Transcript 발표자료
“모바일 클라우드 서비스 보안 침해 대응 방안” 분석 보고 서울과학기술대 산업대학원 컴퓨터공학과 박지수 목차 모바일 클라우드 컴퓨팅 모바일 클라우드 서비스 보안 위협 모바일 클라우드 서비스 위협 시나리오 모바일 클라우드 서비스 위협 대응 방안 결론 참고문헌 모바일 클라우드 컴퓨팅 모바일 클라우드 컴퓨팅 구성도 모바일 클라우드 컴퓨팅 Apple-MobileMe iPhone, iPad, MacOS MobileMe 에서 iCloud로 전환 iCloud의 기능 모바일 클라우드 컴퓨팅 Microsoft-Myphone Windows mobile 6 이상 Myphone 기능 휴대폰 데이터 자동 백업 사진을 PC에 보내 소셜 네트워크 사이트에 올리기 분실한 휴대폰 찾기 온라인에서 연락처 정보, 문자 메시지 등 확인 모바일 클라우드 컴퓨팅 구글 클라우드 프린팅 3-Screen 모바일 클라우드 서비스 보안 위협 모바일 단말 위협 메시지 메일 오용 및 남용 : 모바일 메시지를 다양한 위협 형태로 악용 하여 바이러스 유포 및 서비스와 단말의 사용 제약 메시지 스푸핑 스팸 메시징 메시지 피싱 악성 메시지 배포 다량의 메시지 전달 악의적인 콘텐츠 서비스 거부 : 모바일 단말이 타깃이 되어 작업 수행을 못하거나 좀비 가 되어 서버나 다른 모바일 단말을 위협 서비스 과다요청 모바일 단말 파괴 배터리 소진 저장 공간 소진 컴퓨팅 파워 소진 악의적인 포맷 스트링 오버플로우 모바일 클라우드 서비스 보안 위협 모바일 단말 위협 데이터 손실 및 유출 : 모바일 단말의 고성능화와 이동성, 서버의 모바일 데이터를 보유하는 특성으로 인한 데이터 손실 및 유출 의 위협 모바일 단말 분실 및 도난 서버의 데이터 손실 및 유출 모바일 화면, 통화 내용 노출 모바일 정보 유출 부적절한 네트워크 접근 서비스 기반 위협 : 정상적인 모바일 서비스의 방식 및 내용을 악용하거나 위장하여 다른 모바일 서버, 플랫폼, 단말, 데이터 등 을 위협 크로스 서비스 위협 사용자 위치 불법 추적 논리 오류 발생 및 코드 삽입 불법 통화 시도 모바일 클라우드 서비스 보안 위협 모바일 단말 위협 보안 체계 위협 : 모바일 단말의 암호화, 인증 등을 무 력화 시키는 위협 모바일 단말 암호 크랙 데이터 암호화 보호 크랙 인증 우회 및 크랙 악성코드 위협 : 모바일 단말을 감염시켜 데이터를 유 출하고 시스템 파괴, 원격 제어 등 악의적인 행동하는 코드 바이러스, 웜, 트로이 목마, 스파이웨어 모바일 클라우드 서비스 보안 위협 무선 네트워크 위협 도,감청 : 패킷을 불법으로 수집하여 내용 유출 음성 도감청 메시지 도감청 패킷 도감청 프로파일링 및 추적 : 네트워 통신 정보를 수집하고 추 적 블루투스 프로파일링 무선랜 프로파일링 WiBro 프로파일리 모바일 클라우드 서비스 보안 위협 무선 네트워크 위협 불법인증 위협 : SSID, MAC주소 노출 등으로 불법 인증 된 사용자가 접근 비인증 접근점 서비스 식별자 노출 WEP 키 노출 이더넷 물리적 주소 노출 서비스 거부 : 시스템 자원 고갈 및 비정상 패킷의 다 량 발송 등 정상적인 서비스 거부 플러딩 위협 전파 차단 및 방해 모바일 단말 파괴 모바일 클라우드 서비스 보안 위협 무선 네트워크 위협 네트워크 통신정보 유출 및 변조 : 사용자의 등록정보 를 조작하거나 불법 통신망으로 서비스 접속을 유인 하여 사용자 정보 유출 네트워크 통신정보 스푸핑 메시지 파싱 세션 가로채기 : 사용자의 세션 제어권한 등을 획득 세션 가로채기 모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협 