220 likes | 761 Views
스마트폰 보안이슈 및 대응방향. 2010. 4. 8( 목 ) KISA 전 길 수 팀장 ( kschun@kisa.or.kr ). 1. 스마트폰 일반현황. 2. 스마트폰 침해사고 현황. 3. 스마트폰 악성코드 유형. 4. 스마트폰 보안 이슈. 5. 스마트폰 보안을 위한 주체별 대응방향. 목 차. 1. 스마트폰 일반현황 (1/3). 국내 보급 현황. 2009 년 12 월 기준 국내 스마트폰 판매량은 104.1 만대로 전체 이동통신 가입대수
E N D
스마트폰 보안이슈및 대응방향 2010. 4. 8(목) KISA 전 길 수 팀장(kschun@kisa.or.kr)
1 스마트폰일반현황 2 스마트폰침해사고 현황 3 스마트폰 악성코드 유형 4 스마트폰 보안 이슈 5 스마트폰 보안을 위한 주체별 대응방향 목 차
1 스마트폰일반현황(1/3) 국내 보급 현황 • 2009년 12월 기준국내 스마트폰 판매량은 104.1만대로 전체 이동통신 가입대수 • 4,790만대 중 2.2%를 차지하며, 29종의 스마트폰이출시 • 2009년 10월, 50만대 수준대비 약 100%이상 증가하였으며, 아이폰, 안드로이드 등 • 개방형 스마트폰들의 출시로 스마트폰 이용은 향후 더욱 증가될 전망 • ‘10년, 이통3사는 총 450만대의 스마트폰을 보급할 계획(SKT 200만, KT 180만, LGT 70만)으로 전체 휴대전화 시장의 9%를 차지할 것으로 추정 <국내 휴대전화 및 스마트폰 가입자, 출처: 방통위, 로아그룹, 국내 이통3사> 1
1 스마트폰일반현황(2/3) 국외 보급 현황 • 2009년 스마트폰 판매량은 1.7억대로 전체 휴대폰 판매량의14.2% 차지 • ‘09년 세계 휴대전화 판매량은 약 12억 대로 전년 대비 0.9% 감소 했지만 스마트폰 시장은 23.8% 판매량이 증가하면서 급속한 성장 • 2011년 스마트폰 판매량은 5.5억대, 시장점유율은 30.6%까지 상승할 전망 • ‘08-09년, 전 세계 스마트폰 운영체제 점유율의 경우 심비안, 윈도우 모바일은 감소한 반면, RIM, 아이폰OS, 안드로이드의 점유율은 크게 증가 (출처: Gartner, 2009) 2
1 스마트폰일반현황(3/3) 스마트폰 활성화를 위한 요구사항 무선인터넷 실태조사(2009, KISA)에 의하면, 무선인터넷을 활성화하기 위해서는 ‘이용 요금 인하(88.0%)’ 등이 필요하다는 의견들이 대다수이며, 10.2%정도가 ‘보안문제 개선’이 필요하다고 응답 <무선 인터넷 활성화 방안(복수응답, %) (KISA 2009 무선인터넷이용실태조사)> 3
2 스마트폰 침해사고 현황 - 모바일 악성코드 현황 - 국외 현황 국내 현황 현재까지 보고된 모바일 악성코드1)는 없음 -국내 휴대폰에 탑재되는 소프트웨어 플랫폼이 이동통신사마다 다름 - 공통으로 탑재된 WIPI 플랫폼의 폐쇄적인 환경 • 모바일 악성코드 발생건수 계속적으로 증가 • < 연도별 모바일 악성코드 누적 발생 추이> 최근, 모바일 악성코드 발생 위협 증가 - WIPI 의무탑재고시조항 해제 ('09.4.1) - 애플사iPhone, 모토로라사의모토로이등 개방형(OS 및 어플리케이션) 스마트폰들의 보급 활성화 국외에서 발생하는 모바일 악성코드 중약 90% 이상, 심비안2) 운영체제가 탑재된 스마트폰을 대상으로 하고 있음 • 1) 모바일 악성코드란? • - 휴대폰 및 스마트폰에 감염되어 개인정보유출, 시스템 파괴, 원격지 접속 등의 악성행위를 수행하는 프로그램 • 2) 심비안(Symbian)이란? • - 주로 PDA, 휴대폰 등에 탑재되는 경량화된 운영체제이며 노키아 주도로 개발 4
