Platform연구원 Terminal개발팀 Mobile Anti-Virus Service 모바일 시대를 지켜주는 방역 서비스 2004. 6. 3 Platform연구원 Terminal개발팀
목 차 I. Mobile Anti-Virus 필요성 II. Mobile Anti-Virus 서비스 기능 목 차 I. Mobile Anti-Virus 필요성 II. Mobile Anti-Virus 서비스 기능 III. Mobile Virus 대응 시나리오 IV. 요약정리
I. Mobile Anti-Virus 필요성 1. Mobile Biz 환경의 변화 2. Mobile 악성코드 발생사례 3. 예상되는 Mobile 악성코드
1. Mobile Biz 환경의 변화 모바일 악성코드 I. Mobile AV 필요성 무선 망 개방으로 인해 이동통신 사업자가 인증하지 않은 S/W가 단말에 다운로드 될 수 있고, 표준 플랫폼 WIPI의 도입으로 규격이 Open되어 개발환경이 표준화되었으며, PC Sync/IrDA 등의 서비스 확산으로 단말로의 악성코드 유입 및 확산 경로가 다양해졌다. 이로 인해 Mobile Virus의 출현가능성이 증대되었으며, 통신-금융 간 Convergence에 의해 무선단말기에 신용카드 등의 중요한 개인정보 및 기능이 추가됨에 따라 Mobile Anti-Virus 서비스의 필요성이 커지고 있다. 타 기간통신사업자와 CP/포탈 등에게 개방 SKT 인증되지 않은 S/W가 단말에 다운로드 가능 악의적인 S/W에 의해 단말 부가서비스 장애 또는 개인정보 유출 등의 피해 발생 가능 IrDA/Bluetooth 탑재 단말기 확산 PC Sync 서비스 확산 Mobile 악성코드의 유입 및 확산 경로가 다양해짐 무선 망 개방 PC Sync, IrDA, Bluetooth 모바일 악성코드 금융 Convergence 해외 피해 사례 신용카드/현금카드 등의 중요 정보가 단말내 존재 바이러스 및 악성코드에 의해 정보 유출시 고객피해 증대 표준 플랫폼 WIPI의 도입 2000년부터 유럽, 일본에서 Phone / PDA 상의 악성코드 발생 단말 프로그램 삭제, 시스템 정지 N/W마비 등의 피해 발생 표준화된 개발환경으로 인해 악성코드의 제작 용이해짐 바이러스 발생시 특정 이통사 단말이 아닌 모든 이동통신 가입자의 단말로 피해 확산 가능
2. Mobile 악성코드 발생사례 PHONE PDA I. Mobile AV 필요성 Timofonica Phage SK Telecom Mobile Anti-Virus S/W 개발 시작 (2002.6) Phage 2000년 스페인 발생. GSM 단말에 E-mail 통해 자기복제. 무작위로 SMS 대량 송신함 PalmOS에서 발생. RAM에 로딩된 모든 프로그램 실행 중단. 새로 설치된 프로그램 감염. SMS malicious code Vapor 파일 실행시 모든 아이콘이 사라짐. 사용자는 아이콘이 없으므로 실행 못함. 2000년 노르웨이 발생. 노키아폰에서 특정 SMS 메시지 확인시 단말 기능 정지시킴 PHONE PDA I-Mode malicious code Liberty NTT DoCoMo Mobile Anti-Virus S/W 개발계획발표(‘03.10) 및 상용화 예정(’04.4Q) 파일 실행시 RAM에 로딩된 2~3개 프로그램 삭제. 계속 실행 시 모든 프로그램 삭제 되고 자체 아이콘만 남음. 2001년 일본. I-Mode App. 악성코드로 긴급 구조센터(110)에 다량의 전화. 전화망 마비 초래.
