touchen appiron - nadosoftnadosoft.co.kr/slider/pdf/raon/touchen_appiron.pdf방안...

Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved

APP위변조방지솔루션TouchEn AppIron

2017. 01 라온시큐어

Ⅱ


Why TouchEnAppIron?

회사소개

솔루션개요

솔루션기능

목차

Ⅰ

Ⅱ

Ⅲ

Ⅳ

RAONSQ Up ServiceⅤ


Ⅰ. 회사 소개RaonSecure

Ⅱ


All about ICT Security, ICT 통합보안선도기업

I회사소개1. 일반현황

Security First

차세대 보안 선도기업

USIM 기반 본인확인 서비스

보안 서비스 사업

FIDO 생체인증 기반

통합 인증 플랫폼

ISMS 인증 컨설팅과 모의해킹

보안 인텔리전스

스마트하고 안전한 정보 사회 구현

3

라온시큐어(주)회사명 이순형 대표대표이사

2012년 : 라온시큐어㈜ 공식 출범설립연도 150명직원수

홈페이지 : http://www.raonsecure.com USIM 스마트인증 : http://www.usimcert.com라온 화이트햇 센터 : http://www.whitehat.co.kr 휴대폰 전자서명 서비스 : http://www.mobisign.co.kr

주요채널

- 국민건강보험공단 장기요양 모바일정보시스템 사업 구축- 국민생활체육회 모바일 농업재해현장조사시스템 iOS 보안솔루션 구축- 금융결제원 바이오정보 분산관리 시스템 구축사업 수주- 롯데캐피탈㈜ 모바일뱅킹 구축- 라온화이트햇 보안인텔리전스 서비스 론칭- 미래에셋증권㈜ 스마트폰 앱 난독화 구축- 서울시도시철도공사 모바일망 사업- 롯데제과 모바일 보안솔루션(MDM, 앱위변조 방지솔루션) 도입 사업- FIDO 생체인증 공급 확대(KT, LGU+, 부산/경남은행, 씨티은행, 현대카드,신한카드 등)

- 광주소방본부 모바일 보안구축 도입 사업

2016

- CJ Only One R&D Park MDM 구축- ㈜한국스마트카드 고속버스 모바일앱 위변조 솔루션 구매- 근로복지공단 통합퇴직연금시스템 구축- 롯데손해보험 CM시스템 구축- FIDO 생체인증기반 간편인증/결제 솔루션 출시, 국제 FIDO Certified 제품인증 획득

- CC인증 : 모바일 단말관리(MDM/MAM) 솔루션 TouchEn mGuard

2015

- 동양생명보험 모바일 및 홈페이지 보안 솔루션 구축- 신한카드 모바일 소스코드 보호 솔루션 구축- 제 3회 정보보호의날 기념식 미래창조과학부 장관상 수상- KB생명보험 앱 난독화 및 보안솔루션 구축- KT 기업용 모바일 보안 사업 공동 추진 협약 체결- 한국모바일인증 앱위변조방지 솔루션 구축- 한국전자통신연구원(ETRI) 앱위변조 방지 솔루션 구축

2014

- GS인증 : 모바일 단말관리(MDM/MAM) 솔루션 TouchEn mGuard2013

Ⅱ


2. 주요 사업영역

Line-up

Ⅱ회사소개

ICT 보안에 필수적인 다양한 솔루션과 보안 서비스를 제공하는 통합 보안 선도 기업입니다.

보안서비스

02

차세대보안

FIDO 기반의 생체인증

공인인증서 패스워드 대체

FIDO 기반의 mOTP/ PKI / SSO

이상 인증 탐지를 위한 FDS

통합인증보안(FIDO)03

보안솔루션

앱위변조 방지

보안 키패드

모바일 백신

암호/인증/단일인증(mSSO)

일회용 패스워드(mOTP)

모바일 보안01 키보드 보안

가상 키보드

웹페이지 보안

개인 PC보안

자동 가입 방지

온라인 PC 보안

모바일웹 전자서명

네트워크 암호/인증

기기 인증 보안

XML 암호/인증

어플리케이션 인증

유비쿼터스/PKI

단일인증(SSO)

권한관리(EAM)

계정관리(IM)

통합계정관리

취약점 점검

국내 최정예 화이트해커에의한 모의해킹 및 보안 감사서비스 제공

ISMS 인증 컨설팅

명의인증 서비스

패스워드 필요 없는간편인증

USIM 기반 인증 서비스

USIM에 공인인증서저장/발급 및 인증

스마트폰 웹 브라우저에서공인인증서 서비스 제공

서비스별 관리비용 절감 및인증 편의성 제공

모바일 단말관리 (MDM)