3 스마트폰 악성코드 유형 (1/4) 유형1) 개인정보 유출 통화내역, 수신메시지, 전화번호부, 일정, 메모, 위치정보 등 개인신상정보 유출 인터넷뱅킹, 소액결제 등의 금융거래정보, 업무용 파일 등 기밀정보 유출 피해 사례 PBStealer(2005) 전화번호부 압축 프로그램으로 가장한 악성코드로, 단말기에 저장된 전화번호를 외부 단말기로 유출 iPhone/Privacy.A(2009) 감염된아이폰에서무선랜을접속하는 경우 개인정보(문자메시지,이메일 등)를 원격지로 전달 Duh Worm (2009) 아이폰을이용한 금융관련 거래에서 SMS 기반 인증코드(6자리)를 훔쳐내어 원격지로 전송하는 등의 금전적인 피해 유발 가능 < PBStealer에 감염된 단말기 > < PBStealer 감염된 단말기와 인접한 단말기가 수신한 전화번호 파일 > 5
3 스마트폰 악성코드 유형 (2/4) 유형2) 장치 이용 제한 단말기 UI 변경, 단말기 파손(오류 발생), 배터리소모, 정보(파일, 일정, 전화번호 등) 및 프로그램 삭제 등 피해 사례 Skull (2004) 단말기의 시스템 어플리케이션을 다른 파일로 교체하여, 단말기 사용을 불가능하게 함 Bootton(2005) 단말기에설치된 응용 프로그램 아이콘변경, 전화통화 외에 다른 기능 사용하지 못하게 함 < Skull에 감염된 단말기 > < Bootton에 감염된 단말기 > BlankFont(2005) 단말기 폰트파일 사용 불가능하게 함 Ikee(2009) 아이폰의바탕화면을 80년대 팝가수릭애슬리사진으로 변경 < BlankFont에 감염된 단말기 > < Ikee에 감염된 단말기 > 6
3 스마트폰 악성코드 유형 (3/4) 유형3) 부정과금 유발 SMS, 멀티미디어메시지(MMS) 등 스팸문자 발송 휴대전화 소액결제, 무선 인터넷 이용, 유료전화서비스 악용 등 피해 사례 Mosquit (2004) 고액의비용을 청구하는 서비스 전화 번호 리스트를 포함하여, 단말기 사용자 몰래 SMS 메시지를 해당 전화번호로 보냄으로써 고액의 서비스 이용료 부과 CommWarrior (2005) MMS메시지에 자신의 복사본을 첨부하고 단말기 주소록에 있는 모든 연락처에 발송함으로써 단말기 소유자에게 고액의 서비스 이용료 부과 < CommWarrior에 감염된 단말기 > 7
3 스마트폰 악성코드 유형 (4/4) 유형4) 모바일DDoS 감염된좀비 단말기는 특정 사이트에 트래픽을 유발하거나 특정 단말기에 SMS를 전송함으로써 부정 과금 유발 및 웹사이트 마비, 단말이용 불능 야기 ※스마트폰 자체가 DDoS유발용 단말기(C&C)로도 사용 가능 침해 시나리오 < 스마트폰을 이용한 SMSDDoS 공격 > < 스마트폰을 이용한 모바일 DDoS 공격 > 8
4 스마트폰 보안 이슈(1/5) 기능폰/스마트폰/PC 환경 비교 9
4 스마트폰 보안 이슈(2/5) 스마트폰 보안 위협 사회공학적 기법 분실 및 도난 유용한 프로그램으로 위장한 악성프로그램 추가 범죄에 악용 (금융결제, 사기등) 이메일/SMS/MMS를 통한 악성코드 전파 개인/기업정보 유출 취약점 어플리케이션 검증체계 악성 어플리케이션 검증 어플리케이션 취약점 Mobile Platform 취약점 어플리케이션 취약점 검증 취약점 Self Signing 10
4 스마트폰 보안 이슈(3/5) 안드로이드 마켓 악성 프로그램 유포 사례 허위 모바일뱅킹 프로그램 유포 ('09.12) 09Droid라는 ID를 가진 개발자가 미국은행이나 신용조합 이름으로 39종의 개인정보 유출 악성 프로그램을 유포 어플리케이션에 대해 정당성 및 보안성 검토 절차가 없음 안드로이드는어플리케이션 설치 시 어플리케이션의 접근 권한을 명시하여 이용자가 설치 여부를 결정하게 함 11
4 스마트폰 보안 이슈(4/5) 심비안- 어플리케이션 검증 체계 등장 2004년,심비안OS를 대상으로 하는 악성코드의 수 급격하게 증가 2005년 상반기, 플랫폼 보안 기술을 탑재한 Symbian OS 9.1이등장 - 특정 API에 접근하기 위해서는 Symbian Signed의 Test House를 통해 어플리케이션 검증 및 전자서명을 받아야 함 < 연도별 심비안 악성코드 발생 추이> ① ID 요청 ② ID 발급 인증기관 (TC TrustCenter) 악성코드 수 감소 ③ 전자서명 ④ 검증요청 Test House (www.symbiansigned.com) ⑥ 서명된 어플리케이션 출처: SmobileSystems ⑤ 검증 및 서명 12
