슬라이드 1

Similar documents
<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

SBR-100S User Manual

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-


< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

서현수

201112_SNUwifi_upgrade.hwp

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

[Blank Page] i

Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

사용하기 전에 2

PowerPoint 프레젠테이션

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

PowerPoint Presentation

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

SBR-100S User Manual

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

PowerPoint Presentation

슬라이드 1

e-tech 발행인 칼럼 세기말 Y2K... 21세기를 앞두고 막연한 두려움과 흥분에 떨었던 게 엊그제 같은데 벌써 10년이 훌쩍 지났습니다. 지금 생각해보면 그때왜우리가 그렇게 21세기를 두려워했을까 싶습니다. 아마도 21세기는 어렸을 때부터

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

SBR-100S User Manual


인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Microsoft Word - 문서10

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

Microsoft Word - 남기효_수정_.doc

F120S_(Rev1.0)_1130.indd

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Special Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이

ESET Mobile Security for Android

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

슬라이드 1

Secure Programming Lecture1 : Introduction

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B


<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

2010 년 10 월넷째주 ( ) 1. IT와타산업융합위한민관노력강화 2. 한국, IT산업분야국제표준제안건수세계 1위달성 3. 한국, 3년연속세계브로드밴드경쟁력 1위기록 4. 삼성SDS, 2011년 IT메가트렌드선정 'Smart' 와 'Social' 이핵심

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

ㅇㅇㅇ

Secure V Key

02_3 지리산권 스마트폰 기반 3D 지도서비스_과업지시서.hwp

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Microsoft PowerPoint _사용자매뉴얼.ppt

#WI DNS DDoS 공격악성코드분석

목차 1. 스마트폰이 가져온 변화 2. 스마트폰 보안위협 3. 모바일 보안 대응전략 4. 모바일 보안 생태계 5. 결론 1

IP IP ICT


암호내지

H3250_Wi-Fi_E.book

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

(Microsoft PowerPoint - AndroG3\306\367\306\303\(ICB\).pptx)


iOS5_1±³

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

정보

B2B 매뉴얼

OTP문답집(일반이용자대상)_v3[최종].hwp

Musique(002~095).indd


< D28C3B7BACE29BDBAB8B6C6AEC6F9C0CCBFEB5FBDC7C5C25FBFE4BEE02E687770>

SBR-100S User Manual

목 차 Ⅰ. 일반사항 1 Ⅱ. 특기사항 3 Ⅲ. 물품내역 및 세부규격 8 Ⅳ. 주의사항

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

14-10.hwp

고객 카드

03정충식.hwp

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

2015

PowerPoint Presentation

만약, 업그레이드 도중 실패하게 되면, 배터리를 뺏다 다시 꼽으신 후 전원을 켜면, 안내문구가 나오게 됩니다. 그 상태로 PC 연결 후 업그레이드를 다시 실행하시면 됩니다. 3) 단말을 재부팅합니다. - 리부팅 후에 단말에서 업그레이드를 진행합니다. 업그레이드 과정 중

SBR-100S User Manual

00인터넷지07+08-웹용.indd

S-Campus 전자출결 PC-WEB화면정의서

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

특허청구의 범위 청구항 1 게임 서버 또는 미들웨어에 의해, 사용자 단말기로부터, GPS 정보, IP 정보, 중계기 정보 중 적어도 하나를 이 용한 위치 정보와, 상기 사용자 단말기에 설정된 언어 종류를 포함하는 사용자 정보를 수신하는 단계; 상기 게임 서버 또는 미들

한국정보보호진흥원

대 표 도 - 2 -

알면힘이되는 소비자권익보호 7 계명 개인정보관리금융투자상품은행대출거래신용카드

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

PowerPoint 프레젠테이션

스마트 교육을 위한 학교 유무선 인프라 구축

<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE2DB9DABCBCC8AF>

1. PC > 모바일인증서내보내기 2. 모바일로그인절차 3. 모바일출석인정 4. 모바일초기화 5. 자주하는질문

전략세션 논의 결과: 대기업 사업 그룹

804NW±¹¹®

NX1000_Ver1.1

이제는 쓸모없는 질문들 1. 스마트폰 열기가 과연 계속될까? 2. 언제 스마트폰이 일반 휴대폰을 앞지를까? (2010년 10%, 2012년 33% 예상) 3. 삼성의 스마트폰 OS 바다는 과연 성공할 수 있을까? 지금부터 기업들이 관심 가져야 할 질문들 1. 스마트폰은

