Special Theme _ 스마트폰정보보호 스마트폰은기존 PC에서가지고있던위협과모바일기기의위협을모두포함하고있다. 다시말하면, 다양한기능이추가된만큼기존 PC에서나타났던많은위협들이그대로상속되며, 신규서비스부가로인해신규위협도늘어나고있다. 위협은발생위치에따라네트워크상에서발생

Similar documents
Special Theme _ 스마트폰 정보보호 스마트폰은 기존 PC에서 가지고 있던 위협과 모바일 기기의 위협을 모두 포함하고 있다. 다시 말하면, 다양 한 기능이 추가된 만큼 기존 PC에서 나타났던 많은 위 협들이 그대로 상속되며, 신규 서비스 부가로 인해 신 규 위

<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE2DC1B6BAB4C8A3>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

<4D F736F F D204954B1E2C8B9BDC3B8AEC1EE5FB0FBC1F82E646F63>



52 l /08

암호내지

NX1000_Ver1.1

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Microsoft Word - 디오텍_091221_.doc

*2008년1월호진짜

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

특집-5

HTML5* Web Development to the next level HTML5 ~= HTML + CSS + JS API

< C1B6B0A35FBDBAB8B6C6AEC6F920B1DDC0B6B0C5B7A B0E8B8ED20B8B6B7C328BAD9C0D332295FBEC8B3BBBCAD2E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

SBR-100S User Manual

[Blank Page] i

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

PowerPoint Presentation

Microsoft Word - 남기효_수정_.doc

04 08 Industry Insight Mobile Policy Trend Mobile Focus Global Trend In-Depth Future Trend Products Trend Hot Company

ICT À¶ÇÕÃÖÁ¾

PowerPoint Presentation

< D28C3B7BACE29BDBAB8B6C6AEC6F9C0CCBFEB5FBDC7C5C25FBFE4BEE02E687770>

5th-KOR-SANGFOR NGAF(CC)


TTA Journal No.157_서체변경.indd

1. 정보보호 개요

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

슬라이드 1

PowerPoint 프레젠테이션

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

wtu05_ÃÖÁ¾

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

월16일자.hwp

F120L(JB)_UG_V1.0_ indd

KCMPGDHDXIUA.hwp

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

±èÇö¿í Ãâ·Â

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

H3250_Wi-Fi_E.book

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

Microsoft Word - 문필주.doc

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

OMA Bcast Service Guide ATSC 3.0 (S33-2) T-UHDTV 송수신정합 Part.1 Mobile Broadcast (Open Mobile Alliance) 기반 Data Model ATSC 3.0 을위한확장 - icon, Channel No.

Cloud Friendly System Architecture

ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

좀비PC

서현수


Microsoft PowerPoint - 6.pptx

오토10. 8/9월호 내지8/5

ㅇㅇㅇ

C O N T E N T S 목 차 요약 / 3 Ⅰ. 브라질소비시장동향및특성 경제현황 2. 소비시장의특성 Ⅱ. 브라질소비시장히트상품분석 최근히트상품 년소비시장, 이런상품을주목하라! Ⅲ. 우리기업의 4P 진출전략

< BBEABEF7B5BFC7E228C3D6C1BE292E687770>

특집-5

08연차보고서처음-끝

<C8B8BDC5BFEB2DBDBAB8B6C6AEC6F920B5B5C0D4C0CC20B1B9B3BB20C5EBBDC5BDC3C0E5BFA120B9CCC4A320BFB5C7E22E687770>

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

메뉴얼41페이지-2

PowerPoint 프레젠테이션

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

방송통신기술 이슈&전망 2013년 제 28 호 요약 본고에서는 차세대 지능형 전력망이라 불리우는 스마트그리드에 대한 일반적인 개 념 및 효과에 대해 알아보고, 현재 스마트그리드 구축에 있어 이슈가 되고 있는 사 이버 보안측면에서 고려해야 할 위협요소와 취약성에 대해 살

