platform 연구원 terminal 개발팀

Platform 연구원 Terminal개발팀

Mobile Anti-Virus ServiceMobile Anti-Virus Service

모바일 시대를 지켜주는 방역 서비스

2004. 6. 3

22

목 차

II. II. Mobile Anti-Virus Mobile Anti-Virus 서비스 서비스 기능기능

IV. IV. 요약정리요약정리

III. III. Mobile Virus Mobile Virus 대응 시나리오대응 시나리오

II. Mobile Anti-Virus . Mobile Anti-Virus 필요성필요성

33

I. Mobile Anti-Virus 필요성

1. Mobile Biz 환경의 변화2. Mobile 악성코드 발생사례3. 예상되는 Mobile 악성코드

44

1. Mobile Biz 환경의 변화 I. Mobile AV 필요성

타 기간통신사업자와 CP/ 포탈 등에게 개방 SKT 인증되지 않은 S/W 가 단말에 다운로드 가능 악의적인 S/W 에 의해 단말 부가서비스 장애 또는개인정보 유출 등의 피해 발생 가능

IrDA/Bluetooth 탑재 단말기 확산 PC Sync 서비스 확산 Mobile 악성코드의 유입 및 확산 경로가 다양해짐

모바일 악성코드표준 플랫폼 표준 플랫폼

WIPIWIPI 의 도입의 도입

PC Sync, IrDA, PC Sync, IrDA, BluetoothBluetooth

무선 망 개방무선 망 개방

표준화된 개발환경으로 인해 악성코드의 제작 용이해짐 바이러스 발생시 특정 이통사 단말이 아닌 모든 이동통신가입자의 단말로 피해 확산 가능

금융 Convergence

무선 망 개방으로 인해 이동통신 사업자가 인증하지 않은 S/W 가 단말에 다운로드 될 수 있고 , 표준 플랫폼 WIPI 의 도입으로 규격이 Open 되어 개발환경이 표준화되었으며 , PC Sync/IrDA 등의 서비스 확산으로 단말로의 악성코드 유입 및 확산 경로가 다양해졌다 . 이로 인해 Mobile Virus 의 출현가능성이 증대되었으며 , 통신 - 금융 간 Convergence 에 의해 무선단말기에 신용카드 등의 중요한 개인정보 및 기능이 추가됨에 따라 Mobile Anti-Virus 서비스의 필요성이 커지고 있다 .

신용카드 / 현금카드 등의 중요 정보가 단말내 존재 바이러스 및 악성코드에 의해 정보 유출시고객피해 증대

해외 피해 사례 2000 년부터 유럽 , 일본에서 Phone / PDA 상의 악성코드 발생 단말 프로그램 삭제 , 시스템 정지

N/W 마비 등의 피해 발생

55

2. Mobile 악성코드 발생사례

PHONE PDA

Timofonica2000 년 스페인 발생 . GSM 단말에 E-mail 통해 자기복제 . 무작위로 SMS 대량 송신함

SMS malicious code

2000 년 노르웨이 발생 . 노키아폰에서 특정 SMS 메시지 확인시 단말 기능 정지시킴

I-Mode malicious code

2001 년 일본 . I-ModeApp. 악성코드로 긴급구조센터 (110) 에 다량의전화 . 전화망 마비 초래 .

Phage

Vapor

Liberty

PalmOS 에서 발생 . RAM 에 로딩된 모든 프로그램 실행 중단 . 새로 설치된 프로그램 감염 .

파일 실행시 모든 아이콘이 사라짐 . 사용자는 아이콘이 없으므로 실행 못함 .

파일 실행시 RAM 에 로딩된 2~3 개 프로그램 삭제 . 계속 실행 시 모든 프로그램 삭제 되고 자체 아이콘만 남음 .

