* 본 보고서는 연구 목적으로 작성되어진 보고서로 금융보안연구원의 공식입장과 다를 수
있습니다.
* 본 보고서의 내용중오류가발견되었거나, 내용에대한의견이있을경우금융보안연구원
보안기술팀(ufin@fsa.or.kr)으로 해당 내용을 보내주시기 바랍니다.
금보원 2012-01
금융 스마트폰 주요 보안 이슈
및 동향보고서
2012. 7
차 례
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
차 례 i
차례
금융 스마트폰 주요 보안 이슈 및 동향보고서
제 1 장 개 요······························································ 1
제 1 절 배경 및 구성 ··············································· 1
제 2 절 용어정의 ····················································· 2
제 2 장 보안 위협 동향··············································· 5
제 1 절 국내·외 스마트폰 이용 현황 ························ 5
제 2 절 스마트폰 악성코드 현황································ 8
제 3 절 스마트폰 보안사고 사례 및 위협················· 11
1. 국내 주요 금융 보안사고 사례·························· 11
2. 스마트폰 보안 이슈··········································· 13
3. 대표적 위협 사례·············································· 14
제 3 장 보안 위협 분류··············································· 17
제 1 절 분류···························································· 17
제 2 절 보안 위협의 효과성 및 위험계층················· 20
제 4 장 대응 현황 및 대응 과제·································· 22
제 1 절 금융 스마트폰 보안 대응 현황····················· 22
제 2 절 지속적인 보안 위협과 기술적 대응 과제······ 25
붙임 1 스마트폰 보안 위협 시나리오 및 사례············· 29
붙임 2 스마트폰 보안위협 분류항목 설명··················· 35
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
ii 금융 스마트폰 주요 보안 이슈 및 동향보고서
그림
금융 스마트폰 주요 보안 이슈 및 동향보고서
<그림 1> 국내 스마트폰 사용현황 ·································· 5
<그림 2> 탈옥하는 이유 ················································· 6
<그림 3> Android OS 및 iOS OS 버전별 사용 현황········· 6
<그림 4> iOS 버전 비율 변화(2012.3~4) ···························· 7
<그림 5> Android 버전 비율 변화(2011.1~2012.5) ··············· 7
<그림 6> 모바일 악성코드 월별 수치 ····························· 8
<그림 7> 스마트폰을 이용한 피싱 사이트 유도 ·············· 9
<그림 8> Zeus, SpyEye 스마트폰용 악성코드 현황 ······· 10
<그림 9> 악성코드에 의한 스마트폰 원격 무단 접속 ····· 14
<그림 10> 스마트폰 터치이벤트 값 절취 위협················ 15
<그림 11> 금융 앱 위·변조 흐름도 ······························· 15
<그림 12> Google Wallet 서비스에서의 이용자 PIN값 탈취 16
<그림 13> 서비스 구간별 보안 위협 분류······················· 17
<그림 14> 구간별 대응 현황 및 대응 기술····················· 24
<그림 15> 정상적인 SMS 보안 인증 구조······················ 29
<그림 16> SMS 보안 인증 우회····································· 30
<그림 17> 스마트폰 금융 앱 보안 위협 시나리오 #1 ······ 31
<그림 18> 스마트폰 금융 앱 보안 위협 시나리오 #2 ······ 33
<그림 19> 악성코드에 의한 스마트폰 원격 무단 접속 ··· 33
<그림 20> 스마트폰 터치이벤트 값 절취 위협················ 34
<그림 21> 보안 위협 구간·············································· 35
차 례
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
차 례 iii
표
금융 스마트폰 주요 보안 이슈 및 동향보고서
[표 1] 스마트폰 OS별 주요 악성코드 현황 ······················ 8
[표 2] 2010~2012년도 국내 주요 금융 보안사고··············· 11
[표 3] 스마트폰 보안 이슈 변화 ···································· 13
[표 4] 스마트폰 보안위협 분류······································· 18
[표 5] ENISA-스마트폰 OS별 주요 악성코드 현황··········· 19
[표 6] 보안 위협 효과성 및 위협 계층 평가 ·················· 20
[표 7] 금융감독원 및 KISA에서의 스마트폰 안전수칙······ 22
[표 8] 스마트폰 금융서비스 환경에서 제기되는 새로운 보안
이슈들··································································· 25
[표 9] 스마트폰 환경에서의 기술적 요구사항·················· 26
개 요 제1장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제1장 개 요1 1
제1장 개 요
제 1 절 배경 및 구성
2010년, 스마트폰 시장의 급속한 성장과 함께 개방형 플랫폼 수요가
증가하면서 기존 이용자의 정보사용 방법에 많은 변화가 이루어졌다.
피처 폰에서는 이동통신사나 단말제조사에서 제공하는 제한적인 서비스를
이용하였지만, 일반PC수준의 고성능 하드웨어(H/W)를 지닌 스마트폰
출시와 함께 이를 지원하는 다양한 프로그램이 개발되어 사용할
수 있게 되었다.
이는 이용자가 직접 원하는 프로그램을 제작·배포할 수 있어 다양
한 요구사항을 충족시키지만, 보안 측면에서는 이로 인해 기존에
없던 새로운 공격 요소의 등장배경이 된다.
한 편, 스마트폰 프로그램 개발을 지원하는 프로그래밍 언어는
다양한 기능을 제공할 수 있는 API를 지원하고, 해커는 이 API를
이용해 신종 악성코드를 제작한다. 이에 따라 스마트폰 보안 위협
관련 사례가 매년 급속하게 증가하고 있는 실정이다.
본 보고서는 “금융부문 스마트폰 보안 가이드(2010.12)”의 위협분
류를 기반으로 국내외 금융권에서 발생되었던 중요 보안사고 사례
위주로 금융 스마트폰에 대한 최근 보안 위협 동향파악에 중점을
두며, 이를 근거로 보안 위협을 재분류하여 현재 진행되고 있는
대응 현황과 앞으로 대응해야할 기술적 대응 과제에 대해 다루고자
한다[1][7].
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
2 금융 스마트폰 주요 보안 이슈 및 동향보고서
. 탈옥 또는 루팅
(Jailbreak or Rooting):
iOS(Android)의 제한을 풀어 이용자의
루트에 접근할 수 있게 함으로써 타 회사에서
사용하는 서명되지 않은 코드를 실행
할 수 있게 하는 과정
. 피싱(Phishing) : ‘개인정보(Private data)를 낚는다(Fishing)’
라는 의미의 합성어로, 위장된 홈페이
지로 접속하도록 한 뒤 인터넷 이용자
들의 금융정보 등을 빼내는 사기 수법
. 툴킷(Toolkit) : 새로운 소프트웨어를 개발할 때 사용하기
위해 모아 놓은 도구 모음 프로그램.
