위치추적, 원격잠금기능등을제공하고있다. 이밖에도언급되지않은위협과보안기술이존재하 지만이것만으로는안전하다고할수없다. 언제어디서어떤보안사고가발생할지모르며이를대비하기위해서는지속적인연구가필요하다. 3. 스마트폰보안국내외표준화동향현재스마트폰보안표준화는국내 국제를망론하고초기상태에있다. 국내의경우는 2010 년 TTA 표준화전략맵작업을통해주요표준화아이템을선정했고, 국외의경우는 ITU-T 연구반 17에서하나의권고가개발되고있다. 또한아이폰앱스토어에적용되는기존공개키인증서프로파일이사실표준형태로존재한다. 향후표준화수요가증가할것으로예상되어본격적인표준화가국내외적으로수행될것으로예측된다. 3.1 국내표준화현황국내에서는 2013 년까지스마트폰관련무선통신국내외표준화추진을통해안전한스마트폰서비스인프라구축에대한기반을마련하기위한목표를설정하고관련연구와표준화를추진중이다. 스마트폰보안국내표준화는이제본격적으로진행될예정이다 년 TTA 표준화전략맵작업에서스마트폰에대 Special Report 4 < 표 2> TTA 표준화전략맵에도출한표준화대상항목 표준화대상항목 스마트폰플랫폼보안기준 스마트폰앱보안기준 스마트폰인터페이스보안기준 스마트폰기반의악성코드수집 / 분석프레임워크 표준화내용 스마트폰에서발생가능한침투공격. 스마트폰의결함을유도. 스마트폰의정보유출과같은악성행위에대하여보호하고이를평가할수있는기준마련 스마트폰에제공되는앱서버나앱스토어의앱소프트웨어에대한보안표준을선정하여앱에대한보안평가와검증기준설정 스마트폰과 PC 나다른기기와의연결에사용되는터널링 (VPN) 기법 스마트폰등모바일기기를대상으로하는악성코드의수집및분석을위한프레임워크요구사항정의 TTA Journal No

5 < 표 3> 국내외스마트폰표준화동향및관련추진사항 국내외기관내용 국내 금융결제원 행정안전부 TTA 옴니아 2, 아이폰, 안드로이드폰등의스마트폰에대한스마트폰뱅킹의표준화추진 공공부문모바일응용서비스에모바일웹및모바일앱개발을위한개발가이드라인작성 PG605 : 모바일웹서비스보안평가가이드라인, 웹서비스보안정책모델등다수의웹서비스보안관련표준제정, 모바일종단간통신을위한인증구조외 3 건단체표준제정 PG504 : 모바일웹서비스에서의메시지보안을위한보안구조표준제정 국외 방송통신위원회 ITU-T SG17 MCPC PPCA LIPS Forum 모바일시큐리티포럼 을통해스마트폰정보보호주체별역할을정립하여 스마트폰이용자 10 대안전수칙 을발표 모바일상의주요보안위협을소개하며보안요구사항을명시. 보안기술및메커니즘을제시하는권고개발중 모바일컴퓨팅시스템시장확대를목표로하고있으며서비스활성화를위해각분야의관심과협력을도모함 새로운모바일과무선기술에대한평가 스마트폰과일반휴대폰 ( 피처폰 ) 을포함하는휴대폰단말기의다양한사용프로필에대한사양을정의 한정의와주요표준화대상항목을정의한바있다.[1] 전략맵에서는무선통신망보안항목에스마트폰보안세부항목을설정했고, 스마트폰세부표준화항목은 스마트폰플랫폼보안기준, 스마트폰앱보안기준, 스마트폰인터페이스보안기준 등이며, 세부내용은 < 표 2> 와같다. 이외에방송통신위원회등국내주요기관에서스마트폰보안표준과연관된주요활동계획은 < 표 3> 과같다. < 표 2> 에서와같이행정안전부에서는공공부문모바일응용서비스에모바일웹및모바일앱개발을위한개발가이드라인을만들예정이며, 금융결재원에서는스마트폰뱅킹의표준화를추진하고있다. 특히, 스마트폰보안과연관되어 TTA PG 605 에서는모바일웹서비스보안평가가이드라인 [TTAS.KO ], 웹서비스보안정책모델 [TTAS.KO ] 등다수의웹서비스보안관련표준및모바일종단간통신을위한인증구조외 3건의단체표준을제정한바있다.[2] 3.2 국외표준화현황 ITU-T 연구반 17 연구과제 6은스마트폰보안표준 (X.msec-6) 를 2009 년 9월부터개발하고있다. 이권고의제목은 모마일폰보안특성 이며, 스마트폰보다포괄적인개념을갖는모바일폰에대한보안위협과보안기술및메커니즘에대해표준화를추진할예정이다. X.msec-6 에서는스마트폰에대한위협의유형을 [ 그림 1] 과같이인터페이스, 사용자, ID 카드, 모바일앱서비스, 외부인터페이스로부터위협등으로구분되며, [ 그림 2] 와같이스마트폰이가진취약성을공격자가이용한다양한위협모델을제시하고있다. 스마트폰보안요구사항은하드웨어보안과소프트웨어보안으로구성되며, 다시소프트웨어보안은통신보안, OS 보안, 애플리케이션보안, 사용자데이터보안으로구분된다. 모바일상의취약점을피하고, 위협및공격으로부터피해를감소시키기위해보안기술및메커니즘기반의하드웨어및소프트웨어가만들어져야한다. 58

