스마트폰보안위협대응전략워크샵 Smart-phone Security 대응전략 발표자 : 이기혁
목차 I. 스마트폰이가져온변화 II. 스마트폰보안위협 III. 모바일보안서비스 IV. 모바일보안생태계 V. 결론
1. 스마트폰이가져온변화 통신기술및서비스 Ⅰ. 서비스개요 스마트폰의등장은피처폰기술환경의변화와서비스제공환경의변화를가져옴 단말기술환경 복합단말등장 멀티접속환경제공 오픈플랫폼제공 ü PC 와대등한수준의기능과성능을갖는모바일복합단말등장 ü 3G, Wi-Fi, Bluetooth, ActiveSync 등다양한인터페이스지원으로외부기기와인터넷의접속편리성제공 ü WIPI 의무화해제및오픈플랫폼적용확대 서비스제공환경 오픈마켓 모바일망개방 컨버전스서비스 ü 다양한모바일어플리케이션을자유롭게공유할수있는온라인공간제공 ü 타기간통신사업자와 CP/ISP/ 포탈에게개방가속화로양질의다양한컨텐츠공급가능 ü 단말기및네트워크발전으로복합상품의등장 (FMC #1, FMS #2 ) FMC #1 (Fixed Mobile Convergence) : 유무선통합서비스로휴대전화단말에서 3G 이동통신과 Wi-Fi 인터넷통신이가능한서비스 FMS #2 (Fixed Mobile Substitution): 통화할인지역으로미리설정된지역에서통화요금을할인받는서비스 2
1. 스마트폰이가져온변화 서비스제공관계 Ⅰ. 서비스개요 스마트폰의등장은피처폰서비스변화를주도하였을뿐아니라기존모바일서비스의폐쇄적환경을 개방형으로변화시켜수평적관계의모바일생태계를만드는핵심원동력이되었음 Contents Mobile network operators Device manufactures Software Consumers Products & services Network & infrastructure Platform Internet service Applications developers [ 수평관계의모바일생태계 ] 모바일생태계 (Mobile ecosystem): 기업과기업간혹은기업과개인간서로자유롭고지속적인발전으로상생하는수평관계의커뮤니티 3
1. 스마트폰이가져온변화 비즈니스관점 : 오픈마켓 애플의 App-Store 성공이후지속적인 Open-market 활성화로정보공유와여러사업주체들간의자발적인 참여를유도하는수평적관계의모바일생태계가형성됨 고객유치 스마트폰판매증가 앱스토어다운로드증가 어플리케이션증가 어플리케이션개발자증가 앱스토어활성화 고객 [ 참여와공유를자연스럽게유도하는관계형성으로고객이원하는서비스제공 ] 스마트폰의확산은 App-Store 라는새로운 Open-market 비즈니스모델과맞물려시너지효과발생 다양한모바일컨텐츠와응용프로그램이자유롭게거래되는온라인장터형성 개발과수익창출영역을외부업체와수평적으로개방한전형적인웹 2.0 페러다임 ( 참여와공유 ) 구글, MS, 노키아, 심비안등의외국업체와국내업체도자체 App-Store 서비스제공및활성화에노력하고있음 4
1. 스마트폰이가져온변화 비즈니스관점 : 오픈마켓 애플의 Open-market 이후단일플랫폼위주의 Open-market 시장이활발히출현하였고, 최근에는이통사와 제조사등이연합한형태의모바일생태계로발전하고있음 해외 애플앱스토어 구글안드로이드마켓 노키아오비스토어 2008년 7월 App Store 런칭 2009년다운로드 10억회돌파오픈마켓의성공적인모델 2008년 10월 Android Market 런칭개발자중심의개방형컨텐츠유통시스템제공 Google 어플리케이션서비스지원 2009년 OVI Market 런칭전세계휴대폰판매 1위심비안 OS 오픈소스화 WAC (Wholesale Application Community) MS 윈도우마켓플레이스 유무선윈도우플랫폼확대 유무선연동개발용이 국내 삼성모바일어플리케이션 LG 모바일개발자네트워크 SKT T-Store 2009년 2월런칭윈도우모바일, 심비안, 자바어플리케이션제공개발자사이트오픈 2009년런칭, SK 표준플랫폼적용다양한 OS 수용 세계휴대전화사업자와제조사등 24 개사가참여하여어플리케이션을단일플랫폼에제공하기위한국제공동커뮤니티 KT 어플리케이션오픈마켓준비중 5
1. 스마트폰이가져온변화 비즈니스관점 : 모바일오피스 Ⅰ. 서비스개요 업무의편리성과효율을높이기위해기존 PC 기반의업무를스마트폰으로확대하는시도가활발히발생하고 있음 ( 스마트폰이개인에서기업업무문화로활성화 ) 모바일오피스구성 서비스특징 Legacy System Messenger MS Exchange 본사 G/W IP-PBX Mobile Gateway 유선망 무선망 외부 외부고객 3G 접속 ü ü 업무범위의확대 PC 기반의업무에서스마트폰으로확대되어장소에제한없이업무진행가능 서비스제공영역의확장 Portal System IP Phone 유선인터넷 Wi-Fi 접속 기존 IT인프라개발에스마트폰고려필수 기존 IT인프라의활용극대화 DRM WiFi zone 지사 ü 보안을고려해야할범위가확대됨 SSO SFA VPN/ 전용회선 IP Phone 회사기밀정보및중요정보를안전하게제공하기위한모바일오피스보안서비스제공필요 기존인트라넷서비스와안전한결합 WiFi zone 다양한위협에대응하기위한지속적인대응필요 6