대개 상용 라이브러리와 그것을 효율적으로
이용하기 위한 보조 프로그램을 포함
. C&C
(Command&Control) :
해커가 좀비 PC를 원격 조종하기 위한 거
점으로 삼은 컴퓨터 시스템에서 공격명령
을 내리는 것
. 루트킷(Rootkit) : 루트 권한을 획득한 해커가 심어놓은
프로그램을 숨기기 위한 목적으로 사용되는
프로그램
. 제로데이(0-day) 취약점: 컴퓨터 소프트웨어의 취약점을 공격하는
기술적 위협, 해당 취약점에 대한 패치가
나오지 않은 시점에서 이루어지는 공격
제 2 절 용어정의
개 요 제1장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제1장 개 요1 3
. Kernel RootKit : 시스템 하위 운영 모드를 침입 후 침입
사실을 숨긴 채 차후의 침입을 위한
백도어, 원격 접근, 내부 사용 흔적 삭제,
관리자 권한 획득 등 불법적인 해킹에
사용되는 기능을 제공하는 프로그램의
모음
. 블랙마켓
(Black Market) :
서비스 제공사가 운영하는 정상적인
앱 유통 방식이 아닌 특정 이용자가
자체 운영하는 앱 유통 형태
. 터치이벤트 값 : 스마트폰의 경우 터치스크린을 통해
입력한 정보, 데이터를 의미
. User Mode : 스마트폰에서 이용되는 각종 어플리케이션이
실행되는 영역
. Kernel Mode : 스마트폰에 장착된 각종 하드웨어 및
운영체제를 제어 하는 영역
. 위·변조된 뱅킹 앱 : 탈옥된 스마트폰 환경에서 뱅킹 앱이
실행되지 않도록 하는 보안 기능을 우회한
불법 앱 프로그램
. N스크린(N-Screen) : 여러 개의 정보기기로 같은 콘텐츠를
연속적으로 이용할 수 있는 차세대
네트워크 기술과 서비스
. NFC (Near Field
Communication) :
전자태그(RFID)의 일종, 비접촉식 근거리
무선통신 모듈로 10cm의 가까운 거리에서
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
4 금융 스마트폰 주요 보안 이슈 및 동향보고서
단말기 간 데이터를 전송하는 기술,
결제뿐만 아니라 슈퍼마켓이나 일반
상점에서 물품 정보나 방문객을 위한
여행 정보 전송, 교통, 출입통제 잠금
장치 등에 광범위하게 활용
. PIN(Personal
Identification Number):
은행 카드 등의 개인 식별 번호 또는
비밀 번호
. SHA256 (SHA-2) : 1993년에 미국 표준 기술 연구소(NIST)에
의해 제시된 안전한 해시 표준 중 하나
. Brute-force Attack : 특정한 암호를 풀기 위해 가능한 모든
값을 대입하는 것
보안 위협 동향 제2장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제2장 보안 위협 동향1 5
제2장 보안 위협 동향
제 1 절 국내·외 스마트폰 이용 현황
2012.2월 기준 국내 스마트폰 이용자 2,600만 명 중 안드로이드
(Android)폰 및 아이폰(iPhone)을 이용하는 이용자는 90%에 달한다.
<그림 1> 국내 스마트폰 사용현황
<그림 1>에 의하면, 안드로이드와 아이폰을 사용하는 90%의
스마트폰 이용자 중 탈옥(Jailbreak)또는 루팅(Rooting)(이하 탈옥) 같은
자가 해킹을 시도한 이용자는 아이폰 이용자가 안드로이드폰
이용자보다 많고, 사용기간이 길수록(13개월 이상, 약 25%) 탈옥
경험 비율이 높은 것으로 나타났다[1].
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
6 금융 스마트폰 주요 보안 이슈 및 동향보고서
<그림 2> 탈옥하는 이유
<그림 2>를 통해, 탈옥을 시도하는 이유가 유료 앱의 무료 다운로드,
스마트폰의 다양한 기능 향상 등 이용자 본인의 취향대로 스마트폰을
사용하고 싶은 강한 욕구에 의함을 엿볼 수 있다.
<그림 3> Android OS 및 iOS OS 버전별 사용 현황
보안 위협 동향 제2장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제2장 보안 위협 동향1 7
한편, 現 전 세계 안드로이드폰(Android 운영체제) 및 아이폰(iOS
운영체제) 이용자가 사용하고 있는 운영체제 버전 비율은 <그림 3>과 같다.
<그림 4~5>는 상기 운영체제 버전의 비율과 그 변화를 비교한
것으로, 낮은 버전의 OS를 사용하는 이용자는 업그레이드 없이
지속적으로 낮은 버전의 OS를 사용하는 경향이 있다.
<그림 4> iOS 버전 비율 변화(2012.3~4)
<그림 5> Android 버전 비율 변화(2011.1~2012.5)
iOS 운영체제의 경우 새로운 버전이 업데이트 되는 경우,
Android 운영체제에 비해 상대적으로 빠르게 버전을 업데이트
하는 것을 관찰 할 수 있다. 그 이유는 iOS 운영체제의 경우 하나의
단말제조사(Apple社)에서 모든 것을 관리하는 반면, Android 운영
체제의 경우 각 단말제조사에서 해당 스마트폰에 적용 가능하도록
다시 운영체제를 수정하고 이를 재배포 하기 때문이다.
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
8 금융 스마트폰 주요 보안 이슈 및 동향보고서
스마트폰
OS
악성코드 명 설명
Android
SMS Relicator
문자메시지를 이용자 몰래 실시간으로 특정
이용자에게 유출
SMS Send 문자 메시지를 통한 과금 발생 유도 등
Snake
유료 앱인 GPSSpy TabSnake가 설치된 스마트폰
위치 확인, 이용자의 GPS정보를 특정 서버로
전송
Ewalls 스마트폰 내의 개인정보 또는 단말기 정보를
[표 1] 스마트폰 OS별 주요 악성코드 현황
제 2 절 스마트폰 악성코드 현황
근래의 스마트폰용 악성코드 월별 수치를 보면 2011.10월을 기
점으로 급속하게 수치가 증가하는 추세이다[2].
<그림 6> 모바일 악성코드 월별 수치
발견된 악성코드는 [표 1]과 같이 주로 이용자의 정보(SMS, GPS
위치 정보 등)수집, 정보유출, 불법과금, 부정사용 등에 이용된다[3].