Microsoft PowerPoint - ZYNQITTSIYUL.pptx

SBR-100S User Manual

마켓온_제품소개서_ key

Microsoft Word - 디오텍_091221_.doc

Transcription:

바이너리소프트 스마트폰보안취약점및보안대책 2010. 9. 16 바이너리소프트이동근 www. binarysoft.co.kr

목차 바이너리소프트 스마트폰보급현황 스마트폰보안취약점 스마트폰보안취약점발생사례 아이폰탈옥 (Jailbreak) 보안취약점현황 스마트폰보안대책 스마트폰인증 / 암호서비스모델 모델 #1 모델 #2 모델 #3 www.binarysoft.co.kr BinarySoft Co., LTD. 1

스마트폰보급현황 스마트폰 보급현황 스마트폰제조사및공급현황 www.binarysoft.co.kr BinarySoft Co., LTD. 2

스마트폰보급현황 스마트폰 보급현황 해외스마트폰사용자현황 (2010. 5.20 기준 ) 노키아사의심비안 블랙베리사의 RIM www.binarysoft.co.kr BinarySoft Co., LTD. 3

스마트폰보급현황 스마트폰 보급현황 국내스마트폰사용자현황 (2010. 5.20 기준 ) iphone4 SK텔레콤 KT LG텔레콤 Window Mobile 75만명 11만 7천명 8만명 iphone - 70만명 - Android 25만명 2만3천명 - Symbian - 11만명 - 계 100만명 95만명 8만명 갤럭시 S iphone Fever http://todd.tistory.com/280, http://www.bloter.net/archives/32276 www.binarysoft.co.kr BinarySoft Co., LTD. 4

보안취약점 스마트폰보안취약점 - 사례 Timofonica 2000 년스페인발생. GSM 단말에이메일통해자기복제, 무작위로 SMS 대량송신함 SMS malicious code 2000 년노르웨이발생. 노키아폰에서특정 SMS 메시지확인지단말기기능정지됨 I-Mode malicious code 2001 년일본. I-Mode App. 악성코드로긴급구조센터 (110) 에다량의전화. 전화망마비초래 Phage PALMOS 에서발생. RAM 에로딩된모든프로그램실행중단. 새로설치된프로그램감염. Vapor 파일실행시모든아이콘이사라짐. 사용자는아이콘이없으므로실행하지못함 www.binarysoft.co.kr BinarySoft Co., LTD. 5

보안취약점 스마트폰보안취약점 - 사례 Liberty 파일실행시 RAM 에로딩된 2~3 개프로그램삭제. 계속실행시모든프로그램삭제되고자체아이콘만남음 Commwarrior 윔 MMS+ 블루투스를통해감영된 SIS 파일전송. 폰주소검색, MMS 를이용하여다른사용자에게감영파일자동전송 Cardtrp 웜 2005 년 9 월에최초발견. 2 월현재 5 개추가변종발견. 세계최초의 PC 와이동단말기통합바이러스. 단말기메모리카드에바이러스복제. 이카드가 PC 에삽입되면웜바이러스가정상아이콘으로위장하여사용자의실행을유도한다. PC 에백도어설치, PC 패스워드등사용자정보유출 PBStealer 심비안 OS용트로이목마. 2005년 11월에최초발견. 현재까지 4가지변종. 2006년 1월에 2개변종출현. 사용자개인정보인패스워드, 금융정보, 일정등을불법전송, 주변의블루투스암밴드디바이스검색으로인한배터리소모. www.binarysoft.co.kr BinarySoft Co., LTD. 6

보안취약점 스마트폰보안취약점 - 사례 정보빼가는스마트폰악성코드 [2010.5.6, 머니투데이 ] 트레드다이얼 ( 한 ) : 무단국제전화통화시도 Droid09 ( 美 ): 가짜스마트폰뱅킹앱, 개인정보 / 금융정보유출 레드브라우저 ( 러 ) : 악성웹브라우저, 무료가장한 SMS 전송시과금 PBStealer(2005) ( 美, 유 ) : 전화번호부등개인정보유출 심비안 OS용트로이목마. 2005년 11월에최초발견. 현재까지 4가지변종. 2006년 1월에 2개변종출현. 사용자개인정보인패스워드, 금융정보, 일정등을불법전송, 주변의블루투스암밴드디바이스검색으로인한배터리소모 Commwarrior Arifat Vapor MMS+ 블루투스를통해감영된 SIS 파일전송. 폰주소검색, MMS 를이용하여다른사용자에게감영파일자동전송 특정번호로문자를무작위전송 파일실행시모든아이콘이사라짐. 사용자는아이콘이없으므로실행하지못함 http://www.mt.co.kr/view/mtview.php?type=1&no=2010050414400927260&outlink=1 www.binarysoft.co.kr BinarySoft Co., LTD. 7

