Concern about the Security of mobile apps? - insec.co.kr 소개자료.pdf ·...

Copyright INSEC Co.,Ldt. All Rights Reserved.

Concern about the Security

of mobile apps?

Test them in the Lab!

2014.06


목 차

■ 모바일 해킹 사고 피해 유형

■ 모바일 해킹 공격 및 보안 위협

■ 모바일 디바이스 현재 상황 [ 문제점 ]

■ VIALAB 모바일 취약점 진단 도구

■ VIALAB 진단 도구 필요성 [ 도입사유 ]

■ 모바일 앱 개발 라이프사이클

■ VIALAB 모바일 앱 보안 분석 절차

■ VIALAB 모바일 보안 취약점 진단

■ VIALAB 모바일 악성코드 분석

■ VIALAB 모바일 포렌식 분석

■ 모바일 분석 도구 비교

■ VIALAB 적용 분야 /

도입 사이트 [ 레퍼런스 ]


과금유도

•국제전화 SMS 등

과금 서비스 무단

사용

원격제어

•악성코드 설치 및

원격조정

정상동작방해

•콘텐츠 삭제,

배경화면 변경

개인정보유출

•SMS, 주소록,

통화내역, 위치

정보 등 유출

유해사이트

접속시도

•유해사이트 접속

■ 모바일 해킹 사고 피해 유형


모바일 해킹 공격 및 보안 위협



■ 모바일 해킹 공격 해부 [ The Anatomy of a Mobile Attack ]


■ 모바일 해킹 공격 해부 [ The Anatomy of a Mobile Attack ]

브라우저(Browser) 취약점

시스템(System) 취약점

앱(App) 취약점

메시지(MMS / SMS) 취약점

악성코드(Malware) 취약점

웹 서버 취약점

데이터베이스 서버 취약점

네트워크(Network) 취약점

1

2

3

4

5

6

7

8

모

바

일

공

격



문제점

매우 낮은 모바일 보안 수준

모바일 디바이스 사용자 5500만명, 지속적인 사용자 증가 추세

모바일 디바이스에 대한 절실한 보안이 요구되고 있는 상황

모바일 기기가 해커 및 범죄자들의 주요 공격 목표로 되어 가고 있다.

모바일 기기를 통한 정보 노출

모바일 악성코드 지속적인 증가 추세, 이로인한 사용자 중요 정보 및 기업 정보

노출 사고 지속적으로 발생

스미싱 공격 유형의 악성코드로 인하여 유출된 개인정보를 이용하여

불법적인 계좌 이체, 송금 발생으로 금전적인 피해자가 지속적으로 발생하고

있는 상황.



문제점

모바일 악성코드 빠른 속도로 증가

모바일 안티바이러스(Anti-Virus) 백신이 탐지 못하는 신종 및 변종 모바일

악성코드가 지속적으로 발생

앱 위/변조 방지 및 난독화 위주의 모바일 보안 제품의 한계

현재 대부분 기업들은 모바일 보안을 위해 앱 위/변조, 난독화 제품에만 의존하는

상황으로 앱 자체의 정보유출, 보안 및 취약점 진단을 수행하지 않고 있다.

앱(App)의 정보 유출 가능성, 암호화 통신, 데이터 저장소, 기타 보안과 관련한

보안 취약점 진단 수행이 요구됨

앱(App) 자체의 악성코드 포함여부 및 중요 정보 유출 가능성 분석을 위한

포렌식 분석이 요구됨




정보 노출 및 유출 등의보안 취약점 진단 수행 필요


문제점 [ 모바일 보안 제품 및 한계점 ]


구분 모바일 보안 제품 기능 설명

1모바일 안티바이러스[ Anti-Virust 백신 ]

기존에 알려진 모바일 악성코드만 탐지 및 차단 가능

2모바일 앱 위 / 변조 제품

[ 앱(App) 난독화(Obfuscation) ]