서비스 오남용 : 클라우드 자원을 악의적인 목적으로 오용 및 남용 데이터 암호화 보호 크랙 서비스 과부화 서버, 모바일 봇넷화 악성코드 호스팅 CAPTCHA를 푸는 영역으로 활용 모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협 데이터 손실 및 유출 : 통합되고 공유된 자원이 악의적 접근에 노출되거나 데이터 사이 구분의 불명확함 불충분한 접근제어 부적절한 권한 부여 불충분한 감사 소프트웨어 라이센스 크랙 연계성의 위험 클라우드 서버 정보 유출 모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협 어플리케이션의 위협 : 결함이 있는 클라우드 서비스 제공자에게 종속되는 어플리케이션의 위험 익명의 접근 재사용 가능한 토큰이나 비밀번호 일반 텍스트 인증 일반 정보 전송 및 저장 부적절한 접근제어 기능 부적절한 권한 부여 기능 불충분한 모니터링과 로깅 알려지지 않은 서비스나 API 의존성 모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협 관리 시스템의 취약점 : 클라우드 관리자의 보안성 부 재와 관리 부족 프로파일 정보 유출 불충분한 재난 복구 데이터의 잔류 가상화 기술의 취약점 : 가상화 기술의 특성을 악용 가상화 취약점 위협 모바일 클라우드 서비스 보안 위협 서비스위협 모바일 클라우드 서비스 이용단 무선 네트워크상 • 악성 메시지배포 • 비인증 접근점 • 크로스서비스 위협 • 서비스 식별자 노출 • 논리오류 발생 및 코드 삽입 • WEP 키 노출 • 알려지지 않은 서비스나 API 의존 • 이더넷 물리적 주소 노출 성 • 불충분한 모니터링과 로깅 • 부적절한 접근 제어 기능 • 부적절한 권한 부여 기능 • 재사용 가능한 토큰 및 비밀번호 • 익명의 접근 • 모바일 단말 암호 크랙 • 인증 우회 및 크랙 • 데이터 암호화 보호 크랙 • 부적절한 네트워크 접근 • 악의적인 콘텐츠 • 세션 가로채기 클라우드 단 모바일 클라우드 서비스 보안 위협 서비스 불능 위협 모바일 클라우드 서비스 이용단 무선 네트워크상 • 스팸 메시징 • 전파 차단 및 방해 • 서비스과다 요청 • 플러딩 위협 클라우드 단 • CAPCHA를 푸는 영역 으로 활용 • 배터리 소진 • 서버 봇넷화 • 다량의 메시지 전달 • 서버 과부하 • 모바일 단말 파괴 • 불법 통화 시도 • 악의적인 포맷스트링 • 오버플로어 • 모바일 봇넷화 • 메모리소진 • 컴퓨팅 파워 소진 모바일 클라우드 서비스 보안 위협 데이터 유출 및 변조 위협 모바일 클라우드 서비스 이용단 무선 네트워크상 클라우드 단 • 모바일 분실 및 도난 • 음성 도감청 • 불충분한 감사 • 사용자 위치 불법 추정 • 메시지 도감청 • 연계성의 위험 • 통화 내용 노출 • 패킷 도감청 • 불충분한 접근제어 • 모바일 화면 노출 • 블루투스 프로파일링 • 부적절한 권한 부여 • 메시지 피싱 • 무선랜 프로파일링 • 소프트웨어 라이센스 크랙 • 메시지 스푸핑 • WiBro 프로파일링 • 데이터의 잔류 • 일반 텍스트 인증 • 네트워크 통신 정보 스푸핑 • 불충분한 재난 복구 • 일반 정보 전송 및 저장 • 프로파일 정보 유출 • 모바일 정보 유출 • 클라우드 서버 정보 유출 모바일 클라우드 서비스 위협 시나리오 서비스 권한 획득 불법 과금 유발 서비스 사용불가 데이터 정보 유출 데이터 정보 유출 데이터 정보 유출 및 및 위변조 및 위변조 위변조 불법 인증을 통한 악성 비정상적인 서비스 제 모바일 단말 