3. 예상되는 Mobile 악성코드 I. Mobile AV 필요성 파일 바이러스 트로이안 / 웜 시스템 정지 바이러스 App의 오 동작 유발을 통한 플랫폼 및 폰 시스템 정지 특정 App 불능 바이러스 특정 ID의 App을 공격하여 오동작 유발 EFS시스템 불능 바이러스 App에 임의 악성코드 삽입하여 파일 시스템 불능 유발 파일 바이러스 트로이안 / 웜 핸드폰 리부팅 App 실행 중 악의적 코드 실행으로 비정상적 종료 유발 개인정보 훼손 및 유출 주소록 등의 개인정보를 SMS 및 N/W를 통해 유출함 강제적 광고 Viewer 호출 강제적 광고 Viewer를 통해 사용자 이용에 불편 초래 쓰레기 파일 생성 Garbage 파일 생성을 통해 메모리 부족을 야기시킴
Ⅱ. Mobile Anti-Virus 서비스 기능 1. 수동검사 2. 실시간 검사 3. 엔진 업데이트 4. 바이러스 신고
1. 수동검사 II. Mobile AV 서비스 기능 사용자의 선택에 의해 플랫폼의 모든 실행파일을 바이러스 진단/치료/삭제 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 확인 취소 Mobile AV 사용자 선택에 의한 수동검사 실행 ⓜPlayOn 수동검사 검사 중……. 실 행 모바일AV 확 인 결 과 파일 : BaseBall.daf 파일수 : 15/20 바이러스 수 : 1 모든 WIPI 실행 파일 대상 검사 및 진단 결과 제시 메뉴 취소 << App. 실행 >> << 메뉴 선택>> << 바이러스 진단>> 치료/삭제 및 결과 확인 진단 결과 진단 결과 치료 결과 파일: BaseBall.daf 바이러스명 : T-MC01 *SampleVirus.dat - 삭제 가능 *TestApp.daf - 치료가능 설정 해제 알 림 치료/삭제를 하시겠습니까? 예 아니오 치료/삭제가 정상적으로 실행되었습니다. 예 치 료 치료 취소 치료 취소 확인 << 진단 결과보기>> << 치료/삭제 확인>> <<바이러스 APP 치료/삭제>>
1. 수동검사 단말 플랫폼과 Mobile AV S/W 연동 II. Mobile AV 서비스 기능 Mobile AV S/W 본체 프로그램 SKT WIPI Platform -수동검사 실행 (사용자 UI환경 제공) 1.사용자 선택에 의해 수동 검사 실행 2.진단/치료 결과 화면 3.사용자선택에 의해 치료/삭제 플랫폼 실행 파일들 백신 엔진 악성코드 진단 / 치료
1. 수동검사 수동검사 흐름도 II. Mobile AV 서비스 기능 사용자 수동검사 시작 없음 엔진 Check? Error MSG 처리 있음 모든 파일 검색 감염 미 감염 진단 결과 화면 파일 감염 진단? 진단 결과 화면 검사 기록 취소 사용자 치료 확인 치료 감염 파일 치료 치료 결과 화면 검사 기록 종 료
2. 실시간 검사 II. Mobile AV 서비스 기능 플랫폼에 다운로드/실행되는 파일에 대한 실시간 바이러스 진단/치료/삭제 ⓜPlayOn Mobile AV 환경설정 환경설정 실시간 감시 설정 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 실시간 감시 설정 실시간 감시 설정 알 림 실시간 감시가 설정되었습니다. 확인 실 행 설정 설정 모바일AV 설 정 확 인 해제 해제 실시간 감시/검사 컨텐츠 다운로드 프로그램 실행 파일 입출력 메뉴 확인 취소 설정 취소 설정 취소 << App.실행>> << 메뉴 선택>> << 실시간 감시 : 설정>> << 설정내용 확인>> ⓜPlayOn ⓜPlayOn ⓜPlayOn 경고 알림 바이러스 발견. 치료/삭제하시겠습니까? 바이러스가 치료/삭제되었습니다. 예 치료/삭제 및 결과 확인 실 행 확인 예 아니오 야구게임 메뉴 메뉴 메뉴 <<실시간 바이러스 진단>> <<바이러스 APP 치료/삭제>> Virus 프로그램 실행
2. 실시간 검사 II. Mobile AV 서비스 기능 단말 플랫폼과 Mobile AV S/W 연동 Mobile AV S/W 본체 프로그램 실시간 감시 프로그램 SKT WIPI Platform -실시간 감시 설정/해지 (사용자 UI환경 제공) 1.사용자 선택에 의해 실시간 감시 프로그램 동작 및 종료 -실시간 감시 기능 3.플랫폼으로부터 전달받은 메시지 처리 4.백신엔진 호출 바이러스 진단/치료. 5.시스템 메시지 박스를 이용 바이러스 공지 -실시간감시 공지 메시지 전달 2.파일 I/O발생시 실시간 감시 공지 메시지를 콜백 함수를 통해 전달 백신 엔진 플랫폼 실행파일 악성코드 진단 / 치료