2. 스마트폰보안위협 배경 PC 수준의성능과기능을보유한반면스마트폰은급격한판매증가로보안이충분히고려되지않아 보안위협에노출되어있으므로체계적인전략으로스마트폰위협에대응하여야함 [ 스마트폰보안시장성장변화 ] [Legacy IT 보안시장성장변화 ] 오픈마켓으로인한급격한시장팽창으로보안을충분히고려하지못했음 [ 오픈마켓 ] 보안이슈발생 시장활성화와보안기술의성숙은비례관계 서비스보안 정책및지침 보안변화관리 보안기술 보안관리및모니터링 보안을고려한시장성장하여지속적으로안정화를위한유지를노력해왔음 [ 보안프레임워크예 ] 스마트폰은해킹의주요공격대상 스마트폰보안위협대비보호대책부족 체계적인조직 / 정책 / 책임과신뢰기반의전략적인 대응방안필요 7
2. 스마트폰보안위협 - 알려지지않은위협 모바일에서는보안을체계적으로대응할수있는경험과조직체계및역할과책임이없어알려지지않은 해킹발생시모든관련주체가피해자가될수있음 개인유출 오과금 대응책은? 고객 정부 좀비단말 이통사 OS 벤더 책임은? 알려지지않은악의적공격 DDoS 공격 단말제조사 백신벤더 서비스거부오동작 피해자는? 컨텐츠개발보안전문기업 ( 기업 & 개인 ) 스마트폰에있는개인정보 ( 메시지, 이메일, 사진, 주소록, 이메일, 과금정보등 ) 유출시책임은고객에게만있는가? 이러한보안문제를대응하기위하여필요한것은무엇인가? 8
3. 스마트폰보안 Ⅰ. 서비스개요 S사는모바일보안과관련한보안관리센터설립및운영, T아카데미설립, 대응전략을위한내부워킹그룹구성, 모바일보안관련과제수행등을진행하여적극적으로대응전략을수행하고있음 A 대응 action item 모바일보안관리센터운영 대응세부항목 Win-Mobile 모바일보안취약성 Kernel level 정보 File-I/O 관리 Filter 개발 WiFi 보안모듈패치 Monitoring 적용 F/W 모듈개발 Application별 Kernel Resource 접근제어모듈 모바일 Protective 신기술 folder/disk 보안연구관리모듈개발 모바일 Vaccine-Pattern 보안사전 management 예방및사고 frame 대응 work S 사 B 모바일교육센터 (T 아카데미 ) 설립및운영 개발자대상의실질적모바일교육을무료지원 스마트폰 OS 기반애플리케이션개발을위한모바일개발자과정 모바일서비스, 게임기획및디자인 / 컨텐츠제작을위한모바일기획자과정 C 모바일보안워킹그룹구성 워킹그룹을통해적극적인문제점논의및협의안도출 D 모바일보안관련과제수행 정부과제 7.7 DDoS 대응관련과제수행 자체모바일보안관련과제수행 9 9
4. 모바일생태계와보안 수평관계유지 모바일생태계 (EcoSystem) 는가치사슬 (Value Chain) 구조에서참여와공유를강조한패러다임으로변화시켜 수직적비즈니스관계를수평적관계로전이시켰음 모바일생태계의핵심키워드는상생체계를위한수평적관계형성 Vendor Enduser 가치사슬은제공자 (Vendor) 와구매자 (Buyer, end-user) 간의단일관계로구성 사용자자발적참여자유로운정보공유 Contents Software Mobile network operators Consumers Products & services Device manufactures Network & infrastructure Platform proviiders 모바일보안생태계핵심키워드는안전한모바일서비스제공을위한수평적관계하에적극적으로역할과책임을준수하는유기적신뢰관계형성으로상생체계를강화 Internet service Applications developers S e c u r i t y based on mobile ecosystem 10
5. 결론 자연스럽게조성된모바일생태계기반에보안의중요성을함께인지하고실행할수있도록각서비스제공주체별로보안을고려하여상호협력대응할수있는협력체계구성 1 단말벤더 u 보안 SDK 개발 u 보안 SDK 제공및지속적업그레이드 모바일보안생태계환경기반의보안위협대응 2 플랫폼밴더 3 어플리케이션개발자 4 컨텐츠제공자 5 어플리케이션서비스제공자 6 보안 7 전문기업 고객 u 플랫폼지원보안 SDK 개발 u 플랫폼보안 SDK 제공 u 제공된보안 SDK 기반의개발 u 보안을고려한개발 u 제공컨텐츠보안설정제공 u 컨텐츠보안설정을위한권한관리기반의컨텐츠제공 u 어플리케이션제공과정에보안프로세스확립및준수 u 어플리케이션권한관리 u 신규기술에필요한보안대응방안제공및상품화 u 보안문제발생시신속한대응서비스시스템구축 u 보안문제를사전에방지할수있는방안을고객의환경에맞게제공 u 개인정보의프라이버시강화 u 다운받은어플리케이션의보안실행 11
Q&A 12
End of Document 13