보안취약점 스마트폰보안취약점 - 사례 정보빼가는스마트폰악성코드 [2010.5.6, 머니투데이 ] iphone/privacy.a(2009) 감염된아이폰에서무선랜을접속하는경우개인정보 ( 문자메시지, 이메일등 ) 를원격지로전달 Duh Worm (2009) 아이폰을이용한금융관련거래에서 SMS 기반인증코드 (6 자리 ) 를훔쳐내어원격지로전송하는등의금전적인피해유발가능 < PBStealer 에감염된단말기 > < PBStealer 감염된단말기와인접한단말기가수신한전화번호파일 > 제4회인터넷 & 정보보호세미나 - 스마트폰활성화방안및정보보호 : 스마트폰보안이슈및대응방향 (KISA, 2010.3.10, 전길수팀장 ) www.binarysoft.co.kr BinarySoft Co., LTD. 8

보안취약점 스마트폰보안취약점 - 사례 스마트폰정보유출시나리오 안드로이드기반스마트폰의보안문제및개선방안 ( 지란지교소프트, 2010.2, 이영종 ) www.binarysoft.co.kr BinarySoft Co., LTD. 9

보안취약점 스마트폰보안취약점 - 사례 스마트폰정보유출대상 안드로이드기반스마트폰의보안문제및개선방안 ( 지란지교소프트, 2010.2, 이영종 ) www.binarysoft.co.kr BinarySoft Co., LTD. 10

보안취약점 스마트폰보안취약점 - 사례 단말기 UI 변경, 단말기파손 ( 오류발생 ), 배터리소모, 정보 ( 파일, 일정, 전화번호등 ) 및프로그램삭제등 장치이용제한악성코드 [2010.5.6, 머니투데이 ] Skull (2004) 단말기의시스템어플리케이션을다른파일로교체, 단말기사용을불가능하게함 Bootton(2005) 단말기에설치된응용프로그램아이콘변경, 전화통화외에다른기능사용불능 BlankFont(2005) 단말기폰트파일사용불가능하게함 Ikee(2009) 아이폰의바탕화면을 80 년대팝가수릭애슬리사진으로변경 제4회인터넷 & 정보보호세미나 - 스마트폰활성화방안및정보보호 : 스마트폰보안이슈및대응방향 (KISA, 2010.3.10, 전길수팀장 ) www.binarysoft.co.kr BinarySoft Co., LTD. 11

보안취약점 스마트폰보안취약점 - 사례 단말기 UI 변경, 단말기파손 ( 오류발생 ), 배터리소모, 정보 ( 파일, 일정, 전화번호등 ) 및프로그램삭제등 < Skull 에감염된단말기 > < Bootton 에감염된단말기 > < BlankFont 에감염된단말기 > < Ikee 에감염된단말기 > 제4회인터넷 & 정보보호세미나 - 스마트폰활성화방안및정보보호 : 스마트폰보안이슈및대응방향 (KISA, 2010.3.10, 전길수팀장 ) www.binarysoft.co.kr BinarySoft Co., LTD. 12

보안취약점 스마트폰보안취약점 - 사례 스마트폰이해킹도구로활용됨 특정회사의사무실에스마트폰을들고방문하여무선 AP 의 WEP 키 ( 패스워드 ) 를탈취한후특정서버에접속하여데이터를전송다운로드하여정보유출함 인트라넷 데이터전송 특정서버접속 WEP 패스워드탈취 App SERVER http://www.etnews.co.kr/news/detail.html?id=201008160198 www.binarysoft.co.kr BinarySoft Co., LTD. 13

보안취약점 스마트폰보안취약점 - 사례 해킹위한 AP 를통한접속스마트폰의정보유출 해킹을위한 AP 를설치하고, 무작정접속하는이용자의스마트폰을해킹하여정보유출 인트라넷 데이터 dump 스마트폰의 IP 로접속해킹 가짜 AP 를설치 임의의사용자 http://www.etnews.co.kr/news/detail.html?id=201008160198 www.binarysoft.co.kr BinarySoft Co., LTD. 14