보안 위협 동향 제2장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제2장 보안 위협 동향1 9
수집해 특정 서버로 전송, 다수의 유사 프로그
램 발생
Geinimi 중국에서 발견, 개인정보를 특정 서버로 전송
Windows
Mobile
TreDial
국제전화를 무단으로 발신해 원치 않는 과금
유발
Duts
윈도우 모바일 최초의 바이러스, 실행파일 감염,
개념 증명 바이러스
iPhone
LKE Worm
아이폰 최초의 악성코드, 배경화면 변경, 탈옥
기기에서 동작
Privacy.A
감염된 아이폰에서 무선랜을 접속하는 경우,
개인정보(문자메시지, 이메일 등)를 원격으로
전달
Agent.535552.F
아이폰 탈옥프로그램으로 위장한 정보 유출형
악성코드, 구글토크, MSN메신저, 야후 등의
서비스에 로그인 할 때 ID와 패스워드 등의 계정
정보 유출
한편, 발견된 악성코드는 주로 해외 스마트폰 뱅킹이나 기타
서비스를 대상으로 하는 정교한 해킹기술이 사용되어 있으나,
국내 서비스를 대상으로 하는 악성코드는 발견되지 않았다.
실제, 국내에서는 정교한 해킹기술보다 금융사 피싱(Phishing)
사이트 유도를 목적으로 하는 악성코드가 많이 유포 되고 있다.
<그림 7> 스마트폰을 이용한 피싱 사이트 유도
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
10 금융 스마트폰 주요 보안 이슈 및 동향보고서
국외사례 중 금융정보 탈취를 목적으로 사용되는 주목해야할 악성코
드는 ZitMo(Zeus In The Mobile)와 SpyEye류 이다.
<그림 8> Zeus, SpyEye 스마트폰용 악성코드 현황
Zeus는 PC기반에서 동작하는 악성코드 중 널리 알려진 제작 툴킷
(Toolkit)으로 특히 금융정보 절취 목적으로 사용되어지는데 현재 국외에
서 PC뿐만이 아닌 스마트폰에서도 동작 가능 하도록 툴킷이 업데이트 되
고 있는 상황이다. 이 툴킷은 해외 보안 인증 제품으로 위장한 후
일회용 비밀번호(OTP) 및 추가 인증 수단인 SMS 인증 우회 기능을
가지고 있으며, 이 기능을 원격장치에서 조정할 수 있는 C&C
기능이 포함되어 있다. 그리고 한번 감염되면 서비스와 대상에 따
라 해킹 유형을 자유롭게 변경 가능하다는 특징을 지닌다.
보안 위협 동향 제2장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제2장 보안 위협 동향1 11
일자 설명
구분 대상
해킹
악성
코드
결제
A
T
M
P C 폰
시
스
템
인
프
라
2010
01-25 업소 POS단말기 해킹 O O
01-25 불안한 '안심클릭'카드 정보 유출 O O
02-11 안전결제(ISP) 인증서 무단 발급사고 O O
04-11
POS단말기 해킹해 신용카드 정보
외국유출
O O
04-12 은행ATM에 복제장비 부착해 카드복제 O O
06-23
카드 이용대금명세서로 위장한
악성코드
O O
09-28 카드정보 빼내 스마트폰 소액결제 O O
12-13 '제우스봇넷' 이용해 은행계좌정보 유출 O O
2011
03-04 대규모 DDoS 공격 O O
04-07 불법 카드 복제 O O
04-08 ㅇㅇ캐피탈 해킹 O O
04-12 DDoS로 인한 ㅇㅇ 전산망 마비 O O
05-19 ㅇㅇ금융 해킹 O O
[표 2] 2010~2012년도 국내 주요 금융 보안사고
제 3 절 스마트폰 보안사고 사례 및 위협
1. 국내 주요 금융 보안사고 사례
국내외에서 스마트폰의 보안사고 및 요구사항과 관련된 데이터는
많으나, 실제 금융과 관련된 스마트폰 보안사고 사례는 지금까지
발견되지 않았다. 이와 관련하여, 스마트폰에서의 보안 이슈를
살펴보기에 앞서 최근 2010~2012.3월까지 발생한 국내 주요
금융 보안사고 사례를 [표 2]에 나타내었다.
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
12 금융 스마트폰 주요 보안 이슈 및 동향보고서
05-19 ㅇㅇ증권 해킹 O O
06-19 이메일해킹을 통한 개인신용정보 노출 O O
07-12 ATM기 불법 복제카드로 현금인출 O O
09-13
무단 공인인증서 발급 및 보안카드
도용
O O
12-15 인터넷뱅킹 무단인출 O O
2012
01-19 업소의 포스단말기 공격 O O
02-23 악성코드로 공인인증서 빼내 현금인출 O O
[표 2]에서 요약된 국내 주요 사고사례를 살펴보면 다양한 형태
(금융서비스, 공격 대상 및 방법)로 보안 사고가 발생함을 알
수 있다. 보고된 사고에서 피해 계층을 재 구분했을 때, 이용자
PC를 대상으로 하거나 금융 인프라와 시스템을 목표로 하는
해킹공격이 주를 이루는 특징이 있다. 주목할 점은 스마트폰을
대상으로 하는 국내 금융보안 사고는 현재까지 발견되고 있지
않다는 것이다.
하지만, 금융정보보호관련 학계와 산업계에서 다양한 보안
위협이 거론되는 실정이다. 구체적으로 해외에서 금융정보를
절취하기 위한 스마트폰용 악성코드 및 관련 해킹 툴킷이 2010년에
등장하였으며, 국내 연구기관 및 학회에서도 전자금융거래와
관련한 스마트폰 보안 위협이 시나리오 및 검증코드(0-day
취약점에 대한 Proof of Concept)가 활발하게 발표되고 있는
등 실제 위험으로 가시화 되고 있다.
보안 위협 동향 제2장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제2장 보안 위협 동향1 13
2. 스마트폰 보안 이슈
[표 3]는 2011, 2012년 스마트폰 보안 주요 이슈와 예상 이슈로서
2011년 주요 보안 이슈의 대부분은 금융거래 등 금전적인 피해를
가져오는 악성코드와 관련되었고, 2012년 주요 예상 보안 이슈에서는
OS 취약점이나 앱 취약점을 타켓으로 하는 공격 및 지능화된
악성코드에 대한 보안 이슈를 전망하고 있다.
2011년 주요 보안 이슈 2012년 주요 예상 보안 이슈
1. 과금형 악성코드 증가
2. 유명 앱 프로그램을 위장한 악성코드
3. 사생활 침해형 앱 증가
4. 스마트폰 뱅킹 앱 정보를 노리는 악성코드
발생
1. 어플리케이션 및 OS 취약점을 이용한 악성코드
대량 유포
2. 시스템 커널을 공격하는 루트킷 기능의
발전
3. 좀비폰 및 봇넷 본격적 활성화
4. 국내 및 특정 이용자를 겨냥하는 모바일
악성코드 등장
[표 3] 스마트폰 보안 이슈 변화
2012년 주요 예상 보안 이슈에서 주목할 것은 스마트폰 운영
체제 자체 취약점을 이용하여 시스템 커널을 공격하는 루트킷
(Rootkit) 기능의 발전이다.
