모바일 보안 침해 사례
DESCRIPTION
본 강의는 한국정보보호시스템(주)와 고려대학교 강장묵 교수의 공동으로 삼성 SDS 등 기업체 보안 특강에 사용하는 교안으로 배포 또는 상업적 이용을 금지합니다. 또한 본 교안은 열린사이버대학교의 오픈강의에 맞추어 기존 강의 교안을 부분 수정한 것임을 밝힙니다.TRANSCRIPT
본 파워포인트 디자인은 [열린사이버대학교 저작물]입니다.
외부 강의사용은 물론 무단적인 복사 및 배포를 금합니다.
본 파워포인트 디자인은 [열린사이버대학교 저작물]입니다.
외부 강의사용은 물론 무단적인 복사 및 배포를 금합니다.
특강
모바일 보안 침해 사례모바일 보안 침해 사례
열린 사이버대학교 특강
2014. 10.
강 장 묵 교수 고려대 정보창의교육연구소
(공학박사; 정보보호전공)
학습 목표
학습목차
1. 모바일 환경을 이해한다.
2. 모바일 환경에서의 정보보호를 설명할 수 있다.
3. 모바일 보안 침해 사례를 분석한다.
1. 모바일 환경
2. 모바일 환경과 보안
3. 모바일 보안 침해 사례
1. 최신 기술 동향과 보안
1) IoT
2) CLOUD
3) Big Data
특강
모바일 최신 기술이 상용화되면, 보안 사고는 어떻게 진화할까?사물인터넷 등을 활용한 차량탈취?,
웨어러블 기술을 이용해 내의 속 개인정보?더 나아가 빅데이터를 기업들이 활용할 때, 공유되고 유통되는
네트워크 에서 보안은?
기술 환경의 변화와 보안기술 환경의 변화와 보안
스마트 폰 기술스마트 폰 기술
인용: http://blog.lginnotek.com/262
동영상을 보고, IoT 와 보안을 토의하자.동영상을 보고, IoT 와 보안을 토의하자.
스마트 폰 기술스마트 폰 기술
차량대차량(V2V)/차량대인프라(V2I); 무선통신 기술을 이용해 자동차 간의 대화를 가능케 하는 시스템인V2V(Vehicle to Vehicle, 차량 간 정보통신 교류 시스템)소프트웨어 정의 네트워크(SDN: Software Defined Network)/NFV(Network FunctionsVirtualization, 네트워크 기능 가상화);소프트웨어 프로그래밍을 통해 네트워크 경로설정과 제어 및 복잡한 운용관리를 편리하게 처리할 수 있는 차세대 네트워킹 기술, 중앙화이면서 원격화 그리고 가상화
인용: http://www.youtube.com/watch?v=yZZmXSD8SsU#t=195
사건 개요
- 2010년 4월 윈도우 모바일 계열의 스마트폰에 게임을 실행할 때 국제전화를 몰
래 걸어 과금을 시도하는 사례가 발생
- 2010년 8월에는 동영상 재생기 애플리케이션으로 설치가 되어, 무단 SMS를 발
송하는 사례
위치 정보를 지속적으로 특정 서버로 전송하는 게임 애플리케이션이 보고됨
사고 원인 및 분석
- 윈도우 모바일의 경우 백도어, 단말 사용 불능과 10여 종의 악성코드가 존재
- 전체 모바일 악성코드의 80% 이상의 트로이 목마이므로 앱을 설치할 때 다운로
드 수와 사용자의 평가 등을 살펴보고 설치하는 것이 바람직함
모바일, 기기의 취약점을 이용한 악성코드 침입모바일, 기기의 취약점을 이용한 악성코드 침입
보안사고 사례 및 분석보안사고 사례 및 분석
이런 생각?
속옷을 들여다 본다? 혈류 속도와 혈당을 훔쳐본다?
모바일, 기기의 취약점을 이용한 악성코드 침입모바일, 기기의 취약점을 이용한 악성코드 침입
보안사고 사례 및 분석보안사고 사례 및 분석
참조: http://blog.naver.com/PostView.nhn?blogId=itexpert2007&logNo=30171424073 (검색일: 2014.10.14.)
이런 생각?
지금 가정의가 선생님의 혈압 상태를 염려하고 계십니다?
모바일, 기기의 취약점을 이용한 악성코드 침입모바일, 기기의 취약점을 이용한 악성코드 침입
보안사고 사례 및 분석보안사고 사례 및 분석
참조: http://blog.naver.com/PostView.nhn?blogId=itexpert2007&logNo=30171424073 (검색일: 2014.10.14.)
