스마트폰 보안이슈 및 대응방향
DESCRIPTION
스마트폰 보안이슈 및 대응방향. 2010. 4. 8( 목 ) KISA 전 길 수 팀장 ( [email protected] ). 1. 스마트폰 일반현황. 2. 스마트폰 침해사고 현황. 3. 스마트폰 악성코드 유형. 4. 스마트폰 보안 이슈. 5. 스마트폰 보안을 위한 주체별 대응방향. 목 차. 1. 스마트폰 일반현황 (1/3). 국내 보급 현황. 2009 년 12 월 기준 국내 스마트폰 판매량은 104.1 만대로 전체 이동통신 가입대수 - PowerPoint PPT PresentationTRANSCRIPT
목 차
스마트폰 일반현황 1
스마트폰 침해사고 현황 2
스마트폰 악성코드 유형 3
스마트폰 보안 이슈 4
스마트폰 보안을 위한 주체별 대응방향 5
스마트폰 일반현황 (1/3)
1
국내 보급 현황
2009 년 12 월 기준 국내 스마트폰 판매량은 104.1 만대로 전체 이동통신 가입대수 4,790 만대 중 2.2% 를 차지하며 , 29 종의 스마트폰이 출시
2009 년 10 월 , 50 만대 수준대비 약 100% 이상 증가하였으며 , 아이폰 , 안드로이드 등 개방형 스마트폰들의 출시로 스마트폰 이용은 향후 더욱 증가될 전망 ‘10 년 , 이통 3 사는 총 450 만대의 스마트폰을 보급할 계획 (SKT 200 만 , KT 180 만 , LGT 70 만 ) 으로
전체 휴대전화 시장의 9% 를 차지할 것으로 추정
1
< 국내 휴대전화 및 스마트폰 가입자 , 출처 : 방통위 , 로아그룹 , 국내 이통 3 사 >
스마트폰 일반현황 (2/3)
2
국외 보급 현황
2009 년 스마트폰 판매량은 1.7 억대로 전체 휴대폰 판매량의 14.2% 차지 ‘09 년 세계 휴대전화 판매량은 약 12 억 대로 전년 대비 0.9% 감소 했지만 스마트폰
시장은 23.8% 판매량이 증가하면서 급속한 성장
2011 년 스마트폰 판매량은 5.5 억대 , 시장점유율은 30.6% 까지 상승할 전망 ‘08-09 년 , 전 세계 스마트폰 운영체제 점유율의 경우 심비안 , 윈도우 모바일은 감소한 반면 , RIM, 아이폰 OS, 안드로이드의 점유율은 크게 증가
( 출처 : Gartner, 2009)
1
스마트폰 일반현황 (3/3)
3
스마트폰 활성화를 위한 요구사항
무선인터넷 실태조사 (2009, KISA) 에 의하면 , 무선인터넷을 활성화하기 위해서는
‘이용 요금 인하 (88.0%)’ 등이 필요하다는 의견들이 대다수이며 , 10.2% 정도가 ‘보안문제 개선’이 필요하다고 응답
1
< 무선 인터넷 활성화 방안 ( 복수응답 , %) (KISA 2009 무선인터넷이용실태조사 )>
현재까지 보고된 모바일 악성코드 1) 는 없음- 국내 휴대폰에 탑재되는 소프트웨어 플랫폼이 이동통신사마다 다름 - 공통으로 탑재된 WIPI 플랫폼의 폐쇄적인 환경
스마트폰 침해사고 현황 - 모바일 악성코드 현황 -
4
국내 현황
최근 , 모바일 악성코드 발생 위협 증가 - WIPI 의무탑재고시조항 해제 ('09.4.1)- 애플사 iPhone, 모토로라사의 모토로이 등 개방형 (OS 및 어플리케이션 ) 스마트폰들의 보급 활성화
모바일 악성코드 발생건수 계속적으로 증가 < 연도별 모바일 악성코드 누적 발생 추이 >
국외 현황
국외에서 발생하는 모바일 악성코드 중 약 90% 이상 , 심비안 2) 운영체제가 탑재된 스마트폰을 대상으로 하고 있음
15
131
353381
429
524
0
100
200
300
400
500
600
04 '05 '06 '07 '08 '09 2Q
1) 모바일 악성코드란 ? - 휴대폰 및 스마트폰에 감염되어 개인정보유출 , 시스템 파괴 , 원격지 접속 등의 악성행위를 수행하는 프로그램