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
14 금융 스마트폰 주요 보안 이슈 및 동향보고서
3. 대표적 위협 사례
【 0-day 취약점을 이용한 원격 스마트폰 감염 위협 】
0-day 취약점이 포함된 웹 페이지(html)를 작성하여 해당
페이지로 접근하도록 SMS나 QR코드 등에 URL 주소를 포함하여
발송하는 형태로서, 해커가 제작한 웹 페이지(html)를 방문하는
것만으로도 악성 커널 루트 킷(Kernel Rootkit)이 자동 설치된다.
기존 커널 루트 킷 관련 취약점의 특징은 이용자 스스로 폰을
탈옥 후, 블랙마켓 등에서 다운로드 받은 불법 앱에 인한
악성코드 감염이 문제가 된다. 이는 해당 취약점의 경우 단순
웹 페이지(html) 방문만으로 이용자 스마트폰이 자동 해킹되는
진화된 취약점이다. (자세한 내용은 <붙임 1> 스마트폰 보안
위협 시나리오 및 사례 참조)
<그림 9> 악성코드에 의한 스마트폰 원격 무단 접속
【 스마트폰 입력 정보 절취 및 위·변조 위협 】
스마트폰에 금융 정보를 입력하기 위해 사용되는 터치이벤트
값을 절취하는 기법으로, 기존 위협은 User Mode에서 터치이벤트
값을 절취하는 기법이었으나, 해당 기법은 Kernel Mode에서
터치이벤트 값을 절취하는 기법이다. 추가적으로 화면 터치 값
보안 위협 동향 제2장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제2장 보안 위협 동향1 15
절취에, 입력된 화면 터치 값을 다른 값으로 위·변조하고
이를 외부에 전송할 수 있는 것이 주 특징이다. (자세한 내용은
<붙임 1> 스마트폰 보안 위협 시나리오 및 사례 참조)
<그림 10> 스마트폰 터치이벤트 값 절취 위협
【 스마트폰 뱅킹 앱 무결성 및 위·변조 위협 】
2011.3월 위·변조된 스마트폰 뱅킹 앱 프로그램이 인터넷을
통해 널리 전파되면서, 금융사가 제공하는 보안기능을 우회하는
보안 위협이 발생하였다.
<그림 11> 금융 앱 위·변조 흐름도
보안기능이 해제된 모바일뱅킹 사용 시 ‘금융정보 및 개인정보
노출’, ‘제 3자에게 돈을 이체 시키는 피싱 도구로 악용’,
‘금융거래 정보 조작’ 등의 보안 위협이 존재한다.
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
16 금융 스마트폰 주요 보안 이슈 및 동향보고서
【 스마트폰 신규 서비스에서의 보안 위협 】
스마트폰이 활성화 되면서 금융서비스에서도 신규 서비스로서
NFC 소액결제 시스템이나 N스크린 환경의 결제 서비스 등
다양한 신규 서비스가 개발되고 있다. 그 중 구글(Google)社의
NFC 소액결제 시스템에서의 보안 위협이 해외에서 언급된 바
있다.
<그림 12> Google Wallet 서비스에서의 이용자 PIN값 탈취
이는 2011.2월 구글(Google)社의 모바일 소액결제 시스템
(NFC)을 이용하기 위해 이용자 스마트폰에 설치되는 결제 앱
프로그램 PIN값이 노출되는 내용으로, SHA256으로 데이터
처리·저장된 PIN값에 대해 Brute-force attack으로 PIN값을
유추하는 위협이다.
보안 위협 분류 제3장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제3장 보안 위협 분류1 17
제3장 보안 위협 분류
제 1 절 분류
발견된 악성코드 위협 및 0-day 취약점 등의 내용을 근간으로
국내·외 연구기관에서 안전한 스마트폰 이용을 위해 이용자와
서비스 공급자가 고려해야 할 보안 위협을 분류·제시하고 있다.
본 보고서에서는 주요연구기관(NIST, ENISA, ITU-T, 금융보안연구원,
NIPA)에서 제시된 연구보고서[4,5,6,7,8]를 근간으로 서비스 구간별
보안 위협을 아래와 같이 재분류하였다.
<그림 13> 서비스 구간별 보안 위협 분류
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
18 금융 스마트폰 주요 보안 이슈 및 동향보고서
구분 보안(세부) 위협 NIST ENISA ITU-T FSA NIPA
①스마트폰 자체
무단접근 O O O
악성코드 O O O O O
전자적 도청(S/W) O O O
정보유출 O O O O O
플랫폼(앱) 위·변조 O O
②PC와 연동
플랫폼(펌웨어)
위·변조
O
악성코드 유입 O
정보유출 O
③네트워크
가짜 AP 접근유도 O O O
데이터 감시·변조 O O O O
서비스 거부 공격 O
④서버
악성코드 배포 O
원격제어
피싱, 파밍, 스팸 O O O O O
⑤스마트폰 간
연동
외부 인터페이스 O O O
[표 4] 스마트폰 보안위협 분류
① 스마트폰 : 이용자 스마트폰에서의 보안 위협
② PC와 연동 : 이용자 스마트폰과 이용자 PC에서의 보안 위협
③ 네트워크 : 스마트폰에서 전송되어지는 네트워크 데이터에
대한 보안 위협
④ 서버 : 서비스 제공 측면에서의 보안 위협
⑤ 스마트폰 간 연동 : 이용자 스마트폰과 타 스마트폰에서의
보안 위협
⑥ 기타 : 스마트폰 분실·도난 등에 따른 보안 위협
보안 위협 분류 제3장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제3장 보안 위협 분류1 19
⑥기타 분실, 도난 O O O O O
- NIST : Guidelines on Cell Phone and PDA Security, NIST Special Publication 800-124, 2008.10
- ENISA : Smartphones: information security risks, opportunities and recommendations for users, 2010.12
- ITU-T :‘Security aspects of mobile phones’, T09 SG17 110411 TD PLEN 1798, 2011.04
- FSA : 금융부문 스마트폰 보안 가이드, 2010.12
- NIPA : 스마트폰 정보보안 기술 동향, IT기획시리즈, 2011.09
※ 각 보안(세부) 위협 설명은 “<붙임 2> 스마트폰 보안 위협분류 설명”참조
[표 4]에서 보듯이 각 문서에서 공통으로 다루는 보안 위협은
악성코드 관련 위협과 정보유출, 피싱·파밍·스팸 위협, 물리적
위협으로 정리할 수 있다. 악성코드 관련 보안 위협은 앞서 살펴본
대로 앞으로 지속적으로 살피면서 각 위협에 특화된 대처법을 다
루어야 하는 분야이다.
특징적인 것은 피싱·파밍위협과 물리적 위협이다. 피싱·파밍
위협은 기존에 인터넷환경에서 거론되던 대표적인 보안 위협이고
물리적 위협은 피처 폰에서의 거론되던 대표적 보안 위협인데 이
두 가지 위협이 스마트폰의 특성상 서로 맞물려 스마트폰의 위협으로
두각을 나타내는 것으로 파악할 수 있다.
