이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:



편집자: 엔시스 sis@sis.pe.kr



안녕하세요, CrefunX 입니다.^^

다들 여름휴가는 다녀오셨는지 모르겠습니다.
계곡이든 바다듯 가까운 영화관이든 마음을 정리하고 재충전 할수 있다면 그게 바로 휴가가 아닐까요?

이번에는 많은 이슈를 낳고 있는 스마트폰 보안에 대해서 이야기를 해보겠습니다.


최근 우리나라 스마트폰 사용자 수가 300만명을 넘었다고 합니다. 그 만큼 주위에서 스마트폰 사용하는 사람들을 자주 볼수 있는데 이는 곧 해커들의 좋은 먹잇감이 되어 악의적인 행위에 의한 개인정보유출, 불법과금, 부정사용, 불법광고, 스팸 SMS 등등 역기능을 생각해 볼수 있습니다.

스마트폰의 사용환경에 대한 보안 위협은 다음과 같이 정의할 수 있습니다.

1. 개방성

스마트폰은 애플리케이션 개발시 시스템 자원의 사용을 위해 SDK를 이용하여 API를 제공하고 있으며 스마트폰의 다양한 외부 인터페이스는 사용자에게 다양한 네트워크 서비스를 지원하고 내부 API 인터페이스 제공은 개발자에게 편리한 개발환경을 제공합니다. 하지만 이부분을 보안적 측면에서 생각해보면 다양한 외부 인터페이스 제공은 악성코드 전파 경로의 다양성을 제공하고 내부 인터페이스는 악의적인 개발자에 의해 악성코드가 은닉된 모바일 애플리케이션 제작을 용이하게 하는 취약점을 같이 상존하는 것 또한 사실입니다.

2. 휴대성

일반폰은 잊어버려도 안에 있는 정보라면 전화번호와 메모가 전부이지만 스마트폰을 분실했을 경우에는 상황이 달라집니다. 즉, 스마트폰에 있는 각종 개인정보 및 업무용문서들로 인해 막대한 개인 및 기업에 피해를 줄수도 있을 것이다.  

3. 저성능

스마트폰은 일반PC에 비해서 저성능과 저전력이 특징입니다. 현재 PC 환경에서는 다양한 보안 위협에 대응하기 위해서 지속적인 모니터링을 통해 악성코드를 탐지하고 있지만 스마트폰은 전력 및 성능적 제약으로 인해 백신을 비롯한 보안 소프트웨어의 적용에 어려움이 있습니다.

악의적인 프로그램을 분류하면 아래와 같습니다.


1. 단말 장애 유발형 악성코드

- Skulls(2004년  발견) 
단말의 기능을 마비시키는 단말 장애 유발형 악성코드이며 모든 메뉴 아이콘을 해골로 변경시키고 통화 이외의
부가기능을 사용할 수 없게 만듭니다.

- Locknut(2005년 발견)
단말의 일부 키 버튼을 고장내는 악성코드입니다.

2. 배터리 소모형 악성코드

- Cabir(2004년 발생)
블루투스를 통해 전파되는 최초의 모바일 악성코드이며 단말의 침해를 유발하지 않는 대신 지속적으로 인근 단말의 블루투스를 스캐닝하고 블루투스를 통해 악성코드를 전파하는 특징이며 감염된 폰은 지속적인 스캐닝을 통해 배터리의 고갈 피해를 입게 됩니다.

3. 과금 유발형 악성코드

단말의 메시징 서비스나 전화 시도를 지속적으로 시도하여 과금을 발생시키는 공격 유형입니다.

- RedBrowser(2006년 러시아에서 제작)
사용자도 모르게 불특정 다수에게 SMS를 전송함으로써 사용자에게 금전적 피해를 입히는 악성코드입니다.

- Kiazha(2008년 발견)
감염된 폰 화면에 사용자에게 돈을 요구하는 경고 메시지와 함께 폰 내에 저장된 문자메시지를 삭제합니다.

4. 정보유출형 악성코드

- Infojack(2008년 발견)
단말의 시리얼 번호, OS, 설치된 애플리케이션 등 단말의 정보를 외부로 전송하여 2차 공격을 용이하게 만듭니다.