NTT DoCoMo Mobile Anti-Virus S/W

개발계획발표 (‘03.10) 및

상용화 예정 (’04.4Q)

SK TelecomMobile Anti-Virus

S/W개발 시작 (2002.6)

I. Mobile AV 필요성

66

3. 예상되는 Mobile 악성코드

파일 바이러스트로이안 / 웜

EFS 시스템 불능 바이러스App 에 임의 악성코드 삽입하여파일 시스템 불능 유발

시스템 정지 바이러스App 의 오 동작 유발을 통한플랫폼 및 폰 시스템 정지

특정 App 불능 바이러스

특정 ID 의 App 을 공격하여

오동작 유발

핸드폰 리부팅App 실행 중 악의적 코드실행으로 비정상적 종료유발

강제적 광고 Viewer 호출 강제적 광고 Viewer 를 통해 사용자 이용에 불편 초래

쓰레기 파일 생성Garbage 파일 생성을 통해메모리 부족을 야기시킴

개인정보 훼손 및 유출주소록 등의 개인정보를SMS 및 N/W 를 통해 유출함

I. Mobile AV 필요성

77

Ⅱ. Mobile Anti-Virus 서비스 기능

1. 수동검사2. 실시간 검사3. 엔진 업데이트

4. 바이러스 신고

88

취소취소

수동검사검사 중…… .

파일 : BaseBall.daf파일수 : 15/20바이러스 수 : 1

확인

치료치료 취소취소

진단 결과파일 : BaseBall.daf바이러스명 : T-MC01 예

치료 결과

확인확인

치료 /삭제가정상적으로실행되었습니다 .

<< 바이러스 APP 치료 / 삭제 >>

<< 바이러스 진단 >>

결과

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

Mobile AVⓜⓜPlayOnPlayOn

메뉴메뉴

실행모바일 AV

치료치료 취소취소

진단 결과*SampleVirus.dat - 삭제 가능*TestApp.daf - 치료가능

설정해제알 림

치료 / 삭제를 하시겠습니까 ?

예 아니오치료

1. 수동검사

<< App. 실행 >> << 메뉴 선택 >>

<< 진단 결과보기>> << 치료 / 삭제 확인>>

사용자선택에의한 수동검사실행

모든 WIPI 실행파일대상 검사및진단결과제시

치료 / 삭제및 결과확인

사용자의 선택에 의해 플랫폼의 모든 실행파일을 바이러스 진단 /치료 /삭제II. Mobile AV 서비스 기능

99

1. 수동검사 단말 플랫폼과 Mobile AV S/W 연동

백신 엔진

본체 프로그램 SKT WIPI Platform

- 수동검사 실행 ( 사용자 UI 환경 제공 )

1. 사용자 선택에 의해 수동 검사 실행2. 진단 / 치료 결과 화면3. 사용자선택에 의해 치료 / 삭제

- 악성코드 진단 / 치료

플랫폼 실행 파일들

Mobile AV S/W

II. Mobile AV 서비스 기능

1010

1. 수동검사 수동검사 흐름도

Error MSG 처리

사용자 수동검사시작

엔진 Check?

모든 파일 검색

파일 감염 진단 ? 진단 결과 화면검사 기록미 감염

없음있음

감염

감염 파일 치료

사용자 치료 확인

종 료

진단 결과 화면

치료 결과 화면검사 기록

취소치료

II. Mobile AV 서비스 기능

1111

설정설정 취소취소

환경설정실시간 감시 설정

설정해제

설정설정 취소취소

환경설정실시간 감시 설정

설정해제

알 림실시간 감시가 설정되었습니다 .

확인

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

Mobile AV

설정확인

ⓜⓜPlayOnPlayOn

메뉴메뉴

실행모바일 AV

경고바이러스 발견 . 치료 /삭제하시겠습니까 ?