모바일 악성 코드의 증가모바일 악성 코드의 증가
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
가짜 사이트로 유인해 사용자가 모바일 쇼핑을 위해 결제하는 과정을 지켜보
면서 공인인증서, ID 및 비밀번호, 통신사 정보, 문자메시지 등 금융 거래 및
결제에 필요한 모든 정보를 탈취하는 사건 증가
사고 원인 및 분석
- 윈도우 모바일의 경우 백도어, 단말 사용 불능과 10여 종의 악성코드가 존재- 전체 모바일 악성코드의 80% 이상의 트로이 목마이므로 앱을 설치할 때 다운로드 수와 사용자의 평가 등을 살펴보고 설치하는 것이 바람직함
모바일, 파밍 사이트를 통한 악성 앱 설치모바일, 파밍 사이트를 통한 악성 앱 설치
보안사고 사례 및 분석보안사고 사례 및 분석
카스퍼스키 랩 보고 자료
악성코드의 발견악성코드의 발견
보안사고 사례 및 분석보안사고 사례 및 분석
특히, 안드로이드는 APK파일로 스마트폰에 직접 설치 가능(구글 플레이가 아님), 악성코드 유포가 손쉬움
악성코드 증가 (특히, 안드로이드 플랫폼)
악성코드의 발견악성코드의 발견
보안사고 사례 및 분석보안사고 사례 및 분석
2013 한해 발견된 모바일 악성코드는 12억5,200만개로 집계됐습니다.전년대비 376% 늘어난 수치입니다.
안드로이드 플랫폼이 이중 대부분을 차지합니다.
전체 모바일 악성코드 감염 OS 중 96.5%가 안드로이드며반면 iOS, 블랙베리, 윈도는 다 합쳐봐야 1% 수준입니다.
[출처] 무선보안이슈 :: 안드로이드 모바일 악성코드 증가|작성자 더보안http://blog.naver.com/PostView.nhn?blogId=theboan&logNo=220071279693 (검색일: 2014.10.14)
모바일, 파밍 사이트를 통한 악성 앱 설치모바일, 파밍 사이트를 통한 악성 앱 설치
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 가짜 사이트로 유인해 사용자가 모바일 쇼핑을 위해 결제하는 과정을 지켜보면서
공인인증서, ID 및 비밀번호, 통신사 정보, 문자메시지 등 금융 거래 및 결제에 필요한
모든 정보를 탈취하는 사건 증가
사고 원인 및 분석
- 파밍 사이트를 통해 스마트폰 이용자들이 모르는 사이 스마트폰에 악성 앱을 설치
- 문자 메시지나 SNS(소셜네트워크서비스) 등에 포함된 URL(인터넷 주소) 실행을
자제할 것을 권고
- URL을 통해 앱을 설치했다면, 모바일 전용 보안 프로그램으로 검사하는 것이 필수
신종 금융 사기 파밍 피해 예방신종 금융 사기 파밍 피해 예방
보안사고 사례 및 분석보안사고 사례 및 분석
인용: http://www.youtube.com/watch?v=4EQVoHMNGLg
모바일, 모바일 오피스를 통한 보안위협모바일, 모바일 오피스를 통한 보안위협
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 모바일 단말기 도난 및 분실 시 잠금 장치나 중요 정보가 암호화가 되어있지 않은 경우,
모바일 자동 로그인 기능을 이용하여 주요 기업 정보를 유출 가능
- 화면 캡처 기능을 이용하여 사용자가 악의적인 목적으로 기업 정보를 캡처하여 별도의
파일로 저장하였다가 외부로 유출 가능
- 모바일 오피스를 이용하여 업무를 수행하였던 직원이 모바일 단말기에 기업의 중요
정보를 보관하고 있다가 퇴사 후에 삭제하지 않고 사용 가능
사고 원인 및 분석
- 모바일 오피스 사용 시 이용자 정보를 등록하고 인증을 받아 사용하고 회사가 권고하는
프로그램을 확인하고 설치하는 등 보안 수칙을 지켜야 함
모바일, 안드로이드 3.1 위치정보 역추적 보안 취약점모바일, 안드로이드 3.1 위치정보 역추적 보안 취약점
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 연결 되었던 WiFi의 SSID가 회사 명칭 등 위치를 특정할 수 있을 경우 그 동안의
이동 경로가 그대로 노출될 가능성
