모바일앱보안의핵심요소: 앱무결성 -arxanguardit/ensureit · ©2014 ibm corporation...

© 2014 IBM Corporation

2014 IBM 보안 뉴패러다임 솔루션데이

2014년 7월 17일

모바일 앱보안의 핵심요소 : 앱무결성

- Arxan GuardIT/EnsureIT

손장군 이사

[email protected]

애플리케이션보안그룹

엔시큐어 ㈜

IBM 보안비즈니스 파트너


엔시큐어㈜

• 전사적통합보안컨설팅및교육

• Implementation Service

• Maintenance Service

• 전사적로그및이벤트통합관리및분석

• 대용량이벤트상관관계결과도출및분석

• 사이버공격예방및추적관리

• 계정관리, 권한관리, 감사시스템통합솔루션구축

• Enterprise Management 통합보안전략수립

• 서버및네트워크활동내역실시간감시

• 보안정책강제력확보를위한보안통제방안수립

• 소프트웨어취약점탐지/방어/제거전략수립

• 애플리케이션무결성보호솔루션 Arxan한국총판

• 바이너리분석및모의침투테스트

• 소프트웨어기반모바일 OTP 솔루션구축

Application Security IT Infrastructure Security

Consulting & Service SIEM & Big Data

신뢰와 소통을 바탕으로 항상 고객의 입장에서 생각하는 기업, 엔시큐어입니다.

엔시큐어(주)는 2008년 한국포티파이소프트웨어로 출범하여 앤시큐어에 이르기 까지 국내 애플리케이션 보안 분야의

선두 기업으로 자리매김 하였습니다. 양질의 정보보안 솔루션 및 서비스, 특히 애플리케이션 및 IT인프라 보안 솔루션의

공급 및 컨설팅 서비스를 제공하고 있으며, 국내 주요 금융사 및 제조사, 일반기업 등 다양한 레퍼런스를 보유하고

있습니다.


모바일 위협


컴퓨팅 플랫폼의 진화


모바일 단말의 증가

Smartphones Tablets

2005 2006 2007 2008 2009 2010 2011 2012E 2013E

Desktop PCs Notebook PCs

700,000

600,000

500,000

400,000

300,000

200,000

100,000

Glo

bal S

hip

men

ts (

MM

)

2011 Q4:Smartphones + Tablets > PCs

Source: Morgan Stanley Research


보안 경계의 이동

메인프레임중심의컴퓨팅은

네트워크를통한상호연결로이동하였다. 이로인해

라우터, 방화벽관련보안정책

등으로쉽게보안경계를정의할수있었음

네트워크는개인용컴퓨터(데스크탑 / 모바일) 같은최종

장치의폭발적증가와함께성장을계속하고보안경계는

사용자액세스 / 인증정책

또는하드웨어를통해장치에상주하도록확장되었음.

그러나이것은항상디바이스와플랫폼간에상호

사용될수있는것은아님

모바일컴퓨팅기기의확산과

함께, 글로벌앱경제는소비자, 직원또는파트너에게

기존또는새로운기능을

제공하는시장간혁신에박차를가하고있음. 응용

프로그램계층은이제해킹과크래킹의무결성 (보안

로직과지적재산권포함)를

유지하기위해공격에대한높은수준의해킹에대비해야

함


신뢰할 수 없는 디바이스 보안 통제 장치


위험에노출된중요앱

1010001010000101010101010010101

0100101010101010010100101010101

0101010101010010101010101010101

0100101100111010001010000101010

1010100101010100101010101010010

1001010101010101010101010010101

0101010101010100101100111111101

0001101011000100100100000101100

1111111010001101011000100100100

1001001010101001010101010100101

0110101010101010101010101010101

0101010101010101010101010101010

1010101010100000000001010101010

1010101010101

001001110001100011100011110000

탈옥/루팅탐지로직

기타보안제어/정책

중요한비즈니스로직

독자적(특허출원등)알고리즘

암호화키

보안취약점

모바일디바이스

공격자


전통적인 방어 방법

11 110 01

0 1001110

1100 001

01 111 00

“결함 없는” 모바일 앱

11 110 01

0 0101010

0101 110

01110001

01 111 00

해킹된 모바일 앱

리버스 엔지니어링

& 조작


금융앱 사례

“개인 뱅킹 애플리케이션의 3 분의 2는 취약점이 존재”

– 2014년 1월, IOActive

1. 40종의 iOS 앱을 분석

2. 정보 도용으로 이어진 공격에 대부분 취약

3. 금융 인프라의 공격으로 쉽게 이어질 수 있음


Arxan 2013 Study


2013 Arxan Study -모바일금융앱

Android 53%, iOS 23%의금융앱코드수정가능


ARXAN 2012 BANKING APPS STUDY


바이너리 공격의 결과?

인증, 암호화, 라이센스 관리 / 검사, DRM, 루트 / 탈옥

감지 등의보안통제의우회

키, 인증서, 인증, 메타 데이터 등중요한응용프로그램

정보노출

중요한비즈니스로직, 제어흐름및프로그램변조


바이너리 공격의 결과로 얻을 수 있는 것?