모바일 앱관리 (MAM)

모바일 컨텐츠관리 (MCM)

모바일 계정관리 (MIM)

모바일 위협관리 (MTM)

모바일 보안(EMM) 보안 인텔리전스

휴대폰 전자서명 서비스

금결원 공동 서비스

I

4

Ⅱ


3. 핵심 역량 Ⅱ회사소개

주요 금융, 공공 분야 40% 이상의 시장에서 가 함께하고 있습니다.핵심역량및고객사

금융기관 정부기관 일반기업

I

제조사 및 인증기관과의 기술/사업 협력• 국내 최초 미국 애플社, MDM 공식 파트너• 삼성전자 S.E.A.P 공식 파트너 (기술 제휴)• LG전자 MDM 공식 파트너 (API 공유 협력)• 휴대폰 전자서명, 인증서 이동 및 저장 제휴

핵심 기술력 확보 인증 및 특허 다수 획득, 검증된 보안 기술력 확보- 특허 등록 및 출원 : 총 45건 원천 기술 특허 보유- 상표 등록 및 출원 : 총 18건 상표권 보유 국정원 CMVP, CC 인증 등 차세대 보안 기술 확보- FIDO 기반 통합인증 플랫폼- TEE 기반의 보안 인증기술 (USIM, Trust Zone, HSM 등)

정보보안 컨설팅• 국내 최고 화이트햇으로 구성된 해커 그룹 보유• 선행 보안기술 연구, R&D 역량 강화• ISMS 인증 / 컨설팅• 국제 해킹 대회 참가 및 우승, 국위선양

플랫폼 변화에 따른 보안 신기술 표준 선도• FIDO 기반의 통합인증 플랫폼 (세계 최초 FIDO certified 인증 획득)• Window8 공인인증 PKI 기술 상용화• 통신사 연계 모바일 보안토큰 ‘USIM스마트인증’ 서비스• 국내 통신사를 통한 SaaS형 MDM 플랫폼

5


Ⅱ. 솔루션 개요TouchEn AppIron

Ⅱ


솔루션 개요 Ⅱ

$0

$5,000

$10,000

$15,000

$20,000

$25,000

$30,000

$35,000

$40,000

2008 2009 2010 2011 2012 2013 2014 2015 2016 2017

스마트폰 테블릿PC

(백만달러)

(출처: Strategy /KISA)

전 세계 모바일 APP 시장 규모 증가 추이

전세계 모바일 APP 다운로드 수는 2012년에 500억 건으로 크게 증가되었으며, 시장규모는 2013년까지 250억 달러로 예상되고

있습니다. 또한 산업규모는 2017년 까지 약 350억 달러 이상이 될 것으로 예상을 하고 있습니다

1. 모바일 APP 시장

7

Ⅱ


솔루션 개요 Ⅱ2. 모바일 APP 위협

모바일 악성코드 증가율

(출처: Kaspersky Lab)

32.3%

23.2%

27.7%

4.9%

12.0%

Backdoor

Trojan

Trojan-SMS

Trojan-Spy

Other

모바일 악성코드 증가율

모바일 시장이 성장함에 따라서, 모바일은 사이버 범죄자들의 새로운 목표가 되고 있습니다. 악의적인 목적을 가지고 배포하는

악성코드, 바이러스 등이 2013년 상반기에만 10만개 이상 나타나기 시작하였으며 이는 계속적으로 증가 추세에 있습니다.

이를 배포하는 통로는 모바일 APP 위변조, 스미싱이 대표적 행위입니다.

1048

6293

29179

46445

100386

0

20000

40000

60000

80000

100000

120000

H1 2011 H2 2011 H1 2012 H2 2012 H1 2013

8

Ⅱ


웹 하드 또는 블랙마켓 등의 불법사이트에서 위변조 APP(뱅킹, 엔터테인먼트, 쇼핑 등)을 다운로드하여 사용하는 경우 공격자는

불법 APP에 악의적인 코드를 삽입 후 재패키징하여 사용자의 각종 정보를 탈취가 가능합니다. 이러한 경우 사용자가 위변조

프로그램을 실행하면 공격자는 탈취한 사용자의 PIN 및 인증서 비밀번호를 이용하여 불법적으로 결제가 가능합니다.