6 Special Theme _ 스마트폰정보보호 또한아이폰애플리케이션게시자신원확인및애플리케이션코드의데이터인증및무결성을확인하기위해, 아이폰앱스토어에서는 ITU-T 권고 X.509 에기반한인증서프로파일을사용한다.[6] 윈도및안드로이드의경우에도인증서기반의코드사인을통하여데이터인증및무결성을확인한다.[5][7] 코드 Smart phone Device Application Vulnerabilities Service OS system 사인인증서는국외인증서발급기관및국내공인인증기관에서발급된인증서로사용이가능하다. 대표적인발급기관에는 Verisign( 국외 ), 금융결제원 ( 국내 ) 등이있다. 또한, 모바일컴퓨팅시스템의시장확대를목표로하고있는일본컨소시엄인 MCPC(Mobile Computing Promotion Consortium) 에서는 Smartphone 위원회를신설하고관련연구와표준화를추진중이다. 그리고 PPCA(Portable Computer and Communications Association) 와 LIPS Forum(Linux Phone Standard) 등이스마트폰연구와표준화를진행할예정이다.[4] Special Report 4 [ 그림 1] 취약성과위협관계 [3] from ME from interface between ME and ID card from ID card 항목 일반보안위협 특화보안위협 보안요구사항 보안기술및메커니즘 < 표 4> ITU-T SG17 X.msec6 주요사항 [3] 모바일폰일반위협 내용 단말분실및도난 전자적도청 단말복제 셀룰러인터페이스를통한위협 다중외부인터페이스를통한위협 비인가된접근 악성코드 스팸 비인가된위치정보의접근 하드웨어보안, 소프트웨어보안 ( 통신보안, 운영체제 보안, 응용보안, 사용자데이터보안 ) 악성코드설치방지 응용간상호접근예방 악성행위분석 안전한전송 암호화 스팸필터 보안민감응용 프라이버시보호기술 원격제어기술 Anti-spoofing 대안 from external Interfaces (not including cellular interfaces) 항목 표준화추진 기간 국내의견수렴 추진기관 from mobile services ME (U)SIM/UIM from loss, theft and disposal [ 그림 2] 모바일위협 [3] from cellular interfaces from ETC < 표 5> 스마트폰표준화추진전략 내용 국내표준화와국제표준화를동시추진 3 년이내에추진 국내이동통신사의요구사항을반영한국내표준을개발하고, 이를바탕으로국제표준화를추진함 국내표준화는 TTA PG503 을통해추진하고, 국제표준화는 ITU-T SG17 연구과제 6 또는 3GPP/3GPP2 를통해추진할필요있음 TTA Journal No

7 4. 표준화추진전략스마트폰은국내뿐만아니라국제적으로도큰관심을불러일으키고있지만현재국내외스마트폰보안관련표준화작업은이제막시작하는수준이다. 따라서 TTA 를통한국내표준의추진과 ITU-T 를통한국제표준의추진등국내외표준화추진을동시에진행하여국내기술의국제표준을선점할필요성이있다. 표준화아이템의경우, < 표 2> 와같은항목에 앱개발자와앱스토어간의인증방식및보안터널 등의다양한보안아이템의지속적인개발이필요하다. 구체적으로는보안기술의표준제정을담당하는주체로는국내표준주체의경우 TTA 의 PG503 가적정하며, 국제표준주체의경우 ITU-T 의 SG17/Q6 가적절하다. 또한, 국제표준화의경우이동통신표준화기구인 3GPP/3GPP2 도또다른국제표준추진주체로고려해야한다. 표준화추진일정은향후스마트폰의보급과관련기술수요의시급성, 시장이성숙되는시점을고려했을때 3년이내가적절할것으로보이며표준개발시에는국내이동통신서비스 3사의의견을적극반영하고이외의견을수렴하여국내외표준개발을진행해야할것이다. [ 참고문헌 ] [1] TTA( 표준화전략맵, 네트워크 & 시스템보안-4 차- 배포자료, [2] TTA( 응용보안평가인증보고서, [3] ITU-T, Security aspects of mobile phones, T09 SG TD PLEN 1012, [4] ITU-T, T REC Y.Sup l, Supplement on a survey of global ICT forums and consortia, [5] Microsoft, ms aspx [6] Apple, code signing guide, [7] Google Android, developer.android.com/guide/publishing/app-signing.html 5. 맺음말 본고에서는스마트폰보안과연관된국내외표준화동향을살펴보고추진전략을제시했다. 스마트폰은기업비즈니스, 정부업무, 그리고다양한응용분야에서활용되고있으며, 보안은이를안전한스마트폰기반의서비스를제공하기위한필수요소가되고있다. 향후에는국내표준과국제표준을개발하여상호연동가능하고안전한스마트폰기반의다양한서비스를제공할수있을것으로기대된다. 60

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위 국내외 스마트폰 보안 표준화 동향 및 추진전략 염흥열 순천향대학교 정보보호학과 교수 장기헌 순천향대학교 정보보호학과 1. 머리말 스마트폰의 보급과 활성화에 따라 기존 PC에서 발 생하던 보안 위협이 스마트폰에서 발생하는 등 사회적 스마트폰(smart phone)은 3G망은 물론 Wi-Fi, WiBro 등 다양한 인터페이스를 통해 시간과 장소의 제약 없 이 인터넷을