“ 모바일 클라우드 서비스 보안 침해 대응 방안 ” 분석 보고 서울과학기술대 산업대학원 컴퓨터공학과 박지수

목차  모바일 클라우드 컴퓨팅  모바일 클라우드 서비스 보안 위협  모바일 클라우드 서비스 위협 시나리오  모바일 클라우드 서비스 위협 대응 방안  결론  참고문헌

모바일 클라우드 컴퓨팅  모바일 클라우드 컴퓨팅 구성도

모바일 클라우드 컴퓨팅  Apple-MobileMe  iPhone, iPad, MacOS  MobileMe 에서 iCloud 로 전환  iCloud 의 기능

모바일 클라우드 컴퓨팅  Microsoft-Myphone  Windows mobile 6 이상  Myphone 기능  휴대폰 데이터 자동 백업  사진을 PC 에 보내 소셜 네트워크 사이트에 올리기  분실한 휴대폰 찾기  온라인에서 연락처 정보, 문자 메시지 등 확인

모바일 클라우드 컴퓨팅  구글 클라우드 프린팅  3-Screen

모바일 클라우드 서비스 보안 위협 모바일 단말 위협  메시지 메일 오용 및 남용 : 모바일 메시지를 다양한 위협 형태로 악용 하여 바이러스 유포 및 서비스와 단말의 사용 제약  메시지 스푸핑  스팸 메시징  메시지 피싱  악성 메시지 배포  다량의 메시지 전달  악의적인 콘텐츠  서비스 거부 : 모바일 단말이 타깃이 되어 작업 수행을 못하거나 좀비 가 되어 서버나 다른 모바일 단말을 위협  서비스 과다요청  모바일 단말 파괴  배터리 소진  저장 공간 소진  컴퓨팅 파워 소진  악의적인 포맷 스트링  오버플로우

모바일 클라우드 서비스 보안 위협 모바일 단말 위협  데이터 손실 및 유출 : 모바일 단말의 고성능화와 이동성, 서버의 모바일 데이터를 보유하는 특성으로 인한 데이터 손실 및 유출 의 위협  모바일 단말 분실 및 도난  서버의 데이터 손실 및 유출  모바일 화면, 통화 내용 노출  모바일 정보 유출  부적절한 네트워크 접근  서비스 기반 위협 : 정상적인 모바일 서비스의 방식 및 내용을 악용하거나 위장하여 다른 모바일 서버, 플랫폼, 단말, 데이터 등 을 위협  크로스 서비스 위협  사용자 위치 불법 추적  논리 오류 발생 및 코드 삽입  불법 통화 시도

모바일 클라우드 서비스 보안 위협 모바일 단말 위협  보안 체계 위협 : 모바일 단말의 암호화, 인증 등을 무 력화 시키는 위협  모바일 단말 암호 크랙  데이터 암호화 보호 크랙  인증 우회 및 크랙  악성코드 위협 : 모바일 단말을 감염시켜 데이터를 유 출하고 시스템 파괴, 원격 제어 등 악의적인 행동하는 코드  바이러스, 웜, 트로이 목마, 스파이웨어

모바일 클라우드 서비스 보안 위협 무선 네트워크 위협  도, 감청 : 패킷을 불법으로 수집하여 내용 유출  음성 도감청  메시지 도감청  패킷 도감청  프로파일링 및 추적 : 네트워 통신 정보를 수집하고 추 적  블루투스 프로파일링  무선랜 프로파일링  WiBro 프로파일리

모바일 클라우드 서비스 보안 위협 무선 네트워크 위협  불법인증 위협 : SSID, MAC 주소 노출 등으로 불법 인증 된 사용자가 접근  비인증 접근점  서비스 식별자 노출  WEP 키 노출  이더넷 물리적 주소 노출  서비스 거부 : 시스템 자원 고갈 및 비정상 패킷의 다 량 발송 등 정상적인 서비스 거부  플러딩 위협  전파 차단 및 방해  모바일 단말 파괴

모바일 클라우드 서비스 보안 위협 무선 네트워크 위협  네트워크 통신정보 유출 및 변조 : 사용자의 등록정보 를 조작하거나 불법 통신망으로 서비스 접속을 유인 하여 사용자 정보 유출  네트워크 통신정보 스푸핑  메시지 파싱  세션 가로채기 : 사용자의 세션 제어권한 등을 획득  세션 가로채기