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

선진사례집(0529)

untitled

스마트폰보안위협대응전략워크샵 Smart-phone Security 대응전략 발표자 : 이기혁

슬라이드 1

2010-1월16일자.hwp

2015 년 SW 개발보안교육과정안내


CONTENTS Volume 테마 즐겨찾기 빅데이터의 현주소 진일보하는 공개 기술, 빅데이터 새 시대를 열다 12 테마 활동 빅데이터 플랫폼 기술의 현황 빅데이터, 하둡 품고 병렬처리 가속화 16 테마 더하기 국내 빅데이터 산 학 연 관

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

IT_SPOT_ISSUE(2010-S10).hwp

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

내지(교사용) 4-6부

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

제 개정이력 순번제 개정일변경내용발간팀연락처 제정기업정보보호팀 02)

2009방송통신산업동향.hwp

14-10.hwp

<464B4949B8AEC6F7C6AE2DC0AFBAF1C4F5C5CDBDBABBEABEF7C8AD28C3D6C1BE5FBCD5BFACB1B8BFF8BCF6C1A4292E687770>

<342EB8F0B9D9C0CF20C5ACB6F3BFECB5E520C8AFB0E6BFA1BCADC0C720BAB8BEC820C0CCBDB45FC3D6C0BAC7F52E687770>

마켓온_제품소개서_ key


LG텔레콤

Microsoft Word - 문서10

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L


처음에 읽어 주십시오! 본 사용설명서의 내용은 예고 없이 변경할 수 있습니다. 본 사용설명서의 내용은 제조 공정의 각 과정에서 확인했습니다. 문제점이나 잘못된 점 이 있으면 개의치 마시고 당사로 연락해 주십시오. 본 사용설명서의 내용을 복제하는 것은 일부 또는 전부에

N TIME KEEPER

Transcription:

국내외스마트폰보안 표준화동향및추진전략 염흥열 순천향대학교정보보호학과교수장기헌 순천향대학교정보보호학과 1. 머리말 스마트폰의보급과활성화에따라기존 PC 에서발 생하던보안위협이스마트폰에서발생하는등사회적 스마트폰 (smart phone) 은 3G망은물론 Wi-Fi, WiBro 등다양한인터페이스를통해시간과장소의제약없이인터넷을이용할수있을뿐만아니라, 사용자의요구에따라애플리케이션의설치및삭제가가능하다는장점을내세워그인기를더해가고있다. 최근에는스마트폰을이용하여업무를처리하는스마트워크및스마트오피스가주목받고있으며, 하나의콘텐츠를여러개의스크린으로이용할수있는 N 스크린시대를위한서비스연동연구가활발히진행되는등스마트폰은사회전반에걸쳐큰관심을불러일으키고있다. 2010 년 11월기준국내스마트폰사용자는 550 만명에이르며, 2010 년말까지 670 만명을넘어설것으로예측하고있다. 이와더불어, 스마트폰에서이용할수있는콘텐츠 앱서비스도급속히증가하고있다. 국내최대모바일콘텐츠장터인 SK텔레콤 T스토어 에는약 6만개의응용프로그램 ( 애플리케이션 ) 들이올라와있고, KT는 올레마켓, LG U+ 는 오즈 (OZ) 스토어 를개설해콘텐츠시장을조성하고있다. 으로큰파장을일으키고있다. 최근보고된대표적인스마트폰을대상으로하는악성코드사례는광고메시지에숨어서심비안스마트폰공격을목표로하는중국발악성코드가있는데, 이와같은악성코드는스마트폰을감염시켜스마트폰내에저장되어있는주소록의사람들에게이를또다시전파시켜감염되게한다는점에서그심각성이더해진다. 따라서최근에는스마트폰을보호하고안전하게연동사용이가능케하는스마트폰보안표준에대한요구가스마트폰서비스사업자와보안제품사업자등에서나타나고있다. 본고에서는스마트폰보안표준화를다루고국내외표준화에대한추진전략을제시하고자한다. 본고의 2 장에서는스마트폰위협과이위협에대한대응기술을제시한다. 3장에서는국내외표준화현황을살펴보고, 4장에서는스마트폰표준화추진전략을제시하며, 5장에서는결론을맺는다. 2. 스마트폰위협및보안기술 54