멀웨어또는익스플로잇삽입후 리패키징

리버스엔지니어링을 통한애플리케이션내부정보획득 (중요 로직, 취약점)

리버스엔지니어링을 통한중요정보추출

(회사 고유의 알고리즘 등)

불법복제및 무단배포


<기술 리스크>

<기밀성 위협> <무결성 위협>

<운영 리스크>

<코드 변경/주입 리스크><리버스엔지니어링과 코드 분석 리스크>

<비즈니스 리스크>

모바일 리스크 기술 분류 체계


Application

decryption

Disassembly /

decompilation of

native code (Obj

C/C++)

Java/.NET

Metadata based

decompilationString literal code

structure analysis

Symbol

dumping and

analysisStatic or dynamic key

lifting

Application re-signing

and re-packaging

Method swizzing / function

hooking

within application

Library and system

service API hooking

and swizzling

Binary patching

Malware

payload

insertion

11 110 01

0 1001110

1100 001

01 111 00

App

코드변조 또는 삽입

리버스엔지니어링

리버스엔지니어링과 코드 분석


자격증명 절도의 일반적인 공격 시나리오

Credential-Handling

App Encryptedcredentials

Encryptedcredentials

User

PIN/password, etc.

PIN/password, etc.


Zeus-Style 공격?

Credential-Handling

App Encryptedcredentials

Encryptedcredentials

Process credentials

Process credentials

PIN/password, etc.

PIN/password, etc.

Redirect basicAuthValueForUser

name: password: to the

replacement method

Pass stolen

credentials back to

original API

StealPIN &

Password

StealPIN &

Password

Method replacing basicAuthValueForUsername:

password:, injected by malware

or other sources


Dendroid 위협

• 2013 년자동화된악성코드주입 600 % 상승

• Denroid : Android를위한 Zeus / SpyEye진화제품

– GUI를통해기존앱에손쉽게말웨어주입가능

– 토르네트우크를통한지불방식

– 모바일안드로이드애플리케이션을통해사기를저지르는조

직범죄에유용

• 명령제어봇넷; 정보도용; 트랜잭션수정


모바일 앱의 리버스엔지니어링 리스크

Obfuscation alone is not enough!

• 노출된 메서드 서명

• API 모니터링

• 노출된 데이터 심볼

• 노출된 문자열 테이블

• 알고리즘 디 컴파일 및 분석

• 응용 프로그램 복호화


모바일 앱의 리버스엔지니어링 리스크

–리 패키징

–기능변경 및 메서드 스위즐링

–보안 통제 우회

–자동화된 루팅/탈옥 탐지 우회

–프리젠테이션 계층 수정

–암호 키 가로 채기


OWASP 권고


OWASP의생각

• Insecure Data on Device

• Server-side Injection

• Server-side web services

• Authentication

• Access Control

• Transport Layer Security

• Data Leakage

• Cryptography

• Lack of Binary Hardening

• Input Handling

OWASP Mobile Top 10 – 2014

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

OWASP - 모바일 응용 프로그램에서 소프

트웨어 위험을 완화 하기 위한 무료 오픈 응

용 프로그램 보안 지침을 제공.


다양한 타입의 위협들…


OWASP Coding 권고

난독화 만으로는 충분하지 않음!

1. 손상에대한애플리케이션보호

– 난독화 적용:

IDA Pro, Hopper와같은역분석도구를이용한 코드제어

흐름및데이터흐름구조분석을어렵게함

– 코드 암호화 적용:

디스크에저장되는민감한코드에대해서암호화적용

– Intermediate 언어 사용 자제:

가능하다면 C/C++ 사용, Java / Objective C 지양


OWASP Coding 권고

2. 바이너리 공격에 대한 런타임 탐지

– 채크섬 적용:

중요 코드/데이터에 대한 변경 여부 탐지

– 안티디버깅 적용:

프로그램 분석을 위한 디버거 실행 여부 탐지/차단


3. 코드변경에대한대응및경보적용

– 코드 원복 : 손상된 코드를 원본 코드로 원복

위협 발생시 애플리케이션은 exit, fail, 또는 경보 등적용

OWASP Coding 권고


OWASP 아키텍쳐권고

1. 심층 방어

– 다계층 보호: 무결성 보호는 다계층 심층 보호 적

용 되어야 함.

2. 예측 불가능한 보호 작동

– 작동 확률 : 무결성 보호는 예측 가능한 위치에서

만 작동 해서는 안됨


3. 바이너리식별자제거

– 바이너리 식별자 제거: 중요 코드의 특성이 파악

되지 않도록 제거

예) RootDetect, AES_KEY

OWASP 아키텍쳐권고


Arxan Solution


SDLC에서의 Arxan


애플리케이션 무결성 보호

분석/유출/우회 탐지 및 차단


강력한 보안성


강력한 플랫폼 확장성


• Multiple leading Financial

Services firms (US, EMEA,

APAC)

• 4 of top 5 Software Eng. ISVs

• 7 of top 10 Digital Media firms

• 3 of top 5 High-Tech vendors

• 4 of top 5 Gaming companies

• Multiple Critical

Infrastructure companies (e.g.,

industrial wireless sensor systems, biometric

scanning systems)

• Enterprise customer base

and large high-value

deployments)

• Arxan-protected

applications deployed on

over 100 million devices,

200 million by end-2012

• ~95% renewal rate

고객사 (샘플)

© 2014 IBM Corporation

IBM Security Systems

37

www.ibm.com/security

© Copyright IBM Corporation 2013. All rights reserved. The information contained in these materials is provided for informational purposes

only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use

of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any

warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement

governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in

all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole

discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any

way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United

States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response

to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated

or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure

and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to

be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems,

products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE

MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

www.ibm.com/security

© Copyright IBM Corporation 2014. All rights reserved. The information contained in these materials is provided for informational purposes

only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use

of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any

warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement

governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in

all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole

discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any

way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United

States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response

to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated

or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure

and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to

be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems,

products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE

MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

모바일앱보안의핵심요소: 앱무결성 -arxanguardit/ensureit · ©2014 ibm corporation...

Documents