스마트폰 해킹과 보안

편집자: 엔시스 sis@sis.pe.kr



안녕하세요, CrefunX 입니다.^^

다들 여름휴가는 다녀오셨는지 모르겠습니다.
계곡이든 바다듯 가까운 영화관이든 마음을 정리하고 재충전 할수 있다면 그게 바로 휴가가 아닐까요?

이번에는 많은 이슈를 낳고 있는 스마트폰 보안에 대해서 이야기를 해보겠습니다.

최근 우리나라 스마트폰 사용자 수가 300만명을 넘었다고 합니다. 그 만큼 주위에서 스마트폰 사용하는 사람들을 자주 볼수 있는데 이는 곧 해커들의 좋은 먹잇감이 되어 악의적인 행위에 의한 개인정보유출, 불법과금, 부정사용, 불법광고, 스팸 SMS 등등 역기능을 생각해 볼수 있습니다.

스마트폰의 사용환경에 대한 보안 위협은 다음과 같이 정의할 수 있습니다.

1. 개방성

스마트폰은 애플리케이션 개발시 시스템 자원의 사용을 위해 SDK를 이용하여 API를 제공하고 있으며 스마트폰의 다양한 외부 인터페이스는 사용자에게 다양한 네트워크 서비스를 지원하고 내부 API 인터페이스 제공은 개발자에게 편리한 개발환경을 제공합니다. 하지만 이부분을 보안적 측면에서 생각해보면 다양한 외부 인터페이스 제공은 악성코드 전파 경로의 다양성을 제공하고 내부 인터페이스는 악의적인 개발자에 의해 악성코드가 은닉된 모바일 애플리케이션 제작을 용이하게 하는 취약점을 같이 상존하는 것 또한 사실입니다.

2. 휴대성

일반폰은 잊어버려도 안에 있는 정보라면 전화번호와 메모가 전부이지만 스마트폰을 분실했을 경우에는 상황이 달라집니다. 즉, 스마트폰에 있는 각종 개인정보 및 업무용문서들로 인해 막대한 개인 및 기업에 피해를 줄수도 있을 것이다.  

3. 저성능

스마트폰은 일반PC에 비해서 저성능과 저전력이 특징입니다. 현재 PC 환경에서는 다양한 보안 위협에 대응하기 위해서 지속적인 모니터링을 통해 악성코드를 탐지하고 있지만 스마트폰은 전력 및 성능적 제약으로 인해 백신을 비롯한 보안 소프트웨어의 적용에 어려움이 있습니다.

악의적인 프로그램을 분류하면 아래와 같습니다.


1. 단말 장애 유발형 악성코드

- Skulls(2004년  발견) 
단말의 기능을 마비시키는 단말 장애 유발형 악성코드이며 모든 메뉴 아이콘을 해골로 변경시키고 통화 이외의
부가기능을 사용할 수 없게 만듭니다.

- Locknut(2005년 발견)
단말의 일부 키 버튼을 고장내는 악성코드입니다.

2. 배터리 소모형 악성코드

- Cabir(2004년 발생)
블루투스를 통해 전파되는 최초의 모바일 악성코드이며 단말의 침해를 유발하지 않는 대신 지속적으로 인근 단말의 블루투스를 스캐닝하고 블루투스를 통해 악성코드를 전파하는 특징이며 감염된 폰은 지속적인 스캐닝을 통해 배터리의 고갈 피해를 입게 됩니다.

3. 과금 유발형 악성코드

단말의 메시징 서비스나 전화 시도를 지속적으로 시도하여 과금을 발생시키는 공격 유형입니다.

- RedBrowser(2006년 러시아에서 제작)
사용자도 모르게 불특정 다수에게 SMS를 전송함으로써 사용자에게 금전적 피해를 입히는 악성코드입니다.

- Kiazha(2008년 발견)
감염된 폰 화면에 사용자에게 돈을 요구하는 경고 메시지와 함께 폰 내에 저장된 문자메시지를 삭제합니다.

4. 정보유출형 악성코드

- Infojack(2008년 발견)
단말의 시리얼 번호, OS, 설치된 애플리케이션 등 단말의 정보를 외부로 전송하여 2차 공격을 용이하게 만듭니다.

- Flexispy
스마트폰의 전화기록, 문자메시지 내용을 특정 웹 서버로 전송하는 기능을 가지고 있습니다.

5. 크로스 플랫폼형 악성코드

- Cardtrap.A
폰의 메모리 카드에 윈도우 Worm을 복사하여 감염된 폰 메모리 카드를 PC에 장착 했을 때 autorun를 통해 PC를
자동으로 감염시켜 데이터를 삭제하거나 성능을 저하를 만듭니다.

스마트폰 보안 기술을 아래과 같이 정리할 수 있습니다.


1. 스마트폰 단말 보안 기술

일반적으로 소프트웨어는 하드웨어에 비해 쉽게 조작될 수 있기 때문에 물리적 보안성을 제공해주는 MTM을 이용하여 외부 공격으로부터 데이터, 키, 인증서 등을 안전하게 보호하고, 스마트폰 단말 플랫폼의 무결성 검증을 통해 악성 코드 실행을 사전 에 탐지하여 차단함으로써 보다 향상된 보안 기능을 제공할 수 있습니다.