예 아니오

ⓜⓜPlayOnPlayOn ⓜⓜPlayOnPlayOn알림

바이러스가 치료 / 삭제되었습니다. 확인

메뉴메뉴 메뉴메뉴

예<< 실시간 바이러스 진단>><< 바이러스 APP 치료 / 삭제 >>

ⓜⓜPlayOnPlayOn

메뉴메뉴

실행

Virus프로그램 실행

2. 실시간 검사

실시간감시설정

실시간감시 /검사- 컨텐츠다운로드- 프로그램실행- 파일입출력

치료 / 삭제및 결과확인

<< App. 실행>> << 메뉴 선택 >> << 실시간 감시 : 설정 >> << 설정내용 확인>>

플랫폼에 다운로드 /실행되는 파일에 대한 실시간 바이러스 진단 /치료 /삭제II. Mobile AV 서비스 기능

야구게임

1212

2. 실시간 검사 단말 플랫폼과 Mobile AV S/W 연동

백신 엔진

실시간 감시 프로그램본체 프로그램 SKT WIPI Platform

- 실시간 감시 설정 / 해지 ( 사용자 UI 환경 제공 )

1. 사용자 선택에 의해 실시간 감시 프로그램 동작 및 종료

- 실시간 감시 기능

3. 플랫폼으로부터 전달받은 메시지 처리4. 백신엔진 호출 바이러스 진단 / 치료 .5. 시스템 메시지 박스를 이용 바이러스 공지

- 악성코드 진단 / 치료

- 실시간감시 공지 메시지 전달

2. 파일 I/O 발생시 실시간 감시 공지 메시지를 콜백 함수를 통해 전달

플랫폼 실행파일

Mobile AV S/W

II. Mobile AV 서비스 기능

1313

ⓜⓜPlayOnPlayOn

메뉴메뉴

실행모바일 AV

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

Mobile AV

확인결과

진행

다운로드 중신규 백신엔진⊙ 설치정보⊙ 컨텐츠⊙ 설치중

ⓜⓜPlayOnPlayOn

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

Mobile AV

3. 엔진 업데이트

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

Mobile AV알림엔진버전 :2004.03.03.00업데이트하시겠습니까 ? 확인

확인

알림정상적으로설치되었습니다 .

확인

확인

접속중접속중메뉴메뉴

결과

엔진 업데이트 수행

- App. 실행시 자동 업데이트- 사용자 선택에 의한 수동 업데이트 제공 가능

버전확인 / 다운로드

신규엔진설치 / 확인

<< App. 실행>> << 메뉴 선택 >> << 버전 / 업데이트 확인>> << Nate 접속 >>

<< 다운로드 / 설치 >> << 설치 확인>>

최신 백신엔진으로 업데이트하는 기능II. Mobile AV 서비스 기능

1414

바이러스 파일 신고

백신제조사 바이러스 대응센터백신제조사 바이러스 대응센터

신규 엔진 제작

Auto Scan Tool ASEC 대응센터

USERUSER

4. 바이러스 신고

바이러스 신고바이러스 신고 중…… .

전송 파일 :

신고신고 취소취소

검 역 소

신고신고 취소취소

파일명 바이러스명--------------------------1 a.daf 신종2 c.dat 신종

바이러스 신고바이러스 신고 중…… .

전송 파일 :

알림바이러스신고가완료되었습니다.. 확인

신고신고 삭제삭제취소취소

1. 수동검사2. 환경설정3. 엔진 업데이트4. 바이러스 신고5. 검사 기록확인확인 취소취소

Mobile AV

바이러스신고기능선택

신고대상파일확인

온라인파일전송확인 신고 신고

<< App. 메뉴 >> << 신고대상 파일 확인>> << 바이러스 신고>> << 신고 완료>>

바이러스로 의심되는 파일을 백신제조사에서 분석하도록 의뢰하는 기능II. Mobile AV 서비스 기능

1515

III. Mobile Virus 대응 시나리오

1. 바이러스 피해 발생2. 바이러스 분석 / 백신엔진 제작3. 엔진 업데이트

4. 바이러스 진단 / 치료 / 예방

1616

1. 바이러스 피해 발생 악성코드 제작 및 유포 / 피해발생 / 샘플입수

악성코드 제작자 및 그룹( 게임에 악성코드 포함 )

유포

사용자 1( 게임 설치 및 실행 )

바이러스 대응 센터( 바이러스 분석 )