사고 원인 및 분석
- 안드로이드 3.1(허니컴) 이후 버전에서 선호하는 네트워크 오프로드 PNO (Preferred
Network Offload, 배터리 소모양 줄이고 빠르게 네트워크 접속)를 사용할 때 기존에 사
용했던 WiFi에 빠르게 연결하기 위해 연결되었던 WiFi 네트워크 이름을 전송하는 과정
에서 발생
- 현 상황에서는 WiFi 목록 정보 유출을 방지하기 위해 ‘keep Wi-Fi on during sleep’
(화면이 꺼졌을 때 WiFi 동작)옵션을 ‘사용안함’으로 설정해야 함
앱 카드 첫 해킹 사례 영상앱 카드 첫 해킹 사례 영상
보안사고 사례 및 분석보안사고 사례 및 분석
http://www.youtube.com/watch?v=UgY-sPqy6c8
모바일, 안드로이드 마켓 운영 정책 문제로 인한 보안 이슈모바일, 안드로이드 마켓 운영 정책 문제로 인한 보안 이슈
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 2010.1월, 구글의 안드로이드 마켓에서 은행 프로그램을 가장하여
이용자의 은행 비밀 번호를 훔쳐가는 불법 소프트웨어 판매 사례 발생
사고 원인 및 분석
- 다양한 모바일 플랫폼 개발과 플랫폼별 고유의 앱스토어 운영 정책
으로 인해 애플리케이션의 보안 관리가 허술한 상황
- 안드로이드 마켓의 경우, 별도의 등록 심사 과정을 거치기 않기 때
문에 이러한 불법 프로그램이 등록되더라도 이를 차단하기 어려운 상황
모바일, 앱카드 보안 이슈모바일, 앱카드 보안 이슈
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 금융당국 및 업계에 따르면 금융감독원은 이번 주 롯데
카드 앱카드에 대한 특별검사를 실시한 결과 일부 명의도용
사고로 의심되는 정황을 확인
사고 원인 및 분석
- 앱카드는 신용카드에 기재된 카드번호와 CVC값을 입
력하거나 공인인증서를 통해 본인인증 절차를 거치는데 이
과정에서 해커들이 스미싱 문자를 보내 공인인증서와 금융
정보를 빼낸 뒤 결제를 진행하는 수법으로 피해가 발생
모바일 스미싱 보안 애플리케이션모바일 스미싱 보안 애플리케이션
보안사고 사례 및 분석보안사고 사례 및 분석
스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어로 메시지를 이용한 사이버 공격이다. 메시지로 온인터넷 주소 등을 클릭하면 악성코드가 설치돼 사용자가 모르는 사이 소액결제 피해를 주거나 각종 개인정보를 탈취한다. 인용: http://news.zum.com/articles/16739417 (검색일: 2014.10.14.)
모바일, 결제류 앱 감염 바이러스 공격모바일, 결제류 앱 감염 바이러스 공격
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 2014.04월, 결제류 바이러스에 감염된 이동전화기 보유자 수는 116만 3,000명에
달함(중국 텅쉰, ‘모바일 보안랩’의 조사 결과)
- 모바일 앱을 감염시킨 바이러스들은 스마트폰 사용자의 동의 없이 몰래 특정
소프트웨어를 내려 받으며, 몰래 데이터 사용량을 소모시키거나, 정상적인
앱 프로그램을 트로이 목마로 바꾸어 놓음
사고 원인 및 분석
- 특징으로는 동일한 바이러스가 같은 유형의 모바일 결제류 앱에 대한 패키징을 진행해
대량 감염시키는 흐름이며 지명도가 높고 사용자 수가 많은 모바일 결제류 앱은
바이러스 패키징에 직면할 위험이 더욱 크다는 점
모바일, 결제류 앱 감염 바이러스 공격모바일, 결제류 앱 감염 바이러스 공격
보안사고 사례 및 분석보안사고 사례 및 분석
모바일기기에서 이뤄지는 금전 결제를 노린 바이러스에 의해 피해를 입은 중국 스마트폰 사용자수가 지난 4월 말 기준1,200만명을 넘은 것으로 나타났다.
인용: http://www.boannews.com/media/view.asp?idx=41709&kind=3 (검색일: 2014.10.14.)
