슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

승은 장곡
5 years ago
Views:

1 Concern about the Security of mobile apps? Test them in the Lab!

2 목차 모바일해킹사고피해유형 VIALAB 모바일앱보안분석절차 모바일해킹공격및보안위협 VIALAB 모바일보안취약점진단 모바일디바이스현재상황 [ 문제점 ] VIALAB 모바일악성코드분석 VIALAB 모바일취약점진단도구 VIALAB 모바일포렌식분석 VIALAB 진단도구필요성 [ 도입사유 ] 모바일분석도구비교 모바일앱개발라이프사이클 VIALAB 적용분야 / 도입사이트 [ 레퍼런스 ]

3 모바일해킹사고피해유형 과금유도 국제전화 SMS 등과금서비스무단사용 유해사이트 접속시도 유해사이트접속 원격제어 악성코드설치및 원격조정 개인정보유출 SMS, 주소록, 통화내역, 위치정보등유출 정상동작방해 콘텐츠삭제, 배경화면변경

4 모바일해킹공격및보안위협

5 모바일해킹공격및보안위협 모바일해킹공격해부 [ The Anatomy of a Mobile Attack ]

6 모바일해킹공격및보안위협 모바일해킹공격해부 [ The Anatomy of a Mobile Attack ] 브라우저 (Browser) 취약점시스템 (System) 취약점앱 (App) 취약점메시지 (MMS / SMS) 취약점악성코드 (Malware) 취약점웹서버취약점데이터베이스서버취약점네트워크 (Network) 취약점 모바일공격

7 모바일디바이스현재상황 [ 문제점 ] 문제점 매우낮은모바일보안수준모바일디바이스사용자 5500만명, 지속적인사용자증가추세 모바일디바이스에대한절실한보안이요구되고있는상황 모바일기기가해커및범죄자들의주요공격목표로되어가고있다. 모바일기기를통한정보노출 모바일악성코드지속적인증가추세, 이로인한사용자중요정보및기업정보노출사고지속적으로발생 스미싱공격유형의악성코드로인하여유출된개인정보를이용하여불법적인계좌이체, 송금발생으로금전적인피해자가지속적으로발생하고있는상황.

8 모바일디바이스현재상황 [ 문제점 ] 문제점 모바일악성코드빠른속도로증가 모바일안티바이러스 (Anti-Virus) 백신이탐지못하는신종및변종모바일 악성코드가지속적으로발생 앱위 / 변조방지및난독화위주의모바일보안제품의한계 현재대부분기업들은모바일보안을위해앱위 / 변조, 난독화제품에만의존하는상황으로앱자체의정보유출, 보안및취약점진단을수행하지않고있다. 앱 (App) 의정보유출가능성, 암호화통신, 데이터저장소, 기타보안과관련한보안취약점진단수행이요구됨 앱 (App) 자체의악성코드포함여부및중요정보유출가능성분석을위한포렌식분석이요구됨

9 모바일디바이스현재상황 [ 문제점 ] 정보노출및유출등의보안취약점진단수행필요

10 모바일디바이스현재상황 [ 문제점 ] 문제점 [ 모바일보안제품및한계점 ] 구분모바일보안제품기능설명 1 모바일안티바이러스 [ Anti-Virust 백신 ] 기존에알려진모바일악성코드만탐지및차단가능 2 모바일앱위 / 변조제품 [ 앱 (App) 난독화 (Obfuscation) ] 정보유출, 소액결제등을유발하는스미싱공격악성코드가 정상적인앱 (App) 에불법적으로삽입될수없도록 앱 (App) 소스코드를읽거나분석할수없도록난독화를적용 3 MDM 모바일디바이스관리솔루션 모바일단말기관리 암호및디바이스액세스권한설정, 분실시정보유출방지를위한초기화및잠금기능지원 4 기타모바일 2 채널인증솔루션등 모바일인증관리및암호화기능지원

11 비아랩 [ VIALAB ] 모바일취약점진단도구

12 VIALAB 진단도구개요 Android 와 Apple ios 모바일어플리케이션보안평가및진단도구 모바일어플리케이션에대한위험 (Risk) 및취약점 (Vulnerability) 진단자동화기능제공 모바일앱 (App) 보안및개인정보유출등에대한위험식별및해결방안제공 모바일앱에대한악성코드등의코드분석을수행하기위한다양한분석도구지원 정보유출탐지여부를파악하기위한네트워크및웹데이터추출, 캡쳐, 분석기능수행 모바일네트워크및웹트래픽분석을통한트래픽암호화적용여부및취약점진단 모바일인증및인증서취약점탐지 [ Heartbleed 취약점탐지지원 ] 폭넓은모바일앱취약점, 악성코드, 포렌식기능수행!