Ⅱ솔루션 개요2. 모바일 APP 위협

위변조 APP 사용 예시

금융기관

위변조 APP 설치

위변조 프로그램 실행

PIN 및 개인정보 입력

불법 사이트

(웹 하드, 블랙마켓)

악의적인 코드 삽입 후불법사이트 업로드

3

4

5

1

공격 대상의 스마트 폰공격자

위변조 APP 다운로드2

인증번호 탈취6

정상 은행 / 쇼핑몰

탈취한 개인정보악용 (결제 등)

7

개인정보 탈취 /

금전적 피해

10

Ⅱ


Ⅱ솔루션 개요

금융회사 정보기술(IT)부문

보호업무 모범 규준감독규정시행세칙전자금융감독규정

금융회사 정보기술(IT)부문 보호업무 모범규준 (금융위원회/금융감독원, 2011. 10)

● 해킹 등 침해행위 방지 대책

⑧ (전자금융거래프로그램검증) 금융회사등은 악성코드를 이용한 전자금융사고에 대비하여 전자금융거래에서 이용자에게 제공하거나

거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위․변조 여부 등 무결성을 검증할 수 있는 방법을 제공

하여야 한다.

전자금융거래프로그램 검증 방법(예시) : 금융회사등이 배포한 프로그램과 PC, 스마트폰 등 이용자의 전자적 장치

에서 구동되는 프로그램의 파일크기․해쉬 결과 확인 등을 통해 프로그램 무결성 검증 실시

● 부칙

이 규준은 2011년 11월 1일부터 시행한다. 전자금융거래프로그램검증을 위한 정보보호기술 도입에 관한 사항은 전자금융감독규정

고시일 이후 6개월이 경과한 날부터 적용한다. (2012년 4월 1일 부터 적용)

금융위원회와 금융감독원은 2011년 10월 전자금융거래의 안전성을 확보하고 정보기술부문의 보호업무에 필요한 사항을 규정하는

『금융회사정보기술(IT)부문 보호업무 모범규준』 수정/발표하였으며, 2012년 6월에는 APP위변조 보안대책을 발표하였습니다.

스마트폰 APP 위변조 방지

보안대책 (2012.06)

기기 임의 개조 / APP 위변조 / 악성프로그램 감염 / 입력 전송정보의 위변조 에 대한 대처 방안 수립 방안요구

스마트폰 APP 위변조방지 보안대책(2012.06)

3. 법률과 제도

전자금융감독규정 감독규정시행세칙금융회사 정보기술(IT)부분

보호업무 모범기준

스마트폰 APP 위변조 방지보안대책(2012.06)

11

Ⅱ


Ⅱ4. 가이드 라인 및 대응 솔루션 솔루션 개요

카테고리 내용 대응 솔루션 지침 / 가이드라인

단말기 분실/도난 시

대응방안

모바일 단말관리 솔루션을 적용하여 단말기 분실/도난시 원격제어를 통한 기기잠금 및 공장초기화,

중요 데이터 백업/삭제 등의 기능으로 단말기 내 개인정보/고객정보의 정보유출 방지 보장TouchEn

mGuard

국가-공공기관 업무용 스마트폰 보안 규격 (국정원/행안부, 2011.05)

스마트워크 정보보안 가이드라인

(금융감독원, 2011.06)

모바일 전자정부 서비스 구축 지침(행안부, 2011.11)

전자문서 작성 및 관리 시 보안

가이드라인 (금융위원회, 012.01)

안전한 모바일 오피스 보안 수칙

(방통위/KISA, 2012.12)

스마트폰 보안규격(국정원, 2013.03)

개인정보보호법 (개인정보의 안전성 확보조치 기준)

단말기 제어를 통한 보안

적용 방안(사내정보유출예방)

모바일 단말관리 솔루션을 적용하여 중요정보가 있는 화면캡쳐 행위를 방지하며 보안정책을 통한

단말기 제어를 통해 다양한 경로의 정보유출 방지 보장

악성코드 및 해킹 방지 방안 모바일 전용 백신솔루션을 적용하여 바이러스 및 악성코드 등의 해킹 방지 보장TouchEn

mVaccine

입력데이터 보안 적용 방안

(E2E)

모바일 보안키패드 솔루션을 적용하여 개인정보 및 금융정보 등 중요한 입력 정보에 대한 암호화

및 메모리 해킹 방지 보장

TouchEn

mTranskey

정보전송의 기밀성보장 및

인증강화/본인확인 방안

모바일 전문 통신구간 암호화 솔루션을 적용하여 모바일 전 구간에 보안세션 수립을 통한 기밀성

보장 및 모바일PKI인증솔루션을 연동한 공인인증 기반의 사용자 인증 강화 및 본인확인 보장Key# wireless

APP 위변조를 통한

정보유출 방지 방안

모바일 APP 위변조솔루션을 적용하여 개발된 APP 을 암호화하고 코드난독화 및 무결성 검증을

통해 안전한 모바일 APP 서비스 보장

TouchEn

AppIron

스마트폰 APP 위변조 방지 보안대책 (금융감독원, 2012.06)