3. 엔진 업데이트 II. Mobile AV 서비스 기능 최신 백신엔진으로 업데이트하는 기능 엔진 업데이트 수행 ⓜPlayOn Mobile AV Mobile AV 엔진 업데이트 수행 - App. 실행시 자동 업데이트 - 사용자 선택에 의한 수동 업데이트 제공 가능 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 알림 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 엔진버전:2004.03.03.00 업데이트하시겠습니까? 모바일AV 실 행 확 인 확 인 확인 메뉴 확인 취소 확인 취소 메뉴 접속중 << App. 실행>> << 메뉴 선택>> << 버전/업데이트 확인>> << Nate 접속>> 버전 확인 / 다운로드 ⓜPlayOn Mobile AV 다운로드 중 신규 백신엔진 ⊙설치정보 ⊙컨텐츠 ⊙설치중 알림 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 정상적으로 설치되었습니다. 신규 엔진 설치 / 확인 결 과 결 과 확 인 확인 진행 확인 취소 << 다운로드/설치>> << 설치 확인>>
4. 바이러스 신고 II. Mobile AV 서비스 기능 바이러스로 의심되는 파일을 백신제조사에서 분석하도록 의뢰하는 기능 백신제조사 바이러스 대응센터 USER Auto Scan Tool 바이러스 신고기능 선택 바이러스 파일 신고 ASEC대응센터 신고 대상 파일 확인 신규 엔진 제작 Mobile AV 검 역 소 바이러스 신고 바이러스 신고 온라인 파일 전송 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 바이러스 신고 5. 검사 기록 파일명 바이러스명 -------------------------- 1 a.daf 신종 2 c.dat 신종 바이러스 신고 중……. 바이러스 신고 중……. 알림 바이러스신고가완료되었습니다.. 확인 확 인 신 고 신 고 전송 파일 : 전송 파일 : 확인 취소 신고 취소 신고 취소 신고 취소 삭제 << App. 메뉴 >> << 신고대상 파일 확인>> << 바이러스 신고>> << 신고 완료>>
III. Mobile Virus 대응 시나리오 1. 바이러스 피해 발생 2. 바이러스 분석 / 백신엔진 제작 3. 엔진 업데이트 4. 바이러스 진단/치료/예방
1. 바이러스 피해 발생 악성코드 제작 및 유포 / 피해발생 / 샘플입수 III. Mobile Virus 대응 시나리오 프로그램 실행 및 피해발생 유포 악성코드 제작자 및 그룹 (게임에 악성코드 포함) 사용자 1 (게임 설치 및 실행) 악성코드 실행 바이러스 신고 대응 바이러스 샘플 입수 사용자 1 악성코드 피해 발생 바이러스 대응 센터 (바이러스 분석)
1. 바이러스 피해 발생 III. Mobile Virus 대응 시나리오 악성코드 유입 및 피해 발생 (Example) 프로그램 실행 악성코드 유입 및 피해 발생 (Example) SMS 메시지 확인 프로그램 다운로드 사용자 1 진행 다운로드 중 BaseBall Game ⊙설치정보 ⊙컨텐츠 ⊙설치중 메시지 내용 BaseBall Game BaseBall Game [광고]무료 야구 게임을 받시겠습니 까? [받은 시간] 2004.02.02 13:54 실행 접속 주소록 화면 접 속 삭 제 확 인 사용자 1 악성코드 피해 발생 (사용자 인식 못함) 종료 전화번호부 메뉴 추가 편집 $#$%^^ &&&&& @#@#@ |(|()|(( 01197972323 주소록 피해 발생 1. 모든 이름 변경 또는 삭제 2. 특정 전화번호 삭제 3. 등록 전화번호에 SMS전송 주소록 확인 사용자 의심 바이러스 신고
2. 바이러스 분석 / 백신엔진 제작 바이러스 분석 / 백신엔진 제작 / 공지 III. Mobile Virus 대응 시나리오 바이러스 대응 센터 2. 바이러스 분석 / 백신엔진 제작 III. Mobile Virus 대응 시나리오 바이러스 분석 / 백신엔진 제작 / 공지 사용자 1 악성 코드 샘플 입수 악성코드 행동 시뮬레이션 검사 바이러스 샘플 입수 서명 검증법 모바일 AV 사용자 악성 코드를 식별하는 유일한 코드 값 추출 최신 엔진 업로드 (사용자에게 바이러스 공지) 백신 엔진 적용 (최신 엔진 개발) SMS를 이용한 업데이트 공지 사용자 2
3. 엔진 업데이트 III. Mobile Virus 대응 시나리오 엔진 업데이트 공지 (SMS) 업데이트 완료 업데이트 공지 확인 최신 엔진 업데이트 사용자 2 진행 다운로드 중 AVEngine ⊙설치정보 ⊙컨텐츠 ⊙설치중 메시지 내용 ⓜPlayOn 결과 [New백신엔진] 최신 백신엔진을 Update 하시겠습니까? [받은 시간] 2004.02.02 16:00 모바일AV APP 실행 알림 컨텐츠 저장을 완료하였습니다. 접속 확인 접 속 삭 제 확 인