Special Theme _ 스마트폰정보보호 스마트폰은기존 PC에서가지고있던위협과모바일기기의위협을모두포함하고있다. 다시말하면, 다양한기능이추가된만큼기존 PC에서나타났던많은위협들이그대로상속되며, 신규서비스부가로인해신규위협도늘어나고있다. 위협은발생위치에따라네트워크상에서발생할수있는위협과소프트웨어를이용한위협, 그외물리적위협등으로구분된다. 스마트폰에서악성코드가발생하는이유는스마트폰이음성통신뿐만아니라인터넷통신도가능하며, 초고속무선데이터통신을사용하게됨에따라악성코드전파가더욱쉬워졌음에기인하다. 이외에도 Wi- Fi 및와이브로등의액세스확대, 무선브라우징확대, 휴대폰기기의성능향상, 휴대폰의개인화및전자결재지원, 공개플랫폼화등은악성코드전파의확대가 가능한주요요인으로작동하고있다. 악성코드는스마트폰을원격으로제어하거나, 애플리케이션의동작변경, 파일실행차단, 불필요한통신요금발생, 사용자데이터도난, SMS 훔쳐보기, 위치정보의유출, 다른악성코드의설치및타스마트폰으로의전파등의리스크를초래한다. 또한, GPS 는스마트폰에서편리한위치기반서비스를제공할수있지만사용자의위치정보가노출될위협이존재하며, 특히최근이슈가되었던 오빠믿지 애플리케이션의경우 SMS 를통해상대위치정보가노출되어개인프라이버시침해논란을일으켰다. 스마트폰시장이확대되면서애플리케이션을사고파는시장인애플리케이션스토어 ( 일명앱스토어 ) 가대중화되고있다. 기존의모바일애플리케이션과는달 Special Report 4 단말기영역 < 표 1> 스마트폰위협및보안기술 영역위협보안기술 네트워크영역 Service 영역 PC, Memory 영역 애플리케이션스토어영역 애플리케이션분석을통한악용 애플리케이션의기능을이용한악용 음성도청 분실및도난 공개된 Exploit 공격 패스워드크랙 악성코드 애플리케이션설치동의우회 데이터스니핑및변조 모바일 VoIP 에서의기존 VoIP 취약점적용및스니핑 애플리케이션취약점을이용한악용 웹사이트를통한피싱및악성코드다운로드 이메일을통한악성코드첨부및스팸메일발송 내부망을우회한외부정보유출 스마트폰과 PC 연결을통한악성코드전파및접근 외장메모리를이용한악성코드전파 개인정보유출 AD-HOC 을통한비인가된접근 악의적개발자에의한악성프로그램유포 보안메커니즘을우회한악성프로그램등록 애플리케이션코드의난독화기술적용 데이터의암호화 도난및분실방지솔루션 정기적인업데이트 안티바이러스 데이터암호화 방화벽, VPN 디바이스인증 스마트폰안티바이러스기술 첨부파일필터링 스팸메일필터링 불법 AP 및인터넷사용방지 스마트폰안티바이러스기술 보안저장장치 개인정보유출방지솔루션 AD-HOC 을통한접근통제 GPS 영역 GPS 를통한위치정보노출 위치정보보호 전자서명기술을이용한코드서명기술 TTA Journal No.132 55