사용자 인증정보 해킹 방지방안

모바일 통합계정 관리 솔루션을 적용하여 통합 사용자인증 체계 마련TouchEn

mWiseaccess

스마트폰 보안규격(국정원, 2013.03)

모바일 전자정부 서비스 구축 지침(행안부, 2011.11)

모바일 웹 서비스 해킹 방지방안

모바일 웹 전자서명 서비스를 통한 웹서비스 정보보호 체계 마련(전자서명, 안티바이러스 백신, 키보드 보안, 침입 차단 방지)

TouchEn appfree

개인정보보호법 (개인정보의 안전성 확보조치 기준)

전자금융 감독규정 개정 (2011년10월 5일 제 16차 금융위원회 의결)

12

Ⅱ


제품명

제조사 라온시큐어㈜

• 국정원 인증 암호화 모듈 탑재• 특허 출원

(출원번호 :10-2012-0094179 )• 안전행정부 모바일 전자 정부 공통기반 선정 제품

Ⅱ

TouchEn AppIron

TouchEn AppIron은 APP 위변조 방지 솔루션으로써 APP 무결성 보장, 소스코드 보호, 난독화 등의 기능을 제공합니다.

무결성 검증을 위한 Server모듈과 위변조 탐지를 위한 Client모듈, 코드 디컴파일 방지를 위한 난독화 모듈로 구성되어 있는 APP

위변조 전문 방지 솔루션입니다.

5. APP 위변조 방지 솔루션 솔루션 개요

구분 상세설명

APP 위변조방지

• APP 위변조 방지를 위한 코드 디컴파일 방지 / 코드 난독화

• 디버깅 시도를 차단하는 안티디버깅

• 랜덤 값을 이용한 hash 무결성 검증

• 무결성 추가 검증 (2차인증)

• 공신력 있는 국정원 인증 암호화 모듈 (CMVP) 사용

• 네이티브 라이브러리 사용

• (Android)바이너리 은닉화 (별도 라이센스)

• (iOS) APP Thinning 적용 앱의 무결성 검증 지원

단말 위변조탐지

• OS변조 (루팅 / 탈옥) 탐지 및 APP 종료기능

• OS 변조를 숨겨주는 위험APP (테크라크등) 탐지

• 위험APP 코드 업데이트

기타• 정책 / 로그 관리

• 다양한 포맷의 리포트 기능

13


Ⅲ. 솔루션 기능TouchEn AppIron

Ⅱ


Ⅲ솔루션 기능

S/W 구성

TouchEn AppIron의 Server모듈은 WAS에 설치됩니다. Server모듈은 무결성 검증 과 UI를 담당하며, 로그 저장을 위하여 DB를

필요로 합니다. 배포되는 APP에는 Client모듈이 삽입되어 위변조 검사 및 기타 검증에 사용됩니다.

1. 구성

로그인

DB Server

APP 위변조 로그단말위변조 로그 관리자

모니터링

AppIron Server

AppIron

AppIron Manager

AppIron Server

WAS DB

Application DB

WAS Module

APP 위변조 검사우회 확인

위변조로그 저장

AppIron DB

APP 위변조 검사및 위변조 로그 전송

Moblie Device

Mobile APP

Legacy APP

AppIronClient

Module

14

Ⅱ


Ⅲ솔루션 기능

H/W 구성

H/W구성은 무결성 체크, Web UI, 로그정보 등을 남기는 Server와 사용자 단말에 APP과 함께 배포되는 Client 모듈로 구성됩니다.

Server 모듈은 인터넷 망의 WAS 내에 설치되며, DB Server와 통신하는 구성을 가지고 있으며, 무결성 체크의 안정성을 위하여 L4를

이용한 이중화를 권장합니다.

1. 구성

*기존 WAS/DB를 활용하여 운용

내부망

인터넷

망

15

Ⅱ


Ⅲ2. 지원사양

Server / Client 사양

본 제품은 무결성, 관리자 UI 및 로그 관리에 사용되는 Server 모듈과 APP 위변조 탐지 및 안티디컴파일, OS 변조 탐지 등에 사용

되는 Client 모듈로 구성되어 있습니다.