ENSIA 문서의 경우 악성코드에 대한 보안 위협을 세분화하여
상세히 기술하고 있으며, 피해계층 별 각 보안 위협이 갖는 효과성
및 위험도를 측정하고 있다.
악성코드 설 명
스파이웨어 마케팅을 목적으로 키보드 캐시에 접근하거나 스마트폰 센서로
이용자의 행동을 분석하는 악성코드
다이얼웨어 과금이 되는 프리미엄 SMS등을 몰래 사용하는 악성코드
금융멀웨어 SMS인증코드 가로채기 및 키로거 등의 기능을 하는 악성코드
[표 5] ENISA-스마트폰 OS별 주요 악성코드 현황
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
20 금융 스마트폰 주요 보안 이슈 및 동향보고서
구분
보안
위협
항목
이용자 임직원
고위
임직원
확률
효과
위험
확률
효과
위험
확률
효과 위험
스마트
폰
악성코드
(R5) 마켓팅의 목적으로 키보드
캐쉬나 센서로부터 이용자 행동분
석을 할 수 있는 악성코드
H M H M H M M M M
(R8) 프리미엄 SMS, 전화를 유도
하여 부당한 과금을 유발하는 악
성코드
H H H M M M L L L
(R9) SMS 인증코드나 전자 상거
래 등 금융관련 정보를 빼내는 악
성코드
M H H L H M L L L
정보유출,
절취
(R2) 해커의 물리적인 접근을 통해
중요정보가 유출되는 위협
V.H H H H M H H V.H H
(R3) 이용자가 privacy 설정을 체크하
지 않아 정보가 유출되는 위협
M M M H H H M V.H H
네트
워크
불법AP
접근
(R6) 해커가 악성 AP를 설치하여 통신영
역에서 데이터를 가로챔
M M M M H M M H H
서비스
거부 공격
(R10) 스마트폰 사용으로 인한 네트워
크 과부하 유발 위협
L L L L L L L L L
[표 6] 보안 위협 효과성 및 위협 계층 평가
제 2 절 보안 위협의 효과성 및 위험계층
ENISA에 따르면 스마트폰 이용 계층을 3가지 계층(일반 이용자,
임직원, 고위임직원)으로 분류하고 있다[5]. 이는 문서에서 미리 정의한
위험에 대해 각 계층별로 보안 침해 가능성(Likelihood)과 이로 인한
위협 영향도(Impact)를 평가하며, 그 위험정도를 아래 표와 같이
측정한다.
보안 위협 분류 제3장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제3장 보안 위협 분류1 21
서버
피싱,
파밍,
스팸
(R4) 위조된 앱이나 메시지를 통해
이용자의 신용정보 수집
M H M M H M M V.H H
스마트
폰 간
연동
외부 인터
페이스
(R7) GPS 센서 등의 정보를 통해
개인을 감시하는 공격
L H M L H M M V.H H
기타
분실,
도난,
복제
(R1) 분실이나 도난으로 인해 저
장된 정보가 유출되는 위험
H M M M H H M V.H H
- Very high(V.H), High(H), Medium(M), Low(L), Very Low(V.L)
해당 문서에서는 물리적인 접근에 따른 정보유출 위협은 높게
평가하고 DDoS 등과 같은 서비스 거부 공격에 대한 위협은
전반적으로 낮게 평가하였다.
이용자 계층을 나누었을 때 주목할 점은 거론되고 있는 보안
위협이 모든 계층에서 동일한 효과와 위험성을 내포하고 있지
않는다. 이는 향후 서비스별·이용자 보안인식 수준별·이용계층별·
이용패턴별로 그 위험도와 대책방안을 나누어 정의할 수 있을 것으로
판단된다.
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
22 금융 스마트폰 주요 보안 이슈 및 동향보고서
금융감독원
- 스마트폰 금융거래 10계명
KISA
- 스마트폰 이용자 10대 안전수칙
1. 금융회사가 안내하는 배포처를 확인하여
금융서비스 이용하기
1. 의심스로운 애플리케이션 다운로드
하지 않기
2. 스마트폰이나 인터넷에 금융정보를
저장하지 않기
2. 신뢰할 수 없는 사이트 방문하지 않기
3. 금융거래 비밀번호를 안전하게 관리
하기
3. 발신인이 불명확하거나 의심스러운
메시지 및 메일 삭제하기
4. 스마트폰 분식,도난시 스마트폰
금융서비스 사용 중지하기
4. 비밀번호 설정 기능을 이용하고 정
기적으로 비밀번호 변경하기
5. 스마트폰 교체, 수리전 중요 정보
삭제하기
5. 블루투스 설정 기능을 이용하고 정
기적으로 비밀번호 변경하기
[표 7] 금융감독원 및 KISA에서의 스마트폰 안전수칙
제4장 대응 현황 및 대응 과제
제 1 절 금융 스마트폰 보안 대응 현황
본 절에서는 국내·외 분석 자료·제도·규정·가이드를 기반으로
기술적인 관점(대응기술, 관리기술 일부)에서 대응 현황에 대해
살펴볼 것이다.
現 국내에서는 제도·규정가이드 측면에서 방송통신위원회,
금융감독원(2011.2월), KISA(2010.6월)등 스마트폰 보안을 위한
가이드를 제시하고 있으며, 금융사의 경우 다양한 보안 위협으로부터
이용자의 금융거래 정보를 보호하기 위해 각종 보안 기능과 매커니즘이
구현된 앱을 개발하여 배포하고 있다. [표 7]은 금융감독원과
KISA에서 제시한 가이드이다.
대응 현황 및 대응 과제 제4장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제4장 대응 현황 및 대응 과제1 23
6. 휴대폰 문자통보서비스(SNS), 일회용
비밀번호(OTP) 이용하기
6. 이상증상이 지속될 경우 악성코드
감염여부 확인하기
7. 스마트폰 사용환경을 임의로 변경하지
않기
7. 다운로드한 파일은 바이러스 유무를
검사한 후 사용하기
8. 스마트폰 보안업데이트를 정기적으
로 수행하고 바이러스 검사하기
8. PC에도 백신프로그램을 설치하고
정기적으로 바이러스 검사하기
9. 스마트폰 ‘잠금기능’을 설정하고
‘잠금비밀번호’는 수시로 변경하기
9. 스마트폰 플랫폼의 구종를 변경하지
않기
10. 출처가 불분명하거나 보안설정 없는
무선랜(Wi-Fi) 사용시 주의하기
10. 운영체제 및 백신프로그램을 항상
최신 버전으로 업데이트 하기
한 편, 실제 금융사에서 스마트폰 앱 보안을 위해 적용된 주요
보안 기술은 아래와 같다.