3. 엔진 업데이트 엔진 업데이트 / 수동검사 III. Mobile Virus 대응 시나리오 수동검사를 통한 악성코드 진단 및 치료 백신엔진 업로드(다운로드 서버) SMS 이용한 업데이트 공지 사용자 2 (수동 검사 실행) 최신 엔진 업데이트 악성 프로그램 진단 모바일AV APP 실행 사용자 2 (최신 엔진 다운로드) 악성 코드 치료
4. 바이러스 진단/치료/예방 III. Mobile Virus 대응 시나리오 수동검사를 통한 악성코드 진단/치료 모바일AV APP 실행 수동검사 메뉴 선택 바이러스 검사 진단 결과 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 확인 취소 메인 메뉴 취소 수동검사 검사 중……. 파일 : Baseball.daf 검사시간 : 00:04 바이러스 수 : 1 ⓜPlayOn 진단 결과 확인 결과 파일: BaseBall.daf 바이러스명 : T-MC01 치료여부 : 삭제가능 모바일AV 선택 사용자 확인 치료 완료 메뉴 치료 취소 진단 결과 치료 결과 치료 예 *SampleVirus.dat - 삭제 가능 *TestApp.daf - 치료가능 설정 해제 알 림 삭제를 하시겠습니까? 예 아니오 삭제가 정상적으로 실행되었습니다. 치료 취소 확인
4. 바이러스 진단/치료/예방 실시간 감시를 통한 악성코드 유입 차단 III. Mobile Virus 대응 시나리오 실시간 감시 설정 실시간 검사를 통한 악성코드 유입 차단 악성코드 유입 사용자 2 (모바일AV APP를 통한 실시간 감시 설정) 사용자 2 (악성프로그램 다운로드) 실시간 악성 코드 진단 악성 코드 치료
4. 바이러스 진단/치료/예방 III. Mobile Virus 대응 시나리오 실시간 감시 설정 실시간 감시 설정 모바일AV APP 실행 환경 설정 메뉴 선택 사용자 2 설정 취소 환경설정 실시간 감시 설정 해제 ⓜPlayOn 메인 메뉴 결과 1. 수동검사 2. 환경설정 3. 엔진 업데이트 4. 검사기록 5. 도움말 모바일AV 접속 실시간 감시 설정 완료 메뉴 확인 취소 환경설정 설정 실시간 감시 설정 종료 악성코드 유입 알 림 실시간 감시가 설정되었습니다. 확인 설정 해제 설정 취소
4. 바이러스 진단/치료/예방 III. Mobile Virus 대응 시나리오 실시간 검사를 통한 악성코드 진단/치료 SMS 메시지 확인 프로그램 다운로드 악성코드 진단 사용자 2 메시지 내용 ⓜPlayOn 다운로드 중 [광고]무료 야구 게임을 받시겠습니 까? [받은 시간] 2004.02.02 13:54 실행 경고 BaseBall Game ⊙설치정보 ⊙컨텐츠 ⊙설치중 [바이러스 발견] T-MC01. 삭제하시겠습니까? 접속 예 아니오 치료 완료 접 속 삭 제 확 인 진행 메뉴 실시간 악성 코드 진단 ⓜPlayOn 예 알림 바이러스가 삭제되었습니다. 확인 메뉴
IV. 요약 정리 1. Mobile Anti-Virus 필요성 2. Mobile Anti-Virus 서비스 기능 3. Mobile Virus 대응 시나리오 4. 기대 효과
1. Mobile Anti-Virus 필요성 IV. 요약정리 무선 망 개방, 표준 플랫폼 WIPI의 도입, PC Sync 서비스 확산 등으로 인해, Mobile Virus 및 악성코드의 출현 가능성이 증대됨. Mobile Virus 및 악성코드로 인해 발생할 수 있는 피해를 최소화 및 사전방지하고, 안정된 단말 부가서비스의 제공을 위해 Mobile Virus 및 악성코드를 진단/치료할 수 있는 Mobile Anti-Virus 서비스가 필요하게 됨. 해외 피해 사례 국내에서 예상되는 악성코드 파일 바이러스 형태 특정 Application/Contents 불능 및 삭제 플랫폼 및 폰 시스템 정지 트로이안 / 웜 형태 Garbage 파일 생성을 통한 폰 메모리 포화 사용자 정보 훼손 및 유출 스팸 SMS 대량 전송 SMS 무작위 전송 특정 Application 불능 단말 플랫폼 및 폰 시스템 정지 다량 Call 유발을 통한 N/W 과부하/마비 아이콘 삭제를 통한 프로그램 실행 불능 로딩된 프로그램 삭제 예상 피해규모 Anti-Virus System 미구축시, 발생한 바이러스에 대한 대응(단말 플랫폼 분석부터 백신엔진의 배포까지)을 위해서 최소 3~4개월 소요가 예상된다. 신속한 대응이 이뤄지지 않을 경우, 바이러스의 확산성을 고려할 때 피해규모는 기하급수적으로 증가할 것이다.
