모바일 APP 취약점점검솔루션
제안목차 제안개요 제안내용 관리계획 I II III
I 제안개요 제안개요 I I-1. 제조사소개 I-2. 주요사업 I-3. 도입필요성 I-4. 기대효과 I-5. 제품구성 I-6. 제품특장점 I-7. 타사대비장점 I-8. 주요사업실적 I-9. 유사제품비교 I-10. 난독화솔루션과의차이점 3
I-1 제조사소개 제조사인 라온시큐리티는기술과고객과의신뢰를최우선으로생각하며운영하고있는회사입니다. 기존의많은모의해킹수행이력과연구성과, 해킹대회입상경력등최고의기술력을확보하기위해최선을다하고있습니다. 1. 다수의모의해킹수행경험보유 2. 세계해킹대회입상경력자보유 다수모의해킹수행인력보유 일반 / 금융 / 기관등다양한환경에서모의해킹수행 웹 / 데이터베이스 / 단말등다양한대상에대한모의해킹수행 KISA 해킹방어대회 8 년연속출제 / 운영 세계최고수준의 DEFCON 본선진출 4 위 국내에서주최한국제해킹대회우승 3. 최신해킹기법보유 금융권메모리해킹최초발견및보유 Mobile 해킹기법보유 APT 공격해킹기법보유 취약점 Exploit 제작기술보유 Mobile Zero Day 보유 ( 구글에보고 / 버그채택 ) Raon Security 4. 보안솔루션개발기술보유 웹애플리케이션취약점점검솔루션개발기술보유 Smart Phone Monitoring 시스템개발 모의해킹시필요도구개발기술보유 다양한개발언어숙련승 4
I-2 주요사업 제조사인 라온시큐리티는모바일앱취약점점검솔루션으로삼성전자, KT, KISA 등에레퍼런스를가지고있으며, 다수의모의해킹컨설팅경험뿐아니라 Andorid 및 IOS 취약점과관련하여지속적으로연구해오고있습니다. 솔루션 컨설팅 Android Application 점검도구 ( Zyroid SE, ios, DE) - KB 국민은행, KB 손해보험, SKTelecom, SKPlanet, 동서발전, 해군등 Android 악성행위모니터링시스템 (Zyroid Enterprise) - 삼성전자, KT KISA Android 악성행위모니터링시스템개발 SK Planet 모의해킹 삼성전자갤럭시 S4 모의해킹 (2 회수행, NDA 체결 ) 온라인게임모의해킹 ( 다수 ) EBAY( 옥션, 지마켓 ) 모의해킹 LG U+ Fuzzing 대검찰청모의해킹 카카오앱모의해킹 삼성 SDS 화이트해커해킹대회문제출제및운영 KISA 해킹방어대회문제출제및운영 (06 년 3 회 ~ 13 년 10 회 ) 총 8 번운영 연구 Google Android 취약점발견 (2013) Android 악성행위모니터링시스템구축 - Hooking 기법연구 iphone Hooking 기법연구 - Kernel Hooking, Library Hooking, Application Hooking 기법연구 5
I-3 도입필요성 앱의보안성확보를위해진단인력을통한취약점점검을수행하고있지만인력, 비용, 시간등의부족으로효율적인취약점진단이어렵습니다. Zyroid 를도입하면효율적인취약점진단과컴플라이언스대응이가능합니다. 악성코드의증가, 고도화 모바일앱보안사고의증가 모바일 보안사고증가 모바일금융서비스고객증가 스마트폰이용자의증가 다양한금융앱의출시 운영앱에대한취약점제거와관리필요 모바일전자정부서비스관리지침 - 제25조 ( 취약점점검 ) 금보원 - 스마트폰전자금융서비스보안가이드 컴플라이언스 [ 공공 / 금융 ] 효과적인취약점진단, 컴플라이언스대응필요 취약점점검이슈 스마트폰전자금융서비스이용고객증가 난독화적용으로인한분석난이도향상 모바일 APP 점검을위한전문인력부족 인력투입에따른비용, 시간소요 6