- 운영체제 위·변조 검사 기능(루팅 및 탈옥 여부 검사)
- 악성프로그램 검사 프로그램 적용
- 보안 키패드 적용
- 이용자 및 서버 구간에서의 보안 네트워크 적용
- 본인 확인을 위한 공인인증서 또는 2채널 인증 기능 적용
- 스마트폰 앱 무결성 검증 기능 적용 등
금융사에서 앱 보안을 위해 적용된 주요 보안 기술과 3장에서
다룬 구간별 위협에 대응할 수 있는 기술 현황을 <그림 14>로 정
리할 수 있다.
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
24 금융 스마트폰 주요 보안 이슈 및 동향보고서
<그림 14> 구간별 대응 현황 및 대응 기술
기술적인 대응 현황을 고려할 때, 금융사에서 대응기술로 적용된
대부분의 방식은 소프트웨어(S/W)기반 대응 기술 범위에 포함된다.
하지만, 소프트웨어(S/W)기반 대응 기술은 스마트폰 보안 위협을
방어하기 위해 각종 보안 프로그램을 설치 . 제공하는 형태이므로,
보안 프로그램과 악성코드가 함께 공존하고 있는 운영환경이
야기될 수 있다. 최근 소프트웨어(S/W)기반 대응 기술의 경우 언급된
운영환경 특징에 의한 제한이 있을 수 있어 추가적인 다양한 연구가
진행되고 있다.
대응 현황 및 대응 과제 제4장 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
제4장 대응 현황 및 대응 과제1 25
제 2 절 지속적인 보안 위협과 기술적 대응 과제
現 스마트폰에 적용된 보안 기술은 이용자 PC에서 사용되는 보안
기술 수준과 동등하거나, 경우에 따라 더욱 강화된 보안 기술이
적용되어 있다. 하지만, 앞서 살펴보았던 바와 같이 신규 금융서
비스 채널로서 스마트폰 환경은 새로운 이슈 사항들이 계속 제기
되고 있다. [표 8]은 새로운 보안 이슈를 나타내었다.
【서비스 이용 환경 측면】
. 중요 모듈 업데이트(펌웨어 및 OS 등)의 필요성이 있는 반면에 절차의
복잡성, 이에 대한 보안 인식 등 파생되는 기술적.관리적 제한성
. 중요 모듈(펌웨어 등) 업데이트를 통한 이상증후 및 필요성 인식의 부재
. 중요 모듈(펌웨어 등) 업데이트 중요성에 대한 보안 인식 및 강제화 적용 난제
. 다양한 스마트폰 기능을 요구하는 이용자의 자가 탈옥이 증가하고 있는
상황
【기술적 대응 측면】
. 탈옥방법에 대한 지속적인 우회 기술
. 스마트폰 0-day 공격 기술의 증가로 인한 금융앱 위·변조, Rootkit을 통한
터치이벤트 값 절취, 기타 Kernel Mode에서의 각종 악성코드 증가,
. 규격화된 보안기술 미준수와 산발적인 기술 개발에 따른 프로그램
복잡성 증가
. 제한된 스마트폰 자원 환경으로 인해 강도 높은 보안 기술 구현의
어려움
. 휴대폰 블랙리스트(Blacklist) 제도 및 분실·도난에 따른 중요 정보
관리의 어려움
. 금융 앱의 중앙 집중관리 포인트 부재 등
[표 8] 스마트폰 금융서비스 환경에서 제기되는 새로운 보안 이슈들
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
26 금융 스마트폰 주요 보안 이슈 및 동향보고서
적용 보안 기술 지속적인 보안 이슈 기술적 고려사항
관련 기술
사례
암호화 적용
이용자 단말기에서 데이터를
암호화 하나, 입력 매체
및 데이터 처리 페이지
(또는 프로그램)의 무결성
침해
데이터 처리, 암호
처리영역(처리 위치
/공간)의 보호기술
H/W지원
가상화
기술 등
보안키패드 적용
보안키패드의 취약성을
이용한 데이터 노출과 위.
변조 등 해킹 기술 발견
가능성
H/W레벨 수준의 입
력 매체 보호 기술
신뢰
I/O기능
(물리적
I/O분리)
등
공인인증서 및
2채널 인증 기능
정교한 논리적 공격(MITM,
MITB 등) 방법을 이용한
해킹 기술 발견 가능성
거래내용의 무결성
을 보장 하는 기
술
안전한
매체/공간
에서
수행되는
거래서명
기술 등
운영체제 위변조,
앱 무결성 검증
기능
루팅, 탈옥 방지, 앱 무결성
방지 기능을 우회하는 지
속적인 해킹 기술 발견 가
능성
HW레벨에서 지원
하는 플랫폼 무결
성 검증 및 관리
기능, 앱 내의 금융
처리 주요모듈의 보호
및 보증 기술
신뢰
플랫폼
지원 기술
등
분실, 도난 단말
관리(MDM)
서비스 보다는 단말 자체
의 보안 관리를 위한 기능
핵심 기능의 효과성
검증 필요, 금융거래
서비스 관리를 위한
요구사항 정의
스마트
단말의
금융서비스
관리 기술
등
[표 9] 스마트폰 환경에서의 기술적 요구사항
[표 8]에 나타낸 새로운 보안 이슈에 대해서는 [표 9]와 같이 기
술적 요구사항과 관련된 활용 기술을 정리해 볼 수 있다.
기술적 요구사항을 분석할 때 스마트폰 환경에서 보안성을
향상시키기 위해 필수적인 기술로서 하드웨어(H/W)수준을 지원하는
보안기술 등이 제시될 수 있다. 하지만 이는 무작정 수용해야만
할 문제는 아니며, 하드웨어(H/W)수준에서 지원하는 각종 보안
기술에 대한 상용화 여부·기술적 활용성과 효과성·인프라·업종 간
이해관계 해소 등 기술 도입을 위한 검증이 요구되고 있는 실정이다.