- Flexispy
스마트폰의 전화기록, 문자메시지 내용을 특정 웹 서버로 전송하는 기능을 가지고 있습니다.

5. 크로스 플랫폼형 악성코드

- Cardtrap.A
폰의 메모리 카드에 윈도우 Worm을 복사하여 감염된 폰 메모리 카드를 PC에 장착 했을 때 autorun를 통해 PC를
자동으로 감염시켜 데이터를 삭제하거나 성능을 저하를 만듭니다.




스마트폰 보안 기술을 아래과 같이 정리할 수 있습니다.


1. 스마트폰 단말 보안 기술

일반적으로 소프트웨어는 하드웨어에 비해 쉽게 조작될 수 있기 때문에 물리적 보안성을 제공해주는 MTM을 이용하여 외부 공격으로부터 데이터, 키, 인증서 등을 안전하게 보호하고, 스마트폰 단말 플랫폼의 무결성 검증을 통해 악성 코드 실행을 사전 에 탐지하여 차단함으로써 보다 향상된 보안 기능을 제공할 수 있습니다.

Root of trust 기능을 제공해주는 MTM은 tamper- resistant 컴포넌트로써 데이터를 안전하게 저장하는 RTS, 시스템 상태를 신뢰할 수 있는 방법으로 증명하는 RTR 역할을 담당하며, 시스템의 상태 를 PCR에 기록하는 RTM 역할은CRTM이 담당합니다. CRTM은 power-on 시에 가장 먼저 실행되고 항상 신뢰할 수 있는 컴포넌트로 PC의 경우 BIOS
에 포함될 수 있으며 임의로 수정할 수 없는 특징을 갖습니다.

MTM의 무결성 측정 및 검증 기능, protected storage를 통해 스마트폰 단말 보안 기능을 강화하고, remote attestation을 통해 MTM이 장착된 플랫폼들간의 플랫폼 보증을 통해 보다 안전하고 신뢰할 수 있는 무선 네트워크
환경을 구축할 수 있을 것입니다.

# MTM(Mobile Trusted Module): TCG 그룹에서 표준화가 진행중인 모바일 플랫폼용 신뢰보안모듈

2. 스마트폰 보안 관리 기술

원격 보안 관리 기술은 단말 관리 프로토콜을 사용하여 모바일 단말의 보안기능을 원격에서 제어하고 관리하는 기술입니다. 이를 위해 모바일 서비스 표준화 단체인 OMA에서 정의한 DM 프로토콜을 사용할 수 있습니다.

3. 앱스토어 보안 기술

앱스토어에 애플리케이션을 등록하고 배포시에 애플리케이션의 안전성을 확보하기 위해서는 모바일 애플리케이션의 유통 인증 기술과 앱스토어에 등록된 애플리케이션에 대한 보안 검증 기술의 적용이 요구됩니다.
모바일 애플리케이션의 유통 인증 기술은 애플리케이션이 앱스토어에 등록되어 구매자에게 전달되기까지 유통자 증명을 제공하는 기술로써 이를 위해 코드 사이닝(code signing) 기술을 적용하고 있습니다.

모바일 애플리케이션 보안 검증 기술은 애플리케이션이 등록이 되기전에 검증센터에서는 애플리케이션에 대해서 역공학(reverse engineering) 기법 및 가상 시험을 통해 보안성 검사를 진행하여 애플리케이션의 이상 유무를 확인하는 절차를 수행합니다.

# 코드 사이닝(Code Signing): 실행 가능한 코드의 변조방지 및 서명자 인증을 위한 전자 서명 기술

4. 스마트폰 전자결제 기술

방송통신위원회 등에서 전자금융 거래 시 공인인증서 이외에도 ‘공인인증서와 동등한 수준의 안전성’이 인정되는 보안방법을 도입할 수 있도록 하였습니다. 이에 따르면 30만 원 이상의 전자 거래에서는 공인인증서나 또는 공인인증서에 준하는 안전성을 평가 받은 기술이 사용될 수 있으며 30만 원 미만의 소액 결제에 대해서는 공인인증서를 사용하지 않아도 됩니다. 따라서 스마트폰을 이용한 전자거래시 기존 공인인증서뿐만 아니라 다양한 보 안 기술이 전자결제시 활용될 것으로 보입니다.