I-4 기대효과 모바일 APP 취약점점검솔루션 Zyroid 의다양한기능을통해앱의보안성이향상되며취약점점검을위한인력, 비용, 시간이절감됩니다. 1 고도화되는컴플라이언스만족 2 실제해킹과동일한방식으로취약점진단기능제공 앱보안성강화, 점검비용절감 5 3 4 어렵고복잡한모바일 APP 진단상시점검체계구축 표준화된점검방식및보고서를통한관리체계완성 전문가들이제공하는최적의점검기법제공 6 점검자동화로점검시간 / 비용획기적인단축 7
I-5 제품구성 본제안의세부내역은 모바일 APP 취약점점검용노트북 (Windows, Mac) 2 식과 Zyroid SE, ios 소프트웨어 2 식, 그리고 Nexus 단말기 1 식과 아이폰단말기 1 식으로구성되어있습니다. 제품구성도 진단자 디바이스조작없이화면컨트롤 리버스분석 로우레벨데이터분석 자동진단 분석보고서 제안세부내역 Zyroid 모니터링모듈탑재 구분항목수량 유지보수및기술지원 횟수 모바일 APP 취약점점검솔루션 (Zyroid SE, ios) 취약점점검용노트북 Zyroid SE, ios소프트웨어 Nexus 단말기 (USIM 미지원 ) 아이폰단말기 (USIM 미지원 ) 2식 2식 1식 1식 교육 사용자기본교육 (Zyroid 사용법및기본점검 ) 사용자심화교육 ( 취약점의이해와조치방법 ) 분기별 1 회 ( 또는요청시 ) 분기별 1 회 ( 또는요청시 ) 제품매뉴얼 2 식 8
I-6 제품특장점 모바일환경에서의해킹기술은진화하고있으나인적 ( 전문가 ), 물적자원의부족으로인한대응능력의한계와다양한보안요구사항의수용능력의제한등은점검기준및절차의표준화가요구되고있으며 Zyroid 는기술적, 관리적 ( 컴플라이언스 ) 측면에서향상된보안점검을수행합니다. 실제단말기사용 안드로이드가상에뮬레이터가아닌실제단말기를사용 동적 Hooking 사용 단말기독립적동적 Hooking 을통한소스및바이너리를수정없이분석가능 Proxy / Debugger 기능 호출되는 API 의입 / 출력값실시간분석 / 수정가능진단 APP 의전반적인 API 호출흐름파악가능 표준화된점검가능 표준화된점검기준적용을통한분석결과의신뢰성향상 악성앱분석기능 사용자정보유출및권한상승등악의적인행동을하는악성앱분석가능 형상관리기능 점검후수정된코드에대한형상관리로수정이력확인가능 9
I-7 타사대비장점 컴플라이언스충족스마트폰전자금융서비스보안가이드 정보통신망법 난독화된앱분석 난독화적용앱에대한분석및해제기능제공 수준높은점검환경 정밀분석을위한다양한정보제공, 시스템이판단하기힘든항목점검가능 자동패킷분석 발생된네트워크패킷 자동분석및 replay 기능 메모리중요정보분석 앱동작중메모리를분석하여 중요정보노출분석 실시간 API 분석 점검자 PC 에서 APP API 의실시간분석및조작 편리한자동점검 점검을위한기본정보입력후자동점검 악성앱탐지가능 행위기반판단을통해악성앱검증가능 콜다이어그램 강력한코드분석을위한콜다이어그램지원 쉬운사용자입력스마트폰과 PC 동기화후키보드와마우스로 스마트폰조작 10
I-8 주요사업실적 제조사 라온시큐리티동종및유사분야사업실적입니다. 