2) 심비안 (Symbian) 이란 ? - 주로 PDA, 휴대폰 등에 탑재되는 경량화된 운영체제이며 노키아 주도로 개발
2
스마트폰 악성코드 유형 (1/4)
5
유형 1) 개인정보 유출
통화내역 , 수신메시지 , 전화번호부 , 일정 , 메모 , 위치정보 등 개인신상정보 유출
인터넷뱅킹 , 소액결제 등의 금융거래정보 , 업무용 파일 등 기밀정보 유출
PBStealer (2005)전화번호부 압축 프로그램으로 가장한 악성 코드로 , 단말기에 저장된 전화번호를 외부 단말기로 유출
iPhone/Privacy.A (2009)감염된 아이폰에서 무선랜을 접속하는 경우 개인정보 ( 문자메시지 , 이메일 등 ) 를 원격지로 전달
Duh Worm (2009)아이폰을 이용한 금융관련 거래에서 SMS 기반 인증코드 (6 자리 ) 를 훔쳐내어 원격지로 전송하는 등의 금전적인 피해 유발 가능
피해 사례
< PBStealer 에 감염된 단말기 > < PBStealer 감염된 단말기와 인접한 단말기가 수신한 전화번호 파일 >
3
스마트폰 악성코드 유형 (2/4)
6
유형 2) 장치 이용 제한
단말기 UI 변경 , 단말기 파손 ( 오류 발생 ), 배터리소모 , 정보 ( 파일 , 일정 , 전화번호 등 ) 및 프로그램 삭제 등
Skull (2004)단말기의 시스템 어플리케이션을 다른 파일로 교체하여 , 단말기 사용을 불가능하게 함
Bootton(2005)단말기에 설치된 응용 프로그램 아이콘변경 , 전화통화 외에 다른 기능 사용하지 못하게 함
피해 사례
< Skull 에 감염된 단말기 >
BlankFont (2005)단말기 폰트파일 사용 불가능하게 함
Ikee (2009)아이폰의 바탕화면을 80 년대 팝가수 릭애슬리 사진으로 변경
< Bootton 에 감염된 단말기 >
< BlankFont 에 감염된 단말기 > < Ikee 에 감염된 단말기 >
3
스마트폰 악성코드 유형 (3/4)
7
유형 3) 부정과금 유발
SMS, 멀티미디어메시지 (MMS) 등 스팸문자 발송
휴대전화 소액결제 , 무선 인터넷 이용 , 유료전화서비스 악용 등
피해 사례 Mosquit (2004) 고액의 비용을 청구하는 서비스 전화 번호 리스트를 포함하여 , 단말기 사용자 몰래 SMS 메시지를 해당 전화번호로 보냄으로써 고액의 서비스 이용료 부과
CommWarrior (2005) MMS 메시지에 자신의 복사본을 첨부하고 단말기 주소록에 있는 모든 연락처에 발송함으로써 단말기 소유자에게 고액의 서비스 이용료 부과 < CommWarrior 에 감염된 단말기 >
3
스마트폰 악성코드 유형 (4/4)
8
유형 4) 모바일 DDoS
감염된 좀비 단말기는 특정 사이트에 트래픽을 유발하거나 특정 단말기에 SMS 를 전송함으로써 부정 과금 유발 및 웹사이트 마비 , 단말이용 불능 야기
※스마트폰 자체가 DDoS 유발용 단말기 (C&C) 로도 사용 가능
< 스마트폰을 이용한 모바일 DDoS 공격 >
< 스마트폰을 이용한 SMS DDoS 공격 >
침해 시나리오
3
스마트폰 보안 이슈 (1/5)
기능폰 / 스마트폰 /PC 환경 비교
9
4구분 기능폰 ( 피처폰 ) 스마트폰 PC
운영체제•폐쇄형 플랫폼
- 제조사별 기능탑재
• 개방형 플랫폼
- 아이폰 , 안드로이드 등
• 개방형 플랫폼
- 윈도우 , 리눅스 등
서드파티
어플리케이션
지원
• 이동통신사가 제공하는 제한된
기능의 어플리케이션만 설치
가능
• 모바일 플랫폼 표준규격 (WIPI)기반에서 해당 통신사만 탑재 가능
• 사용자 커스터마이징 불가
• 앱스토어와 같은 오픈마켓 또는
인터넷상에서 자유롭게 다운로드
가능
• 누구나 제작 / 배포 / 설치 가능
• 사용자 커스터마이징 가능