솔루션 기능

구분 지원사양 구분 지원사양

Server

OS

• AIX 5.0 이상

• HP-UX 11.11 이상

• Windows 2003 이상

• Solaris 7 이상

• Linux Kernel 2.3 이상

Client

Android • Android 2.2 이상

DB

• DB2 9.5 이상

• Oracle 9I 이상

• My SQL 5.0 이상

• MS SQL 2005 이상

• Sybase 12.5 이상

• TIBERO 5.0 이상

iOS • iOS 4.0 이상

16

Ⅱ


AppIron Cloud

개발자 환경 업무 서버

17

솔루션 기능

앱 위변조 방지 적용 프로세스

3. 주요기능 Ⅲ

위변조에 따른 위협을 방지 하기 위하여 본 제품은 안티 디컴파일, 무결성, 난독화를 통하여 코드보호 기술을 적용하였으며, Client

모듈은 네이티브 라이브러리로 구현되어 보안성을 강화하였습니다. 소스코드 보호를 위하여 난독화를 적용할 시 소스 수정 없이

적용이 가능하여 관리 및 적용의 편의성을 제공합니다.

1

무결성 검증 API호출 로직 삽입

2 위/변조 방지 적용

3

바이너리 은닉화적용 시

위변조 방지 모듈적용된 APP

TouchEn AppIron 서버

앱 무결성 정보 생성

4 무결성 정보등록 요청

* 바이너리 은닉화 기능은 별도 라이선스

위/변조 방지

1. 난독화

2. 안티 디버깅

3. 안티 디컴파일

6

APP 배포

4. 검증 모듈 추가

APP Store

5

7 APP 다운로드

9

APP 무결성 검증 요청

10 APP 인증 시도

11

APP 인증 요청

8 위변조 방지 적용 APP 실행 시도

사용자 단말별도 라이센스

Ⅱ


솔루션 기능

소스코드 난독화 (1/2)

3. 주요기능 Ⅲ

TouchEn AppIron은 제어흐름 난독화, 함수명, 변수명 난독화, 문자열 암호화, 리소스 난독화 (xml 등)를 제공하여 비즈니스

로직의 흐름을 난독화하고, 변수와 상수 값을 원천적으로 알아보지 못하게 하는 수준의 난독화를 제공합니다.

List slist = dao.retrive();

for ( int i = 0 ; slist != null && i < slist.size() ; i++ ){

Map result = (Map)slist.get(i);

SessionVo vo = new SessionVo();

vo.setMODEL((String)result.get("MODEL"));vo.setTIMESTAMP((String)result.get("TIMESTAMP"));vo.setTOKEN((String)result.get("TOKEN"));

list.add(vo);}

_L5:IiiIiIIiIi iiiiiiiiii;Map iii = (Map)list.get(k);

iiiiiiiiii.ii((String)iii.get(CryptoSDKv20.o(")\035)\0133\0274\0071\035#")));iiiiiiiiii.IiiI((String)iii.get(CryptoSDKv20.o("\0354\033%\021>")));iiiiiiiiii.IIiiiiI((String)iii.get(CryptoSDKv20.o(";\b*\0077\0319")));list;k++;arraylist.add(iiiiiiiiii);

_L1:JVM INSTR ifnull 410;

goto _L2 _L3_L2:……..

원본소스 난독화 적용

<activity android:name="iiiiiiiiii.IIiIiiiiiI" android:screenOrientation="portrait"/><activity android:label="@string/app_name" android:name="iiiiiiiiii.iiIIIiIIii"

android:screenOrientation="portrait"/><receiver android:name="iiiiiiiiii.iIiiiIiIII“ /><service android:exported="false" android:name="iiiiiiiiii.IiiiIiiiII“ />

<activity android:name="com.raon.raon.ui.DialogActivity" android:screenOrientation="portrait"/>

<activity android:label="@string/app_name" android:name="com. raon.safecert.ui.PopUpActivity" android:screenOrientation="portrait"/>

<receiver android:name="com.raon.safecert.receiver.BootupReceiver" /></receiver><service android:name="com. raon.safecert.service.NpkiCertFindService"

android:exported="false" />

원본 AndroidManifest.xml 난독화 적용

18

Ⅱ

Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved19

솔루션 기능

소스코드 난독화 (2/2)

3. 주요기능 Ⅲ

소스코드 보호를 위하여 난독화를 적용할 시, 난독화 수준 제어와 선택적인 난독화적용등 다양한 옵션은 설정 파일의 변경만으로

소스코드 수정 없이 적용이 가능하여 관리 및 적용의 편의성을 제공합니다.

제어흐름 난독화 수준 조절

- normal : 난독화를 위한 코드 삽입

수 최소화

- maximum : 난독화를 위한 코드 삽입

수 최대화

- disable

네이밍 난독화 옵션 조절

[class-naming]

abc : 소문자로 난독화

iii : iii, iiI, iIi 등으로 난독화

[methods-naming]

abc : 소문자로 난독화

iii : iii, iiI, iIi 등으로 난독화

keywords : java 예약어를 이용한 난독화

주요기능

<config>. . .