사업명계약처사업기간동종 / 유사 1 모바일 App 취약점점검솔루션구축 (Zyroid SE, ios) KB 국민은행 2018.06 동종 2 모바일 App 취약점점검솔루션구축 (Zyroid SE) 해군 2018.05 동종 3 모바일 App 취약점점검솔루션구축 (Zyroid SE, ios) 동서발전 2018.01 동종 4 모바일 App 취약점점검솔루션구축 (Zyroid ios) SK 텔레콤 2017.11 동종 5 모바일 App 취약점점검솔루션구축 (Zyroid DE) LG 유플러스 2017.08 동종 6 모바일 App 취약점점검솔루션구축 (Zyroid SE) CJ 올리브넷 2016.02 동종 7 모바일 App 취약점점검솔루션구축 (Zyroid SE) KB 손해보험 2015.12~2016.03 동종 8 앱취약점점검솔루션구축 (Zyroid SE) SKP 2015.10~2015.11 동종 9 앱취약점점검솔루션구축 (Zyroid SE 개발자버전 ) SKT 2015.08~2015.11 동종 10 악성행위탐지솔루션구축 (Zyroid Enterprise) 삼성전자 2014.01~2014.03 유사 11 악성행위탐지솔루션구축 (Zyroid) KT 2013.12~2014.01 유사 11
I-9 유사제품비교 현재공개되어있는유사제품중컴플라이언스, API Hooking, 취약점관리등에서최고의성능을보여주고있습니다. 정적점검 동적점검 실시간점검 경쟁사 Raonsecurity A 사 B 사 구성단말기 <-> PC 단말기 <-> PC Cloud 점검난이도쉬움어려움쉬움 소스코드 O O O 난독화여부 O - - 디버그버전 O - - 하드코딩중요정보 O O - 개조폰탐지 O - - 위변조탐지 O - - 메모리검사 O O - 난독화해제 O - - 네트워크분석 O O O storage 분석 O O - Database 분석 O O - API Hooking O - - API Trap O - - API Modify O - - 보고서포멧 PDF, HTML, CVS O ᇫ ᇫ 취약점화면스크린샷 O O O 점검결과형상관리 O - - 12
I-10 난독화솔루션과의차이점 난독화솔루션은앱에존재하는취약점을수정하지않고분석을어렵게하는솔루션입니다. 그러므로, 오랜분석과고급해킹기술에의해우회될수있습니다. Zyroid 솔루션은앱에존재하는취약점을스캔하여개발자가문제를해결하도록도와주므로근본적인문제점을해결할수있습니다. 개인정보노출 권한도용 취약점발견및대책제시 난독화 결재조작 중요정보노출 앱수정 개발자취약점조치 분석을어렵게해킹을어렵게 iphone 해킹 루팅, 탈옥탐지 무결성검증 해킹의근본적문제해결 13
II 제안내용 제안내용 II II-1. 장비소개 II-2. 장비기능 14
II-1 장비소개 II-1.1 제품구성 제품의구성은점검용노트북, Zyroid SE, Zyroid ios, Nexus 단말기, ios 진단단말, USB Cable 로구성되어있습니다. PC 와동기화후 PC 스크린상에서키보드와마우스를이용해단말기조작및데이터입력이가능합니다. PC 와스마트폰 Sync 실시간화면동기화 마우스, 키보드로입력 15
II-1 장비소개 II-1.2 Zyroid 취약점분석 정적분석 : 앱파일을 Disassemble, Decompile 을통해소스코드, disassemble code 에서보안취약점을점검합니다. 동적분석 : 앱동작중에네트워크, log, memory, files, API 의변화를모니터링하여보안취약점을점검합니다. 실시간분석 : 소스코드분석후특정 API 에 Trap 을걸어동작을멈춘상황에서변수를조작하여앱취약점을점검할수있습니다. 