보안취약점 스마트폰보안취약점 - 사례 아이폰의 pdf 다운로드취약점 Safari 브라우저를통해특정사이트에접속하거나 PDF 문서를내려받으면자신도모르게악성프로그램이설치될수있음 Pdf의글꼴설치파일을설치할때악성코드가설치될수있음 http://news.donga.com/3/all/20100805/30322433/1 www.binarysoft.co.kr BinarySoft Co., LTD. 15

보안취약점 개인휴대기기의특성상이용자의부주의로인한정보유출가능 스마트폰및메모리카드등의분실로인한정보유출우려 다량의개인정보 ( 데이터를포함한통화내역, 문자, 사진등 ) 를저장하고있는스마트폰분실시심각한개인정보유출가능 스마트폰은업무용, 영업용으로활용가능하여기업정보를담고있는스마트폰의분실로인해기업의기밀정보등유출가능 이용자편의에의하여디바이스변형 개조및불법애플리케이션등보안인식미흡에의한위협발생 폐쇄적으로운영관리되는아이폰의경우이용자편리대로개조하는탈옥으로검증받지못한애플리케이션을이용할수있게되어바이러스 악성코드등의유포가능 탈옥 (jailbreak) : 애플사인증을거치지않고 S/W를임의로설치할수있도록아이폰의잠금장치를해제하는행위 www.binarysoft.co.kr BinarySoft Co., LTD. 16

보안취약점 개인휴대기기의특성상이용자의부주의로인한정보유출가능 스마트폰의블루투스및애플리케이션을통해이용자가인지하지못한채 SMS, 통화기록, 위치정보등의개인정보유출가능 자녀및직원관리목적으로정상적으로판매되고있는프로그램 (ex. Mobile- Spy) 을이용하여 SMS, 통화기록, 위치정보등을포함한이용자의개인정보를유출및모니터링하는등악의적으로사용 블루투스나무선랜기능등이인지하지못하는상태에서사용가능하게되었을경우, 타인의무단접속등으로정보유출가능 인터넷시큐리티이슈 3월호 www.binarysoft.co.kr BinarySoft Co., LTD. 17

보안취약점 아이폰탈옥 (Jailbreak) 아이폰은안전한가? 아이폰앱스토어를통해검증된앱만등록되기때문에안전 탈옥하기전에는안전하다고볼수있음 (pdf 건은 Update 됨 ) 탈옥폰은? 사파리실행하고 http://jailbreakme.com 접속한후탈옥수행 탈옥후반드시 root password를변경하여해커의접속을차단 인터넷시큐리티이슈 3월호 www.binarysoft.co.kr BinarySoft Co., LTD. 18

대응방안 스마트폰보안공격및대응방안 - 공격대상에의한분류 분류 공격내용 공격방법 대응방안 바이러스 / 웜 WiFi/ 블루투스 /Web등여러채널을이용한전파및 PC동 기화 (Active Sync) 전파 - 단말기 UI변경, 단말기파손 ( 오류발생 ) - 배터리소모, 자동프로그램삭제및설치 플랫폼공격 시스템 Unlock JailBreak(iPhone),Rooting(Android), SecurityOff(WM) 플랫폼취약점이용악용 (API 취약점등악용 ) 스마트폰백신 ( 실행중인프로세스에대한실시간검사, 일반파일검사, 행위판별인프라등 ) 시스템 Unlock 탐지 - 플랫폼취약점의빠른보완 공격대상 애플리케이션공격 네트워크공격 키보드해킹 Rootkit 가상키보드, PC 와차별화된입력방식도입 Malicious 앱 Fishing 앱 WiFi/ 무선네트워크도청 / 변조 DDOS 공격 Web 다운로드, PC 동기화를통한설치 - 개인정보 ( 파일, 일정, 주소록, SMS, 통화내역, 메모, 위치정보등 ) 유출 - 인터넷뱅킹, 소액결제등의금융거래정보, 업무용파일등기밀정보유출 - SMS의부정사용및스팸문자발송오과금발생 - 단말기사용불능발생, 좀비단말기발생 - 휴대전화소액결제, 무선인터넷이용유료전화서비스악용 WiFi/ 블루투스네트워크공격으로인한단말기통신도청 / 변조특정사이트, 특정단말기, AP 등에트래픽유발 DOS 공격스마트폰채널을통한직접적인이동통신망에대한 DDO S 공격등발생 앱스토어기반설치권장앱스토어 App 검증강화 (Code Signing 등 ) 자원제어모니터링 WiFi 통신사용자인증 / 암호화강화 Server-User 상호인증체계구축 SSL-VPn, IPSec 등암호화통신 WIDPS, Rouge AP 에대한접속금지자원제어모니터링 www.binarysoft.co.kr BinarySoft Co., LTD. 19