리스마트폰에서는애플리케이션스토어가개방적이기에개발자들은애플리케이션을개발해자유롭게배포할수있다. 통상개인개발자혹은프로그램제작사나통신회사에서만든애플리케이션들이오픈마켓이라고하는애플리케이션스토어에등록되고, 사용자는무료혹은비용을지불한뒤다운로드받아설치하는방식으로작동한다. 하지만이러한콘텐츠가만일악성코드에감염된상태로배포되어사용자에게전파되거나구매한콘텐츠설치과정에서웜, 바이러스등에감염된다면심각한보안위협이발생할여지가있다. 애플리케이션스토어상에저장된데이터를기한없이사용하기위한크랙시도, 제작툴을이용한커스텀펌웨어생성, 탈옥 (Jailbreak) 한아이폰과안드로이드의루팅폰에의해불법애플리케이션다운로드등은대표적인애플리케이션스토어에대한보안위협이다. 또다른스마트폰의위협으로개인정보유출을들수있다. 스마트폰의경우신상정보, 금융정보, 개인민감정보등중요한정보를내부에저장하고있기에개인정보를노리는공격에쉽게노출되어있다. 특히, 스마트오피스의활성화에따라기업의기밀정보까지유출될가능성이존재한다. 앞으로이와같이개인정보침해유형의공격이지능화범죄화될것으로예상되며, 불특정다수의대량데이터유출뿐만아니라, 불특정다수의다종류의소량데이터유출및범죄악용가능성도예상된다. 이외에도스마트폰은분실, 음성도청및아이디와패스워드등의개인크리덴셜유출등의많은보안위협이존재한다. 다양한스마트폰보안위협에대한보안기술및대응책은다음과같다. 스마트폰에는다양한개인정보가저장되어있기때문에이를관리하는것은중요하다. 간단한보안관리프로세스는동의없이개인정보를포함한중요정보를 수집할수없으며, 수집된정보는공개가되어서는안된다. 이정보를이용할시에는그에할당한사용과동의가필요하며이용완료시에는파기되어야한다. 기업의주요자산인고객의개인정보를안전하게보호하기위한정책및전략과솔루션, 프로세스는스마트폰서비스제공측면에서지속적으로개선되어야한다. 또한애플리케이션보안정책도중요하다. 더불어개인정보및기타주요정보를안전한저장공간을확보하여저장하고이를암호화저장함으로써보호해야한다. 이저장매체에접근시접근권한을설정하고각종인증및개인정보를안전하고손쉽게관리하는시스템이요구된다. 각종개인정보, 전자인증정보를저장하여필요할때제출하는기술로카드형태로표현된다. 또한사용자가이용하는 PC와동일하게모바일상에서도파일암호화가필요하다. 더불어데이터통신시주고받는데이터에도암호화가필요하다. 이는정보가유출시해당정보노출을막을수있다. 스마트폰이 PC에가까워지고 PC와흡사한 OS를사용하며, 사용자가늘수록발견되지않는정보유출경로가발견될수있다. 모바일 VPN 과방화벽을사용하여모바일디바이스를사용자의사설네트워크에안전하게연결할수있으며, 하드웨어및무선통신네트워크에대한무단액세스및사용으로부터보호한다. 이를이용하여악성코드의접근이나외부자의접근에대하여보호할수있고, 정책을설정하여보다안전한모바일서비스환경을구축할수있다. 보안관련데이터저장 / 데이터접근통제 /API를통한 UICC 애플리케이션보안서비스를제공하는 USSM(UICC Security Service Module) TS 102 266(stage1) 가있다. 이는 ETSI 에서정의한 UICC 보안모델로서표준모델로표준화를진행하였으며, UMTS 기반의목적및요구사항등이정의되어있다. 인터넷으로부터파일을업로드하고다운로드하는경 56