• 다양한 어플리케이션의 다운로드
/ 설치 가능
• 누구나 제작 / 배포 / 설치 가능
• 사용자 커스터마이징 가능
인터넷
접속환경
• 2G 또는 3G - CDMA, WCDMA, HSDPA
• 3G 와 무선 네트워크
- WCDMA, HSDPA, Wi-Fi, 블루투스 등
• 유 / 무선 네트워크
저장데이터
• 전화번호 위주의 간단한 주소록 , 일정 등
•◦평문 저장
• 주소록 , 일정관리 , 오피스 문서 , 금융정보 등
• 평문저장
• 개인 문서 위주의 데이터
• 주요 개인정보
• 평문저장
사용시간
• 24 시간 항상 전원이 켜져 있음
• 사용자 시선에서 벗어날 수 있음
• 24 시간 항상 전원이 켜져 있음
• 사용자의 시선에서 벗어날 수 있음
• 인터넷 또는 문서작업 등의
필요한 시간에만 사용후 전원 끔
• 사용자의 시선에서 벗어나는
시간이 짧음
어플리케이션 검증체계취약점
사회공학적 기법
취약점
스마트폰 보안 이슈 (2/5)
10
스마트폰 보안 위협
분실 및 도난
개인 / 기업정보 유출
추가 범죄에 악용( 금융결제 , 사기
등 )
유용한 프로그램으로
위장한 악성프로그램
이메일 /SMS/MMS 를 통한 악성코드 전파
어플리케이션 취약점
Mobile Platform 취약점 어플리케이션 취약점
검증
악성 어플리케이션 검증
Self Sign-ing
4
스마트폰 보안 이슈 (3/5)
안드로이드 마켓 악성 프로그램 유포 사례
11
허위 모바일 뱅킹 프로그램 유포 ('09.12)09Droid 라는 ID 를 가진 개발자가 미국은행이나 신용조합 이름으로 39 종의 개인정보 유출 악성 프로그램을 유포
어플리케이션에 대해 정당성 및 보안성 검토 절차가 없음
안드로이드는 어플리케이션 설치 시어플리케이션의 접근 권한을 명시하여이용자가 설치 여부를 결정하게 함
4
스마트폰 보안 이슈 (4/5)
12
심비안 - 어플리케이션 검증 체계 등장
2004 년 , 심비안 OS 를 대상으로 하는 악성코드의 수 급격하게 증가2005 년 상반기 , 플랫폼 보안 기술을 탑재한 Symbian OS 9.1 이 등장 - 특정 API 에 접근하기 위해서는 Symbian Signed 의 Test House 를 통해 어플리케이션 검증 및 전자서명을 받아야 함
< 연도별 심비안 악성코드 발생 추이 >
출처 : SmobileSystems
인증기관(TC TrustCenter)
Test House(www.symbiansigned.com)
① ID 요청
② ID 발급
③ 전자서명
④ 검증요청
⑤ 검증 및 서명
⑥ 서명된 어플리케이션
악성코드 수 감소
4
스마트폰 보안 이슈 (5/5)
13
심비안 - Self SigningSymbian Signed 를 통한 어플리케이션 검증은 시간이 오래 걸려 유연성이 떨어짐
어플리케이션이 기본권한 (Basic Capability) 만을 필요로 할 경우 , 개발자는 자기서명 인증서(Self-signed Certificate) 를 통해 어플리케이션을 서명하여 즉시 배포
악성코드 제작자가 이를 악용하여 악성프로그램을 자기서명 (Self Signing) 하고 유포할 가능성이 존재
1) LocalServices - 블루투스 , USB, 적외선 연결을 이용할 수 있는 권한
2) UserEnvironment - 음성녹음 및 카메라를 제어할 수 있는 권한
3) NetworkServices - 전화 , 문자메시지 , 무선랜 등을 이용할 수 있는 권한
4) ReadUserData - 연락처 등의 개인정보를 읽을 수 있는 권한
5) WriteUserData - 연락처 등의 개인정보를 쓸 수 있는 권한
6) Location (S60 3rd Edition, FP2 부터 ) - 단말기의 위치 정보에 접근할 수 있는 권한