<keep-names><class template="class org.apache.**">

<field access="private+" /><method access="private+" parameters="keep" />

</class> (난독화 선택 적용)</keep-names>

<property name="control-flow-obfuscation" value="enable"/><property name="extensive-flow-obfuscation" value="maxim um"/> value = maximum, minimum, disable (제어흐름 난독화)

<property name="classes-naming" value="abc"/> value = abc, iii (클래스명 난독화)

<property name="methods-naming" value="iii"/> value = abc, iii, keyword (메소드명 난독화)

<property name="string-encryption" value="enable"/>(문자열 암호화)

</config>

소스코드 난독화 설정

Ⅱ

Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved20

솔루션 기능

바이너리 은닉화

3. 주요기능 Ⅲ

TouchEn AppIron은 앱 소스코드가 컴파일되고 난 이후의 dex 및 리소스 파일에 대해 바이너리 수준의 은닉화를 제공하여

바이너리를 디컴파일시에도 원본소스에 대한 노출이 되지 않는 강력한 보안성을 제공합니다.

앱 실행을 위한 코드만 적재

원본코드상에 포함된패키지 및 소스코드는 존재하지 않음

디컴파일 소스

2 Classes.dex디컴파일

1 APK 내부 확인

바이너리 은닉화적용된 APP

원본소스

APP 생성

소스 분석불가능

• 바이너리 은닉화 기능은 별도 라이선스• 해당 기능은 당사 Cloud Server 이용

바이너리 은닉화

DEX 파일 은닉화

디컴파일 방지

안티디버깅 방지

API은닉

클래스암호화

리소스암호화

문자열 암호화

APK파일 무결성 검사

Ⅱ


Ⅲ솔루션 기능

OS 변조 탐지 및 처리

단말 위변조에 따른 위협을 방지하기 위하여 해당 스마트기기의 OS 변조 상태를 검증합니다. 검증결과에 따라 APP의 실행 유무를

결정하는 기능을 제공하여, 위변조에 따른 보안사고를 미연에 방지합니다.

3. 주요기능

업무앱(앱위변조 적용)

플랫폼 위변조(루팅/탈옥)

체크

앱 위변조체크

앱 실행 및업무수행

플랫폼 정상

플랫폼 위조시

앱 무결성 확인

앱 위변조시

앱 강제 종료appIron 서버로

앱 위변조 로그 전송관리자에

앱위변조 알람 전송

APP 실행

21

Ⅱ


Ⅲ솔루션 기능

강력한 무결성 검증

TouchEn AppIron은 APP 위변조 탐지를 위하여 Hash값 검증기능을 제공합니다. 무결성 통신 세션은 암호화 처리하여 통신상의

기밀성을 제공하며, Server의 Random 값을 이용하여 Hash 값을 연속적으로 변화시키어 Replay attack 을 방어합니다. 더불어 무결성

우회 시도를 방지하기 위한 2차 인증기능을 제공합니다.

3. 주요기능

AppIron Server

Replay attack 방지

무결성 세션 암호화

2

4

5

고객사 ServerAPP

관리효율성6

1

2

3

Server에서 무결성 검증 수행

(Random값 + 등록된 APP의 Hash값 검증)

사용된 검증 정책 초기화

검증 종료된 세션에 대한 검증우회 여부 검증요청

(2차인증)

4

5

6

Random 값 및 검증정책 전송

Client에서 무결성 검증 정보 생성

무결성 검증 정보 Server로 전송

(Random 값 + APP에서 생성된 Hash 값)

무결성

검증

3

1

22

Ⅱ


Ⅲ솔루션 기능

신속한 위협 대응 – 코드 업데이트

무결성 검증 시 Server는 OS변조 탐지, 위험 APP(테크라크 커널 등) 등의 정보를 정책에 담아 Client 로 전송하여 단말내 위험APP을

탐지하는 기능을 제공합니다. 신종 위험 APP 출현시 위험 APP 정보를 Server에 update하여 신종 위험APP 대응이 가능합니다.

APP의 재배포 없이 위협 APP 코드 업데이트가 가능합니다.