4 스마트폰 보안 이슈(5/5) 심비안- Self Signing Symbian Signed를 통한 어플리케이션 검증은 시간이 오래 걸려 유연성이 떨어짐 어플리케이션이 기본권한(Basic Capability)만을 필요로 할 경우, 개발자는 자기서명 인증서 (Self-signed Certificate)를 통해 어플리케이션을 서명하여 즉시 배포 악성코드 제작자가 이를 악용하여 악성프로그램을 자기서명(Self Signing)하고 유포할 가능성이 존재 기 본 권 한 • 1) LocalServices • - 블루투스, USB, 적외선 연결을 이용할 수 있는 권한 • 2) UserEnvironment • - 음성녹음 및 카메라를 제어할 수 있는 권한 • 3) NetworkServices • - 전화, 문자메시지, 무선랜등을 이용할 수 있는 권한 • 4) ReadUserData • - 연락처 등의 개인정보를 읽을 수 있는 권한 • 5) WriteUserData • - 연락처 등의 개인정보를 쓸 수 있는 권한 • 6) Location (S60 3rd Edition, FP2 부터) • - 단말기의 위치 정보에 접근할 수 있는 권한 현재 KISA에서는 국내 현실에 적합한 앱스토어 어플리케이션 검증체계 방안마련 중임 13
5 스마트 보안을 위한 주체별 대응방향 14
[별첨] 스마트폰 이용자 10대 안전 수칙(1/2) 10대 안전 수칙 1. 의심스러운 어플리케이션 다운로드하지 않기 -위변조된어플리케이션에 의해서 스마트폰용 악성코드 유포될 가능성 높음 2. 신뢰할 수 없는 사이트 방문하지 않기 - 인터넷을 통해 스마트폰 단말기가 악성코드에 감염되는 것을 예방하기 위해 3. 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기 - 멀티미디어 메시지(MMS)및 이메일은 첨부파일 기능이 있어 악성코드 유포에 악용 될 수 있음 4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기 - 단말기 분실 및 도난시 비밀번호가 유출되는 것을 방지하기 위해 5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기 - 악성코드 감염 가능성을 줄이기 위해, 국외의 경우 블루투스 기능을 통해 상당수의 스마트폰악성코드가 유포되었음 15
[별첨] 스마트폰 이용자 10대 안전 수칙(2/2) 10대 안전 수칙 6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기 - 스마트폰 매뉴얼에 따라 선조치한 후에도 이상증상이 계속될 경우, 악성코드 감염일 가능성이 있으므로 백신 프로그램을 통해 단말기 진단 및 치료 필요 7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기 - 스마트폰용 악성프로그램이 인터넷을 통해 특정 프로그램이나 파일 등에 숨겨져 배포 될 수 있으므로 바이러스 유무를 검사해야 함 8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기 - 동기화 프로그램을 통해서도 PC에 있는 악성코드가 스마트폰으로 옮겨질 수 있으므로 스마트폰및 PC의 정기점검 필요 9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기 - 플랫폼 구조 변경시, 기본적인 보안 기능에 영향을 주어 문제가 발생할 가능성 있음 10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기 - 해커들의 다양한 공격기법에 대응하고 스마트폰의 안전한 사용을 위해 13