기본권한
현재 KISA 에서는 국내 현실에 적합한 앱스토어 어플리케이션 검증체계 방안마련 중임
4
스마트 보안을 위한 주체별 대응방향
14
5대응 주체 대응 방안
이용자 - 스마트폰 이용자 10 대 안전수칙 준수 ( 별첨 참조 )
사
업
자
이동통신사 - 문자메시지로 전파되는 악성코드 원천 차단 탐지 기술 개발 및 적용∙- 스마트폰 분실 / 도난을 대비한 원격 제어 서비스 구축 및 운영 등
단말기 제조사
- 금융정보 및 개인정보 송 수신 시 보안기술∙ ( 키보드 보안 등 ) 적용- 단말기 내 저장된 개인정보 ( 문자메시지 , 전화이력 등 ) 암호화 등
어플리케이션 마켓 운영사
- 어플리케이션 마켓에 등록된 S/W 에 대한 보안 검증 기준 및 체계 수립- 개발자를 위한 안전한 응용프로그램 개발 안내서 제작 및 배포 등
백신업체 - 단말기의 저장장치 / 배터리 용량을 고려한 최적화된 백신 개발- 운영체제별 (Mac OS, 안드로이드 등 ) 모바일 백신 연구 및 개발 등
정부 및 KISA- 유관기관 ( 이통사 , 제조사 , 백신사 등 ) 대응협력체계 구축- 스마트폰 침해사고 대비 공동대응 훈련 실시- 주체별 스마트폰 침해사고 대응 절차 안내서 개발 및 보급 등 ※ 이용자 및 사업자별 보안정책 수립 및 기술개발 지원
[ 별첨 ] 스마트폰 이용자 10 대 안전 수칙(1/2)
15
1. 의심스러운 어플리케이션 다운로드하지 않기 - 위변조된 어플리케이션에 의해서 스마트폰용 악성코드 유포될 가능성 높음
2. 신뢰할 수 없는 사이트 방문하지 않기 - 인터넷을 통해 스마트폰 단말기가 악성코드에 감염되는 것을 예방하기 위해
3. 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기 - 멀티미디어 메시지 (MMS) 및 이메일은 첨부파일 기능이 있어 악성코드 유포에 악용
될 수 있음
4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기 - 단말기 분실 및 도난시 비밀번호가 유출되는 것을 방지하기 위해
5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기 - 악성코드 감염 가능성을 줄이기 위해 , 국외의 경우 블루투스 기능을 통해 상당수의
스마트폰 악성코드가 유포되었음
10 대 안전 수칙
13
6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기 - 스마트폰 매뉴얼에 따라 선조치한 후에도 이상증상이 계속될 경우 , 악성코드 감염일
가능성이 있으므로 백신 프로그램을 통해 단말기 진단 및 치료 필요
7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기 - 스마트폰용 악성프로그램이 인터넷을 통해 특정 프로그램이나 파일 등에 숨겨져 배포
될 수 있으므로 바이러스 유무를 검사해야 함
8. PC 에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기 - 동기화 프로그램을 통해서도 PC 에 있는 악성코드가 스마트폰으로 옮겨질 수 있으므로
스마트폰 및 PC 의 정기점검 필요
9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기 - 플랫폼 구조 변경시 , 기본적인 보안 기능에 영향을 주어 문제가 발생할 가능성 있음
10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기 - 해커들의 다양한 공격기법에 대응하고 스마트폰의 안전한 사용을 위해
10 대 안전 수칙
[ 별첨 ] 스마트폰 이용자 10 대 안전 수칙(2/2)
감사합니다