모바일 앱스토어 보안이슈 2010. 04. 08. 김 기 영 IT R&D Global Leader

개요 모바일 환경의 변화 I 스마트폰 및 모바일 앱 스토어의 출현 II 모바일 앱스토어 보안 이슈 III 향후 추진 방향 IV

모바일 환경의 변화와 스마트폰의 출현 모바일 환경의 변화 스마트폰의 출현 ○ 통신 패러다임의 변화 : PC통신 ☞ 인터넷 ☞ 웹2.0 ☞ 모바일 웹 2.0 등 ○ 모바일 플랫폼의 변화 : 폐쇄형 OS ☞ 개방 및 오픈형 OS(스마트폰 출현) ○ 모바일 비즈니스 모델의 변화 : 이통사 중심의 모바일 시장 ☞ 무선네트워크 망 개방 및 콘텐츠 시장 직접진출로 변화(모바일 앱 스토어 출현) 스마트폰의 출현 ○ 휴대폰의 스마트폰화 - 풀부라우징 및 고기능 하드웨어 등의 기술환경 변화 및 이용자 요구에 따른 환경 변화 - 전세계적인 스마트폰 시장 확대와 국내 WIPI 의무탑재 폐지 등 - 외산 휴대폰 유입 및 무선망개방(한국 인터넷 쇄국정책이 무너지고 있음), 모바일 콘텐츠 시장 활 성화, 데이터 요금제 확산 등 ○ 스마트폰 이란? - 기존 PC의 개념과 휴대폰의 개념을 동시에 가지고 있음 - 범용 OS기반 다양한 어플리케이션 공유 및 PC와 같이 사용자 요구에 따른 멀티미디어 서비스 기 능 - 2013년에 스마트폰이 전체 휴대전화시장에서 45% 이상을 차지할 것으로 예상(가트너) ○ 향후 스마트폰이 기업용 넷북 및 모바일 오피스 등의 수단으로 활용될 가능성 확대 50%를 아이폰이 차지하고 있음 ※ 아이폰 50%, 노키아 25%, 안드로이드 11%, 블랙베리 7%, MS는 3%수준임. (출처 : 글로벌 모바일 데이터 트래픽 월간보고서) GIGAOM에 따르면 애플의 앱스토어에는 총 13만3천979개의 앱들이 등록되었다. 2만8천명 이상의 개발자들이 아이폰/아이팟 터치용 앱 개발에 뛰어 들었고 자신이 개발하는 앱이 애플에 의하여 승인되기 까지 평군 4.78일이라는 시간이 걸렸다. 애플 앱스토어를 사용하는 유저들은 작년 12월에 평균 4.8개의 앱들을 다운로드 받았고 약 4개중에 하나는 유료 프로그램이였다. 다양한 가격의 유료 프로그램들이 있지만 평균 유료 프로그램 가격은 $2.70이고 5천8백만이 넘는 아이폰/아이팟터치 유저들은 평균 $4.37불을 앱을 구입하는 사용했다. (약 3천4백만 아이폰 유저 + 2천4백만 아이팟터치 유저) 작년 12월에는 2억8천만번의 다운로드가 이뤄졌고 $2억5천만불 이상의 수익이 나타나고 있다. 애플이 30%, 개발자가 %70 가져가는 조건으로 보자면 애플은 지난 12월달 $7천5백만불을 매달 벌었고 개발자들은 $1억87천5백만불을 가지고 갔다. 국내 환율로 계산하면 애플 앱스토를 통하여 지난 12월달에만 3천억원의 수익이 발생한다는 뜻이다.

