H. I. T.

스마트폰 + 안드로이드폰 보안에 관한 전반적이고 체계적이지 못한 조사

성균관 대학교 정보보안동아리 H.I.T.

H. I. T.Smart-Phone?!

Smart-Phone 애플리케이션의 추가 / 삭제가 용이한 범용 OS 를 탑재한 단말 변화되는 시장요구에 대응하여 PC 환경과 동일한 서비스 활용 가능

H. I. T.A-1. 스마트폰의 병폐 (?)

오픈 플랫폼 , 다양한 모바일 OS : 해킹 환경도 접근용이

부팅 장애를 일으키는 트로이잔 및 금전목적 공격 , 다양한 I/F( 미친 그냥 인터페이스라고 쓰지 어렵게 이따구로… ) 및 스파이웨어 등 공격 툴킷 확산

스마트폰과 같은 휴대용 단말이 분실시 정보유출피해 심각 고급 보안 소프트웨어 탑재 스마트폰 5 년간 5 배 증가 전망 모바일 뱅킹 , P2P 결제 등은 휴대폰 단말의 지문인식 기능을

통한 인증을 요구할 것으로 예상 원격 모바일 보안 솔루션 대안 등

H. I. T.A-2. 스마트폰에 의한 피해 (?)

악성코드감염 기기의 오동작 , 파괴 , 정보유출 , 과금 , 도청 , 스팸 , 피싱

공격 , 불법위치추적 , 금융서비스 위협 및 서비스 거부 공격 등

기기의 오동작 및 파괴 등으로 사용불능

분실 , 도난 및 악성코드 감염에 의한 개인 / 기업의

정보유출로 프라이버시 침해 , 기업정보 유출 , 금전적

피해 등

불법과금 , 도청 , 스팸 및 피싱공격 등

불법위치 추적으로 불법광고 및 신변 위협 노출 등

금융 서비스 위협 및 서비스 거부 공격의 좀비로

악용가능

H. I. T.A-3. 스마트폰 피해 요인 ?

악성코드 감염 요인 개방형 모바일 플랫폼 자체의 취약점 등 (SDK 취약점 포함 )

• 개방형 OS 취약점 노출 용이함 등

다양한 인터페이스 접속 등 ( 접속 프로토콜 취약점 포

함 ) WCDMA, HSDPA, Wi-Fi, Bluetooth, PC Sync 등

오픈 마켓을 통한 악의적 콘텐츠 배포 용이함 등

모바일 뱅킹 , 모바일 오피스 , 모바일 전자정부 등 환경

및 사용자 요구변화 등 저장데이터 및 제공 서비스의 중요도 증가 등

H. I. T.A-3

스마트폰 스파이웨어 훔쳐보기를 통한 개인정보 수집 , 공개 , 악용 금전적 이득

목적의 악성코드

결국 오픈 API 를 지향하는 안드로이드가 폐쇠적인 아이폰에 비해 보안에 취약하다는 여론 !! OPEN 된 소스이기에 취약점이 좀 더 빨리 노출될 수 있다는

주장 , 그렇지만 , OPEN 소스이기에 보안 대책 역시 빠르게 업데이트 될 수 있다는 것

반대로 아이폰은 OS 가 폐쇄적인 만큼 보안 취약점 노출 시점이 늦어질 수 있지만 취약점이 노출된 후에는 안드로이드보다 빠른 대응이 힘들 것이라는 주장

아이폰은 보안이 완벽하지는 않아도 폐쇄성이 백신을 대신할 수 있으나 , 안드로이드는 출시부터 백신을 탑재하는 것이 필요하다 .

H. I. T.A-3

국내 첫 스마트폰 악성코드 ‘트레드다이얼’ 등장 윈도모바일 OS( 운영체제 ) 기반의 스마트폰 대상

• Win Mobile 6.X, 5.X 대상

국제전화 무단 발신 악성코드 악성코드가 숨겨진 ‘ 3D 안티 테러리스트 액션 (3D Anti-Terror-

ist Action)’ 이라는스마트폰 ( 윈도우모바일 ) 게임 유포

증세 해외 premium-rate number 에 국제전화를 시도하여 과금을

부과 휴대폰 통화목록에 해당 번호가 있거나 , 이유 없이 자동으로

국제전화를 발신할 경우 감염을 의심

대응 국내 민 . 관합동 스마트폰 대응반의 가동에 의하여 조기 탐지 및

백신 배포로 일단락 , 실제 과금피해는 없었음

H. I. T.B-1. 스마트폰 위협의 특징

PC와 동일한 위협에 모바일 기기로 인한 위협 추가 PC 위협 + 모바일 특성에 의한 위협 ( 분실 , 도난등 )

다양한 인터페이스 및 서비스로 인한 위협 블루투스 취약점 , GPS 및 모바일 뱅킹 등 서비스 확대로 인한 위협

24 시간 상시 위협에 노출 기기의 특성 상 24 시간 운영 / 위협 노출시각 증대

H. I. T.

H. I. T.B-1

모바일 에코시스템 구축에 의한 보안 위협 범위 확대 개발자 - 소비자가 동일 생태계 내에 존재 애플리케이션과 콘텐츠 중시 이용자 요구변화 및 차세대 모바일 비즈니스 모델 ( 모바일

