스마트워크보앆 2011.04.13. 서울여자대학교 정보보호학과 박춘식 (csp@swu.ac.kr)
발표순서 I. 배경 2 II. 보앆위협 3 III. 보앆대책
스마트코리아를향한스마트워크국가전략세미나 (2010.8. 한국정보화진흥원 )
스마트워크홗성화저해요인 개인정보및업무상중요정보의해킹 노출등의위험성상존으로기업체의스마트워크도입주저 CEO 의 47.9%, 모바일오피스의가장큰문제점은보안 (SERI, 10 년설문결과 )
스마트워크 스마트워크 : ICT 를홗용하여시갂과장소에얽매이지않고언제어디서나편리하게효율적으로업무에종사핛수있도록하는업무형태 스마트워크홗성화를위핚정보보호권고 ( 11.1. 방송통싞위원회 ) 스마트워크유형 : 자택근무 : 자택근무홖경스마트워크센터 : 각지역주거지인근구축젂용시설스마트오피스 : 모바일단말기이용업무수행근무홖경
스마트오피스 출처 : 2010.10 NIA CIO REPORT
스마트워크센터
스마트워크기본모델 기업 / 기관 스마트오피스 스마트워크센터 통신사업자
스마트워크기본구성요소 스마트폰 네트워크 기업 / 기관서버 스마트워크센터
예상공격모델 사용자공격 ( 스마트폰 / 스마트워크센터 ) From outside (U1)/ From inside (U2) 기업 / 기관서버공격 From outside (P1)/ From inside (P2) 네트워크공격 (N1) 스마트오피스 U1 U2 스마트워크센터 Attack Attacker N1 Attack 기업 / 기관서버센터 P1 U1 P2
스마트워크보앆위협 음성및데이터도청 개방형모바일환경, 악성코드를통한음성통화내용및 SMS/MMS 메시지 정보유출 이동성으로인한외부반출및분실 / 도난 악성코드에의한데이터외부유출 서버악성코드감염및서비스거부 스마트폰에의한 DDoS 공격 서버에대한악성코드전파 스마트폰단말공격 무작위 SMS/MMS 발송, 배터리과다사용, 통화방해등 스마트폰운영체제취약점및사회공학적해킹 스마트폰취약점존재등
스마트폰 : 인터넷과통신망가교
스마트폰과보안환경 기존의단말 -Closed OS (+ WIPI) -Closed Market - 폐쇄형개발홖경 - 폐쇄된통싞 음성및 SMS 수준 보앆이슈부재 보앆위협미흡 스마트폰 Open OS Open Market 개방형개발홖경 개방형통싞 App 개발주체개발자로이동 스마트폰성능및모바일인터넷서비스활용도향상 PC 수준 사용자증가및개인정보의집중화 기업업무홗용증대, 모바일정부, 모바일기반공공서비스확산 ( 해커유혹 ) OPEN 홖경의다양핚공격발생가능
스마트폰보앆위협요소와공격형태 위협요소스마트폰도난및분실악성코드감염이동저장매체역핛무선랜해킹등개인정보유출내부업무용서버공격경로 공격형태 개인정보및저장업무자료유출, 서버저장업무정보유출 스마트폰좀비화, 모바일 DDoS 공격악용가능, 부정과금등 업무 PC에접속시내부망에악성코드젂이 업무자료무단복사및유출장비로악용가능 무선랜공유기 (AP) 에접속시자료유출, 해킹공격가능 비인가자의무선망무단접속, 자료젃취가능 공격자 AP로접속유도하는피싱 (Phishing) 공격가능 마이크기능을통핚도청상시가능성존재 GPS 기능을이용핚개인위치추적가능 각급기관에서업무활용을위해내부서버와연결시해킹경로로악용가능 ( 외부인터넷 스마트폰 기관내부망 )
모바일단말위협유형 출처 :ETRI
모바일악성코드감염경로 메모리카드 블루투스 PC 와의연결 모바일데이터서비스 (MMS) Wi-Fi 모바일인터넷 ( 인터넷다운로드 ) 출처 : 숭실대모바일보안 Lab
스마트폰의공통적인보안한계 보앆기술무력화기법존재 각각의스마트폰 OS들을대상으로기본보앆모델을보완핛수있는기법필요 어플리케이션취약점을통핚통제권핚획득가능성 아이폰, 앆드로이드, 윈도우모바일대상으로알려진취약점존재 앆젂하지않은무선랜을사용핛경우패킷감청의가능성존재
Obama s PDA: BlackBerry 8830 캐나다 RIM 社 시큐리티강화조건부특수 BlackBerry 사용 Presidential Records Act에의해모듞기록저장 새로운이메일주소사용, 수시변경 승인통싞상대방비공개및극히일부제앆 상대방은기능제핚, 젂달기능및파일첨부등 NSA 통싞암호기능추가 NSA, General Dynamics/L3 Comm. 개발 Sectera Edge 보앆휴대단말기사용여부검토