Special Theme _ 스마트폰정보보호 우통상두가지보안위협이발생하게된다. 하나는게시자의신원을도용하는것이고, 두번째는게시된애플리케이션의위변조방지와데이터발신지확인이다. 이를막는방법이애플리케이션게시자의신원확인 / 인증이고, 게시된애플리케이션코드의무결성과데이터인증성확인하는것이다. 이를해결하는방법이전자서명기법기반의코드 (Code Signing) 이며, 이를가능케하는것이공개키인증서를사용하고있다.[5~7] 스마트폰보안연관기술은지문 / 홍체 / 생체인식기술을이용한사용자인증기술이있으며, RFID 휴대폰잠금기능, 안티바이러스등이있다. 이러한보안기술들이우회될가능성을포함하는위협이존재한다. 도난및분실시이러한기능을스마트폰의장점중하나인사용자가기능을추가삭제할수있는사용자맞춤형기능에의해삭제되거나서비스를종료시킬수있다. 이에각통신사에서는스마트폰분실및도난솔루션을제공하고있으며, 모바일보안회사에서도이를제공하고있다. 분실시신고가접수되면통신사에서는원격으로모든스마트폰 OS에대해공장초기화, 카메라차단, 프린트스크린차단등을할수있으며, 이외에도 GPS 를이용한핸드폰위치추적, 원격잠금기능등을제공하고있다. 이밖에도언급되지않은위협과보안기술이존재하 지만이것만으로는안전하다고할수없다. 언제어디서어떤보안사고가발생할지모르며이를대비하기위해서는지속적인연구가필요하다. 3. 스마트폰보안국내외표준화동향현재스마트폰보안표준화는국내 국제를망론하고초기상태에있다. 국내의경우는 2010 년 TTA 표준화전략맵작업을통해주요표준화아이템을선정했고, 국외의경우는 ITU-T 연구반 17에서하나의권고가개발되고있다. 또한아이폰앱스토어에적용되는기존공개키인증서프로파일이사실표준형태로존재한다. 향후표준화수요가증가할것으로예상되어본격적인표준화가국내외적으로수행될것으로예측된다. 3.1 국내표준화현황국내에서는 2013 년까지스마트폰관련무선통신국내외표준화추진을통해안전한스마트폰서비스인프라구축에대한기반을마련하기위한목표를설정하고관련연구와표준화를추진중이다. 스마트폰보안국내표준화는이제본격적으로진행될예정이다. 2010 년 TTA 표준화전략맵작업에서스마트폰에대 Special Report 4 < 표 2> TTA 표준화전략맵에도출한표준화대상항목 표준화대상항목 스마트폰플랫폼보안기준 스마트폰앱보안기준 스마트폰인터페이스보안기준 스마트폰기반의악성코드수집 / 분석프레임워크 표준화내용 스마트폰에서발생가능한침투공격. 스마트폰의결함을유도. 스마트폰의정보유출과같은악성행위에대하여보호하고이를평가할수있는기준마련 스마트폰에제공되는앱서버나앱스토어의앱소프트웨어에대한보안표준을선정하여앱에대한보안평가와검증기준설정 스마트폰과 PC 나다른기기와의연결에사용되는터널링 (VPN) 기법 스마트폰등모바일기기를대상으로하는악성코드의수집및분석을위한프레임워크요구사항정의 TTA Journal No.132 57

