모바일앱보안의핵심요소: 앱무결성 -arxanguardit/ensureit · ©2014 ibm corporation...
TRANSCRIPT
© 2014 IBM Corporation
2014 IBM 보안 뉴패러다임 솔루션데이
2014년 7월 17일
모바일 앱보안의 핵심요소 : 앱무결성
- Arxan GuardIT/EnsureIT
손장군 이사
애플리케이션보안그룹
엔시큐어 ㈜
IBM 보안비즈니스 파트너
2014 IBM 보안 뉴패러다임 솔루션데이
엔시큐어㈜
• 전사적통합보안컨설팅및교육
• Implementation Service
• Maintenance Service
• 전사적로그및이벤트통합관리및분석
• 대용량이벤트상관관계결과도출및분석
• 사이버공격예방및추적관리
• 계정관리, 권한관리, 감사시스템통합솔루션구축
• Enterprise Management 통합보안전략수립
• 서버및네트워크활동내역실시간감시
• 보안정책강제력확보를위한보안통제방안수립
• 소프트웨어취약점탐지/방어/제거전략수립
• 애플리케이션무결성보호솔루션 Arxan한국총판
• 바이너리분석및모의침투테스트
• 소프트웨어기반모바일 OTP 솔루션구축
Application Security IT Infrastructure Security
Consulting & Service SIEM & Big Data
신뢰와 소통을 바탕으로 항상 고객의 입장에서 생각하는 기업, 엔시큐어입니다.
엔시큐어(주)는 2008년 한국포티파이소프트웨어로 출범하여 앤시큐어에 이르기 까지 국내 애플리케이션 보안 분야의
선두 기업으로 자리매김 하였습니다. 양질의 정보보안 솔루션 및 서비스, 특히 애플리케이션 및 IT인프라 보안 솔루션의
공급 및 컨설팅 서비스를 제공하고 있으며, 국내 주요 금융사 및 제조사, 일반기업 등 다양한 레퍼런스를 보유하고
있습니다.
2014 IBM 보안 뉴패러다임 솔루션데이
모바일 위협
2014 IBM 보안 뉴패러다임 솔루션데이
컴퓨팅 플랫폼의 진화
2014 IBM 보안 뉴패러다임 솔루션데이
모바일 단말의 증가
Smartphones Tablets
2005 2006 2007 2008 2009 2010 2011 2012E 2013E
Desktop PCs Notebook PCs
700,000
600,000
500,000
400,000
300,000
200,000
100,000
Glo
bal S
hip
men
ts (
MM
)
2011 Q4:Smartphones + Tablets > PCs
Source: Morgan Stanley Research
2014 IBM 보안 뉴패러다임 솔루션데이
보안 경계의 이동
메인프레임중심의컴퓨팅은
네트워크를통한상호연결로이동하였다. 이로인해
라우터, 방화벽관련보안정책
등으로쉽게보안경계를정의할수있었음
네트워크는개인용컴퓨터(데스크탑 / 모바일) 같은최종
장치의폭발적증가와함께성장을계속하고보안경계는
사용자액세스 / 인증정책
또는하드웨어를통해장치에상주하도록확장되었음.
그러나이것은항상디바이스와플랫폼간에상호
사용될수있는것은아님
모바일컴퓨팅기기의확산과
함께, 글로벌앱경제는소비자, 직원또는파트너에게
기존또는새로운기능을
제공하는시장간혁신에박차를가하고있음. 응용
프로그램계층은이제해킹과크래킹의무결성 (보안
로직과지적재산권포함)를
유지하기위해공격에대한높은수준의해킹에대비해야
함
2014 IBM 보안 뉴패러다임 솔루션데이
신뢰할 수 없는 디바이스 보안 통제 장치
2014 IBM 보안 뉴패러다임 솔루션데이
위험에노출된중요앱
1010001010000101010101010010101
0100101010101010010100101010101
0101010101010010101010101010101
0100101100111010001010000101010
1010100101010100101010101010010
1001010101010101010101010010101
0101010101010100101100111111101
0001101011000100100100000101100
1111111010001101011000100100100
1001001010101001010101010100101
0110101010101010101010101010101
0101010101010101010101010101010
1010101010100000000001010101010
1010101010101
001001110001100011100011110000
탈옥/루팅탐지로직
기타보안제어/정책
중요한비즈니스로직
독자적(특허출원등)알고리즘
암호화키
보안취약점
모바일디바이스
공격자
2014 IBM 보안 뉴패러다임 솔루션데이
전통적인 방어 방법
11 110 01
0 1001110
1100 001
01 111 00
“결함 없는” 모바일 앱
11 110 01
0 0101010
0101 110
01110001
01 111 00
해킹된 모바일 앱
리버스 엔지니어링
& 조작
2014 IBM 보안 뉴패러다임 솔루션데이
금융앱 사례
“개인 뱅킹 애플리케이션의 3 분의 2는 취약점이 존재”
– 2014년 1월, IOActive
1. 40종의 iOS 앱을 분석
2. 정보 도용으로 이어진 공격에 대부분 취약
3. 금융 인프라의 공격으로 쉽게 이어질 수 있음
2014 IBM 보안 뉴패러다임 솔루션데이
Arxan 2013 Study
2014 IBM 보안 뉴패러다임 솔루션데이
2013 Arxan Study -모바일금융앱
Android 53%, iOS 23%의금융앱코드수정가능
2014 IBM 보안 뉴패러다임 솔루션데이
ARXAN 2012 BANKING APPS STUDY
2014 IBM 보안 뉴패러다임 솔루션데이
바이너리 공격의 결과?