스마트폰 기술 출처: “최근 스마트폰등 신 IT기술 변화양상”, 2010.02, ETRI

차세대 모바일 비즈니스 출현 및 성공 애플 앱스토어의 출현 애플 앱스토어의 성공 ○ 앱스토어 : Market Place에 개발자들이 직접 개발한 애플리케이션을 올려놓고 판매하는 오픈 마켓 ○ 차세대 BM : 앱스토어가 iPhone판매를 능가하고, 애플리케이션 및 컨텐츠 유통에 대한 통제권 확보하여 수익 창출하는 수단으로 인식 애플 앱스토어의 성공 ○ 전세계 모바일 앱 오픈마켓 점유율 99.4%(‘10.1.20) ○ 현재 1년6개월만에 15만개이상의 애플리케이션, 총30억회 다운로드가 이루어짐 ○’09년 시장수익 42억4000만달러, 올해 68억달러규모 예측, 60%성장예측(출처:가트너) ○ 세계 모바일 데이터 트래픽의 50%를 아이폰이 차지하고 있음 ○ 아이폰 50%, 노키아 25%, 안드로이드 11%, 블랙베리 7%, MS는 3%수준임(2009.4분기) 50%를 아이폰이 차지하고 있음 ※ 아이폰 50%, 노키아 25%, 안드로이드 11%, 블랙베리 7%, MS는 3%수준임. (출처 : 글로벌 모바일 데이터 트래픽 월간보고서) GIGAOM에 따르면 애플의 앱스토어에는 총 13만3천979개의 앱들이 등록되었다. 2만8천명 이상의 개발자들이 아이폰/아이팟 터치용 앱 개발에 뛰어 들었고 자신이 개발하는 앱이 애플에 의하여 승인되기 까지 평군 4.78일이라는 시간이 걸렸다. 애플 앱스토어를 사용하는 유저들은 작년 12월에 평균 4.8개의 앱들을 다운로드 받았고 약 4개중에 하나는 유료 프로그램이였다. 다양한 가격의 유료 프로그램들이 있지만 평균 유료 프로그램 가격은 $2.70이고 5천8백만이 넘는 아이폰/아이팟터치 유저들은 평균 $4.37불을 앱을 구입하는 사용했다. (약 3천4백만 아이폰 유저 + 2천4백만 아이팟터치 유저) 작년 12월에는 2억8천만번의 다운로드가 이뤄졌고 $2억5천만불 이상의 수익이 나타나고 있다. 애플이 30%, 개발자가 %70 가져가는 조건으로 보자면 애플은 지난 12월달 $7천5백만불을 매달 벌었고 개발자들은 $1억87천5백만불을 가지고 갔다. 국내 환율로 계산하면 애플 앱스토를 통하여 지난 12월달에만 3천억원의 수익이 발생한다는 뜻이다.

모바일 OS 플랫폼과 모바일 앱 스토어 모바일 OS 플랫폼 애플리케이션 스토어기반 서비스 ○ 심비안 ○ SKT Market 안드로이드, 윈도우모바일, 아이폰OS, 블래베리, 심비안, 리모 및 바다 등(PC환경에서는 윈도우즈가 90%이상임) 개방형 안드로이드와 폐쇄형 아이폰 OS 주축 ○ 스마트폰이 향후 기업용 넷북 및 모바일 클라우드 컴퓨팅 수단으로 활용될 가능성 확대 애플은 아이툰스, 앱 스토어를 통하여 기존 사이버시장을 모바일 환경으로 확산 구글은 OS 오픈형 안드로이드 출시, 모바일 웹 서비스 활성화(메일, 유튜브, 구글지도 등 기본제공) ○ 애플의 앱스토어가 성공적으로 런칭되면서 노키 아, RIM, Google, MS 등 Global Phone 제조사 및 플랫폼 사업자들이 3rd Party가 참여 가능한 오픈 마켓플레이스를 오픈함 ○ 애플 iTunes Store 내에 별도로 애플리케이션인 앱스토어 운영 ○ 심비안 자사 N series 단말 사용자를 대상으로 Downloadable한 Entertain./Productivity/Travel/Internet & News/Imaging/Social Networking/Utility ○ SKT Market 앱스토어와 안드로이드 마켓에 대응 Window Mobile 6.5이상 지원, Visual Studio 2005 이상버젼에서 MFC를 활용한 편리한 개발 및 전세계적인 Win32 API 기반 개발자 Pool확보가 최대장점 출처 국민일보 출처 : SIS 2009

스마트폰 보급 현황 및 침해사고 현황 스마트폰 보급현황 침해사고 현황 ○ 국내 보급현황 ○ 국내 침해사고 현황 ‘09년 12월 기준 104.1만대로 전체 이동통신 가입자 4,790만명중 2.2% ’10년 400만대 예측(’09년 10월 50만대) ○ 국외 보급현황 ‘09년 1.7억대로 전체 휴대폰 판매량의 14.2% ’11년 5.5억대, 시장점유율은 30.6%까지 상승전망(가트너, 2009) ○ 국내 침해사고 현황 현재까지 국내에 보고된 모바일 악성코드는 없음 개방형 플랫폼 및 WIPI의무조항폐지 등 ○ 국외 침해사고 현황 ’04년 15개부터 ’09년 524개로 보고 90%이상이 심비안 운영체제가 탑재된 스마트폰 대상임 출처 : Mobile Malware Attacks and Defense

