상 식 금융보안연구원 보안기술팀 - KRnet · [ MOBILE ] 악성코드 사례...
Transcript of 상 식 금융보안연구원 보안기술팀 - KRnet · [ MOBILE ] 악성코드 사례...
2013. 6. 25
민 상 식
금융보안연구원 보안기술팀
-2-
Contents Contents
전자금융 피해사례
파밍 기술의 진화
전자금융 보안현황
Ⅱ
Ⅲ
Ⅰ
전자금융서비스 보안기술 IV
결 론 V
-3-
대출사기 : 대출 가능 문자메세지 발송 -> 대출 수수료 피해
보안승급 요청 : SMS를 통한“보안승급 요청 메시지+인터넷 사이트 주소 발송”
출처 : 2011.4.18 금융감독원 보도자료 (“가짜 은행사이트로 유도하는 문자메시지 조심하세요!”)
I. 전자금융 피해사례
스미싱/이메일/웹사이트 감염 후 팝업등 -> 피싱사이트 접속 유도
-4-
스미싱/이메일/웹사이트 감염 후 팝업등 -> 피싱사이트 접속 유도
가짜 은행사이트에 의한 피해 : SMS를 통한“보안승급 요청 메시지 +인터넷
사이트 주소”발송 등을 통한 피싱사이트 방문 유도
출처 : 2011.4.18 금융감독원 보도자료 (“가짜 은행사이트로 유도하는 문자메시지 조심하세요!”)
I. 전자금융 피해사례
-5-
피싱 또는 악성코드 감염 후 피해
피해 : 10년 동안 넣은 보험료 2천6백 만원 피해사례 발생 보도
공인인증서를 이용하여 보험 대출 및 해약 가능
출처 : 2012.10.13 KBS http://news.kbs.co.kr/economic/2012/10/13/2550869.html
피해규모 증가: 2010년 6.7억, 2011년 26.6억, 2012년(11월까지) 255억
I. 전자금융 피해사례
출처 : 2012.12.17 감독기관 - 대출사기 현황 및 피해예방 요령
-6-
I. 전자금융 피해사례
위협 수준은?
-7-
I. 전자금융 피해사례
위협 수준은?
-8-
I. 전자금융 피해사례
-9-
피싱(Phishing)& 파밍(Pharming)
II. 파밍 기술의 진화
이용자 PC
이용자 스마트기기
-10-
피싱(Phishing) & 파밍(Pharming)
대포폰 - 전화, 문자메세지 (대용량 발송기 이용) 이메일 - 해킹된 이메일 또는 신규 생성 후 발송
1. 접촉 및 물색 단계
운영체제 및 S/W 취약점 이용
A.1 전화, 문자메시지, 이메일 등
B.1 웹사이트 해킹 후 악성 코드 삽입
토렌트, 블로그 등
B.2 악성코드가 추가된 프로그램 배포
(악성코드에 의한) 정보유출, 파밍
[정보유출 ] 공인인증서 및 공인인증서 패스워드, 중요 금융정보
[파밍기능] 정보유출용 팝업창 띄우기, 피싱 웹사이트로 이동
(이용자에 의한) 정보 유출
주민등록증 사본, 주민등록 등초본, 통장 및 카드 등 개인정보를 의심없이 제공
2. 개인정보 유출
A. 사회공학적 공격
B. 기술적 공격
3. 금전적 피해 발생 공격수준 파악&대책수립
이용자 교육강화
피해 현황분석&보안강화
II. 파밍 기술의 진화
-11-
피싱사이트 개설후 중요정보 수집 로그인 (공인인증서)
이체
최종 목표 이용자 정보 수집 (통장 평균잔고 XX만원)
계좌번호
이체비밀번호
보안카드 정보
이름, 주민등록번호, 전화번호 등
공인인증서 재발급 (보통 심야시간 이용)
계좌비밀번호
잔고 일정금액
이상인지 확인
대포통장/인출책 준비
공격자의 해킹 프로세스 및 공격조건
피싱사이트 설치 후 SMS 발송
금융회사/인증기관
도메인구입, 해킹서버셋팅 이메일 발송
피싱사이트 유도 (피싱/파밍)
이용자에게SMS전달
총괄 관리자
수익배분
웹사이트 해킹 후 악성코드 추가
II. 파밍 기술의 진화
-12-
[ PC ] 파밍 기술 진화
[기능] 가짜 인증서 프로그램
[기능] 호스트 파일 변경 등
2012/6~7
[기능] 네트워크 보안 레벨 변경
인증서 패스워드 유출 기능
[전파] 인터넷방송 플레이어
[전파] 토렌트 사이트 첨부파일
[기능] 백신무력화
[전파] 구글 소스코드 배포서버
[기능] 브라우저에 악성 BHO 등록
2012/10
[기능] 특정 버튼 클릭시 피싱 사이트로 이동
[기능] 브라우저, 플러그인 등 메모리코드패치
2013/6
II. 파밍 기술의 진화
-13-
[ MOBILE ] 악성코드 사례 (공인인증서 탈취앱 분석사례)
II. 파밍 기술의 진화
Pftp0311.apk Pftp0312.apk
총 26개의 모바일기기 감염, 22개 공인인증서 탈취(만료 2개 포함)
이용자 설치
서버로 복사된 인증서들 서버 접근 소스코드
해커 접속용 관리화면
-14-
[ MOBILE ] 악성코드 사례 (Obad.a)
II. 파밍 기술의 진화
2013.6.8 카스퍼스키 보고서 발표
다양한 암호층과 난독화기법 적용
안드로이드 OS 취약점 이용 - 권한획득
C&C 서버 접속, 원격제어 가능
주위의 모든 블루투스 단말기에 파일전송
애플리케이션 리스트에서 검색불가 (ROOTKIT?)