바이러스샘플 입수사용자 1

악성코드 피해 발생

악성코드 실행

악성코드 제작 및 유포 프로그램 실행 및 피해발생

바이러스 신고 대응

III. Mobile Virus 대응 시나리오

1717

1. 바이러스 피해 발생 악성코드 유입 및 피해 발생 (Example)

접속

진행

다운로드 중BaseBall Game

⊙ 설치정보

⊙ 컨텐츠

⊙ 설치중

BaseBall Game BaseBall Game

[ 광고 ] 무료 야구 게임을 받시겠습니까 ?[ 받은 시간 ]2004.02.02 13:54

메시지 내용

접 속접 속삭 제삭 제 확 인확 인

SMS 메 시 지 확 인 프 로 그 램 다 운 로 드

실행

프 로 그 램 실 행

전화번호부

메뉴메뉴 추가추가편집편집

$#$%^^&&&&&@#@#@|(|()|((01197972323

주 소 록 화 면

종료

바이러스 신고

악성코드 피해 발생( 사용자 인식 못함 )

사 용 자 1

사 용 자 1

주소록확인주소록 피해 발생

1. 모든 이름 변경 또는 삭제2. 특정 전화번호 삭제3. 등록 전화번호에 SMS전송

사용자 의심

III. Mobile Virus 대응 시나리오

1818

2. 바이러스 분석 / 백신엔진 제작 바이러스 분석 / 백신엔진 제작 / 공지

바이러스샘플 입수 악성 코드샘플 입수 악성코드 행동시뮬레이션 검사

악성 코드를 식별하는유일한 코드 값 추출

백신 엔진 적용( 최신 엔진 개발 )

바 이 러 스 대 응 센 터사 용 자 1

모 바 일 AV 사 용 자

SMS 를 이용한 업데이트 공지

사용자 2

서명 검증법

최신 엔진 업로드( 사용자에게바이러스 공지 )

III. Mobile Virus 대응 시나리오

1919

3. 엔진 업데이트

엔진 업데이트 공지 (SMS)

접속

업 데 이 트 공 지 확 인 최 신 엔 진 업 데 이 트

결과

업 데 이 트 완 료

모바일 AVAPP 실행

사 용 자 2

[New 백신엔진 ]최신 백신엔진을Update하시겠습니까 ?[ 받은 시간 ]2004.02.02 16:00

메시지 내용

접 속접 속삭 제삭 제 확 인확 인 진행

다운로드 중 AVEngine

⊙ 설치정보

⊙ 컨텐츠

⊙ 설치중

ⓜⓜPlayOnPlayOn알림

컨텐츠 저장을완료하였습니다 .확인

III. Mobile Virus 대응 시나리오

2020

3. 엔진 업데이트

모바일 AVAPP 실행

엔진 업데이트 / 수동검사

사용자 2( 최신 엔진 다운로드 )

최신 엔진 업데이트사용자 2

( 수동 검사 실행 )

수동검사를 통한 악성코드 진단 및 치료

악성 프로그램 진단

악성 코드 치료

SMS이용한업데이트공지

백신엔진 업로드 ( 다운로드 서버 )

III. Mobile Virus 대응 시나리오

2121

4. 바이러스 진단 / 치료 / 예방 수동검사를 통한 악성코드 진단 / 치료

선택

모 바 일 AV APP 실 행 수 동 검 사 메 뉴 선 택

확인

바 이 러 스 검 사

사 용 자 확 인ⓜⓜPlayOnPlayOn

메뉴메뉴

모바일 AV

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

메인 메뉴

취소취소

수동검사검사 중…… .

파일 : Baseball.daf검사시간 : 00:04바이러스 수 : 1

결과

치료치료 취소취소

진단 결과파일 : BaseBall.daf바이러스명 : T-MC01치료여부 : 삭제가능

진 단 결 과

치료

치료치료 취소취소

진단 결과*SampleVirus.dat - 삭제 가능*TestApp.daf - 치료가능

설정해제알 림

삭제를 하시겠습니까 ?

예 아니오예

치료 결과

확인확인

삭제가 정상적으로 실행되었습니다 .