모바일, 안드로이드 취약점 이용한 악성 뱅킹앱모바일, 안드로이드 취약점 이용한 악성 뱅킹앱
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 2014.07월, 뱅킹앱 사용자를 노린 악성코드 발견
- 사이버범죄자는 서드파티 앱스토어에 뱅킹 앱의 가짜 업데
이트 파일을 올려놓고, 사용자가 이 가짜 업데이트를 다운로드 하
도록 유도
- 이 가짜 업데이트 파일은 안드로이드 마스터키 취약점을 악
용하여 앱에 악성 파일을 삽입하고 트로이목마처럼 만듦
사고 원인 및 분석
- 악성 뱅킹앱은 안드로이드의 마스터키 취약점을 이용해 사이버
범죄자가 스마트폰에 이미 깔려있는 합법적인 앱을 업데이트하여
악성코드를 주입할 수 있게 함
모바일, 아이폰 단말 보안 위협모바일, 아이폰 단말 보안 위협
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- ikee worm (2009): 감염된 아이폰의 배경화면을 유명 가수
사진으로 변경
- iPhone/Privacy.A (2009): 감염된 아이폰에서 무선랜을 접속
하는 경우 개인정보(문자 메시지,이메일 등)를 원격지로 전달
- phone/iBotNet.A(2009): 감염된 아이폰을 Botnet의 좀비로
만들어 스팸 및 DDoS 공격에 활용 가능
사고 원인 및 분석
- MMS, Bluetooth, Wi-Fi, Memory 카드를 통한 악성코드 전파
모바일, ‘임시’앱마저도 취약모바일, ‘임시’앱마저도 취약
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- ‘임시’ 앱의 일종인 스냅챗(Snapchat), 공격자들이 460만건 이상의 사용자 정보를
보관하고 있는 데이터베이스에서 데이터를 유출하는 데 이 API를 악용
※ 임시 앱 : 익명으로 콘텐츠를 공유하고 비공개 메시지를 전송하며 미디어를 공유하고자 하는 사
용자들의 열망을 충족시킨 차세대 앱
사고 원인 및 분석
- 스냅챗이연락처관리나메시지전송을위해사용하는보안토큰관리방식에기본적인문제
- 보안 토큰은 단말기에서 생성해서 사용한 후 곧바로 폐기하고, 다음에 사용할 필요가
있을 때에는 새로 생성하도록 하는 것이 기본 원칙인데 이를 준수하지 않음
- 스냅챗은 문제를 해결하기는 커녕 지적한 사람의 계정 폐쇄함
스냅챕
음란물 등 임시앱 문제음란물 등 임시앱 문제
보안사고 사례 및 분석보안사고 사례 및 분석
01.내용
01.내용
인용: http://news.zum.com/articles/16815024 (검색일: 2014.10.14.)https://www.google.co.kr/search?q=snapchat&newwindow=1&source=lnms&tbm=isch&sa=X&ei=iffWU72WDM_28QX4tYHwDg&sqi=2&ved=0CAYQ_AUoAQ&biw=682&bih=432
외신과 관련업계에 따르면 스냅챗에서 이용자들간 주고 받은 사진 약 20만장이 유출됐다. 서드파티 앱이란 기존 공식 앱을 중심으로 소규모 기업 혹은 개인들에 의해 개발, 배포되는 부가적인 기능을 담긴 앱을 말한다. 이번에 문제가 된 서드파티 앱은 메시지를 받는 사람이 보낸사람 모르게 사진을 저장할 수 있도록 지원한 앱이다. 스냅챗은 메신저를 받는 사람이 메시지를 읽으면 몇 초 후 메시지가 자동으로 사라지는 기능으로 인기를 끌었지만, 한편에서는 정반대의 기능을 지원하는 서드파티앱이 유통됐던 것.