13 VIALAB 진단도구구성 구성품 : VIALAB 소프트웨어및라이선스동글 Santoku Linux 운영체제 [ 모바일악성코드분석, 취약점진단, 포렌식도구포함 ] ios 및 Android 시험환경디바이스각각 1 대씩

14 VIALAB 진단도구구성

15 VIALAB 진단도구필요성 [ 도입사유 ] 필요성 [ 도입사유 ] 모바일기기및앱 (App) 보안취약점진단기능지원 OWASP Mobie Top 10 취약점진단, 개선사항, 가이드제공 모바일악성코드분석 모바일앱 (App) 분석을위한자체기능지원 각종앱분석도구지원 [ APKTool, Androguard, Dex2Jar, JD-Gui 등 ] 모바일포렌식분석 모바일메모리덤프및분석기능지원 모바일로그분석, 파일시스템권한, 어플저장소, 프로파일링등지원

16 모바일앱개발라이프사이클

17 모바일앱개발라이프사이클 모바일앱개발라이프사이클 [ The Lifecycle of a Mobile App ]

18 비아랩 [ VIALAB ] 모바일앱보안분석절차

19 VIALAB 모바일앱보안분석절차 모바일보안분석절차 [ App Security Analysis Process ]

20 비아랩 [ VIALAB ] 모바일보안취약점진단

21 VIALAB 모바일보안취약점진단 모바일보안취약점진단기능 [ OWASP Mobile Top 10 ] 구분 모바일보안 10대취약점 VIALAB 진단여부 설명 M1 Insecure Data Storage 안전하지않는데이터저장 M2 Weak Server Side Controls 취약한서버측제어 M3 Insufficient Transport Layer Protection 불충분한전송계층보호 ( 평문전송 ) M4 Client Side Injection 클라이언트측인젝션공격 M5 Poor Authorization and Authentication 취약한권한및인증관리 M6 Improper Session Handling 부적절한세션처리 M7 Security Decisions via Untrusted 신뢰할수없는값에대한보안결정 M8 Side Channel Data Leakage 주변채널에의한정보및데이터누출 M9 Broken Cryptography 취약한암호화사용, 키복호화가능 M10 Sensitive Information Disclosure 중요한정보유출

22 비아랩 [ VIALAB ] 모바일악성코드분석

23 VIALAB 모바일악성코드분석 모바일악성코드분석기능 [ Mobile Malware Analysis ] 구분 모바일악성코드분석기능 VIALAB 진단여부 설명 1 Class Dump 클래스덤프분석 2 APK Reversing APK 실행파일리버싱 3 Code Obfuscation 코드난독화분석 4 App Certificate 앱인증서분석 5 Permission and Activities 권한및액티비티분석 6 모바일앱분석을위한다양한도구지원 앱분석도구

24 비아랩 [ VIALAB ] 모바일포렌식분석

25 VIALAB 모바일포렌식분석 모바일포렌식분석기능 [ Mobile Forensics ] 구분 모바일포렌식분석기능 VIALAB 진단여부 설명 1 Memory Analysis 메모리덤프수행, 중요정보노출진단 2 Syslog Data Leakage 시스로그데이터유출분석 3 App Data Profiling 어플리케이션데이터프로파일링 4 File System Permissions 파일시스템권한진단 5 Insecure Credential Storage 불안전한중요정보저장소 6 Insecure App Data Storage 불안전한어플리케이션데이터저장소

26 비아랩 [ VIALAB ] 모바일분석도구비교

27 모바일분석도구비교

28 비아랩 [ VIALAB ] 적용분야및도입사이트 [ 레퍼런스 ]

29 VIALAB 적용분야 모바일증권모바일뱅킹인터넷쇼핑몰모바일게임사모바일결재등 모바일증권거래앱 모바일뱅킹앱 모바일쇼핑앱 모바일앱게임 모바일결재앱

30 VIALAB 적용산업분야 산업구분 적용대상 군, 경, 검, 정부기관 [ 모바일대국민서비스 ] 국방부, 경찰청, 검찰청, 정부공공기관등 인터넷쇼핑몰 [ 모바일쇼핑몰 ] 11 번가, G 마켓, 옥션, 네이버샵 N, 인터파크, 옥션중고장터, 타오바오닷컴, ebay, 큐텐, G 마켓글로벌, 꽃피는아침마을, 오셀러, 위핑, 올인마켓, 세상 n, 미니섬등 금융 [ 모바일뱅킹 ] 은행, 카드사, 보험사, 투자사, 증권사, 신협, 농협, 우체국 게임사 [ 모바일게임 ] 컴투스, 게임빌, 넥슨, 위메이드, CJ E&M, NHN 엔터테인먼트, HU WEN ZENG, Acrodea Korea, Cupercell, Halfbrick Studios, Infinite Dreams, 4:33 등 통신사 / 결재대행사 [ 모바일결재 ] SKT, KT, LG U+, 모빌리언스, 페이레터, 등등

31 VIALAB 도입사이트 [ 국내및해외 Reference ] 도입레퍼런스 국내군주요기관및특수기관 국내보안인증기관 Vmware 가상화전문회사 시티은행 (Citibank) 어니스트영 (Ernst & Young) 컨설팅사 J사세계적인종합금융지주회사 W사은행 L사미국최대의방위산업체 S사미국의종합석유회사 M사미국의료기기전문업체 기타주요정부기관 현재다수사이트 [ 공공기관보안팀, 수사및조사기관, 주요은행 / 증권사등의금융기관, 인증기관, 결재대행업체등 ] 에서활발하게데모시연을진행하고있습니다.

32 감사합니다 CONTACT US 영업대표 : 김종광 Phone: , Web:

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%