1 / 23

스마트폰 + 안드로이드폰 보안에 관한 전반적 이고 체계적 이지 못한 조사

성균관 대학교 정보보안동아리 H.I.T. 스마트폰 + 안드로이드폰 보안에 관한 전반적 이고 체계적 이지 못한 조사. Smart-Phone 애플리케이션의 추가 / 삭제가 용이한 범용 OS 를 탑재한 단말 변화되는 시장요구에 대응하여 PC 환경과 동일한 서비스 활용 가능. Smart-Phone?!. 오픈 플랫폼 , 다양한 모바일 OS : 해킹 환경도 접근용이

mliss
Download Presentation

스마트폰 + 안드로이드폰 보안에 관한 전반적 이고 체계적 이지 못한 조사

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 성균관 대학교 정보보안동아리 H.I.T. 스마트폰+안드로이드폰 보안에 관한 전반적이고 체계적이지 못한 조사

  2. Smart-Phone • 애플리케이션의 추가/삭제가 용이한 범용OS를 탑재한 단말 • 변화되는 시장요구에 대응하여 PC환경과 동일한 서비스 활용 가능 Smart-Phone?!

  3. 오픈 플랫폼, 다양한 모바일OS : 해킹 환경도 접근용이 • 부팅 장애를 일으키는 트로이잔 및 금전목적 공격, 다양한 I/F(미친 그냥 인터페이스라고 쓰지 어렵게 이따구로…) 및 스파이웨어 등 공격 툴킷 확산 • 스마트폰과 같은 휴대용 단말이 분실시정보유출피해 심각 • 고급 보안 소프트웨어 탑재 스마트폰5년간 5배 증가 전망 • 모바일뱅킹, P2P 결제 등은 휴대폰 단말의 지문인식 기능을 통한 인증을 요구할 것으로 예상 • 원격 모바일 보안 솔루션 대안 등 A-1. 스마트폰의 병폐(?)

  4. 악성코드감염 • 기기의 오동작, 파괴, 정보유출, 과금, 도청, 스팸, 피싱 공격, 불법위치추적, 금융서비스 위협 및 서비스 거부 공격 등 • 기기의 오동작 및 파괴 등으로 사용불능 • 분실, 도난 및 악성코드 감염에 의한 개인/기업의 정보유출로 프라이버시 침해, 기업정보 유출, 금전적 피해 등 • 불법과금, 도청, 스팸 및 피싱공격 등 • 불법위치 추적으로 불법광고 및 신변 위협 노출 등 • 금융 서비스 위협 및 서비스 거부 공격의 좀비로 악용가능 A-2. 스마트폰에 의한 피해(?)

  5. 악성코드 감염 요인 • 개방형 모바일 플랫폼 자체의 취약점 등(SDK 취약점 포함) • 개방형 OS 취약점 노출 용이함 등 • 다양한 인터페이스 접속 등(접속 프로토콜 취약점 포함) • WCDMA, HSDPA, Wi-Fi, Bluetooth, PC Sync 등 • 오픈 마켓을 통한 악의적 콘텐츠 배포 용이함 등 • 모바일뱅킹, 모바일 오피스, 모바일 전자정부 등 환경 및 사용자 요구변화 등 • 저장데이터 및 제공 서비스의 중요도 증가 등 A-3. 스마트폰 피해 요인?

  6. 스마트폰스파이웨어 • 훔쳐보기를 통한 개인정보 수집, 공개, 악용 금전적 이득 목적의 악성코드 • 결국 오픈 API를 지향하는 안드로이드가폐쇠적인아이폰에 비해 보안에 취약하다는 여론!! • OPEN된 소스이기에 취약점이 좀 더 빨리 노출될 수 있다는 주장, 그렇지만, OPEN 소스이기에 보안 대책 역시 빠르게 업데이트 될 수 있다는 것 • 반대로 아이폰은OS가 폐쇄적인 만큼 보안 취약점 노출 시점이 늦어질 수 있지만 취약점이 노출된 후에는 안드로이드보다 빠른 대응이 힘들 것이라는 주장 • 아이폰은 보안이 완벽하지는 않아도 폐쇄성이 백신을 대신할 수 있으나, 안드로이드는 출시부터 백신을 탑재하는 것이 필요하다. A-3

  7. 국내 첫 스마트폰 악성코드 ‘트레드다이얼’ 등장 • 윈도모바일OS(운영체제) 기반의 스마트폰 대상 • Win Mobile 6.X, 5.X 대상 • 국제전화 무단 발신 악성코드 • 악성코드가 숨겨진 ‘3D 안티 테러리스트 액션(3D Anti-Terrorist Action)’이라는스마트폰(윈도우모바일) 게임 유포 • 증세 • 해외premium-rate number에 국제전화를 시도하여 과금을 부과 • 휴대폰 통화목록에 해당 번호가 있거나, 이유 없이 자동으로 국제전화를 발신할 경우 감염을 의심 • 대응 • 국내 민.관합동스마트폰 대응반의 가동에 의하여 조기 탐지 및 백신 배포로 일단락, 실제 과금피해는 없었음 A-3

  8. PC와 동일한 위협에 모바일 기기로 인한 위협 추가 • PC 위협 + 모바일 특성에 의한 위협(분실, 도난등) • 다양한 인터페이스 및 서비스로 인한 위협 • 블루투스 취약점, GPS 및 모바일뱅킹 등 서비스 확대로 인한 위협 • 24시간 상시 위협에 노출 • 기기의 특성 상 24시간 운영/위협 노출시각 증대 B-1. 스마트폰 위협의 특징