참고 문헌
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
참고 문헌ㅐ 27
참고 문헌
[1] 스마트 기기를 통한 저작권 침해 실태조사 및 대응방안 연구, 한국
저작권위원회, 2011.12
[2] ASEC Report,안철수연구소,2012.3
[3] 모바일오피스 구현-보안대책마련'최우선',Network Times, 2011.3
[4] Guidelines on Cell Phone and PDA Security, NIST, 2008.10
[5]‘Smartphones information security risks, opportunities and
recommendations for users’, ENISA, 2010.12
[6]‘Security aspects of mobile phones’, ITU-T, 2011.4
[7] 금융부문 스마트폰 보안 가이드, 금융보안연구원, 2010.12
[8] 스마트폰 정보보안 기술 동향, NIPA, 2011.9
[9] Defeating mTANs for profit, Fortinet, 2011.1
[10] Hacking NFC and NEDF . why I go and look at it again, sect, 2011.6
[11]“실시간 키 값 가로채는‘스마트폰 안드로이드 키로거’등장”, 전자신문, 2011.11
[12]“실제 스마트폰 뱅킹 해킹 통해 계좌이체 가능!!”, 보안뉴스. 2010.12
[13]“백신도 못 잡는‘스마트폰 슈퍼 악성코드’가능성 증명됐다”, 보안뉴스, 2012.5
[14] 안전한 모바일서비스 구현을 위한 보안방안, 서울여자대학교, 2010.6
[15] 스마트폰과 모바일 오피스의 보안 이슈 및 대응전략, NIA, 2010.10
[16] Magic Quadrant for Mobile Data Protection, Gartner, 2011.9
[17] 모바일 환경에서의 SecureSMS 본인인증기법에 관한 연구, 배동희, 2010.11
[18] 모바일 생태계의 보안 이슈 및 전망, TTA Journal
[19] 스마트폰 보안 위협 및 대응기술, ETRI, 2010.6
[20] 스마트폰 기반 악성코드 수집/분석 플랫폼 개발을 위한 연구, KISA, 2010.12
[22] 스마트폰과 전자상거래, TTA Journal
[23] 스마트폰 위협요소 분류, SKT Mobile Security
[24] 스마트폰 금융서비스 활성화와 우체국의 대응, 우정경영연구소, 2012
[25] 스마트폰이 모바일 금융시장에 미치는 영향, 하나금융경영연구소, 2010
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
28 금융 스마트폰 주요 보안 이슈 및 동향보고서
[26] 스마트폰 기반 모바일 뱅킹에서의 연구과제: 국내 모바일 뱅킹 사례
연구 및 논문 리뷰, Entrue Journal of Information Technology, 2011.7
[28] Malware Analysis Report,Kindsight, 2011.9
[29] 2011년 IT 트렌드 전망 및 정책방향, 한국정보화진흥원, 2011.4
[30] 차세대 모바일 인터페이스 및 SW 플랫폼,ICT Standardization, 2011
[31] Smartphone Malware, CNCCS, 2011.7
[32] Reverse Engineering Of Malware On Android, SANS, 2011.8
[33] 최근 신용카드 범죄수법 동향 및 대응방안, 여신금융협회, 2009.12
스마트폰 보안 위협 시나리오 및 사례 붙임1 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
붙임 1 스마트폰 보안 위협 시나리오 및 사례1 29
<붙임 1>
스마트폰 보안 위협 시나리오 및 사례
1. SMS 보안 인증 우회 사례
o ZitMo(Zeus In The Mobile : 이하 Zitmo)로 불리는 악성코드는 타 악성코드
와 달리 이용자 인증 코드를 해킹하는 스마트폰 용 악성코드임
o 해당 악성코드는 이미 PC기반에서 동작하는 악성코드 종류로 특히 금융정보
절취를 목적으로 하는 널리 알려진 악성코드이며, 심비안·블랙베리
운영체제를 거쳐 최근에는 안드로이드 운영체제에서 동작되도록 진화
【 정상적인 SMS 보안 인증 구조 】
<그림 15> 정상적인 SMS 보안 인증 구조
가. 서비스 신청 및 설치
① 이용자 PC에서 SecureSMS(가칭) 서비스를 신청 후 스마트폰용 앱
다운로드 주소 안내
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
30 금융 스마트폰 주요 보안 이슈 및 동향보고서
② 다운로드 주소를 통해 스마트폰용 앱 다운로드 및 설치
나. 서비스 실행 및 인증
③ SecureSMS(가칭) 서비스 인증 요청
④ 스마트폰용 앱에서 인증에 사용되는 Random 값을 서버에서 전송 받음
⑤ 스마트폰으로 전송된 Random 값을 PC 입력창에 입력 후 승인
【 인증 우회 】
<그림 16> SMS 보안 인증 우회
가. 서비스 신청 및 설치
① 해커는 이미 이용자의 PC를 Zeus 봇넷을 이용하여 감염
② 해커는 유관 서비스에 사용되는 모바일 악성코드를 마켓에 업로드
③ 이용자 PC에서 SecureSMS(가칭) 서비스를 신청 및 스마트폰용 앱 다운로드
주소 안내, 이때 모바일 악성코드를 다운로드 할 수 있도록 하는 주소로
변경
④ 변조된 다운로드 주소를 통해 스마트폰용 앱 다운로드 및 설치
나. 서비스 실행 및 인증
⑤ 스마트폰용 앱에서 인증에 사용되는 Random 값을 서버에서 전송 받음
⑥ 스마트폰으로 전송된 Random 값을 절취하여 해커가 이를 재사용
스마트폰 보안 위협 시나리오 및 사례 붙임1 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
붙임 1 스마트폰 보안 위협 시나리오 및 사례1 31
o 해당 악성코드는 위 기능을 포함하는 원격에서 해당 스마트폰을 조정하는
C&C 기능도 함께 가지고 있는 등, 한번 감염되면 서비스 및 대상에 따라
해킹 유형을 자유롭게 변경 가능한 것이 특징임
2. 스마트폰 뱅킹 앱 보안 위협 시나리오
【 스마트폰 금융 앱 보안 위협 시나리오 #1 】
o 본 내용은“2010. 국제 정보보호 컨퍼런스(2010)”에서 소개되어진 스마트
폰을 이용한 뱅킹 해킹 내용을 다룸
<그림 17> 스마트폰 금융 앱 보안 위협 시나리오 #1
① 해커가 악성 앱을 배포
② 악성 앱 설치
- 0-day 취약점에 의한 악성 앱 설치
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
32 금융 스마트폰 주요 보안 이슈 및 동향보고서
- Black Market을 통한 악성 앱 설치
- 기타 앱을 통한 감염 등
③ 이용자 스마트폰의 SD Card에서 금융 정보 수집
- 공인인증서 서명 파일
- 보안카드*
* 이용자가 보안카드를 일반텍스트(text) 또는 이미지 등으로 저장하고