2. Mobile Anti-Virus 서비스 기능 1. 수동 검사 플랫폼의 모든 실행파일을 대상으로 바이러스 진단/치료 2. 실시간 검사 플랫폼에 다운로드 및 실행되는 파일에 대한 실시간 바이러스 진단/치료 3. 엔진 업데이트 최신 백신 엔진으로 업데이트하는 기능 4. 바이러스 신고 바이러스로 의심되는 파일에 대해 백신업체로 분석 의뢰하는 기능 5. 검사 기록 검사 기록 정보 제공
3. Mobile Virus 대응 시나리오 IV. 요약정리 2. 악성코드 유포 3. 바이러스 피해발생 1. 악성코드 제작 4. 바이러스 신고 및 접수 7. 엔진 업데이트 공지 5. 바이러스 분석 / 백신 제작 사용자 6. 신규엔진 업로드 8. 신규엔진 업데이트 9. 바이러스 진단/치료 엔진 다운로드 시스템
Mobile Anti-Virus 서비스를 통한 단말 보안 강화 및 Mobile Virus로 발생 가능한 피해 최소화 4. 기대효과 IV. 요약정리 단말 플랫폼의 보안 강화 WIPI, SK-VM, GNEX기반 모든 파일 방역 가능 WI-TOP/WIPI단말 Anti-Virus S/W 적용 가능 바이러스 및 악성코드로부터 단말 부가서비스 프로그램 보호 유료 컨텐츠 보호 및 개인정보 유출 방지 모바일 바이러스 신속 대응체계 확보 Mobile Virus의 위협에 대한 예방 대응체계 미확보시, 바이러스 대응(단말 플랫폼 분석부터 백신 엔진 배포까지) 최소 3~4개월 소요 대응체계 확보를 통해 바이러스 발생시 신속한 대응 가능 (1주일 미만) 모바일 바이러스로 인해 발생 가능한 피해의 최소화 및 사전방지 Mobile Anti-Virus 서비스를 통한 단말 보안 강화 및 Mobile Virus로 발생 가능한 피해 최소화
[첨 부] 성능 시험 결과 1. 수동검사 2. 실시간 검사
[첨부] 성능 테스트 결과 - 수동검사 수동검사 시간 측정 결과 Log 화면 테 스 트 항 목 테 스 트 결 과 비 고 테 스 트 항 목 테 스 트 결 과 비 고 1. 악성코드 포함 진단 시 평균 0.29 ~ 0.30 초 10회 테스트, 파일 수 20개 2. 악성코드 미포함 진단 시 평균 0.25 ~ 0.26 초 10회 테스트, 파일 수 18개 Log 화면 <==== 악성코드 포함 진단 시 Log Message <==== 악성코드 파일삭제 Log Message 수동검사 자체 소요시간이 평균 0.01초 정도로 극히 작습니다. <==== 악성코드 미포함 진단 시 Log Message
}<==== 본체APP 진단 시 Log [첨부] 성능 테스트 결과 – 실시간 검사 실시간 검사 시간 측정 결과 테 스 트 항 목 테 스 트 결 과 비 고 악성코드 진단 시 평균 0.012 ~ 0.015 초 10회 테스트, 악성야구게임(34K) 본체 APP 진단 시 평균 0.04 초 10회 테스트 , 본체 APP(30K) 백신엔진 진단 시 평균 0.01 초 10회 테스트 , 엔진 라이브러리(3K) Log 화면 }<==== 악성코드 진단 시 Log }<==== 본체APP 진단 시 Log 본 결과는 샘플 악성코드, 모바일 AV 본체 프로그램 및 백신엔진을 실시간 진단시의 속도 측정 결과 입니다. 처리시간이 상당히 작기 때문에 플랫폼에 영향을 거의 주지 않음을 확인할 수 있습니다. }<==== 백신엔진 진단 시 Log
감 사 합 니 다 !