모바일, 악성코드 기니미(Geinimi)모바일, 악성코드 기니미(Geinimi)
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 2010.12월, 중국 안드로이드 플랫폼에서 봇넷과 같은 기능을 제공하는 첫
번째 모바일 악성코드 등장
- 구글 안드로이드 모바일 운영체제(OS)를 탑재한 스마트폰 사용자를 겨냥
한 트로이 목마 스타일의 악성코드
사고 원인 및 분석
- 합법적인 게임앱으로 위장해 안드로이드폰 이용자가 잘 알려지지 않은
애플리케이션으로 착각하도록 만든 뒤 다운로드 유도
- 사용자 개인 정보를 훔쳐 원격지에 있는 서버로 보내는 구조
모바일, 악성코드 체스트모바일, 악성코드 체스트
보안사고 사례 및 분석보안사고 사례 및 분석
사건 개요
- 2013.01월, 악성코드를 감염시켜 `좀비 스마트폰`을 만든 뒤 소액결제사
이트가 보내주는 SMS인증번호를 가로채 금전적 손해를 입히는 수법의 사
기가 기승
사고 원인 및 분석
- 과거 발생한 대량의 개인정보유출 사고를 통해 확보한 주민번호와 전화
번호를 이용해 특정 공격대상을 정하는 게 특징
- 소액결제 시 반드시 필요한 인증번호 문자메시지가 직접 악성코드 제작
자에게 전달되고, 대부분의 사용자가 휴대폰 사용 내역서를 꼼꼼히 살펴보
지 않는다는 점에서 이후 유사한 피해가 추가 발생할 우려가 높다고 보안
전문가들은 지적
모바일, 카드사 앱카드 명의도용 사고모바일, 카드사 앱카드 명의도용 사고
보안사고 사례 및 분석보안사고 사례 및 분석
사건개요
- 2014.07월, 롯데카드 앱카드 명의도용 사고로 의심되는 정황이 포착
- 2014.06월, 신한카드 앱카드 명의도용 사고가 발생 댝 50건의 결제승인이
이루어짐
- 2014.05월, 삼성카드 앱카드 명의도용 사고가 발생해 50여명의 이용자가
수천만원대의 피해를 입음
사고 원인 및 분석
- 신용카드에 기재된 카드번호와 CVC값을 입력하거나 공인인증서로 본인
인증 절차를 거치는 과정에서, 해커들이 스미싱 문자를 보내 공인인증서와
금융정보를 빼낸 뒤 결제를 진행하는 수법으로 피해가 발생
모바일, 잠금 화면 보안모바일, 잠금 화면 보안
보안사고 사례 및 분석보안사고 사례 및 분석
개요
- 2014.04월 갤럭시S5 지문인식 해킹
- 2012년, 아이폰5S 지문인식 해킹
분석 및 대응
- 시중에서 흔하게 판매되는 카메라폰으로 스마트폰 소유자
의 지문사진을 만든 뒤 이를 갤럭시S5 센서에 갖다 대 잠금장
치를 해제
- 지문 인식으로 온라인 비용 결제 서비스인 페이팔에서 입출
금까지 가능 우려
- G프로2에 노크 코드 탑재하여 개인정보보호
모바일, 잠금 화면 보안모바일, 잠금 화면 보안
보안사고 사례 및 분석보안사고 사례 및 분석
인증서 피닝인증서 피닝
보안사고 사례 및 분석보안사고 사례 및 분석
왓츠앱이 모바일 폰과 회사의 백엔드 서버와 연결할 때 SSL(Secure Sockets Layer) 피닝(pinning)을 강제하지 않는 것은 많은 모바일 앱이갖고 있는 일상적인 약점이다.SSL 피닝은 서버에서 신뢰받는 검증 데이터에 인증하는 것을 의미하는데, 클라이언트를 검사하는 것을 포함한다.이 프로세스는 보통 SSL 프로토콜에서 또 다른 하나의 단계를 추가하면 되기 때문에 이행하는 것이 어려운 것이 아니라 왓츠앱과 같은 환경에서 사용자에게 영향을 줄 수 있다. 왓츠앱에서는 4억 5,000만의디바이스에서 다른 모바일 디바이스로 메시지를 보내고 있다.SSL 피닝은 많은 개발자들이 얘기하는 예방책이다. 몇년전부터 아주소수의 애플리케이션들이 인증서 피닝(certificate pinning)을 하고 있다.후그는 "우리는 인증서 피닝이 점점더 늘어나고 있음을 보고 있다"며, "인증서 피닝은 가장 최선의 방안"이라고 말했다.인용http://www.itworld.co.kr/tags/63362/SSL+%ED%94%BC%EB%8B%9D/86269
학습 내용 정리학습 내용 정리
보안사고 사례 및 분석보안사고 사례 및 분석
안드로이드 마켓이 가진 개방성이음란, 불법 해킹 등이 성행하게 됨
물론 애플 마켓 역시 보안 침해 사례가 많으나안드로이드 OS보다는 그 수가 적은 편임
35
참고 자료 본 교안의 주요 자료는 아래 한국정보보호시스템㈜로부터 참조하였습니다.
36
참고 자료
37
참고 자료
http://www.slideshare.net/mooknc/kinfosec-140729