  9. 모바일 에코시스템 구축에 의한 보안 위협 범위 확대 • 개발자-소비자가 동일 생태계 내에 존재 • 애플리케이션과 콘텐츠 중시 • 이용자 요구변화 및 차세대 모바일 비즈니스 모델(모바일 전자정부 서비스 및 모바일 오피스 등) 출현 등으로 위협 확산 B-1

  10. 오픈 API 지향 개방형 플랫폼 • 애플리케이션에 대한 보안성 및 정당성 검증 절차가 없음 • 멀티 태스킹이 가능한 환경 • 종료를 해도 바로 종료가 되지 않고 백그라운드에 남아 있다가, 백드라운드에 어플리케이션 허용치를 초과하면 하나씩 순차적으로 종료되는 방식 B-2. 안드로이드폰

  11. 어플리케이션 권한설정 • 개발 시 주소록, SMS, 위치정보 같은 정보는 다루어야 함 • 해당 어플리케이션에 권한을 주는 방법으로 접근 가능 • 안드로이드의AndroidManifest.xml에 권한을 부여 • 권한 부여가 없다면 관련 작동을 사용할 수 없게 설계되어 있음 • 어플리케이션 설치 시 취약점 • 설치 시에 보여주는 권한 정보 : 일반 사용자가 설치 시 권한 설정 어려움 • 휴대폰의 관리 프로그램에서의 설치가 아닌 adb와 같은 프로그램을 이용한 설치에서는 권한 정보를 볼 수 없음 • 같은 인스톨 이름으로 재 설치했을 시에 관련 데이터를 볼 수 있음 B-3. 안드로이드스마트폰 어플리케이션 위험

  12. Android focuses on Inter Component Communication (ICC) • The Android manifest file allows developers to define an access control policy for access to components • Each component can be assigned an access permission label • Each application requests a list of permission labels (fixed at install) • Android’s security model boils down to the following: • However, there are a number of exceptions ... (참고)Defining Security Policy

  13. 공격 가능한 악성코드 • 휴대폰 내의 다음과 같은 개인정보를 탈취하거나 조작 가능 : 주소록 정보, SMS/MMS 데이터, 전화기록, 위치 정보, 휴대폰 정보등 • 피싱(Phising)을 이용한 비밀번호 탈취 • 백그라운드에서 작성되는 키 로그 저장 및 전송 B-3 • 결국 악성 프로그램 판단과 설치 후 책임은 사용자 몫

  14. 미국의 정보보안 전문기업인 Smobile에서 6월 22일에 발표한 자료에 따르면 안드로이드 마켓의 48,000여개 어플리케이션 중 최소 20%가 사용자의 개인적이거나 민감한 정보에 접근할 수 있는 것으로 나타났다. • 사용자의 승인 없이 전화를 송신하거나 메시지를 보낼 수 있는 어플리케이션 존재 • 스파이웨어 • 단말기를 못 쓰게 만들 수 있는 어플리케이션도 존재 • 다른 서비스나 어플리케이션의 인증 정보를 사용할 수도 있음 • 사용자들은 자신이 다운로드받은 어플리케이션이 자신의 단말기에서 어떻게 작동하는지를 알아야 한다… 말이 되 이게?? B-3.

  15. 피싱: 09droid • 09Droid라는 아이디의 사용자가 여러 개의 은행 피싱 사이트를 만들어서 배포 • 대응 방법은 마켓에서 어플리케이션 다운로드 시 사용자의 배포 ID를 확인하는 방법 – 뭐야 이거 ID도용하면? • 백그라운드 • 키로깅 악성 코드가 백그라운드에서 돌아가고 있는 경우 사용자가 입력하는 모든 키 값이 저장 및 전송 가능 • DDoS공격에 노출 가능 • 안드로이드2.0 이상 버전부터는 서비스를 볼 수 있게 되어있음(?) B-4. 안드로이드 보안 위협 및 대응방안

  16. 의도되지 않은 프로그램을 삭제하는 악성 어플리케이션의 위험 • 루팅(Rooting) • 아이폰은Jail Break, 안드로이드루팅, 일명 탈옥!! • 안드로이드는root권한을 인정하지 않지만 관련 프로그램을 통해 root권한 획득 가능 • 만약 루팅이 되어 있는 휴대폰의 경우 어플리케이션이 su명령어를 통하여 루트로 실행 가능 • 악성코드의 전파경로 • 안드로이드 운영체제는 사용자가 직접 USB를 통하여 모든 프로그램을 설치 가능 • 안드로이드 마켓에서는 특별한 악성 어플리케이션 점검 절차가 없음 • 젂파경로: 앆드로이드 마켓, SMS/MMS, 웹브라우져 다운로드, 파일 전송 관련 프로그램 및 USB를 통한 설치 B-4

  17. 백신 외 10대 안전수칙(이런거 지키는 사람도 있음??) 사용자 하기 나름… C-1. 대응방안

  18. 알려진 악성 코드를 분석해 데이터베이스(DB)화한 후 이를 비교해 악성코드 여부를 판단하는 방법 • 새롭게 등장한 악성코드나 변종에 대한 탐지가 불가능 • 스마트폰에서 벌어지고 있는 행위를 분석한 탐지 방식 • 인터넷을 통해 개인정보가 유출되거나, 연락처를 모두 검색한 뒤 SMS를 전송하는 등의 행위가 벌어질 경우 이를 악성코드로 탐지할 수 있다. • 잘못된 탐지의 가능성이 있음 • 스마트폰 자원을 과다하게 소모하여 시스템 떡실신… • 웹 표준을 지원하는 기본 통합 브라우저를 통한 뱅킹을 이용하는 방안도 모색 중… C-1

  19. 개인정보 유출 공격+ DDoS공격 시험 + SMS 과금공격

  20. (참고)스마트폰 위협 대응방안(안)

More Related