파괴를 야 부적절한 어플리케이 가상화 취약점을 악용 코드 감염 어로 인한 과금 발생 기하는 서비스 거부 션 사용 한 프로파일 정보 유출 서비스 악용을 통한 악 비밀번호 유출로 인한 클라우드 자원을 위협 모바일 단말의 분실 및 모바일 관리 서버 해킹 성코드 전파 불법 과금 하는 서비스 거부 도난 후 악성코드 배포 권한 오용을 통한 불법 악의적 메시지로 인한 통신 내용 도감청 및 세 무선 네트워크의 도감 과금 침해 배터리 소진 위협 션 가로채기 청을 통한 데이터 유출 오버플로어를 통한 서 네트워크 취약점을 악 클라우드 자원 악용으 스팸 메시지를 통한 민 비인증 접근점을 통한 비스 권한 획득 용한 과금 우회 로 인한 서비스 거부 감한 정보 획득 데이터 유출 데이터 통신 정보 수집 서비스의 취약성으로 을 통한 데이터 유출 인한 데이터 유출 클라우드 자원의 악성 코드 감염으로 인한 악 성코드 전파 연계성의 위험으로 인 한 데이터 유출 모바일 클라우드 서비스 위협 시나리오 모바일 클라우드 권한 획득 모바일 클라우드 서비스 위협 시나리오 모바일 클라우드 서비스의 불법 과금 유발 모바일 클라우드 서비스 위협 시나리오 모바일 클라우드 서비스 사용 불가 모바일 클라우드 서비스 위협 시나리오 데이터 정보 유출 및 위변조 모바일 클라우드 서비스 위협 대응 방안 위협 시나리오 기반 대응 방안 오버플로어 인증 우회 및 크랙 가상화 취약점 위협 부적절한 권한 부여 •서비스 업데이트 및 패치 •입력 정보 필터링 및 모니터링 •사용자 인증 강화 •서비스 업데이트 및 패치 •가상화 환경의 설정 유형 점검 및 제거 •가상화 환경의 업데이트 및 패치 •보안 메커니즘 적용 •사용자 인증 강화 •인증서 기반 관리자 인증 •역할기반 클라우드 자원 할당 •보안성 있는 인증 메커니즘 적용 •컴퓨팅 자원 및 입력 모니터링 악성코드 •서비스 업데이트 및 패치/서비스 교체 •안티바이러스 설치 및 유지 스마트폰 침해 방지 기술 민감정보 유출 방지 기술 민감정보를 가진 데이터를 선별하여 이 데이터를 제어하는 기능 들을 모니터링하여 정보의 유출을 방지하는 기술 모바일 접근 제어 기술 스마트폰 환경에 맞게 정책을 최소화하고 어플리케이션과 데이 터에 대한 접근 제어를 제공하는 기술 원격 모바일 보안 관리 기술 스마트폰의 자원을 효율적으로 사용하기 위해 사용 목적, 사용 장소, 사용 네트워크 상태에 적합한 보안 서비스를 자동으로 구 성하는 기술 결론 모바일 클라우드 컴퓨팅 보안 기존 IT 기술을 사용하여 기존 보안 위협 포함 기술들의 융합된 서비스로 인한 새로운 보안 위협 존재 보안 문제를 해결하기 위한 방안 기존 보안 기술을 강화 소프트웨어, 플랫폼, 인프라 서비스 등을 통합하여 서비스 할 시 생기는 취약점 분석 지속적인 위협 분석 및 대응 방안 연구 참고문헌 김형종, 박춘식, 최주영, 김지연, 이알렉산더, 장은영, 신지현, "모바일 클라우드 서비스 보안 침해 대응 방안”, KISA 연구 보고서, 2010년 11월 강동호, 한진희, 이윤경, 조영섭, 한승완, 김정녀, 조현숙, “스마트폰 보안 위협 및 대응 기술”, 전자통신동향분석 제25권 제3호, 2010년 6월 김기형, 강동호, “개방형 모바일 환경에서 스마트폰 보안 기술”, 정보처리학회 지 제19권 제5호, 2009년 10월 김학영, 민옥기, 남궁한, “모바일 클라우드 기술 동향”, 전자통신동향분석 25권 3호, 2010년 6월 장은영, 김형종, 박춘식, 김주영, 이재일, “모바일 클라우드 서비스의 보안위협 대응 방안 연구”, 정보보호학회논문지, 제21권 제1호, 2011년 2월 Q&A