모바일 앱스토어 및 스마트폰 보안 위협요소 모바일 위협 요소 증가 ○ 모바일 네트워크 고도화, 개방화, 휴대폰의 스마트폰화 및 네트워크 접속 I/F의 다양화 등 모바일 환경이 급속히 변화 - 스마트폰의 급속한 확산 및 다양한 기능을 제공하는 수단으로 제공됨으로 스마트폰 위협확산 우려 ○ 모바일 단말용 플랫폼이 폐쇄형에서 개방형으로 전환 - 범용 OS 채택으로 이식성 높은 악성코드의 제작 및 유포 가능 - 개방형 운영체제의 자체 취약점 노출(비공식적 오픈 OS 취약점 공략) ○ 표준화된 개발 체계 지원(3rd Party 애플리케이션 제작 지원) - 오픈 마켓을 통한 악성코드가 포함된 애플리케이션 제작 기회 확대 ○ 애플리케이션 검증 절차 허술 - 앱스토어를 통하여 애플리케이션으로 가장한 악의적 프로그램 등록 우려 등 - 실제 인터넷 뱅킹 및 모바일 뱅킹 프로그램으로 가장한 개인정보 유출 프로그램 등록 사례 등

오픈 마켓환경의 모바일 위협 전파 시나리오 스마트폰 기능 장애 도청 개인정보유출 모바일 DDoS 공격 과금서비스 공격 개발자 취약점이 내재된 SW 등록 취약점이 내재된 SDK 배포 악성코드가 포함된 SW 등록 이동통신 및 플랫폼 사업자 악의적인 개발자 OPEN MARKET 다운로드 스마트폰 기능 장애 도청 개인정보유출 모바일 DDoS 공격 과금서비스 공격

스마트폰 보안 위협 * * 보안 위협 피해 요소 기업정보 유출 악성코드 감염 불법 위치 추적 과금피해 서비스 거부 공격 개방형 플랫폼 보안 취약점 노출 위협 증대 앱스토어를 통한 애플리케이션 유통 악의적 바이러스 제작 및 유포 기회 확대 다양한 네트워크 접속환경 지원 감염경로의 다양성 제공 이동의 편의성 및 모바일 오피스 지원 개인 및 기업 정보 유출 위협 증대 * 기업정보 유출 악성코드 감염 불법 위치 추적 * 보안 위협 요소 과금피해 피해 서비스 거부 공격 프라이버시 침해 스팸 * 출처: Isolated Android Attack Portends Future Exploits. March 2010, Gartner.

스마트폰 App를 이용한 공격사례 스마트폰 보안위협 앱스토어에 집중 될 것 애플 아이폰 구글 안드로이드폰 ⑤ 개인정보 유출 ① 피싱사이트 구축 ④개인정보 전송 스마트폰 보안위협 앱스토어에 집중 될 것 애플리케이션 검증절차 허술… 악의적 프로그램 등록 우려 <“스마트폰 보안문제 진단 및 대책마련을 위한 토론회”, 2010.03.17> ②피싱사이트 URL이 담긴 QRCode 배포 ③피싱사이트 접속 및 개인정보입력 <출처: A3 Security> 구글 안드로이드폰 <모바일뱅킹 프로그램을 가장한 악성프로그램 마켓에 등장> 2009.12월 중순 발생 사용자의 비밀번호등 개인정보 유출