모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협  서비스 오남용 : 클라우드 자원을 악의적인 목적으로 오용 및 남용  데이터 암호화 보호 크랙  서비스 과부화  서버, 모바일 봇넷화  악성코드 호스팅  CAPTCHA 를 푸는 영역으로 활용

모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협  데이터 손실 및 유출 : 통합되고 공유된 자원이 악의적 접근에 노출되거나 데이터 사이 구분의 불명확함  불충분한 접근제어  부적절한 권한 부여  불충분한 감사  소프트웨어 라이센스 크랙  연계성의 위험  클라우드 서버 정보 유출

모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협  어플리케이션의 위협 : 결함이 있는 클라우드 서비스 제공자에게 종속되는 어플리케이션의 위험  익명의 접근  재사용 가능한 토큰이나 비밀번호  일반 텍스트 인증  일반 정보 전송 및 저장  부적절한 접근제어 기능  부적절한 권한 부여 기능  불충분한 모니터링과 로깅  알려지지 않은 서비스나 API 의존성

모바일 클라우드 서비스 보안 위협 클라우드 컴퓨팅 서비스 위협  관리 시스템의 취약점 : 클라우드 관리자의 보안성 부 재와 관리 부족  프로파일 정보 유출  불충분한 재난 복구  데이터의 잔류  가상화 기술의 취약점 : 가상화 기술의 특성을 악용  가상화 취약점 위협

모바일 클라우드 서비스 보안 위협 서비스위협 모바일 클라우드 서비스 이용단 악성 메시지배포 크로스서비스 위협 논리오류 발생 및 코드 삽입 알려지지 않은 서비스나 API 의존 성 불충분한 모니터링과 로깅 부적절한 접근 제어 기능 부적절한 권한 부여 기능 재사용 가능한 토큰 및 비밀번호 익명의 접근 모바일 단말 암호 크랙 인증 우회 및 크랙 데이터 암호화 보호 크랙 부적절한 네트워크 접근 악의적인 콘텐츠 무선 네트워크상 비인증 접근점 서비스 식별자 노출 WEP 키 노출 이더넷 물리적 주소 노출 세션 가로채기 클라우드 단

모바일 클라우드 서비스 보안 위협 서비스 불능 위협 모바일 클라우드 서비스 이용단 스팸 메시징 서비스과다 요청 배터리 소진 다량의 메시지 전달 모바일 단말 파괴 불법 통화 시도 악의적인 포맷스트링 오버플로어 모바일 봇넷화 메모리소진 컴퓨팅 파워 소진 무선 네트워크상 전파 차단 및 방해 플러딩 위협 클라우드 단 CAPCHA 를 푸는 영역 으로 활용 서버 봇넷화 서버 과부하

모바일 클라우드 서비스 보안 위협 데이터 유출 및 변조 위협 모바일 클라우드 서비스 이용단 모바일 분실 및 도난 사용자 위치 불법 추정 통화 내용 노출 모바일 화면 노출 메시지 피싱 메시지 스푸핑 일반 텍스트 인증 일반 정보 전송 및 저장 모바일 정보 유출 무선 네트워크상 음성 도감청 메시지 도감청 패킷 도감청 블루투스 프로파일링 무선랜 프로파일링 WiBro 프로파일링 네트워크 통신 정보 스푸핑 클라우드 단 불충분한 감사 연계성의 위험 불충분한 접근제어 부적절한 권한 부여 소프트웨어 라이센스 크랙 데이터의 잔류 불충분한 재난 복구 프로파일 정보 유출 클라우드 서버 정보 유출

