Transcript SmartPhone Security_summary

Introduction to
Smart Phone
Security
Spring 2016
1
Outline
•
•
•
•
Introduction
Android Security
iOS Security
Conclusion
2
Introduction
정보보안 패러다임의 변화
4
모바일 보안 위협 증가
5
안드로이드 위협 가속화
6
악성코드 유형별 분류
7
Android Security
안드로이드 보안 위협
9
개인정보 유출
10
악성 어플리케이션에 의한 개인정보 유출
11
악성 어플리케이션에 의한 개인정보 유출
Samsung : Smart Switch (currently)
12
클라우드 서비스에서의 개인정보 유출
SKT T Bag은 T Cloud로 통합 (2013. 7.30)
13
사업자에 의한 개인정보 유출
14
원격 제어
15
커널(Kernel) 공격
16
스미싱 (Smishing)
17
스미싱 차단 솔루션
18
음성통화 감청
19
음성통화 감청
20
An Example
21
iOS Security
iOS와 안드로이드의 보안 체계 비교
iOS
안드로이드
Darwin UNIX에서 파생하여 발전한 OS X의 모바일
버전
리눅스 커널(2.6.25)을 기반으로 만들어진 모바일
운영체제
애플
개발자 또는 사용자
관리자(root)
일반 사용자
애플이 자신의 CA를 통해 각 응용프로그램을 서명
하여 배포
개발자가 서명
샌드박스
엄격하게 프로그램 간 데이터 통신 통제
iOS에 비해 상대적으로 자유로운 형태의 어플리케
이션의 실행이 가능
부팅 절차
암호화 로직으로 서명된 방식에 의한 안전한 부팅
절차 확보
-
단말 기기별 고유한 소프트웨어 설치 키 관리
-
운영체제
보안 통제권
프로그램 실행권한
응용 프로그램에
대한 서명
소프트웨어 관리
23
iOS의 취약점
• iOS의 보안상의 문제점은 대부분 탈옥(Jailbreak)한
iOS 기기에서 발생
탈옥한 iOS로 내부파일 접근
24
iOS의 취약점
• 탈옥된 iOS에서 SSH 서버를 실행할 경우 로컬이나
원격지에서 로그인하는 것도 가능
탈옥한 iOS에서 SSH 서버 실행
•
•
사용자가 iOS를 탈옥할 경우에 반드시 적용해야 할 보안 사항은 바로 기본 패스워드 변경
iOS에서는 root의 패스워드가 ‘alpine’으로 설정되어 있음
• 탈옥을 해놓은 상태에서 SSH 서버 등을 실행시켜놓으면 임의의 접속자에 의해 iOS에
있는 정보들이 유출될 수 있음
25
Conclusion
Security Software
27
Challenges in the Future
28
Reference
• 류재철, 스마트보안, OSIA TA Workshop, 2013.12
• 양대일, 정보 보안 개론 , IT CookBook, 2013.07
• 하동수, 이강효, 오희국, 안드로이드 어플리케이션
역공학 보호기법, 정보보호학회지, v.25, no.3,
2015.06
• 신정금, 모바일 금융 보호를 위한 스마트단말 보안
플랫폼 기술, NETSEC-KR 2015, 2015.04
• 전용성, MTM 기반 스마트 단말 보안, NETSEC-KR
2015, 2015.04
29