대응방안 스마트폰보안공격및대응방안 - 공격목표에의한분류 공격목표 분류정보유출오작동과금회피 공격내용공격방법대응방안 개인정보유출업무정보유출위치정보노출금융거래정보유출 단말기사용불능단말기전력소모 DDOS 공격 SMS/MMS 과금 Malicious/Fishing 앱을통한 SMS, 휴대폰정보, 주소록, 사진, 위치정보등탈취아이디도용, SNS 피싱, 결제도용, 계좌정보유출분실도난바이러스 / 웜 PC/WiFi 동기화 멀티태스킹에의한리소스부족및악성코드의동작지속적인단말기접속이나리소스사용으로단말기배터리소모 Malicious/Fishing 앱이용으로인한 DOS 공격및오과금등발생바이러스 / 웜동작 컨텐츠무단복제 JailBreak(iPhone),Rooting(Android), SecurityOff(W M) 악의적인컨텐츠발생 앱스토어기반설치권장앱스토어 App 검증강화자원제어모니터링통신및내장정보사용자인증 / 암호화자동잠금, 비밀번호입력제한 Remote Wiping, 단말기사용자인증체계마련자동로그인시스템대책마련 스마트폰백신자원제어모니터링통신및내장정보사용자인증 / 암호화 시스템 unlock 탐지통신및내장정보사용자인증 / 암호화 www.binarysoft.co.kr BinarySoft Co., LTD. 20

대응방안 스마트폰보안대책 아이폰에서의보안대책 앱 (App) 의검증 / 등록 / 배포및개발자등록제운영 JB 사용하지않기 리소스의공유차단 CPU, Mem, Data 공유하지않음 공유라이브러리제작 / 배포불가 아이폰 OS Upgrade [ 그럼에도불구하고 ] 아이폰취약점 Wi-Fi 취약점 JB 취약점 분실 www.binarysoft.co.kr BinarySoft Co., LTD. 21

대응방안 스마트폰보안대책 안드로이드폰의보안대책 스마트폰백신설치 / 운영 응용프로그램 (App) 서명 Permission 관리 Network Communication Your Location Development Tools System Tools 사용자의보안의식고취 www.binarysoft.co.kr BinarySoft Co., LTD. 22

대응방안 스마트폰보안대책 공통 구분 사용자측면 앱공급자측면 내용 스마트폰백신설치및주기적점검 앱스토어에서인증된앱만설치 비인가된앱의설치금지, JB 사용주의 비사용앱종료하기 ( 백그라운드실행중지 ) 안전한비밀번호사용하기 분실에대비한비밀정보의접근성제한 ( 제거또는암호화 ) 비사용네트워크제한하기 (wifi, 블루투스등 ) 개발자의보안성고려한개발진행 서버인증, 단말기인증, 앱 (App) 인증, 사용자인증 암호통신 스마트폰단말기및 OS 공급자측면 플랫폼취약성분석및업그레이드 www.binarysoft.co.kr BinarySoft Co., LTD. 23

앱공급자보안체계 스마트폰앱공급자보안체계 - 사용자인증및암호 스마트폰전자상거래를위한인증및암호필요성 사용자인증 앱수준의합당한사용자인지사용자의신원확인 ID/Pwd 만으로는보안취약성 PKI 기반공인인증서로그인 계좌이체등본인확인강화방안 공인인증서사용자인증 OTP (One Time Password) / SMS (Simple Messaging Service), e-mail 확인등의신원확인강화방안의추가채택 암호화통신 전자상거래서버와의데이터기밀성유지 3G 이동통신및 Wifi 구간으로전송되는데이터에대한암호화 성능등을고려한선별적암호고려 SSL과같은전데이터에대한암호화는성능저하및배터리소모촉진 Digital Envelop 방식 Key Exchange www.binarysoft.co.kr BinarySoft Co., LTD. 24

스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 스마트폰에배포되는 App 에보안모듈이내장되는방식 현행은행 / 증권등서비스 App. Security 인증서저장관리전자서명암호화통신보안키패드 OTP 확장신원확인기능 App - Server Security 인증서중계관리전자서명검증암호화통신 OTP 발행확장신원확인기능 www.binarysoft.co.kr BinarySoft Co., LTD. 25