정보유출, 소액결제 등을 유발하는 스미싱 공격 악성코드가

정상적인 앱(App)에 불법적으로 삽입될 수 없도록

앱(App) 소스코드를 읽거나 분석할 수 없도록 난독화를 적용

3MDM

모바일 디바이스 관리 솔루션

모바일 단말기 관리

암호 및 디바이스 액세스 권한 설정,

분실시 정보유출 방지를 위한 초기화 및 잠금 기능 지원

4기타

모바일 2 채널 인증 솔루션 등모바일 인증 관리 및 암호화 기능 지원


비아랩 [ VIALAB ]

모바일 취약점 진단 도구


Android ® 와 Apple iOS® 모바일 어플리케이션 보안 평가 및 진단 도구

모바일 어플리케이션에 대한 위험(Risk) 및 취약점(Vulnerability) 진단 자동화 기능 제공

모바일 앱(App) 보안 및 개인정보유출 등에 대한 위험 식별 및 해결 방안 제공

모바일 앱에 대한 악성코드등의 코드 분석을 수행하기 위한 다양한 분석 도구 지원

정보유출 탐지 여부를 파악하기 위한 네트워크 및 웹 데이터 추출, 캡쳐, 분석 기능 수행

모바일 네트워크 및 웹 트래픽 분석을 통한 트래픽 암호화 적용 여부 및 취약점 진단

모바일 인증 및 인증서 취약점 탐지 [ Heartbleed 취약점 탐지 지원 ]

폭넓은 모바일 앱 취약점, 악성코드, 포렌식 기능 수행 !

■ VIALAB 진단 도구 개요


구성품 :

VIALAB 소프트웨어 및 라이선스 동글

Santoku Linux 운영체제 [ 모바일 악성코드 분석, 취약점 진단, 포렌식 도구 포함 ]

iOS 및 Android 시험 환경 디바이스 각각 1대씩

■ VIALAB 진단 도구 구성


■ VIALAB 진단 도구 구성


필요성 [ 도입사유 ]

모바일 기기 및 앱(App) 보안 취약점 진단 기능 지원

OWASP Mobie Top 10 취약점 진단, 개선 사항, 가이드 제공

모바일 악성코드 분석

모바일 앱(App) 분석을 위한 자체 기능 지원

각종 앱 분석 도구 지원 [ APKTool, Androguard, Dex2Jar, JD-Gui 등 ]

모바일 포렌식 분석

모바일 메모리 덤프 및 분석 기능 지원

모바일 로그 분석, 파일시스템 권한, 어플 저장소, 프로파일링 등 지원

■ VIALAB 진단 도구 필요성 [ 도입사유 ]


모바일 앱 개발 라이프 사이클


■ 모바일 앱 개발 라이프 사이클

■ 모바일 앱 개발 라이프 사이클 [ The Lifecycle of a Mobile App ]



모바일 앱 보안 분석 절차


■ VIALAB 모바일 앱 보안 분석 절차

■ 모바일 보안 분석 절차 [ App Security Analysis Process ]



모바일 보안 취약점 진단


■ VIALAB 모바일 보안 취약점 진단

■ 모바일 보안 취약점 진단 기능 [ OWASP Mobile Top 10 ]

구분 모바일 보안 10대 취약점 VIALAB 진단 여부 설명

M1 Insecure Data Storage ○ 안전하지 않는 데이터 저장

M2 Weak Server Side Controls ○ 취약한 서버 측 제어

M3 Insufficient Transport Layer Protection ○ 불충분한 전송 계층 보호(평문 전송)

M4 Client Side Injection ○ 클라이언트 측 인젝션 공격

M5 Poor Authorization and Authentication ○ 취약한 권한 및 인증 관리

M6 Improper Session Handling ○ 부적절한 세션 처리

M7 Security Decisions via Untrusted ○ 신뢰할 수 없는 값에 대한 보안 결정

M8 Side Channel Data Leakage ○ 주변 채널에 의한 정보 및 데이터 누출

M9 Broken Cryptography ○ 취약한 암호화 사용, 키 복호화 가능

M10 Sensitive Information Disclosure ○ 중요한 정보 유출



모바일 악성코드 분석


■ VIALAB 모바일 악성코드 분석

■ 모바일 악성코드 분석 기능 [ Mobile Malware Analysis ]