인증, 암호화, 라이센스 관리 / 검사, DRM, 루트 / 탈옥
감지 등의보안통제의우회
키, 인증서, 인증, 메타 데이터 등중요한응용프로그램
정보노출
중요한비즈니스로직, 제어흐름및프로그램변조
2014 IBM 보안 뉴패러다임 솔루션데이
바이너리 공격의 결과로 얻을 수 있는 것?
멀웨어또는익스플로잇삽입후 리패키징
리버스엔지니어링을 통한애플리케이션내부정보획득 (중요 로직, 취약점)
리버스엔지니어링을 통한중요정보추출
(회사 고유의 알고리즘 등)
불법복제및 무단배포
2014 IBM 보안 뉴패러다임 솔루션데이
<기술 리스크>
<기밀성 위협> <무결성 위협>
<운영 리스크>
<코드 변경/주입 리스크><리버스엔지니어링과 코드 분석 리스크>
<비즈니스 리스크>
모바일 리스크 기술 분류 체계
2014 IBM 보안 뉴패러다임 솔루션데이
Application
decryption
Disassembly /
decompilation of
native code (Obj
C/C++)
Java/.NET
Metadata based
decompilationString literal code
structure analysis
Symbol
dumping and
analysisStatic or dynamic key
lifting
Application re-signing
and re-packaging
Method swizzing / function
hooking
within application
Library and system
service API hooking
and swizzling
Binary patching
Malware
payload
insertion
11 110 01
0 1001110
1100 001
01 111 00
App
코드변조 또는 삽입
리버스엔지니어링
리버스엔지니어링과 코드 분석
2014 IBM 보안 뉴패러다임 솔루션데이
자격증명 절도의 일반적인 공격 시나리오
Credential-Handling
App Encryptedcredentials
Encryptedcredentials
User
PIN/password, etc.
PIN/password, etc.
2014 IBM 보안 뉴패러다임 솔루션데이
Zeus-Style 공격?
Credential-Handling
App Encryptedcredentials
Encryptedcredentials
Process credentials
Process credentials
PIN/password, etc.
PIN/password, etc.
Redirect basicAuthValueForUser
name: password: to the
replacement method
Pass stolen
credentials back to
original API
StealPIN &
Password
StealPIN &
Password
Method replacing basicAuthValueForUsername:
password:, injected by malware
or other sources
2014 IBM 보안 뉴패러다임 솔루션데이
Dendroid 위협
• 2013 년자동화된악성코드주입 600 % 상승
• Denroid : Android를위한 Zeus / SpyEye진화제품
– GUI를통해기존앱에손쉽게말웨어주입가능
– 토르네트우크를통한지불방식
– 모바일안드로이드애플리케이션을통해사기를저지르는조
직범죄에유용
• 명령제어봇넷; 정보도용; 트랜잭션수정
2014 IBM 보안 뉴패러다임 솔루션데이
모바일 앱의 리버스엔지니어링 리스크
Obfuscation alone is not enough!