치 료 완 료

III. Mobile Virus 대응 시나리오

2222

4. 바이러스 진단 / 치료 / 예방

악성코드 유입

실시간 감시를 통한 악성코드 유입 차단실시간 감시 설정

사용자 2( 악성프로그램 다운로드 )

실시간 검사를 통한 악성코드 유입 차단

실시간악성 코드 진단

악성 코드 치료

사용자 2( 모바일 AV APP 를 통한 실시간 감시 설정 )

III. Mobile Virus 대응 시나리오

2323

4. 바이러스 진단 / 치료 / 예방 실시간 감시 설정

접속

모 바 일 AV APP 실 행 환 경 설 정 메 뉴 선 택

결과

실 시 간 감 시 설 정사 용 자 2

ⓜⓜPlayOnPlayOn

메뉴메뉴

모바일 AV

1. 수동검사2. 환경설정3. 엔진 업데이트4. 검사기록5. 도움말확인확인 취소취소

메인 메뉴

설정설정 취소취소

환경설정실시간 감시 설정

설정해제

설정설정 취소취소

환경설정실시간 감시 설정

설정해제

알 림실시간 감시가 설정되었습니다 .

확인

실 시 간 감 시 설 정 완 료

설정종료 악성코드유입

III. Mobile Virus 대응 시나리오

2424

4. 바이러스 진단 / 치료 / 예방

접속

진행

다운로드 중BaseBall Game

⊙ 설치정보

⊙ 컨텐츠

⊙ 설치중

[ 광고 ] 무료 야구 게임을 받시겠습니까 ?[ 받은 시간 ]2004.02.02 13:54

메시지 내용

접 속접 속삭 제삭 제 확 인확 인

SMS 메 시 지 확 인 프 로 그 램 다 운 로 드

실행

악 성 코 드 진 단

치 료 완 료

사 용 자 2

실시간 검사를 통한 악성코드 진단 / 치료

[ 바이러스 발견 ]T-MC01. 삭제하시겠습니까 ?

예 아니오

ⓜⓜPlayOnPlayOn

메뉴메뉴

경고

실시간악성 코드 진단

ⓜⓜPlayOnPlayOn알림

바이러스가 삭제되었습니다 .확인

메뉴메뉴

예

III. Mobile Virus 대응 시나리오

2525

IV. 요약 정리

1. Mobile Anti-Virus 필요성2. Mobile Anti-Virus 서비스 기능3. Mobile Virus 대응 시나리오4. 기대 효과

2626

무선 망 개방 , 표준 플랫폼 WIPI 의 도입 , PC Sync 서비스 확산 등으로 인해 , Mobile Virus 및 악성코드의 출현 가능성이 증대됨 . Mobile Virus 및 악성코드로 인해 발생할 수 있는 피해를 최소화 및 사전방지하고 , 안정된 단말 부가서비스의 제공을 위해 Mobile Virus 및 악성코드를 진단 / 치료할 수 있는 Mobile Anti-Virus 서비스가 필요하게 됨 .

예상피해규모 Anti-Virus System 미구축시 , 발생한 바이러스에 대한 대응 ( 단말 플랫폼 분석부터 백신엔진의 배포까지 ) 을 위해서 최소 3~4 개월 소요가 예상된다 . 신속한 대응이 이뤄지지 않을 경우 , 바이러스의 확산성을 고려할 때 피해규모는 기하급수적으로 증가할 것이다 .

해외 피해 사례• SMS 무작위 전송• 특정 Application 불능• 단말 플랫폼 및 폰 시스템 정지• 다량 Call 유발을 통한 N/W 과부하 / 마비• 아이콘 삭제를 통한 프로그램 실행 불능• 로딩된 프로그램 삭제