구분 모바일 악성코드 분석 기능 VIALAB 진단 여부 설명

1 Class Dump ○ 클래스덤프분석

2 APK Reversing ○ APK 실행 파일 리버싱

3 Code Obfuscation ○ 코드 난독화 분석

4 App Certificate ○ 앱 인증서 분석

5 Permission and Activities ○ 권한 및 액티비티 분석

6 모바일앱분석을위한다양한도구지원 ○ 앱 분석 도구

7

8

9

10



모바일 포렌식 분석


■ VIALAB 모바일 포렌식 분석

■ 모바일 포렌식 분석 기능 [ Mobile Forensics ]

구분 모바일 포렌식 분석 기능 VIALAB 진단 여부 설명

1 Memory Analysis ○ 메모리 덤프 수행, 중요 정보노출 진단

2 Syslog Data Leakage ○ 시스로그 데이터 유출 분석

3 App Data Profiling ○ 어플리케이션 데이터 프로파일링

4 File System Permissions ○ 파일 시스템 권한 진단

5 Insecure Credential Storage ○ 불안전한 중요 정보 저장소

6 Insecure App Data Storage ○ 불안전한 어플리케이션 데이터 저장소

7

8

9

10



모바일 분석도구 비교


■ 모바일 분석 도구 비교



적용 분야

및

도입 사이트 [ 레퍼런스 ]


■ VIALAB 적용분야

•모바일 증권 거래 앱 •모바일 뱅킹 앱 •모바일 쇼핑 앱 •모바일 앱 게임 •모바일 결재 앱

모바일 증권 모바일 뱅킹 인터넷쇼핑몰 모바일 게임사 모바일 결재 등


산업 구분 적용 대상

군, 경, 검, 정부기관

[ 모바일 대국민 서비스 ]국방부, 경찰청, 검찰청, 정부 공공기관 등

인터넷쇼핑몰

[ 모바일 쇼핑몰 ]

11번가, G마켓, 옥션, 네이버샵N, 인터파크, 옥션 중고장터, 타오바오닷컴,eBay, 큐텐, G마켓 글로벌, 꽃피는 아침마을, 오셀러, 위핑, 올인마켓, 세상n,미니섬 등

금융

[ 모바일 뱅킹 ]은행, 카드사, 보험사, 투자사, 증권사, 신협, 농협, 우체국

게임사

[ 모바일 게임 ]

컴투스, 게임빌, 넥슨, 위메이드, CJ E&M, NHN 엔터테인먼트, HU WENZENG, Acrodea Korea, Cupercell, Halfbrick Studios, Infinite Dreams, 4:33 등

통신사 / 결재 대행사

[ 모바일 결재 ]SKT, KT, LG U+ , 모빌리언스, 페이레터, 등등

■ VIALAB 적용 산업 분야


■ VIALAB 도입 사이트 [ 국내 및 해외 Reference ]

도입 레퍼런스

• 국내 군 주요 기관 및 특수기관

• 국내 보안 인증 기관

• Vmware 가상화 전문회사

• 시티은행(Citibank)

• 어니스트영(Ernst & Young) 컨설팅사

• J사 세계적인 종합금융지주회사

• W사 은행

• L사 미국 최대의 방위산업체

• S사 미국의 종합석유회사

• M사 미국 의료기기 전문업체

• 기타 주요 정부 기관

현재 다수 사이트

[ 공공기관 보안팀, 수사 및 조사기관,

주요 은행 / 증권사등의 금융기관, 인증기관,

결재대행 업체 등 ] 에서 활발하게 데모 시연

을 진행하고 있습니다.


감사합니다

CONTACT US

Email: [email protected]

영업대표 : 김종광

Phone: 010-8761-6999, 02-863-5687

Web: http://www.insec.co.kr

mailto:[email protected]

Concern about the Security of mobile apps? - insec.co.kr 소개자료.pdf ·...

Documents

Transcript of Concern about the Security of mobile apps? - insec.co.kr 소개자료.pdf ·...