개인 정보 유출과 직접적인 금전적 손실을 가져올 수 있는 구조 스마트폰 앱스토어 구조 및 위협 [ 사용자와 스마트폰] [ Network Carrier ] [ Application Market ] SKT KT LGT 3G WiFi / Side Loading 개인정보 유출 뱅킹 증권 쇼핑 게임 SNS App Use 계좌정보 유출 결제 도용 불법 과금 SNS 피싱 악성코드 감염 불법 위치 추적 아이디 도용 개인 정보 유출과 직접적인 금전적 손실을 가져올 수 있는 구조 스마트폰에 저장된 개인적/업무적 데이터의 유출 가능 재구매에 따른 사용자의 추가적인 비용 발생 SMS, MMS 등을 통한 불법적인 유료 컨텐츠 과금 모바일 뱅킹, 인터넷 뱅킹 등을 이용한 금전적 탈취 PC와의 Sync, Bluetooth 연결, Wi-Fi를 이용한 감염 트로이목마 등을 이용한 단말기 탈취, 정보 유출, 공격지 활용 통화기록, USIM Card 정보, GPS 이용한 위치 정보 등 외장형 Memory에 보관되어 있는 파일 주소록, E-mail 등 개인적 리스트와 사진, Multimedia File 사업자의 기지국에 대한 DDos 공격 사용자의 PC로 악성코드 download Enterprise E-mail Server 등을 목표로 하는 공격 분실 (Lost) 금전적 손실 (Monetary Loss) 악성코드 감염 (Infect Malware) 정보 유출 (Data Steal) 공격지 활용 (Attack Others) 사용자 통신 사업자 단말기 제조사 √ △ 발생 가능한 위협 요인들이 과연 누구에게 위협적인가?  CP 사회적 위협 개인적 손실 <출처: Ahn lab>

APP 등록 및 검증 요청, APP 기능 검증 등 체크 포인트 앱스토어 보안 취약점 점검 개발자/판매자 인증 APP 등록 및 검증 요청, APP 기능 검증 등 체크 포인트

심비안 애플리케이션 보안성 검증 절차 악성코드 감소 개발자 ID 코드 사이닝 R&D 인증서로 코드 사이닝 보안성 평가 TestHouse 코드 사이닝 악성코드 감소

모바일 애플리케이션 보안성 검증 방안 개발자 그룹 (모바일 소스코드 취약점 분석 기술) 모바일 오픈 마켓 실행코드 행위분석 기술 보안성 검증 자동화 기술 모바일 오픈 마켓 (모바일 실행코드 안전성 검증 기술) 구매자 개발자 그룹 (모바일 소스코드 취약점 분석 기술) 검증센터 앱스토어

모바일 소스코드 취약점 분석 방안 취약 소스코드에 대한 인증서 발급 제한 소스 코드 점검도구 현황 ○ 개발환경에서의 모바일 소스코드 취약점 분석 및 진단 기술 악성코드 Scanning 분석기술 Code Vulnerability Risk 진단 기술 소스코드 취약점 점검 상용 기술 Coverity사의 “Prevent Static Analysis”, Fortify사의 “Software Security Assurance”, Kockwork의 “Insight” 현재 상용 기술은 주요 취약점의 60% 발견 (Gartner, “Implement Source Code Security Scanning Tools to Improve Application Security”) 안드로이드 App 소스 취약점 분석 시험 ○ PMD Rule기반 소스코드 취약점 점검 및 코딩 에러 점검 도구     <rule name="AvoidUsingHardCodedIP"          since="4.1"          message="Do not hard code IPv4 addresse!"          class="net.sourceforge.pmd.rules.basic.AvoidUsingHardCodedIP"          externalInfoUrl="http://pmd.sourceforge.net/rules/basic.html#AvoidUsingHardCodedIP">  <property name="pattern" description="Regular Expression" value='^"[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}"$'/>  </properties> 취약 소스코드에 대한 인증서 발급 제한

모바일 실행코드 안전성 검증 방안 ○ 모바일 실행코드 안전성 기술 앱스토어 안전성점검 현황 ○ 모바일 실행코드 안전성 기술 실행코드 역공학(Reverse Engineering) 자동화 및 위협행위 분석 기술 모바일 안티바이러스 검사 자동화 기술 애플 앱스토아, 구글 안드로이드 마켓, SKT T 스토아의 보안 기술 사용자 인증을 위한 코드 사이닝 적용 Google Android Market : 등록된 SW 검증을 위해 Honeypot 운영(확인불가능) Apple AppStore : 사용자의 데이터 보호를 보장하지 않는 SW는 개발자 징계와 같은 정책적 접근 SKT T 스토어 : SW의 불법복제 방지를 위해 ARM(Application Rigths Management) 적용 예정 앱스토어 안전성점검 방안

모바일 실행코드 안전성 검증 방안 App 검증 시간 단축/악성코드 검출 앱스토어 안전성점검 방안 ○ 실행코드 역공학 (Reverse Engineering) 기술 - Dexdumper Dexdumper App 검증 시간 단축/악성코드 검출

질의 응답 감사합니다.