3. 주요기능

APP실행

위험APP 탐지5

위험APP 검증

TouchEn appIron서버

위험 APP 관리 모듈

정책 모듈

1 위험 APP 코드업데이트

2 APP정보 및 무결성 정책 요청

3 APP 정보 및 정책 정보 전송(무결성 / OS변조탐지 위험APP 패키지 정보 등)

7 모니터링

[위험 APP 탐지 정보 모니터링]

관리 Console

관리자

4

위변조 APP

위험APP 미탐지5

6 위험 APP 탐지로그 전송

23

Ⅱ


Ⅲ솔루션 기능

위변조 로그 모니터링 및 관리

배포 APP의 위/변조, API 후킹 등 위협 상황 발생시 실시간 탐지하여 TouchEn appIron Server에 해당 로그가 저장됩니다. 담당자는

이러한 정보를 통하여 배포한 APP에 대한 위변조 여부를 탐지하며, 다양한 포맷의 리포팅을 통해 모니터링이 가능합니다.

3. 주요기능

위변조 APP

TouchEn appIron서버

Hash 생성 모듈

Monitor / Log 관리자

1 위변조 앱 실행 2 위변조 접속 시도 알람

3 접속 차단 설정4 접속 차단 설정

[검증 현황 및 이력 조회 및 통계]

알림 기능 제공

1. 화면 팝업 알림

2. 메일 알림

3. SMS 알림

• 앱 별 접속 현황

- 시간대 별 앱 접속 현황 통계제공

- 일단위 앱 접속 현황 통계 제공

- 위변조 발생 앱 접속 현황 발생제공

(발생횟수 및 최초 발생일 등)

모니터링 기능

• 제조사 별 접속 현황

- 제조사 모델 별 접속 현황 통계 제공

- 제조사 모델 별 OS 변조(루팅/탈옥)폰 현황 정보 제공

24

Ⅱ


Ⅲ솔루션 기능

자사 CMVP 모듈 탑재

알고리즘의 적정성을 준수하기 위하여 TouchEn AppIron은 국정원 인증 암호화 모듈인 CMVP를 탑재하였습니다. 라온시큐어의

CMVP 모듈인 Key# crypto를 탑재하여 암호화 기능에 사용되는 알고리즘을 제공하고 있으며, 이러한 자사 CMVP 모듈 사용을 통해

공신력 있는 보안 서비스를 제공하고 있습니다.

3. 주요기능

국정원 인증암호화 모듈을 통한

서비스 제공

라온시큐어 CMVP모듈-Key# crypto

25


Ⅳ. Why TouchEn AppIron?

TouchEn AppIron

Ⅱ


Why TouchEn AppIron?1. 제품의 특징 Ⅳ

27

3단계 심층방어(Defense in Depth) 모델, 앱 위변조 방지

TouchEn AppIron는 앱 위변조를 위해 전처리 과정으로 1) 난독화 및 바이너리 은닉화, 후처리 과정으로 2) 플랫폼 및 앱 위변조 감

시, 3) Anti-Reverse Engineering의 3단계 심층방어(Defense in Depth) 모델을 제공하여 앱위변조로 발생할 수 있는 보안위협에

대해 전방위적 대응이 가능합니다.

OBFUSCATIONENCAPSULATION

• 안드로이드 소스코드 난독화 지원

• Dex 파일의 은닉화를 통한 소스코드 유출 원천 방지 (별도 라이선스)

PLATFORMAPPLICATION

• 플랫폼 위변조 시 앱 실행제한

• APP 실행 시 무결성 체크(해쉬 검증)

• APP 위변조 시 실행 제한

ANTI - REVERSEENGINEERING

• 안티 디버깅, 안티 디컴파일 방지

• 리소스 암호화 지원

01 02 03

Ⅱ


Why TouchEn AppIron?

모바일 보안 전문 기업의 제품

라온시큐어는 모바일 보안 전문 기업으로써 모바일 환경에 대한 고객의 needs를 이해하고 대응하는데 최선을 다하고 있습니다.

이를 위하여 차세대 보안 기술 연구 개발 및 자사보유 화이트 해커를 통한 보안 동향연구에 매진하고 있으며,TouchEn AppIron은

여러 가지 보안 위협에 효과적으로 대응할 수 있는 모바일 보안 기업의 제품입니다.

1. 제품의 특징

모바일 보안연구

APP위변조방지라온

시큐어

APP 위변조 방지 APP 위변조 방지 전문 제품 출시 다양한 레퍼런스 보유 자사 모바일 보안 솔루션 연동

모바일 보안 연구 자사 화이트 햇을 통한 보안취약점 연구

모바일 환경 Needs 이해 및제품 반영

라온 시큐어 ICT 통합 보안 기업 차세대 보안 기술 연구 다양한 모바일 보안솔루션 출시

Ⅳ

28

Ⅱ


Why TouchEn AppIron?

다양한 레퍼런스

TouchEn AppIron은 강력한 성능을 바탕으로 하여 제 1금융권인 외환은행을 비롯하여 여러 금융사 / 공공기관 / 기업 등에서

도입을 하고 있습니다.