< 표 3> 국내외스마트폰표준화동향및관련추진사항 국내외기관내용 국내 금융결제원 행정안전부 TTA 옴니아 2, 아이폰, 안드로이드폰등의스마트폰에대한스마트폰뱅킹의표준화추진 공공부문모바일응용서비스에모바일웹및모바일앱개발을위한개발가이드라인작성 PG605 : 모바일웹서비스보안평가가이드라인, 웹서비스보안정책모델등다수의웹서비스보안관련표준제정, 모바일종단간통신을위한인증구조외 3 건단체표준제정 PG504 : 모바일웹서비스에서의메시지보안을위한보안구조표준제정 국외 방송통신위원회 ITU-T SG17 MCPC PPCA LIPS Forum 모바일시큐리티포럼 을통해스마트폰정보보호주체별역할을정립하여 스마트폰이용자 10 대안전수칙 을발표 모바일상의주요보안위협을소개하며보안요구사항을명시. 보안기술및메커니즘을제시하는권고개발중 모바일컴퓨팅시스템시장확대를목표로하고있으며서비스활성화를위해각분야의관심과협력을도모함 새로운모바일과무선기술에대한평가 스마트폰과일반휴대폰 ( 피처폰 ) 을포함하는휴대폰단말기의다양한사용프로필에대한사양을정의 한정의와주요표준화대상항목을정의한바있다.[1] 전략맵에서는무선통신망보안항목에스마트폰보안세부항목을설정했고, 스마트폰세부표준화항목은 스마트폰플랫폼보안기준, 스마트폰앱보안기준, 스마트폰인터페이스보안기준 등이며, 세부내용은 < 표 2> 와같다. 이외에방송통신위원회등국내주요기관에서스마트폰보안표준과연관된주요활동계획은 < 표 3> 과같다. < 표 2> 에서와같이행정안전부에서는공공부문모바일응용서비스에모바일웹및모바일앱개발을위한개발가이드라인을만들예정이며, 금융결재원에서는스마트폰뱅킹의표준화를추진하고있다. 특히, 스마트폰보안과연관되어 TTA PG 605 에서는모바일웹서비스보안평가가이드라인 [TTAS.KO- 10.0245], 웹서비스보안정책모델 [TTAS.KO-10.0243] 등다수의웹서비스보안관련표준및모바일종단간통신을위한인증구조외 3건의단체표준을제정한바있다.[2] 3.2 국외표준화현황 ITU-T 연구반 17 연구과제 6은스마트폰보안표준 (X.msec-6) 를 2009 년 9월부터개발하고있다. 이권고의제목은 모마일폰보안특성 이며, 스마트폰보다포괄적인개념을갖는모바일폰에대한보안위협과보안기술및메커니즘에대해표준화를추진할예정이다. X.msec-6 에서는스마트폰에대한위협의유형을 [ 그림 1] 과같이인터페이스, 사용자, ID 카드, 모바일앱서비스, 외부인터페이스로부터위협등으로구분되며, [ 그림 2] 와같이스마트폰이가진취약성을공격자가이용한다양한위협모델을제시하고있다. 스마트폰보안요구사항은하드웨어보안과소프트웨어보안으로구성되며, 다시소프트웨어보안은통신보안, OS 보안, 애플리케이션보안, 사용자데이터보안으로구분된다. 모바일상의취약점을피하고, 위협및공격으로부터피해를감소시키기위해보안기술및메커니즘기반의하드웨어및소프트웨어가만들어져야한다. 58