Root of trust 기능을 제공해주는 MTM은 tamper- resistant 컴포넌트로써 데이터를 안전하게 저장하는 RTS, 시스템 상태를 신뢰할 수 있는 방법으로 증명하는 RTR 역할을 담당하며, 시스템의 상태 를 PCR에 기록하는 RTM 역할은CRTM이 담당합니다. CRTM은 power-on 시에 가장 먼저 실행되고 항상 신뢰할 수 있는 컴포넌트로 PC의 경우 BIOS
에 포함될 수 있으며 임의로 수정할 수 없는 특징을 갖습니다.

MTM의 무결성 측정 및 검증 기능, protected storage를 통해 스마트폰 단말 보안 기능을 강화하고, remote attestation을 통해 MTM이 장착된 플랫폼들간의 플랫폼 보증을 통해 보다 안전하고 신뢰할 수 있는 무선 네트워크
환경을 구축할 수 있을 것입니다.

# MTM(Mobile Trusted Module): TCG 그룹에서 표준화가 진행중인 모바일 플랫폼용 신뢰보안모듈

2. 스마트폰 보안 관리 기술

원격 보안 관리 기술은 단말 관리 프로토콜을 사용하여 모바일 단말의 보안기능을 원격에서 제어하고 관리하는 기술입니다. 이를 위해 모바일 서비스 표준화 단체인 OMA에서 정의한 DM 프로토콜을 사용할 수 있습니다.

3. 앱스토어 보안 기술

앱스토어에 애플리케이션을 등록하고 배포시에 애플리케이션의 안전성을 확보하기 위해서는 모바일 애플리케이션의 유통 인증 기술과 앱스토어에 등록된 애플리케이션에 대한 보안 검증 기술의 적용이 요구됩니다.
모바일 애플리케이션의 유통 인증 기술은 애플리케이션이 앱스토어에 등록되어 구매자에게 전달되기까지 유통자 증명을 제공하는 기술로써 이를 위해 코드 사이닝(code signing) 기술을 적용하고 있습니다.

모바일 애플리케이션 보안 검증 기술은 애플리케이션이 등록이 되기전에 검증센터에서는 애플리케이션에 대해서 역공학(reverse engineering) 기법 및 가상 시험을 통해 보안성 검사를 진행하여 애플리케이션의 이상 유무를 확인하는 절차를 수행합니다.

# 코드 사이닝(Code Signing): 실행 가능한 코드의 변조방지 및 서명자 인증을 위한 전자 서명 기술

4. 스마트폰 전자결제 기술

방송통신위원회 등에서 전자금융 거래 시 공인인증서 이외에도 ‘공인인증서와 동등한 수준의 안전성’이 인정되는 보안방법을 도입할 수 있도록 하였습니다. 이에 따르면 30만 원 이상의 전자 거래에서는 공인인증서나 또는 공인인증서에 준하는 안전성을 평가 받은 기술이 사용될 수 있으며 30만 원 미만의 소액 결제에 대해서는 공인인증서를 사용하지 않아도 됩니다. 따라서 스마트폰을 이용한 전자거래시 기존 공인인증서뿐만 아니라 다양한 보 안 기술이 전자결제시 활용될 것으로 보입니다.

향후 개발될 스마트폰 전자결제 기술은 사용자의 개인 행동 패턴에 기반하여 최적의 결제 수단을 자동으로 선택해주는 기능을 제공할 필요가 있으며, 전자결제 기술로 공인인증서뿐만 아니라 이에 준하는 다양한 보안 기술을 통합적으로 제공하여 전자결제 애플리케이션의 특성에 맞는 보안 기술이 자동으로 제공될 수 있도록 해야 합니다.


스마트폰 확산에 따른 무선 인터넷, 앱스토어를 이용한 애플리케이션 활용 및 모바일 전자결제 서비스 등 급격한 환경변화에 맞춰 보안위협 및 장애요인에 대응하기 위해서는 정부와 산학연간의 종합적이고 체계적인 대응 방안이 요구됩니다.
 
안전한 스마트폰 서비스 환경을 보장하고 향후 발생 가능한 보안 위협에 대해 선제적 방어 체계를 구축하기 위해서는 단말 내부 보안기술과 더불어 원격 보안 관리, 안전한 결제 서비스 지원 및 앱스토어를 통해 배포되는 모바일 애플리케이션에 대한 검증 기술이 요구됩니다. 

국내외적으로 기술 초기 단계에 있는 스마트폰 서비스 보안 인프라 기술은 스마트폰 서비스 산업 활성화를 도모할 수 있을 것으로 예상됩니다.

향후 스마트폰의 다양한 위협요소들의 등장과 더불어 위협에 대응하는 다양한 보안기술들이 발전할 것으로 생각이
되며 하나의 보안기술이 아닌 여러가지 보안기술들이 서로의 장점들을 잘 융합하여 발전할 것이라 생각이 됩니다.


[출처 및 참고자료]

1. 스마트폰 악성코드 확산 주의 - 연합뉴스
    http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=001&aid=0003328002

2. 모바일 보안 시장 동향 & 준비 현황 
    http://www.sculpture.co.kr/daesung/cgi/read.cgi?board=seokboard&y_number=3

3. 스마트폰 보안 위협 및 대응 기술 - 한국전자통신연구원 (전자통신동향분석 제25권 제3호 2010년 6월)