전자정부 서비스 및 모바일 오피스 등 ) 출현 등으로 위협 확산

H. I. T.B-2. 안드로이드폰

오픈 API 지향 개방형 플랫폼 애플리케이션에 대한 보안성 및 정당성 검증 절차가 없음 멀티 태스킹이 가능한 환경

• 종료를 해도 바로 종료가 되지 않고 백그라운드에 남아 있다가 , 백드라운드에 어플리케이션 허용치를 초과하면 하나씩 순차적으로 종료되는 방식

H. I. T.B-3. 안드로이드 스마트폰 어플리케이션 위험

어플리케이션 권한설정 개발 시 주소록 , SMS, 위치정보 같은 정보는 다루어야 함 해당 어플리케이션에 권한을 주는 방법으로 접근 가능 안드로이드의 AndroidManifest.xml 에 권한을 부여 권한 부여가 없다면 관련 작동을 사용할 수 없게 설계되어 있음

어플리케이션 설치 시 취약점 설치 시에 보여주는 권한 정보 : 일반 사용자가 설치 시 권한 설정 어려움

휴대폰의 관리 프로그램에서의 설치가 아닌 adb와 같은 프로그램을 이용한 설치에서는 권한 정보를 볼 수 없음

같은 인스톨 이름으로 재 설치했을 시에 관련 데이터를 볼 수 있음

H. I. T.(참고 )Defining Security Policy

Android focuses on Inter Component Com-munication (ICC)The Android manifest file allows developers to define an access control policy for access to components Each component can be assigned an access permission label Each application requests a list of permission labels (fixed at

install)Android’s security model boils down to the following:However, there are a number of exceptions ...

H. I. T.B-3

공격 가능한 악성코드 휴대폰 내의 다음과 같은 개인정보를 탈취하거나 조작 가능 :

주소록 정보 , SMS/MMS 데이터 , 전화기록 , 위치 정보 , 휴대폰 정보 등

피싱 (Phising) 을 이용한 비밀번호 탈취 백그라운드에서 작성되는 키 로그 저장 및 전송

결국 악성 프로그램 판단과 설치 후 책임은 사용자 몫

H. I. T.B-3.

미국의 정보보안 전문기업인 Smobile 에서 6월 22일에 발표한 자료에 따르면 안드로이드 마켓의 48,000여개 어플리케이션 중 최소 20% 가 사용자의 개인적이거나 민감한 정보에 접근할 수 있는 것으로 나타났다 . 사용자의 승인 없이 전화를 송신하거나 메시지를 보낼 수 있는

어플리케이션 존재 스파이웨어 단말기를 못 쓰게 만들 수 있는 어플리케이션도 존재 다른 서비스나 어플리케이션의 인증 정보를 사용할 수도 있음

사용자들은 자신이 다운로드받은 어플리케이션이 자신의 단말기에서 어떻게 작동하는지를 알아야 한다… 말이 되 이게 ??

H. I. T.B-4. 안드로이드 보안 위협 및 대응방안

피싱 : 09droid 09Droid 라는 아이디의 사용자가 여러 개의 은행 피싱 사이트를

만들어서 배포 대응 방법은 마켓에서 어플리케이션 다운로드 시 사용자의 배포

ID 를 확인하는 방법 – 뭐야 이거 ID 도용하면 ?백그라운드 키로깅 악성 코드가 백그라운드에서 돌아가고 있는 경우

사용자가 입력하는 모든 키 값이 저장 및 전송 가능 DDoS 공격에 노출 가능 안드로이드 2.0 이상 버전부터는 서비스를 볼 수 있게 되어있음

(?)

H. I. T.B-4

의도되지 않은 프로그램을 삭제하는 악성 어플리케이션의 위험 루팅 (Rooting)

• 아이폰은 Jail Break, 안드로이드 루팅 , 일명 탈옥 !!• 안드로이드는 root권한을 인정하지 않지만 관련 프로그램을 통해

root권한 획득 가능• 만약 루팅이 되어 있는 휴대폰의 경우 어플리케이션이 su 명령어를

통하여 루트로 실행 가능 악성코드의 전파경로

• 안드로이드 운영체제는 사용자가 직접 USB 를 통하여 모든 프로그램을 설치 가능

• 안드로이드 마켓에서는 특별한 악성 어플리케이션 점검 절차가 없음• 젂파경로 : 앆드로이드 마켓 , SMS/MMS, 웹브라우져 다운로드 ,

파일 전송 관련 프로그램 및 USB 를 통한 설치

H. I. T.C-1. 대응방안

백신 외 10 대 안전수칙 ( 이런거 지키는 사람도 있음 ??)사용자 하기 나름…

H. I. T.C-1

알려진 악성 코드를 분석해 데이터베이스 (DB) 화한 후 이를 비교해 악성코드 여부를 판단하는 방법 새롭게 등장한 악성코드나 변종에 대한 탐지가 불가능

스마트폰에서 벌어지고 있는 행위를 분석한 탐지 방식 인터넷을 통해 개인정보가 유출되거나 , 연락처를 모두 검색한 뒤 SMS 를 전송하는 등의 행위가 벌어질 경우 이를 악성코드로 탐지할 수 있다 .

• 잘못된 탐지의 가능성이 있음• 스마트폰 자원을 과다하게 소모하여 시스템 떡실신…

웹 표준을 지원하는 기본 통합 브라우저를 통한 뱅킹을 이용하는 방안도 모색 중…

H. I. T.

H. I. T.

개인정보 유출 공격 + DDOS 공격 시험 + SMS 과금공격

H. I. T.(참고 ) 스마트폰 위협 대응방안 ( 안 )

H. I. T.

끝