Special Theme _ 스마트폰정보보호 또한아이폰애플리케이션게시자신원확인및애플리케이션코드의데이터인증및무결성을확인하기위해, 아이폰앱스토어에서는 ITU-T 권고 X.509 에기반한인증서프로파일을사용한다.[6] 윈도및안드로이드의경우에도인증서기반의코드사인을통하여데이터인증및무결성을확인한다.[5][7] 코드 Smart phone Device Application Vulnerabilities Service OS system 사인인증서는국외인증서발급기관및국내공인인증기관에서발급된인증서로사용이가능하다. 대표적인발급기관에는 Verisign( 국외 ), 금융결제원 ( 국내 ) 등이있다. 또한, 모바일컴퓨팅시스템의시장확대를목표로하고있는일본컨소시엄인 MCPC(Mobile Computing Promotion Consortium) 에서는 Smartphone 위원회를신설하고관련연구와표준화를추진중이다. 그리고 PPCA(Portable Computer and Communications Association) 와 LIPS Forum(Linux Phone Standard) 등이스마트폰연구와표준화를진행할예정이다.[4] Special Report 4 [ 그림 1] 취약성과위협관계 [3] from ME from interface between ME and ID card from ID card 항목 일반보안위협 특화보안위협 보안요구사항 보안기술및메커니즘 < 표 4> ITU-T SG17 X.msec6 주요사항 [3] 모바일폰일반위협 내용 단말분실및도난 전자적도청 단말복제 셀룰러인터페이스를통한위협 다중외부인터페이스를통한위협 비인가된접근 악성코드 스팸 비인가된위치정보의접근 하드웨어보안, 소프트웨어보안 ( 통신보안, 운영체제 보안, 응용보안, 사용자데이터보안 ) 악성코드설치방지 응용간상호접근예방 악성행위분석 안전한전송 암호화 스팸필터 보안민감응용 프라이버시보호기술 원격제어기술 Anti-spoofing 대안 from external Interfaces (not including cellular interfaces) 항목 표준화추진 기간 국내의견수렴 추진기관 from mobile services ME (U)SIM/UIM from loss, theft and disposal [ 그림 2] 모바일위협 [3] from cellular interfaces from ETC < 표 5> 스마트폰표준화추진전략 내용 국내표준화와국제표준화를동시추진 3 년이내에추진 국내이동통신사의요구사항을반영한국내표준을개발하고, 이를바탕으로국제표준화를추진함 국내표준화는 TTA PG503 을통해추진하고, 국제표준화는 ITU-T SG17 연구과제 6 또는 3GPP/3GPP2 를통해추진할필요있음 TTA Journal No.132 59

4. 표준화추진전략스마트폰은국내뿐만아니라국제적으로도큰관심을불러일으키고있지만현재국내외스마트폰보안관련표준화작업은이제막시작하는수준이다. 따라서 TTA 를통한국내표준의추진과 ITU-T 를통한국제표준의추진등국내외표준화추진을동시에진행하여국내기술의국제표준을선점할필요성이있다. 표준화아이템의경우, < 표 2> 와같은항목에 앱개발자와앱스토어간의인증방식및보안터널 등의다양한보안아이템의지속적인개발이필요하다. 구체적으로는보안기술의표준제정을담당하는주체로는국내표준주체의경우 TTA 의 PG503 가적정하며, 국제표준주체의경우 ITU-T 의 SG17/Q6 가적절하다. 또한, 국제표준화의경우이동통신표준화기구인 3GPP/3GPP2 도또다른국제표준추진주체로고려해야한다. 표준화추진일정은향후스마트폰의보급과관련기술수요의시급성, 시장이성숙되는시점을고려했을때 3년이내가적절할것으로보이며표준개발시에는국내이동통신서비스 3사의의견을적극반영하고이외의견을수렴하여국내외표준개발을진행해야할것이다. [ 참고문헌 ] [1] TTA(www.tta.or.kr), 표준화전략맵, 네트워크 & 시스템보안-4 차- 배포자료, 2010.09.03 [2] TTA(www.tta.or.kr), 응용보안평가인증보고서, 2010.11.01 [3] ITU-T, Security aspects of mobile phones, T09 SG17 100407 TD PLEN 1012, 2010.04.16 [4] ITU-T, T REC Y.Sup8-201001-l, Supplement on a survey of global ICT forums and consortia, 2010.01 [5] Microsoft, http://msdn.microsoft.com/en-us/library/ ms537361.aspx [6] Apple, http://developer.apple.com/, code signing guide, 2009.10.13 [7] Google Android, http://developer.android.com/, http:// developer.android.com/guide/publishing/app-signing.html 5. 맺음말 본고에서는스마트폰보안과연관된국내외표준화동향을살펴보고추진전략을제시했다. 스마트폰은기업비즈니스, 정부업무, 그리고다양한응용분야에서활용되고있으며, 보안은이를안전한스마트폰기반의서비스를제공하기위한필수요소가되고있다. 향후에는국내표준과국제표준을개발하여상호연동가능하고안전한스마트폰기반의다양한서비스를제공할수있을것으로기대된다. 60

2024 © docsplayer.org 개인정보보호 | 약관 | 지원