정적분석 동적분석 실시간분석 disassemble decompile API Hooking Monitoring disassemble decompile smali java Objective - C memory network Storage, DB intent java API Hooking Objective - C 중요정보 소스코드, 리소스 중요정보 설정파일, DB, 디버깅정보, 메모리, intent, 클립보드 APP 불필요정보 위 / 변조대응 권한상승 기타 패키지압축, 소스코드 난독화여부 디버그버전, 동적로딩 dex, native 확인, command injection 앱기본정보, 디버깅모드 repackage 금융 권한상승 루팅 (jailbreak) 체크, 무결성검증, 백신적용, 가상키보드적용체크, E2E 암호화통신 Broadcast, Activity, Service, Pending intent, Content Provider, World Readable/Writeable 파일 인증접속서버목록, 로그인인증, 취약한패스워드, 단말인증 APIs Trap - Webvie w - Usim - Socket -.. API Trap Argument 수정, 변경후전달 Hooking Engine Communication Module 16
II-2 장비기능 Zyroid 는앱자체취약점은물론컴프라이언스항목점검을위한기능을포함하고있으며해당취약점에대한설명과보안대책을제시하고신규취약점업데이트를지원하고있습니다. No. 비고 No. 비고 1 PC, Device 의 APP 분석기능 11 지정된프로세스가호출하는시스템콜추적기능 2 실제물리디바이스를대상검사기능 12 입력값검증 (SQL injection, 경로조작, XSS) 에대한자동 / 수동진단기능 3 실시간점검화면을 PC 에서제공 13 취약점내용스크린샷및설명기능 4 루팅 (jailbreak) 폰탐지기능 14 분석결과오탐제외기능 5 앱무결성검증기능 15 취약점별위험도변경기능 6 메모리중요정보평문노출분석기능 16 분석결과형상관리 7 패킷수준의네트워크분석기능 17 보안권고안및조치방안제공 8 중요정보평문저장분석기능 18 다양한보고서유형지원 9 시스템로그추출및저장기능 19 보고서한글지원 10 난독화앱분석기능 20 보안위협식별을위한지속적인업데이트지원 17
II-2 장비기능 II-2.1 rooting & jailbreak 단말기탐지기능 금융앱의안전한동작을위해변조된단말기에서실행을금지하고있습니다. Zyroid 는앱동작중단말기의루팅 (jailbreak) 상태를체크하고있는지버튼한번의동작으로확인하고보고서에반영합니다. 18
II-2 장비기능 II-2.2 앱무결성검증기능 금융앱으로위장해정보를유출하는악성앱의실행을금지하기위해위ㆍ변조방지솔루션이작동되고있는상황에서 Zyroid 는버튼하나로변조된앱을체크하고있는지판단하고결과에반영합니다. 19
II-2 장비기능 II-2.3 메모리중요정보평문노출분석기능 앱동작중메모리에중요정보 (password, 주민번호, 계좌번호 ) 가평문으로노출되어있는지또노출되어있다면어떤화면에서노출되었는지한번의실행으로점검이가능하며이를보고서에반영합니다. 20
II-2 장비기능 II-2.4 패킷수준의네트워크분석기능 Zyroid 의패킷분석기능은모든네트워크를동시에모니터링하고패킷데이터를텍스트수준으로분석하여사용자에제공하고중요정보가평문으로전송되는지를한번실행으로점검하고분석된패킷을재전송할수있는강력한기능을제공합니다. 21
II-2 장비기능 II-2.5 중요정보평문저장분석기능 Zyroid 는앱이동작하는동안 Setting, Cache, DB, Sdcard, Clip board 에변화를모니터링하여평문으로저장되는데이터를감지하여점검하는강력한기능을제공합니다. 22
II-2 장비기능 II-2.6 시스템로그추출및저장기능 Zyroid 는시스템로그는물론해당앱이발생하는모든로그를기록하고분류하여중요한정보가유출되는지를점검자에게전송하고해당중요정보가로그에포함되는지를점검합니다. 23