모바일 클라우드 서비스 위협 시나리오 서비스 권한 획득 불법 인증을 통한 악성 코드 감염 서비스 악용을 통한 악 성코드 전파 클라우드 자원의 악성 코드 감염으로 인한 악 성코드 전파 오버플로어를 통한 서 비스 권한 획득 불법 과금 유발 비정상적인 서비스 제 어로 인한 과금 발생 비밀번호 유출로 인한 불법 과금 권한 오용을 통한 불법 과금 침해 네트워크 취약점을 악 용한 과금 우회 서비스 사용불가 모바일 단말 파괴를 야 기하는 서비스 거부 클라우드 자원을 위협 하는 서비스 거부 악의적 메시지로 인한 배터리 소진 위협 클라우드 자원 악용으 로 인한 서비스 거부 데이터 정보 유출 및 위변조 부적절한 어플리케이 션 사용 모바일 단말의 분실 및 도난 통신 내용 도감청 및 세 션 가로채기 스팸 메시지를 통한 민 감한 정보 획득 데이터 통신 정보 수집 을 통한 데이터 유출 데이터 정보 유출 및 위변조 가상화 취약점을 악용 한 프로파일 정보 유출 모바일 관리 서버 해킹 후 악성코드 배포 무선 네트워크의 도감 청을 통한 데이터 유출 비인증 접근점을 통한 데이터 유출 서비스의 취약성으로 인한 데이터 유출 연계성의 위험으로 인 한 데이터 유출 데이터 정보 유출 및 위변조

모바일 클라우드 서비스 위협 시나리오  모바일 클라우드 권한 획득

모바일 클라우드 서비스 위협 시나리오  모바일 클라우드 서비스의 불법 과금 유발

모바일 클라우드 서비스 위협 시나리오  모바일 클라우드 서비스 사용 불가

모바일 클라우드 서비스 위협 시나리오  데이터 정보 유출 및 위변조

모바일 클라우드 서비스 위협 대응 방안 위협 시나리오 기반 대응 방안 서비스 업데이트 및 패치 입력 정보 필터링 및 모니터링 오버플로어 사용자 인증 강화 서비스 업데이트 및 패치 인증 우회 및 크랙 가상화 환경의 설정 유형 점검 및 제거 가상화 환경의 업데이트 및 패치 보안 메커니즘 적용 가상화 취약점 위협 사용자 인증 강화 인증서 기반 관리자 인증 역할기반 클라우드 자원 할당 보안성 있는 인증 메커니즘 적용 부적절한 권한 부여 컴퓨팅 자원 및 입력 모니터링 서비스 업데이트 및 패치 / 서비스 교체 안티바이러스 설치 및 유지 악성코드

스마트폰 침해 방지 기술  민감정보 유출 방지 기술  민감정보를 가진 데이터를 선별하여 이 데이터를 제어하는 기능 들을 모니터링하여 정보의 유출을 방지하는 기술  모바일 접근 제어 기술  스마트폰 환경에 맞게 정책을 최소화하고 어플리케이션과 데이 터에 대한 접근 제어를 제공하는 기술  원격 모바일 보안 관리 기술  스마트폰의 자원을 효율적으로 사용하기 위해 사용 목적, 사용 장소, 사용 네트워크 상태에 적합한 보안 서비스를 자동으로 구 성하는 기술

결론  모바일 클라우드 컴퓨팅 보안  기존 IT 기술을 사용하여 기존 보안 위협 포함  기술들의 융합된 서비스로 인한 새로운 보안 위협 존재  보안 문제를 해결하기 위한 방안  기존 보안 기술을 강화  소프트웨어, 플랫폼, 인프라 서비스 등을 통합하여 서비스 할 시 생기는 취약점 분석  지속적인 위협 분석 및 대응 방안 연구

참고문헌  김형종, 박춘식, 최주영, 김지연, 이알렉산더, 장은영, 신지현, " 모바일 클라우드 서비스 보안 침해 대응 방안 ”, KISA 연구 보고서, 2010 년 11 월  강동호, 한진희, 이윤경, 조영섭, 한승완, 김정녀, 조현숙, “ 스마트폰 보안 위협 및 대응 기술 ”, 전자통신동향분석 제 25 권 제 3 호, 2010 년 6 월  김기형, 강동호, “ 개방형 모바일 환경에서 스마트폰 보안 기술 ”, 정보처리학회 지 제 19 권 제 5 호, 2009 년 10 월  김학영, 민옥기, 남궁한, “ 모바일 클라우드 기술 동향 ”, 전자통신동향분석 25 권 3 호, 2010 년 6 월  장은영, 김형종, 박춘식, 김주영, 이재일, “ 모바일 클라우드 서비스의 보안위협 대응 방안 연구 ”, 정보보호학회논문지, 제 21 권 제 1 호, 2011 년 2 월

Q&A