향후 개발될 스마트폰 전자결제 기술은 사용자의 개인 행동 패턴에 기반하여 최적의 결제 수단을 자동으로 선택해주는 기능을 제공할 필요가 있으며, 전자결제 기술로 공인인증서뿐만 아니라 이에 준하는 다양한 보안 기술을 통합적으로 제공하여 전자결제 애플리케이션의 특성에 맞는 보안 기술이 자동으로 제공될 수 있도록 해야 합니다.


스마트폰 확산에 따른 무선 인터넷, 앱스토어를 이용한 애플리케이션 활용 및 모바일 전자결제 서비스 등 급격한 환경변화에 맞춰 보안위협 및 장애요인에 대응하기 위해서는 정부와 산학연간의 종합적이고 체계적인 대응 방안이 요구됩니다.
 
안전한 스마트폰 서비스 환경을 보장하고 향후 발생 가능한 보안 위협에 대해 선제적 방어 체계를 구축하기 위해서는 단말 내부 보안기술과 더불어 원격 보안 관리, 안전한 결제 서비스 지원 및 앱스토어를 통해 배포되는 모바일 애플리케이션에 대한 검증 기술이 요구됩니다. 

국내외적으로 기술 초기 단계에 있는 스마트폰 서비스 보안 인프라 기술은 스마트폰 서비스 산업 활성화를 도모할 수 있을 것으로 예상됩니다.

향후 스마트폰의 다양한 위협요소들의 등장과 더불어 위협에 대응하는 다양한 보안기술들이 발전할 것으로 생각이
되며 하나의 보안기술이 아닌 여러가지 보안기술들이 서로의 장점들을 잘 융합하여 발전할 것이라 생각이 됩니다.


[출처 및 참고자료]

1. 스마트폰 악성코드 확산 주의 - 연합뉴스
   
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=001&aid=0003328002

2. 모바일 보안 시장 동향 & 준비 현황 
    
http://www.sculpture.co.kr/daesung/cgi/read.cgi?board=seokboard&y_number=3

3. 스마트폰 보안 위협 및 대응 기술 - 한국전자통신연구원 (전자통신동향분석 제25권 제3호 2010년 6월)



****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by CreFunX

댓글을 달아 주세요

  1. Favicon of https://boanin.tistory.com BlogIcon 보안인닷컴 2010.08.10 08:00 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 내용이고 시기적절한 내용입니다. 조금 더 디테일 하거나 구체적인 내용으로 적어 보면 더욱 좋을 듯 합니다.
    수고 하셨습니다.

    • Favicon of https://boanin.tistory.com BlogIcon CreFunX 2010.08.13 12:10 신고  댓글주소  수정/삭제

      네, 좀 더 자세하게 적으면 더 좋았을뻔 했네요^^;;;
      다음 포스팅 때는 더 상세하게 적도록 해야 겠습니다.
      감사합니다.~

  2. Favicon of https://honeyperl.tistory.com BlogIcon 동글동글 라이프 2010.08.10 08:41 신고  댓글주소  수정/삭제  댓글쓰기

    글을 읽던중 가장 중요해 보이는 부분이 "스마트폰 전자결제 기술" 같습니다.
    이 부분이 보안적으로 취약할 경우 엄청난 후폭풍이 .... 두려워지네요

    • Favicon of https://boanin.tistory.com BlogIcon CreFunX 2010.08.13 12:12 신고  댓글주소  수정/삭제

      네, 저도 말씀하신 것처럼 스마트폰 전자결제 기술의 취약점이 있을 경우에는 그 여파가 엄청날것 같다는 생각이 드네요.^^ 보안이라는게 상호보완적이다 보니 취약점은 나올수 밖에 없고 다만 견고하게 최대한 코딩 및 철저한 테스트를 통해서 배포하고 만약 문제시에 빠른 패치가 중요할것 같습니다.~

  3. Favicon of http://blog.naver.com/lovefev BlogIcon 김동현 2010.08.10 12:49  댓글주소  수정/삭제  댓글쓰기

    요즘 스마트폰 성능이 좋아지고 있는 실정에 그만한 보안프로그램이 기본적으로
    설치가 안되어 나오는듯 합니다.
    아이폰은 모르겠으나 옴니아의 경우 WM6.5로 업그레이드를 하면서 V3엔진이
    기본적으로 깔리기 하지만 이 백신에 대한 신뢰도는 많이 떨어지고 있습니다.