스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 Relay SERVER App SERVER BS_CryptoLibrary 1 인증번호전달 SSL Secure Channel 2 인증번호확인 App User 3 전송인증서선택및비밀번호입력 4 인증번호입력 5 인증서전달 DATA BS_CryptoLibrary BS_SmartCrypto NPKI Signcert.der aaa.txt Signpri.key bbb.png ccc.mp3 ddd.mp4 www.binarysoft.co.kr BinarySoft Co., LTD. 26

스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 PC PC PC www.binarysoft.co.kr BinarySoft Co., LTD. 27

스마트폰금융거래보안모델 PC 스마트폰인증서비스모델 #1 PC www.binarysoft.co.kr BinarySoft Co., LTD. 28

스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 www.binarysoft.co.kr BinarySoft Co., LTD. 29

스마트폰금융거래보안모델 스마트폰인증서비스모델 #1 www.binarysoft.co.kr BinarySoft Co., LTD. 30

스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 스마트폰에 App 과독립적으로인증서를관리하는방식 ETRI 의 Smart App. App - Server 암호화통신보안키패드 OTP 확장신원확인기능 암호화통신 OTP 발행 확장신원확인기능 Security 전자서명 인증서저장관리 전자서명검증 인증서중계관리 www.binarysoft.co.kr BinarySoft Co., LTD. 31

스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 Relay SERVER App SERVER 1 인증번호전달 App DATA BS_CryptoLibrary BS_SmartCrypto 2 인증번호확인 aaa.txt bbb.png ccc.mp3 User ddd.mp4 3 전송인증서선택및비밀번호입력 5 인증서전달 App BS_CryptoApp BS_SmartCrypto 4 인증번호입력 NPKI xxx.txt yyy.dat Signcert.der Signpri.key zzz.enc www.binarysoft.co.kr BinarySoft Co., LTD. 32

스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 www.binarysoft.co.kr BinarySoft Co., LTD. 33

스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 www.binarysoft.co.kr BinarySoft Co., LTD. 34

스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 www.binarysoft.co.kr BinarySoft Co., LTD. 35

스마트폰금융거래보안모델 스마트폰인증서비스모델 #2 www.binarysoft.co.kr BinarySoft Co., LTD. 36

스마트폰금융거래보안모델 스마트폰인증서비스모델 #3 3 인증서전송 DB CRS SERVER Memory Data 1 인증서등록 Private Key Data Certification Data User App App DATA BS_CryptoLibrary BS_SmartCrypto aaa.txt bbb.png ccc.mp3 ddd.mp4 www.binarysoft.co.kr App SERVER BinarySoft Co., LTD. 37

스마트폰금융거래보안모델 스마트폰인증서비스모델 #3 BinarySoft BinarySoft BinarySoft Test Crypto 전자서명 CRS SERVER DB BinarySoft BinarySoft BinarySoft 원문 : Hello World Memory Data Private Key Data Certification Data BS_CryptoLibrary 전자서명 전자서명데이터 : MIIGfgIBADELMAkGBSsOAwIaB QAwGgYJKoZIhvcNAQcBoA0EC 0hlbGxvIFdvcmxkoIIFFzCCBRM wggp7oamcaqicawx6rzanbg kqhkig9w0baqufadbumqswc QYDVQQGEwJLUjESMBAGA1U ECgwJU2lnbktvcmVhMRUwEwY DVQQLDAxBY2NyZWRpdGVkQ0 ExGjAYBgNVBAMMEVNpZ25L www.binarysoft.co.kr BinarySoft Co., LTD. 38

스마트폰금융거래보안모델 스마트폰인증서비스모델 #4 서명대행 App. ETRI 의 SmartSign www.binarysoft.co.kr BinarySoft Co., LTD. 39

감사합니다. Message 바이너리소프트는항상고객의이익창출을위해최선을다합니다. 감사합니다 BinarySoft co., LTD. 바이너리소프트서울구로구구로동 110-4 두산도림베어스타워 5 층 511 호 Tel: 02) 812-0850 FAX: 02) 812-0851 대표이사이동근 e-mail: leedg@binarysoft.co.kr www.binarysoft.co.kr BinarySoft Co., LTD. 40

2024 © docsplayer.org 개인정보보호 | 약관 | 지원