국내에서 예상되는 악성코드• 파일 바이러스 형태

- 특정 Application/Contents 불능 및 삭제- 플랫폼 및 폰 시스템 정지

• 트로이안 / 웜 형태- Garbage 파일 생성을 통한 폰 메모리 포화- 사용자 정보 훼손 및 유출- 스팸 SMS 대량 전송

IV. 요약정리1. Mobile Anti-Virus 필요성

2727

2. Mobile Anti-Virus 서비스 기능

1. 수동 검사 플랫폼의 모든 실행파일을 대상으로 바이러스 진단 /치료

2. 실시간 검사3. 엔진 업데이트4. 바이러스 신고5. 검사 기록

플랫폼에 다운로드 및 실행되는 파일에 대한 실시간 바이러스 진단 /치료 최신 백신 엔진으로 업데이트하는 기능 바이러스로 의심되는 파일에 대해 백신업체로 분석 의뢰하는 기능

검사 기록 정보 제공

Mobile Anti-Virus

IV. 요약정리

2828

3. Mobile Virus 대응 시나리오

1. 악성코드 제작

사용자5. 바이러스 분석 / 백신 제작

7. 엔진 업데이트 공지

엔진 다운로드 시스템

2. 악성코드 유포

4. 바이러스 신고 및 접수3. 바이러스 피해발생

6. 신규엔진 업로드

8. 신규엔진 업데이트

9. 바이러스 진단 / 치료

IV. 요약정리

2929

대응체계 미확보시 , 바이러스 대응( 단말 플랫폼 분석부터 백신 엔진 배포까지 ) 최소 3~4 개월 소요

대응체계 확보를 통해 바이러스 발생시 신속한 대응 가능(1 주일 미만 )

WIPI, SK-VM, GNEX 기반 모든 파일 방역 가능WI-TOP/WIPI 단말 Anti-Virus S/W 적용 가능바이러스 및 악성코드로부터 단말 부가서비스

프로그램 보호유료 컨텐츠 보호 및 개인정보 유출 방지

모바일 바이러스로 인해 발생 가능한 피해의 최소화 및사전방지

단말 플랫폼의 보안 강화

Mobile Virus 의 위협에 대한 예방모바일 바이러스신속 대응체계 확보

4. 기대효과 IV. 요약정리

Mobile Anti-Virus 서비스를 통한 단말 보안 강화 및Mobile Virus 로 발생 가능한 피해 최소화

3030

[ 첨 부 ] 성능 시험 결과

1. 수동검사

2. 실시간 검사

3131

[ 첨부 ] 성능 테스트 결과 - 수동검사 수동검사 시간 측정 결과

Log 화면

테 스 트 항 목테 스 트 항 목 테 스 트 결 과테 스 트 결 과 비 고비 고1. 1. 악성코드 포함 진단 시악성코드 포함 진단 시 평균 평균 0.29 ~ 0.30 0.29 ~ 0.30 초초 1010 회 테스트회 테스트 , , 파일 수 파일 수 2020 개개2. 2. 악성코드 미포함 진단 시악성코드 미포함 진단 시 평균 평균 0.25 ~ 0.26 0.25 ~ 0.26 초초 1010 회 테스트회 테스트 , , 파일 수 파일 수 1818 개개

<==== 악성코드 포함 진단 시 Log Message

<==== 악성코드 미포함 진단 시 Log Message<==== 악성코드 파일삭제 Log Message

3232

[ 첨부 ] 성능 테스트 결과 – 실시간 검사 실시간 검사 시간 측정 결과

테 스 트 항 목테 스 트 항 목 테 스 트 결 과테 스 트 결 과 비 고비 고악성코드 진단 시악성코드 진단 시 평균 평균 0.012 ~ 0.015 0.012 ~ 0.015 초초 1010 회 테스트회 테스트 , , 악성야구게임악성야구게임 (34K)(34K)

본체 본체 APP APP 진단 시진단 시 평균 평균 0.04 0.04 초초 1010 회 테스트 회 테스트 , , 본체 본체 APP(30K)APP(30K)

백신엔진 진단 시백신엔진 진단 시 평균 평균 0.01 0.01 초초 1010 회 테스트 회 테스트 , , 엔진 라이브러리엔진 라이브러리 (3K)(3K)

Log 화면

}<==== 악성코드 진단 시 Log

}<==== 백신엔진 진단 시 Log

}<==== 본체APP 진단 시 Log

3333

감 사 합 니 다 !