    스마트폰이란 저성능에 여러가지 백신 및 보안프로그램을 설치하여 실시간감시는
    많은 퍼포먼스를 차지하겠지만 필요악 이란 말이 있듯이..필수적으로 추가되어야 할 요소인듯 합니다.

    • Favicon of https://boanin.tistory.com BlogIcon CreFunX 2010.08.13 12:14 신고  댓글주소  수정/삭제

      네, 김동현님 말씀에 저도 동의합니다.
      특히, 안드로이드는 멀티태스킹이 되는 점이 악성코드가 활개칠수 있도록 환경을 만들어주는 밑바탕이라 스마트폰도 점점 PC처럼 프로세스가 마구마구 띄워져 있을지도 모르겠네요 ^^;;;

  4. Favicon of http://hoiten.tistory.com BlogIcon 이엔 2010.08.10 16:35  댓글주소  수정/삭제  댓글쓰기

    순간 제 핸드폰을 분실하면 어쩔까를 생각해 보니 .. 끔찍하네요..
    스마트폰이 유용하지만 그만큼 악용될수 있는 기회가 많은 것 같습니다.

  5. 미운곰돌이 2010.10.05 04:38  댓글주소  수정/삭제  댓글쓰기

    스마트폰 보안에 관심을 두고 있어서 찾아 보던중 보게 되어서 많은 도움을 받았습니다.
    이 글에 제가 생각한 점도 없지않아 있더라구여... 근데 마지막에 해결방법 같은것도 있었더라면 쫌 더 좋지 않았을까? 하는 생각이 들었어여 스마트폰 보안의 단점만 적는 것보다 이래서 이런 해결 방법이 있다 혹은 있었으면 좋겠다 등... 제시가 있었으면 좋겠습니다. 그렇게 써 있었다면 관심을 가지고 있는 사람들에게 조금 더 좋은 정보가 되지 않았을까 하는 생각이 듭니다.

    • Favicon of https://boanin.tistory.com BlogIcon CreFunX 2010.10.24 17:07 신고  댓글주소  수정/삭제

      댓글을 이제서야 보았네여^^;;;
      말씀하신대로 해결방법에 대한 부분이 있으면
      더 좋았을꺼라는 말에 동감을 합니다^^
      다음번에 글을 쓸때 더 명확하게 쓰도록 하겠습니다.
      좋은 시간 되세여~
      감사합니다.

  6. 하얀마음 2011.02.23 23:24  댓글주소  수정/삭제  댓글쓰기

    앞으로 휴대용단말 장치들의 보안에 대한 위험과 중요도가 점점 커질수밖에 없겠네요.

    잘 읽었습니다!

  7. Favicon of http://www.moncleroutletespain.com/ BlogIcon moncler outlet 2013.01.04 15:24  댓글주소  수정/삭제  댓글쓰기

    I suppose I must be stuck in the dark ages, http://www.moncleroutletespain.com/ moncler online, because I had never heard of digital luggage scales until recently. We haven't been abroad for our holidays for a few years, and last time we went by plane I remember we had major concerns about the weight of our hand luggage, http://www.moncleroutletespain.com/ moncler. A few pounds here and there soon adds up, and can make a huge difference to the total weight of suitcases and hand luggage.Back then, I can't believe I actually used bathroom scales to weigh my luggage. And that was only to give me an approximate idea of the weight. I never expected, or asked for them to give me an accurate measure of the weight. Well, a few years on and things have changed in the digital world, http://www.moncleroutletespain.com/ moncler españa. With the digital luggage scales my friend showed me, http://www.moncleroutletespain.com/ moncler chaquetas, you just wrap a strap around the suitcase, http://www.moncleroutletespain.com/ http://www.moncleroutletespain.com/, lift the scales, http://www.moncleroutletespain.com/ moncler outlet, and your finished. Its as easy as that.Related articles:


    http://atpfactory.tistory.com/25 http://atpfactory.tistory.com/25

    http://zeonsoda.tistory.com/135 http://zeonsoda.tistory.com/135