있다는 가정
④ 절취한 공인인증서 파일 및 보안카드 정보를 해커에게 전송
⑤ 해커는 이용자가 사용하는 피싱 금융 앱을 이용자에게 전송
⑥ 전송되어진 피싱 금융 앱은 아래와 같은 절차를 따름
- 기존 정상적은 금융 앱 삭제
- 전송되어진 피싱 금융 앱 설치
⑦ 피싱 금융 앱 실행 후 아래와 같은 절차를 따름
- 공인인증서 입력 창 실행 → 공인인증서 비밀번호 절취
- 계좌비밀번호 입력 창 실행 → 계좌비밀번호 절취
⑧ 절취한 금융정보를 해커에게 전송
【 스마트폰 금융 앱 보안 위협 시나리오 #2 】
o 본 내용은“2011. POC2011(Power of Community)”에서 소개되어진 스마트
폰을 이용한 해킹 내용임
스마트폰 보안 위협 시나리오 및 사례 붙임1 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
붙임 1 스마트폰 보안 위협 시나리오 및 사례1 33
<그림 18> 스마트폰 금융 앱 보안 위협 시나리오 #2
① 0-day 취약점이 포함된 html 페이지를 임의로 배포
② 이용자는 해커가 임의 전송한 SMS이나, QR Scan을 통해 URL 등에 방문
<그림 19> 악성코드에 의한 스마트폰 원격 무단 접속
③ 해당 URL 방문만으로 이용자 스마트폰에 악성 커널 루트 킷(Kernel
Root kit) 설치
0-day 취약점을 이용한 Remote/Local 병합 취약점으로 기존 취약점의
경우 해커가 별도 작성한 앱을 직접 설치하는 방식이나, 해당 취약점의
경우 운영체제의 고유한 취약점을 이용, 단순 특정 웹 페이지(html)방문 만으로
해당 스마트폰이 해킹
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
34 금융 스마트폰 주요 보안 이슈 및 동향보고서
④ Kernel Rootkit 설치
기존 앱의 경우 User Mode에서 동작하는 악성코드인 반면, 해당 악성
코드는 Kernel Mode에서 동작하는 악성코드로, 스마트폰 용 안티바이러스를
우회하기 때문에 해당 악성코드의 탐지 및 제거가 상대적으로 어려운
것이 특징
<그림 20> 스마트폰 터치이벤트 값 절취 위협
⑤ 절취한 정보를 해커에게 전송
스마트폰 보안위협 분류항목 설명 붙임 2 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
붙임 2 스마트폰 보안위협 분류항목 설명1 35
<붙임 2 >
스마트폰 보안위협 분류항목 설명
<그림 21> 보안 위협 구간
【① 스마트폰 】
o 해당 위협 구간은 이용자가 소지한 스마트폰에서의 발생할 수 있는 보안
위협을 의미하며, 아래와 같은 보안 위협이 존재함
- 이용자 정보의 무분별한 수집
- 스마트폰 전용 악성코드에 의한 스마트폰 감염
- 위·변조된 스마트폰 앱을 통한 이용자 정보 및 악성코드 감염
- 자가 탈옥(또는 루팅)를 통한 보안 기능 우회 등
▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
금융 스마트폰 주요 보안 이슈 및 동향보고서
36 금융 스마트폰 주요 보안 이슈 및 동향보고서
< 주요 상세 위협 >
무단접근, 악성코드, 전자적 도청(S/W), 정보유출(SMS, 위치 정보 등),
플랫폼(앱 등) 위·변조
【② PC와 연동 】
o 해당 위협 구간은 데이터 전송을 위해 스마트폰과 이용자PC를 연결 할 때
발생할 수 있는 보안 위협을 의미하며, 아래와 같은 보안 위협이 존재함
- 이용자 PC에 설치된 악성코드 유입 또는 임의 수정되어진 펌웨어 위·변조
- SD카드에 저장된 데이터의 무단 접근 및 위·변조 등
< 주요 상세 위협 >
플랫폼(펌웨어 등) 위·변조, 악성코드 유입, 정보유출
【③ 네트워크 】
o 해당 위협 구간은 스마트폰에서 금융서버(또는 유사 서버)로 데이터를
전송함에 있어 발생할 수 있는 보안 위협을 의미하며, 아래와 같은 보안
위협이 존재함
- 동일 네트워크에서 ARP Spoofing 기법 등을 이용한 네트워크 데이터
열람 및 위·변조
- 해커가 설치한 불법 AP를 이용한 네트워크 데이터 열람 및 위·변조
- 무선 AP를 통한 내부 시스템 망 침입 등
< 주요 상세 위협 >
가짜 AP 접근유도, 네트워크 데이터 감시·변조, 서비스 거부 공격
스마트폰 보안위협 분류항목 설명 붙임 2 ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶ ▶
붙임 2 스마트폰 보안위협 분류항목 설명1 37
【④ 서버 】
o 해당 위협 구간은 스마트 폰 앱을 관리 또는 서비스 하는 금융서버에서
발생할 수 있는 보안 위협을 의미하며, 아래와 같은 보안 위협이 존재함
- 악성코드가 내포된 스마트폰 앱 또는 기타 컨텐츠의 자가 배포 위협
- 부적절한 접근 통제에 의한 서버 원격제어
- 스마트폰 악성 앱 또는 기타 프로토콜 취약점을 통한 서비스 거부 공격 등
< 주요 상세 위협 >
악성코드가 내포된 컨텐츠 배포, 원격제어, 피싱·파밍·스팸
【⑤ 스마트폰 간 연동 】
o 해당 위협 구간은 스마트폰 이용자 간 데이터 전송시 발생할 수 있는 보안
위협을 의미하며, 아래와 같은 보안 위협이 존재함
- 임시 네트워크(NFC, Bluetooth, 적외선 통신 등)를 통한 악성코드 유입
및 데이터 정보 열람 등
< 주요 상세 위협 >
외부 인터페이스 위협(NFC, Bluetooth, 적외선 통신 등)
【⑥ 기타 】
o 해당 위협 구간은 스마트폰 분실, 도난 등 물리적인 형태의 보안 위협을
의미하며, 아래와 같은 보안 위협이 존재함
- 개인 연락처, 위치정보, 이메일, 전자결재, 기밀정보 등 개인 사생활과
업무 관련 중요 정보 노출
< 주요 상세 위협 >
분실·도난
이 연구보고서 작성을 위해 다음 분들께서 수고하셨습니다.
2012년 7월
총괄책임자 금융보안연구원 본 부 장 성 재 모
참여연구원 보안기술팀 팀 장 민 상 식
책 임 연 구 원 임 형 진
선 임 연 구 원 이 재 익
연 구 원 최 지 선
전자금융 보안기술 자문위원회
자문위원장 충남대학교 교 수 류 재 철
자문위원 강원대학교 교 수 김 상 춘
고려대학교 교 수 김 휘 강
국민대학교 교 수 한 동 국
서울여자대학교 교 수 김 윤 정
포항공과대학교 교 수 김 종
* 분석된 위협 외 USIM영역의 보안 위협과 앱 업데이트 시 이루어지는 위협, 키
관리 영역에 대한 보호기술 분석 등 자문위원회 검토를 통해 도출된 추가 의견은
일부 반영하였으며, 향후 보고서 갱신시에 반영하여 지속적으로 보완해 나갈 예정
입니다.
금융 스마트폰 주요 보안 이슈 및 동향보고서
2012년 7월 인쇄
2012년 7월 발행
발행인 : 김 광 식
발행처 : 금융보안연구원
서울시 영등포구 여의도동 36-1
키움파이낸스 스퀘어 빌딩 15층
Tel: (02) 6919-9114
<비 매 품 >
본 연구보고서 내용의 무단전재를 금하며, 가공 인용할 때에는 반드시
금융보안연구원『금융 스마트폰 주요 보안 이슈 및 동향보고서』라고
밝혀 주시기 바랍니다.