II-2 장비기능 II-2.7 난독화앱분석기능 난독화된앱인경우사용자의소스코드분석을돕기위해강력한난독화해제 ( 암호해제, 문자열치환 ) 기능을지원하고있습니다. 난독화해제 24
II-2 장비기능 II-2.8 개별 API(JAVA, C) 실시간조작기능 실시간분석은단말기내에설치된 Hooking engine 을통해앱동작시사용되는 API 를 hooking 하고변조, 추적할수있는기능을내장하고있고이를이용해네트워크 (Wifi, 4G), API 관계없이 Trap 을걸어변조할수있는강력한기능을지원합니다. 25
II-2 장비기능 II-2.9 지정된프로세스가호출하는시스템콜추적기능 앱이실행되는동안단말기내에설치된 Hooking engine 을통해앱동작시호출되는 API 이벤트를모두기록하고분류하여사용자에게제공하여강력한 API 추적기능을제공합니다. 26
II-2 장비기능 II-2.10 입력값검증 (SQL injection, 경로조작, XSS) 에대한자동 / 수동진단기능 Zyroid 는앱동작중발생되는모든통신을모니터링하고저장하고있고이를이용하여외부프로그램 (Sql injection tool, Hack Browser) 을연동할수있는추가기능을지원하고있습니다. 27
II-2 장비기능 II-2.11 취약점내용스크린샷및설명기능 발견된취약점화면스크린샷은물론네트워크, 메모리, 파일등위취약한결과 ( 파일, 메모리, DB) 를보고서에추가함으로써취약점이해도를극대화하고있습니다. 28
II-2 장비기능 II-2.12 분석결과오탐제외기능 자동으로취약점진단을진행하는동안발생할수있는오탐을제거하기위해점검결과화면에서간단한클릭으로오탐된취약점을보고서에서제거하는기능을제공합니다. 29
II-2 장비기능 II-2.14 취약점별위험도변경기능 고객사실정에맞는결과를도출하기위해점검자가각각의점검항목의위험도를조정하거나제외할수있는메뉴를제공하고있습니다. 30
II-2 장비기능 II-2.15 분석결과형상관리 대상앱버전별취약점결과를비교하고차이를분석할수있는기능을제공하여버전에따른형상관리기능을제공합니다. 결과비교 31
II-2 장비기능 II-2.16 보안권고안및조치방안제공 모든점검이완료되고오탐을제거하면컨설턴트수준의취약점설명, 결과, 조치방안을보고서와점검결과에서확인할수있습니다. 32
II-2 장비기능 II-2.17 다양한보고서유형지원 고객사환경을지원하기위해 Zyroid 는다양한 (PDF, WEB, CVS, Word) 문서포멧을지원합니다. 33
III 관리계획 관리계획 III III-1. 유지보수방안 III-2. 유지보수내용및범위 III-3. 교육지원 34
III 관리계획 III-1 유지보수방안 모바일 APP 취약점점검솔루션구축후유지보수체계를수립하고절차에따라유지보수활동을수행하며, 제품에문제가발생할경우장애처리절차에의거하여신속하게조치하겠습니다. 24 시간장애접수 신속한장애대처 업그레이드및신규버전제공 효율적인업무수행업무지원 유지보수활동 무상유지보수계획서제출 ( 인력, 조직, 방안 ) 무상유지보수 ( 검수완료일로부터 12개월 ) 24시간 x 365일지원및정기점검활동, 비상시긴급정비활동 S/W 버전및패턴업그레이드, 정기적적용 운영매뉴얼버전관리및제공 기술지원활동 유지보수엔지니어를통한기술지원활동 시스템운영자및업무담당자를위한기술지원활동 문제점및개선요구사항지원 서비스범위 유지보수방안 장애복구 기술지원 솔루션구축후안정화기간동안체계적인인수테스트진행 구축솔루션에대한정기유지보수 장애상황진단및처리 업무별세분화된지원 24 시간장애접수 비상연락망구축 (2 선지원체계수립 ) 모니터링과정기점검, 예방점검으로장애예방 필요시시스템에대한특별점검 장애발생시최단시간내조치, 복구및사후관리 ( 이력관리 ) 장애발생시장애원인, 조치결과, 원인분석및재발방지책마련 H/W 주요예비부품비치 장애처리결과보고서제출 시스템의효율적운영과보안기술향상을위한기술자문및지원 조직변경이나담당자변경시요청에의한교육 고객의사소통채널확보 업그레이드및신규버전에대한최신보안동향에대한자료및기술제공 35