2. 구축사례 및 레퍼런스 Ⅳ

• 외환은행 스마트 폰 금융서비스 사용자 대상

• iOS / Android OS 지원

• 스마트폰 금융서비스 APP 10종 대상

• 암호화 / 무결성 / 난독화 기능 사용

• 다양한 로그 관리 및 통계 기능 제공

29


Ⅴ. RAON SQ Up Service(Security IQ Up)

Ⅱ


1. 라온 화이트햇 센터 – 보안 인텔리전스 ⅤRAON SQ Up Service

통합 보안 인텔리전스(SHIELD)

공격자 입장의 보안 취약점 분석 및 세계최고의 화이트해커를 통한 보안교육을 통해 기업 내 주요자산을 보호하는 보안 인텔리전스

서비스 R-SHIELD에는 정보보호 컨설팅, PTES방법론을 적용한 모의해킹, 보안인텔리전스 교육 및 감사서비스가 포함됩니다.

30

보안교육 및 감사 서비스

보안교육 서비스

웹 해킹, 악성코드 분석, 모바일 보안 등최신 해킹 및 방어 기술에 대한 실무 위주교육 서비스

보안감사 서비스

구축 대상 시스템에 대한 취약점분석,모의해킹, IT보안진단 등 보안감사서비스 제공을 통해 최적의 보안시스템구축 및 운영지원

ISMS, PIMS, ISO27001 등 인증 및 고객사 정보보호 목표 모델을 분석

이행과제를 정의하고마스터플랜 수립

구축방안, 소요자원, 기대효과 분석

통합 추진 로드맵 수립 ICBM 보안 인텔리전스

정보보호

컨설팅

PTES방법론 채택 및 적용하여 보다 효과적인 취약점분석 결과 제공

사용자환경 모의해킹(PC환경 보안성, 클라이언트 프로그램/모바일 앱 리버스엔지니어링)

서버환경 모의해킹(서버 및OS환경,웹 어플리케이션, DB서버 공격 대응)

모의해킹

취약점 관리Reduce Your Risk of aBreach

침해사고 탐지 및 분석Find The Attacks You’re Missing

보안 컨설팅 서비스Accelerate Security Improvement

Ⅱ


OnePass 간편인증 적용 서비스

2. FIDO기반 OnePass 간편인증 ⅤRAON SQ Up Service

USIM의 보안성과 FIDO의 편리성을 결합한 인증서비스

Mobile Only 시대에 접어들면서 mobile에서 보안성과 사용성을 충족시키는 새로운 인증체계의 필요성이 되두되고 있습니다. 이를

만족시키기위하여 OnePass 간편인증은 FIDO의 사용의 편리성과 USIM의 보안성을 접목하여 단말인증 및 점유인증을 지원하여 빠

르고 편리한 명의인증을 지원합니다.

32

레퍼런스

Ⅱ


3. USIM 기반공인인증서비스

안전한 1등급 보안매체, 모바일 보안토큰

Ⅴ

스마트폰에 탑재된 USIM칩에 공인인증서를 저장하여 이용할 수 있는 모바일 공인인증 서비스

USIM 스마트인증 서비스는 높은 보안성, 휴대성, 편의성을 모두 해결하는 신개념 공인인증 서비스

USIM 스마트인증 사용방법

App 다운로드

인증서 발급 or USIM으로 저장

USIM에 있는공인인증서 사용

보안성

1등급 보안 매체 USIM을 이용한 인증서 외부

유출 방지

편의성

국제 표준기술 준수(PKCS#7, RFC2510 등)

다양한 이용기관(1700여개)

휴대성

스마트폰 USIM을 활용한 편리한 휴대성

이동통신사와의 제휴를 통한 편리한 가입

RAON SQ Up Service

31

주소 : 서울시 강남구 테헤란로 145, 11~13층 (역삼동, 우신빌딩) 라온시큐어㈜Tel. 02-561-4545 / Fax. 02-561-5343

제휴문의: 김운봉 이사 010-2990-2208 / [email protected]기술문의: 이근우 팀장 010-6311-8677 / [email protected]

감사합니다.

본 자료의 저작권은 라온시큐어㈜에 있으며, 당사의 사전 동의 없는 제 3자의 열람 및 무단복제를 금지합니다.

모비싸인www.mobisign.co.kr

USIM 스마트인증www.usimcert.com

화이트햇센터whitehat.co.kr

mailto:[email protected]

mailto:[email protected]

http://www.mobisign.kr/

http://www.usimcert.com/

http://whitehat.co.kr/

touchen appiron - nadosoftnadosoft.co.kr/slider/pdf/raon/touchen_appiron.pdf방안...

Documents