• 노출된 메서드 서명
• API 모니터링
• 노출된 데이터 심볼
• 노출된 문자열 테이블
• 알고리즘 디 컴파일 및 분석
• 응용 프로그램 복호화
2014 IBM 보안 뉴패러다임 솔루션데이
모바일 앱의 리버스엔지니어링 리스크
–리 패키징
–기능변경 및 메서드 스위즐링
–보안 통제 우회
–자동화된 루팅/탈옥 탐지 우회
–프리젠테이션 계층 수정
–암호 키 가로 채기
2014 IBM 보안 뉴패러다임 솔루션데이
OWASP 권고
2014 IBM 보안 뉴패러다임 솔루션데이
OWASP의생각
• Insecure Data on Device
• Server-side Injection
• Server-side web services
• Authentication
• Access Control
• Transport Layer Security
• Data Leakage
• Cryptography
• Lack of Binary Hardening
• Input Handling
OWASP Mobile Top 10 – 2014
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
OWASP - 모바일 응용 프로그램에서 소프
트웨어 위험을 완화 하기 위한 무료 오픈 응
용 프로그램 보안 지침을 제공.
2014 IBM 보안 뉴패러다임 솔루션데이
다양한 타입의 위협들…
2014 IBM 보안 뉴패러다임 솔루션데이
OWASP Coding 권고
난독화 만으로는 충분하지 않음!
1. 손상에대한애플리케이션보호
– 난독화 적용:
IDA Pro, Hopper와같은역분석도구를이용한 코드제어
흐름및데이터흐름구조분석을어렵게함
– 코드 암호화 적용:
디스크에저장되는민감한코드에대해서암호화적용
– Intermediate 언어 사용 자제:
가능하다면 C/C++ 사용, Java / Objective C 지양
2014 IBM 보안 뉴패러다임 솔루션데이
OWASP Coding 권고
2. 바이너리 공격에 대한 런타임 탐지
– 채크섬 적용:
중요 코드/데이터에 대한 변경 여부 탐지
– 안티디버깅 적용:
프로그램 분석을 위한 디버거 실행 여부 탐지/차단
2014 IBM 보안 뉴패러다임 솔루션데이
3. 코드변경에대한대응및경보적용
– 코드 원복 : 손상된 코드를 원본 코드로 원복
위협 발생시 애플리케이션은 exit, fail, 또는 경보 등적용
OWASP Coding 권고
2014 IBM 보안 뉴패러다임 솔루션데이
OWASP 아키텍쳐권고
1. 심층 방어
– 다계층 보호: 무결성 보호는 다계층 심층 보호 적
용 되어야 함.
2. 예측 불가능한 보호 작동
– 작동 확률 : 무결성 보호는 예측 가능한 위치에서
만 작동 해서는 안됨
2014 IBM 보안 뉴패러다임 솔루션데이
3. 바이너리식별자제거
– 바이너리 식별자 제거: 중요 코드의 특성이 파악
되지 않도록 제거
예) RootDetect, AES_KEY
OWASP 아키텍쳐권고
2014 IBM 보안 뉴패러다임 솔루션데이
Arxan Solution
2014 IBM 보안 뉴패러다임 솔루션데이
SDLC에서의 Arxan
2014 IBM 보안 뉴패러다임 솔루션데이
애플리케이션 무결성 보호
분석/유출/우회 탐지 및 차단
2014 IBM 보안 뉴패러다임 솔루션데이
강력한 보안성
2014 IBM 보안 뉴패러다임 솔루션데이
강력한 플랫폼 확장성
2014 IBM 보안 뉴패러다임 솔루션데이
• Multiple leading Financial
Services firms (US, EMEA,
APAC)
• 4 of top 5 Software Eng. ISVs
• 7 of top 10 Digital Media firms
• 3 of top 5 High-Tech vendors
• 4 of top 5 Gaming companies
• Multiple Critical
Infrastructure companies (e.g.,
industrial wireless sensor systems, biometric
scanning systems)
• Enterprise customer base
and large high-value
deployments)
• Arxan-protected
applications deployed on
over 100 million devices,
200 million by end-2012
• ~95% renewal rate
고객사 (샘플)
© 2014 IBM Corporation
IBM Security Systems
37
www.ibm.com/security
© Copyright IBM Corporation 2013. All rights reserved. The information contained in these materials is provided for informational purposes
only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use
of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any
warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement
governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in
all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole
discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any
way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United
States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response
to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated
or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure
and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to
be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems,
products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE
MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.
www.ibm.com/security
© Copyright IBM Corporation 2014. All rights reserved. The information contained in these materials is provided for informational purposes
only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use
of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any
warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement
governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in
all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole
discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any
way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United
States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response
to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated
or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure
and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to
be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems,
products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE
MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.