III 관리계획 III-2 유지보수내용및범위 유지보수는유상유지보수와무상유지보수로구분되며, 무상유지보수기간은최종검수완료후 1 년으로하여시스템설치및관리전문기술인력지원을통해시스템안정화및운영지원활동을수행합니다. 사업수행 (2 주 ) S/W 무상유지보수 (12 개월 ) S/W 유상유지보수 납품장비에대한하자보수, 재설치또는패치 장애신고접수최단시간내장애처리, 정기 / 비정기예방점검 W+0 W+1 H/W 무상유지보수 (12 개월 ) H/W 유상유지보수 시스템운영자를위한기술지원 장애, 운영상태, 운영자 Q&A 에대한 Help Desk 운영 구분무상유지보수범위유상유지보수범위 수행기간 H/W, S/W 검수후 1 년 무상유지보수이후별도유지보수계약에의거 일반사항 정기점검, Trouble Shooting 및원활한운영을위한기술지원일반 유지보수계획및유지보수인력명단, 유지보수방법등의변경시고객사와사전협의하여변경 유상유지보수는무상유지보수기간이경과한이후별도의유지보수계약후시작 무상유지보수기간중사용자의과실또는천재지변에의한손상은유상유지보수 인력운영 전문유지보수인력 ( 정 / 부 ) 제조사전문가는비상주지원 H/W S/W 부품파손, 교체 ( 순정품 ) 및불량장비보수 Config. 설정변경및최적화 S/W 업그레이드및패치, 신규패턴업그레이드무상제공 시스템기능및오류테스트, 수정 장애에대한 Trouble Shooting 로그분석요청시지원 부품파손, 교체 ( 순정품 ) 및불량장비보수 Config. 설정변경및최적화 무상유지보수범위포함 시스템확장및기능개선 ( 협의 ) 36
III 관리계획 III-3 교육지원 Zyroid 의단계별교육을통해앱점검의완전한이해와심도깊은점검이가능하도록지원하고수시로발생되는이슈에대한교육을병행지원할것입니다. 교육목적 모바일 APP 진단환경구축방법습득 Zyroid 사용법및기본점검방법습득 단계별 APP 진단방법습득및활용 Zyroid 개요및모바일 APP 취약점 진단환경구축및취약점점검 점검결과분석및보고서작성 교육내용 구분내용대상인원방법회수장소 Zyroid 개요 Zyroid 점검및조치 모바일 APP 취약점의종류및특징 진단환경구축방법 모바일 APP 취약점점검 취약점점검결과분석 점검결과보고서작성 사용자협의이론및실습 구축기간 1 회 ( 또는요청시 ) 고객사지정장소 관리 최신보안트렌드소개 발견된취약점에대한상세가이드확인및조치방법 신규취약점에대한대응방법 ( 업데이트방법 ) 사용자협의이론및실습 구축기간 1 회 ( 또는요청시 ) 고객사지정장소 37
[ 별첨 ]1 레퍼런스 라온시큐리티 쇼핑통신금융전자자동차정부 Page 38 38
[ 별첨 ]2 사고사례 北, 정부인사수십명스마트폰해킹 문자 통화탈취 Page 39 39
[ 별첨 ]3 사고사례 이러니털리지 감사원 금융권모바일앱해킹에취약 5 곳중 1 개꼴금융보안검사전무 Page 40 40
[ 별첨 ]4 사고사례 정보통신망법위반스타벅스코리아등 10 개사과태료받아백상일기자 baeksi@kyeonggi.com 노출승인 2018 년 07 월 11 일 16:59 발행일 2018 년 07 월 11 일수요일 Page 41 41