단말기 스크린 제어 – 화면 안보이도록 조작
SMS를 이용한 명령 수신
-15-
오픈뱅킹 관련 보안기능
III. 전자금융 보안현황
공인인증프로그램
방화벽
키보드보안
(또는 가상키보드)
OTP
EV-SSL
-16-
전자금융사기 예방서비스 소개
전자금융사기 예방서비스 시범서비스 실시
(신청자대상) 은행권역(2012.9.25~), 비은행권역(2013.3.12~)
전자금융사기 예방서비스 전면시행 (2013.9.26)
개인고객이 공인인증서 재발급, 인터넷 뱅킹 1일 300만원(1일 누적기준) 이상 이체 시 본인확인절차 강화 (OTP이용 고객에 대해서는 금융회사 선택사항임)
단말기 지정후 이용 : PC, 스마트단말등 5대 이내 권고, 단말기 지정시 추가인증 3가지
(1) SMS인증 (2)2채널 인증 (3)영업점에서 1회용 인증번호 발급받아 인증
미지정단말기 : 공인인증서 재발급 또는 타행발급 공인인증서 등록 시 (1~3) 인증필요, 인터넷뱅킹을 통한 300만원 이상(1일누적기준) 이체시 (1~2) 인증필요
하나은행 (5월 14일 부터) : 심야시간(22시~8시) 거래시 본인 확인절차 강화
심야(22시~8시) & 해외IP를 통한 공인인증서 발급 및 인증서등록, 300만원이상 이체시 휴대폰 문자서비스(SMS)인증 추가실시
일회용비밀번호생성기(OTP), (공인인증서발급용) PC지정 이용 시 제외
국민은행 (6월 3일 부터) : 심야시간(22시~8시) & 해외IP를 통한 공인인증서 (재)발급 제한
일회용비밀번호생성기(OTP), (공인인증서발급용) PC지정, 2채널 인증서비스 이용시 제외
III. 전자금융 보안현황
-17-
모바일 기기의 개인용/업무용 분리
IV. 전자금융서비스 보안기술
안드로이드 보안 소프트웨어- S社 녹스(KNOX), MWC 2013
(한 기기에서 가상화 통해 기업용모드와 개인용모드로 나누어 그 데이터를 분리
하여 관리, 미국 국가안보국이 개발한 SE Android 기술 사용)
VMWare Horizon Mobile(2012.5) : A single device can simultaneously and securely run a personal and
a corporate in isolation
개인용과 업무용으로 구역 분할이 가능한 모바일 운영체제 분리기능 이용
-18-
스마트기기 보안 이슈 – H/W 기반 보안 기술 개발 추진
SIM(USIM), 금융 MicroSD, INTEL DeepSAFE, ARM TrustZone
IV. 전자금융서비스 보안기술
-19-
IV. 전자금융서비스 보안기술
해외 보안강화 사례 (Transaction Signing)
• 오스트리아 금융기관인 VKB뱅크(VKB-Bank) – 별도 기기를 이용한 인증 솔루션으로 TAN (Transaction Authentication Number) 생성
• 싱가포르 DBS 은행의 iB Secure Device
-20-
이용환경 변화에 따른 보안 위협 분석 및 대응
V. 결 론
관제 - 네트워크 모니터링
V3 (1988.6~, 25주년)
탐지 - 안티 바이러스
[1세대] Detection
IOS, Android, Win8 Sandbox?
모바일 APP, Win8 APP 등
기기 분리(SBC, CBC…), 망분리
가상화, OS 분리, 망분리 등
[2세대] SandBox
검증된 프로그램만 실행 가능
실행전 전처리(포멧변경)수행
[3세대] BloodLine
패킹, 암호
기술 악용 프로그램
위변조
S/W Exploit 공격 우회