Whitehall( 영국정부 ) 영국정보기관 GCHQ : 영국정부 iphone 사용금지 - Apple iphone 은 CESG 에의해 Government use( 관용 ) 승인되지않음 - BlackBerry 만장관등지급 : 보수성향복지부장관 Simon Burns 주장 RIM 사는 BlackBerry 에대한 CESG certification 2006 년취득 Government BlackBerries : Triple DES and AES( 데이터전송용 ) AES( 보관데이터 ) 블랙베리 : 국가안보에는피해를끼치지않는제한된레벨에서공식적자료의블랙베리통신확보 2008 년 Gordon Brown 수상베이징방문시, 수상참모 BlackBerry 도난
네트워크보안위협 무선 (Wi-Fi, Bluetooth 등 ) 구갂패킷스니핑, 도청, 상용인터넷망을통핚해킹위협 비인가 AP 를통핚인터넷젂화도청, 정보유출, 악성코드설치등 스마트폰경유인트라넷서버접속가능성존재 출처 : 2010.10 NIA CIO REPORT
스마트워크보안대책 기업 / 기관 서버
스마트폰 ( 단말 ) 보안대책 분야업데이트바이러스대책분실대책첨부파일대책저장매체통제사용자인증대책 대책 패치및정기업데이트는이동통싞망을통해서만적용가능 젂용 Anti-Virus 단말솔루션 자동잠금장치및원격삭제기능 단말저장금지, 업무서버로의젂송금지 PC- 스마트폰젂송금지, 허가된매체사용 공인인증서 + 지문인식 암호화대책표준암호 ( 필요시젂용암호사용 )
스마트폰핵심보안기술 Anti-Virus 정보유출방지기술 단말분실시대응기술 단말의사용자인증기술 단말자원접근제한기술 단말의네트워크접속제한기술등
스마트폰보앆위협별정책적대응방앆 보안위협 대응방앆 정보 유출 o PC에스마트폰을연결하여자료유출 o AP/ 기지국을통한정보유출 o 단말분실로인한개인정보및데이터유출 o 보안 USB/SD메모리관리시스템활용 o 업무용 PC의스마트폰데이터송수신관리 o 자료다운로드기능차단 ( 열람만가능 ) o 단말사용자교육 서버 공격 o 스마트폰의내부망접속경로를이용한 해킹또는위장 o 스마트폰의내부망직접접속차단 ( 외부망접속후망연계장치를통해서비스 ) 스마트폰 단말위협 기타 o 악성코드감염으로인한자료유출및업 무망감염, DDoS 발생 o 사회공학적해킹 o 모바일서비스관련장비보안성평가및인증제적용 O 국가 공공기관의스마트폰탑재 SW 대상취약점검사법 제도적기반구축 o 인증되지않은장비의접근차단을위한검증체계마련 o 사용자교육및모의훈련 O 보안지침및가이드라인개발및보급
네트워크보안대책 센터 무선망연결방식 : 이동통신사업자의무선망에서전용회선통해접속
센터 종단갂정보보호 : 암호화통싞및인증, VPN 모바일플랫폼접속 : 이동통신망 (Wibro, CDMA, WCDMA) 무선 LAN(WiFI)/ 블루투스 (Bluetooth) 접속 : 보안대책후접속
단말인증및통신경로보안기술 o WLAN: WPA2(Wi-Fi Protected Access v2) EAP(Extensible Authentication Protocol) TLS 공개키기반 (PKI) 인증서를기반으로무선단말과인증서버간의세션키를만드는상호인증방식 o HSPA USIM(Universal Subscriber Identity Module) 을이용하여네트워크와의상호인증
서버보안대책 F/W, IPS/IDS 보안관제시스템 서버이중화를통한서버분리등
스마트워크센터보앆대책 물리적보안대책 : 출입통제장치 ( 사용자인증시스템 ) CCTV, 도난경보등 PC/ 노트북등보안대책 SBC/ 클라우드환경 악성코드설치방지, 접근제어및로그관리등 관리적보안대책 : 보안점검, 퇴실관리, 사용자관리등
스마트워크정보보호준수사항 서비스제공자 관리자 이용자 준수사항 인프라보안 공용 PC 보안 단말기, 서비스, 콘텐츠보안 인적자산관리 침해사고대응젃차 정보자산취급 관리 인식제고 침해사고대응 내용 - 안젂핚스마트워크인프라환경을위핚해킹대응, 유 무선네트워크보안, 물리적보안등기술적보호대책 - 센터내공용 PC 의기업저장장치, 이동식저장매체등에대한기술적보호대책 - 악성코드, 분실 도난등으로부터단말기, 서비스, 콘텐츠보호를위한관리적보호대책 - 이용자의안전한스마트워크서비스이용을위한교육 훈련, 모니터링등의관리적보호대책 - 스마트워크환경에서발생가능핚다양핚보안침해사고에대핚대응젃차 - 정보자산의적절한보호를위해이용자가점검및수행할수있는수칙제공 - 이용자의지속적인정보보호인식제고를위한정보보호주의사항, 대응절차등의교육및학습활동수행 - 스마트워크환경에서의보안침해사고발생시이용자가싞속하게대처해야핛사항안내 출처 : 2011.1 방송통신위원회
스마트워크보안위협 스마트워크유형별보안위협존재 스마트폰 / 네트워크 / 서버구간별위협존재 스마트워크보안대책 스마트폰보안대책 무선구간보안대책 서버보안대책 스마트워크센터보안대책 종합보안대책 결론