Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Yongdae����������� ������������������ Kim����������� ������������������
한국과학기술원����������� ������������������ ����������� ������������������
*����������� ������������������ All����������� ������������������ of����������� ������������������ the����������� ������������������ vulnerabilities����������� ������������������ were����������� ������������������ responsibly����������� ������������������ disclosed����������� ������������������ in����������� ������������������ advance����������� ������������������
규제����������� ������������������ 없는����������� ������������������ Fintech����������� ������������������ 보안����������� ������������������ ����������� ������������������ -����������� ������������������ 건전하고����������� ������������������ 안전한����������� ������������������ Fintech의����������� ������������������ 성장을����������� ������������������ 위하여����������� ������������������ ����������� ������������������
들어가기����������� ������������������ q 엄청난����������� ������������������ 이전투구����������� ������������������ 하에����������� ������������������ 있는����������� ������������������ 현재����������� ������������������ Fintech����������� ������������������ 시장����������� ������������������
q 취약점이����������� ������������������ 공개될����������� ������������������ 경우����������� ������������������
▹ Fintech����������� ������������������ 시장����������� ������������������ 위축����������� ������������������ 우려����������� ������������������
▹ 시장����������� ������������������ 형성에����������� ������������������ 부정적����������� ������������������ 영향을����������� ������������������ 줄����������� ������������������ 수����������� ������������������ 있음����������� ������������������
q 그럼에도����������� ������������������ 불구하고����������� ������������������ 몇����������� ������������������ 가지����������� ������������������ 사례에����������� ������������������ 대하여����������� ������������������ 분석����������� ������������������ 개요����������� ������������������ 발표����������� ������������������
▹ 다양한����������� ������������������ 측면에서����������� ������������������ Market을����������� ������������������ lead하고����������� ������������������ 있는����������� ������������������ 제품들����������� ������������������
▹ 이미����������� ������������������ 취약점이����������� ������������������ 나온����������� ������������������ 제품도����������� ������������������ 있고,����������� ������������������ …⋯����������� ������������������ ����������� ������������������
▹ Responsible����������� ������������������ disclosure����������� ������������������ 후����������� ������������������ 추후����������� ������������������ 공개할����������� ������������������ 예정����������� ������������������ ����������� ������������������
1
발표����������� ������������������ 범위����������� ������������������
Fintech����������� ������������������ =����������� ������������������ Financial����������� ������������������ +����������� ������������������ Technology����������� ������������������ q Main����������� ������������������ Players����������� ������������������
▹ 전통적인����������� ������������������ 금융����������� ������������������ 기업의����������� ������������������ 새로운����������� ������������������ IT����������� ������������������ 기술의����������� ������������������ 도입����������� ������������������
▹ ICT����������� ������������������ 기업,����������� ������������������ 플랫폼����������� ������������������ 기업,����������� ������������������ 보안업체����������� ������������������ 등의����������� ������������������ 금융����������� ������������������ 서비스����������� ������������������ 진출����������� ������������������
q 주요����������� ������������������ 서비스:����������� ������������������ 송금,����������� ������������������ 결제,����������� ������������������ 자산관리,����������� ������������������ 투자,����������� ������������������ 보안����������� ������������������ 및����������� ������������������ 데이터����������� ������������������ 분석����������� ������������������
q 구현:����������� ������������������ 다양한����������� ������������������ 서버,����������� ������������������ 플랫폼����������� ������������������ 기술,����������� ������������������ 다양한����������� ������������������ Client����������� ������������������ (주로����������� ������������������ Mobile)����������� ������������������ ����������� ������������������
안드로이드����������� ������������������ 기반의����������� ������������������ 광범위한����������� ������������������ 서비스����������� ������������������ 2
엄청나게����������� ������������������ 많은����������� ������������������ Fintech����������� ������������������
3
자율����������� ������������������ 규제����������� ������������������ 시대의����������� ������������������ 시작����������� ������������������ ����������� ������������������ q 신규����������� ������������������ 전자금융거래에����������� ������������������ 대한����������� ������������������ 보안성����������� ������������������ 심의����������� ������������������ 전면폐지����������� ������������������
q 금융회사����������� ������������������ 자체의����������� ������������������ 취약점����������� ������������������ 분석����������� ������������������ 내실화����������� ������������������ 유도����������� ������������������ ����������� ������������������
q 계좌이체����������� ������������������ 등����������� ������������������ 전자금융거래서����������� ������������������ 공인인증서����������� ������������������ 사용의무����������� ������������������ 폐지����������� ������������������
q 은행,����������� ������������������ 증권사����������� ������������������ 금융거래시����������� ������������������ 액티브-X����������� ������������������ 제거����������� ������������������ 유도����������� ������������������
q 금융권����������� ������������������ FDS����������� ������������������ 구축����������� ������������������ 및����������� ������������������ 고도화����������� ������������������ 추진����������� ������������������
q 시장����������� ������������������ 자율적인����������� ������������������ 금융보안����������� ������������������ 인증체계����������� ������������������ 도입����������� ������������������
▹ Fintech����������� ������������������ 업체들의����������� ������������������ PCI-DSS����������� ������������������ 등����������� ������������������ 보안����������� ������������������ 인증����������� ������������������ 획득����������� ������������������ 유도����������� ������������������ ����������� ������������������
4
공인����������� ������������������ 인증서����������� ������������������ 취약점����������� ������������������ q NPKI����������� ������������������ 디렉토리에����������� ������������������ Epassword(SKA)����������� ������������������ 저장����������� ������������������
▹ Windows/Android����������� ������������������ rooting����������� ������������������ 시����������� ������������������ 보안성은����������� ������������������ Password의����������� ������������������ 강도에����������� ������������������ 의존����������� ������������������
q 안전하지����������� ������������������ 않은����������� ������������������ 운영체제����������� ������������������ ▹ Windows,����������� ������������������ Android,����������� ������������������ …⋯����������� ������������������
q ActiveX/Plug-in����������� ������������������ 문제점����������� ������������������ ▹ N개의����������� ������������������ 싸이트는����������� ������������������ N개의����������� ������������������ 다른����������� ������������������ 구현����������� ������������������ ����������� ������������������ ▹ N개����������� ������������������ 중����������� ������������������ 1개만����������� ������������������ 취약점이����������� ������������������ 존재할����������� ������������������ 경우����������� ������������������ Epassword(SKA)����������� ������������������ 노출����������� ������������������
q 보안����������� ������������������ 3종����������� ������������������ 세트:����������� ������������������ N개의����������� ������������������ 싸이트에����������� ������������������ 3*N개의����������� ������������������ 소프트웨어����������� ������������������ 추가����������� ������������������ 설치����������� ������������������ ▹ 키보드해킹방지����������� ������������������ 플러그인,����������� ������������������ 개인방화벽,����������� ������������������ 바이러스스캔����������� ������������������ ▹ 사용자에게����������� ������������������ “확인”����������� ������������������ 버튼을����������� ������������������ 누르는����������� ������������������ 가속성����������� ������������������ ▹ 대부분����������� ������������������ 우회����������� ������������������ 가능����������� ������������������ ����������� ������������������
5
HAC����������� ������������������ Section����������� ������������������ 13.8����������� ������������������ Page����������� ������������������ 583����������� ������������������ “The����������� ������������������ private����������� ������������������ keys����������� ������������������ may����������� ������������������ be����������� ������������������ stored����������� ������������������ in����������� ������������������ tamper-resistant����������� ������������������ hardware,����������� ������������������ ����������� ������������������ and����������� ������������������ by����������� ������������������ system����������� ������������������ design����������� ������������������ never����������� ������������������ available����������� ������������������ outside����������� ������������������ thereof.”����������� ������������������
규제와����������� ������������������ Fintech����������� ������������������ q 대부분의����������� ������������������ 규제에는����������� ������������������ Scope����������� ������������������ 존재����������� ������������������
q 그러나����������� ������������������ 전체����������� ������������������ Echo����������� ������������������ System에����������� ������������������ 대한����������� ������������������ 보안이����������� ������������������ 필요����������� ������������������ ����������� ������������������
q 이통3사����������� ������������������ USIM����������� ������������������ 공인인증서����������� ������������������
▹ USIM에����������� ������������������ 비밀키를����������� ������������������ 안전하게����������� ������������������ 저장����������� ������������������
▹ USIM:����������� ������������������ 한국인터넷진흥원이����������� ������������������ 검증한����������� ������������������ 보안����������� ������������������ 1등급����������� ������������������ 매체����������� ������������������
▹ 전자신문.����������� ������������������ 2014.����������� ������������������ 7.����������� ������������������ 20.����������� ������������������ 공인인증서����������� ������������������ 유심����������� ������������������ 서비스����������� ������������������ ‘보안성’����������� ������������������ 논란����������� ������������������
6
USIM����������� ������������������ 공인����������� ������������������ 인증서����������� ������������������ 취약점����������� ������������������ ����������� ������������������
7
SIM����������� ������������������
Relay����������� ������������������
PC����������� ������������������ Phone����������� ������������������
Push����������� ������������������ Bank����������� ������������������
SSL����������� ������������������ SSL����������� ������������������
Memory����������� ������������������ hacking����������� ������������������
Improper����������� ������������������ logcat����������� ������������������
messages����������� ������������������
SIM����������� ������������������ APDU����������� ������������������ with����������� ������������������
plaintext����������� ������������������
Typical����������� ������������������ 금융앱들의����������� ������������������ Threat����������� ������������������ Model����������� ������������������ q Attacker����������� ������������������ has����������� ������������������ permanent����������� ������������������ root����������� ������������������ access����������� ������������������ q Attacker����������� ������������������ has����������� ������������������ one����������� ������������������ time����������� ������������������ root����������� ������������������ access����������� ������������������ q Attacker����������� ������������������ obtains����������� ������������������ a����������� ������������������ file����������� ������������������ associated����������� ������������������ with����������� ������������������ the����������� ������������������ app����������� ������������������ q Attacker����������� ������������������ obtains����������� ������������������ a����������� ������������������ lost����������� ������������������ smartphone����������� ������������������ q Attacker����������� ������������������ can����������� ������������������ install����������� ������������������ a����������� ������������������ malicious����������� ������������������ app����������� ������������������ on����������� ������������������ the����������� ������������������ phone����������� ������������������
▹ With����������� ������������������ different����������� ������������������ permission����������� ������������������ (e.g.����������� ������������������ SMS,����������� ������������������ Internet,����������� ������������������ …⋯)����������� ������������������
q Attacker����������� ������������������ can����������� ������������������ enable����������� ������������������ and����������� ������������������ have����������� ������������������ access����������� ������������������ to����������� ������������������ adb����������� ������������������ q Or����������� ������������������ their����������� ������������������ combination����������� ������������������ q Or����������� ������������������ none����������� ������������������ of����������� ������������������ the����������� ������������������ above����������� ������������������
How����������� ������������������ secure����������� ������������������ is����������� ������������������ your����������� ������������������ app����������� ������������������ under����������� ������������������ these?����������� ������������������ 8
Typical����������� ������������������ 금융앱들의����������� ������������������ 보안����������� ������������������ 기능����������� ������������������ q Rooting����������� ������������������ Detection:����������� ������������������ File,����������� ������������������ Process,����������� ������������������ Package,����������� ������������������ using����������� ������������������
Native����������� ������������������ or����������� ������������������ 3rd����������� ������������������ party����������� ������������������ App����������� ������������������ Solution����������� ������������������
q Integrity����������� ������������������ monitoring:����������� ������������������ Native,����������� ������������������ 3rd����������� ������������������ party����������� ������������������ App����������� ������������������
q Keyboard����������� ������������������ 보안����������� ������������������ ����������� ������������������
q 난독화:����������� ������������������ String,����������� ������������������ Variable,����������� ������������������ Function,����������� ������������������ Class,����������� ������������������ …⋯����������� ������������������ ����������� ������������������
q 악성����������� ������������������ 앱����������� ������������������ 탐지:����������� ������������������ AV����������� ������������������
q 암호화:����������� ������������������ https,����������� ������������������ shttp,����������� ������������������ 파일����������� ������������������ 암호화,����������� ������������������ …⋯����������� ������������������
q …⋯����������� ������������������
9
회사명����������� ������������������ ����������� ������������������ 애플리케이션명����������� ������������������ 난독화����������� ������������������ 루팅����������� ������������������ 체크����������� ������������������
다음카카오����������� ������������������ 카카오����������� ������������������ 페이����������� ������������������ O����������� ������������������ O����������� ������������������
뱅크월렛����������� ������������������ 카카오����������� ������������������ O����������� ������������������ (프로가드+btworks-codeguard)����������� ������������������ O����������� ������������������
증권플러스����������� ������������������ for����������� ������������������ kakao����������� ������������������ O����������� ������������������ (프로가드)����������� ������������������ O����������� ������������������
NHN����������� ������������������ 라인페이����������� ������������������ O����������� ������������������ (프로가드)����������� ������������������ X����������� ������������������
비바����������� ������������������ 리퍼블리카����������� ������������������ 토스����������� ������������������ O����������� ������������������ (Arxan)����������� ������������������ O����������� ������������������
삼성����������� ������������������ 삼성월렛����������� ������������������ O����������� ������������������ (프로가드+droidx3+adbcheck)����������� ������������������ O����������� ������������������
삼성m포켓����������� ������������������ 전자지갑����������� ������������������ O����������� ������������������ O����������� ������������������
KT����������� ������������������ 모카월렛����������� ������������������ O����������� ������������������ (프로가드)����������� ������������������ O����������� ������������������
모카페이����������� ������������������ (UB페이)����������� ������������������ X����������� ������������������ O����������� ������������������
페이온����������� ������������������ 플러스����������� ������������������ (NFC)����������� ������������������ O����������� ������������������ O����������� ������������������
탭사인����������� ������������������ O����������� ������������������ (프로가드+com.touchEN.mVaccine+bitdefender백신)����������� ������������������ O����������� ������������������
LG����������� ������������������ U+����������� ������������������ paynow+����������� ������������������ O����������� ������������������ (앱아이언)����������� ������������������ O����������� ������������������
u+스마트월렛����������� ������������������ O����������� ������������������ (앱아이언)����������� ������������������ X����������� ������������������
LG����������� ������������������ CNS����������� ������������������ Mpay����������� ������������������ O����������� ������������������ (프로가드)����������� ������������������ O����������� ������������������
KG����������� ������������������ Inicis����������� ������������������ INIpay����������� ������������������ O����������� ������������������ (프로가드)����������� ������������������ O����������� ������������������
Kpay����������� ������������������ O����������� ������������������ (appdefence+vguard)����������� ������������������ O����������� ������������������
KG����������� ������������������ Mobilence����������� ������������������ 엠틱����������� ������������������ X����������� ������������������ X����������� ������������������
KCP����������� ������������������ 페이코����������� ������������������ (퀵페이)����������� ������������������ O����������� ������������������ (decompile����������� ������������������ x)����������� ������������������ +����������� ������������������ v3����������� ������������������ mobile����������� ������������������ plus����������� ������������������ X����������� ������������������
페이온����������� ������������������ (NFC)����������� ������������������ X����������� ������������������ X����������� ������������������
VP����������� ������������������ 일반결제����������� ������������������ (ISP)����������� ������������������ O����������� ������������������ (프로가드����������� ������������������ +����������� ������������������ NSHC-백신)����������� ������������������ O����������� ������������������
SK����������� ������������������ Planet����������� ������������������ 페이핀����������� ������������������ O����������� ������������������ (NSHC-AppProtect+V3mobile)����������� ������������������ O����������� ������������������
시럽����������� ������������������ O����������� ������������������ (프로가드+암호화����������� ������������������ 모듈)����������� ������������������ X����������� ������������������
Danal����������� ������������������ 바통����������� ������������������ O(프로가드+v3����������� ������������������ keypad����������� ������������������ solution)����������� ������������������ O����������� ������������������
Security����������� ������������������ Theater����������� ������������������ q Security����������� ������������������ theater����������� ������������������ is����������� ������������������ the����������� ������������������ practice����������� ������������������ of����������� ������������������ ����������� ������������������
▹ investing����������� ������������������ in����������� ������������������ countermeasures����������� ������������������ intended����������� ������������������ to����������� ������������������ provide����������� ������������������ the����������� ������������������ feeling����������� ������������������ of����������� ������������������ improved����������� ������������������ security����������� ������������������
▹ while����������� ������������������ doing����������� ������������������ little����������� ������������������ or����������� ������������������ nothing����������� ������������������ to����������� ������������������ actually����������� ������������������ achieve����������� ������������������ it����������� ������������������
11
Fintech����������� ������������������ App����������� ������������������ Analysis����������� ������������������ Method����������� ������������������
12����������� ������������������
일반폰����������� ������������������ App분석이����������� ������������������ 어려움����������� ������������������ -����������� ������������������ ADB에서����������� ������������������ 데이터����������� ������������������ 추출����������� ������������������ -����������� ������������������ 분석����������� ������������������ 툴����������� ������������������ 삽입����������� ������������������
루팅폰����������� ������������������
Rooting����������� ������������������
앱설치����������� ������������������
“Rooting이����������� ������������������ 감지됨”����������� ������������������
추출����������� ������������������ BakSmali����������� ������������������
Smali/Sign����������� ������������������
Rooting/Integrity/Analysis����������� ������������������ Patch����������� ������������������ MITM����������� ������������������ Dynamic����������� ������������������ Analysis����������� ������������������ Static����������� ������������������ Analysis����������� ������������������
Final����������� ������������������ App����������� ������������������
Typical����������� ������������������ 금융앱의����������� ������������������ 보안성����������� ������������������ ����������� ������������������ q 대부분����������� ������������������ ����������� ������������������
▹ 루팅����������� ������������������ 탐지,����������� ������������������ 무결성����������� ������������������ 검증����������� ������������������ 등����������� ������������������ 보안����������� ������������������ 기능은����������� ������������������ 우회����������� ������������������ 가능����������� ������������������
▹ 난독화는����������� ������������������ 반드시����������� ������������������ 풀����������� ������������������ 필요는����������� ������������������ 없음:����������� ������������������ Dynamic/Static����������� ������������������ Analysis����������� ������������������
▹ Repackaging은����������� ������������������ 가능����������� ������������������
▹ 따라서����������� ������������������ 논리의����������� ������������������ 분석도����������� ������������������ 가능����������� ������������������
q 그러므로����������� ������������������ 대부분의����������� ������������������ threat����������� ������������������ model에����������� ������������������ 대하여����������� ������������������ 난독화되지����������� ������������������ 않은����������� ������������������ 상태에서����������� ������������������ 안전해야����������� ������������������ 함.����������� ������������������ ����������� ������������������
▹ Permanent����������� ������������������ root����������� ������������������ access의����������� ������������������ 경우는����������� ������������������ 제외����������� ������������������
13
Fintech����������� ������������������ 보안성����������� ������������������ 점검����������� ������������������ 현황����������� ������������������
A-Pay����������� ������������������ B-pay����������� ������������������ C-Pay����������� ������������������ D-Pay����������� ������������������ E-Pay����������� ������������������
Rooting����������� ������������������ O����������� ������������������ O����������� ������������������ O����������� ������������������ X����������� ������������������ O����������� ������������������
Integrity����������� ������������������ O����������� ������������������ O����������� ������������������ O����������� ������������������ X����������� ������������������ X����������� ������������������
Repackaging����������� ������������������ O����������� ������������������ O����������� ������������������ O����������� ������������������ O����������� ������������������ O����������� ������������������
취약점����������� ������������������ 분석����������� ������������������ O����������� ������������������ O����������� ������������������ O����������� ������������������ Minor����������� ������������������ O����������� ������������������
POC����������� ������������������ App����������� ������������������ O����������� ������������������ 필요����������� ������������������ 없음����������� ������������������ O����������� ������������������ 불가����������� ������������������ 필요����������� ������������������ 없음����������� ������������������
Disclosure����������� ������������������ 2015/01/04����������� ������������������ 2015/06/23����������� ������������������ 2015/06/18����������� ������������������ 2015/06/17����������� ������������������ 2015/06/23����������� ������������������
개선����������� ������������������ 완료����������� ������������������ 2015/03����������� ������������������
A-Pay����������� ������������������ 보안����������� ������������������ 솔루션����������� ������������������ ����������� ������������������
15
Rooting����������� ������������������ 검사����������� ������������������
Class����������� ������������������ ����������� ������������������ 동적����������� ������������������ 적재����������� ������������������
보안����������� ������������������ keyboard����������� ������������������ ����������� ������������������
API����������� ������������������ hiding����������� ������������������
Hash값����������� ������������������ 비교를����������� ������������������ 통한����������� ������������������ 무결성����������� ������������������ 검증����������� ������������������
Constant����������� ������������������ String����������� ������������������ encoding����������� ������������������ &����������� ������������������ String����������� ������������������ 암호화����������� ������������������
SSL����������� ������������������ &����������� ������������������ Certificate����������� ������������������ pining����������� ������������������ Class,����������� ������������������ variables����������� ������������������ renaming����������� ������������������
A-Pay����������� ������������������ 프로토콜����������� ������������������ 분석����������� ������������������
16
• Session����������� ������������������ ID����������� ������������������ • Master����������� ������������������ Key����������� ������������������ 초기화����������� ������������������
• Enc����������� ������������������ Key����������� ������������������ 로그인����������� ������������������
결제����������� ������������������
• 기기����������� ������������������ 정보����������� ������������������
Input����������� ������������������ Output����������� ������������������
• 비밀번호����������� ������������������
• 상품����������� ������������������ 정보����������� ������������������ • 카드����������� ������������������ 정보����������� ������������������
A����������� ������������������ 간편결제����������� ������������������ 취약점����������� ������������������ 분석����������� ������������������ 및����������� ������������������ 개선����������� ������������������
q Major����������� ������������������ 취약점����������� ������������������
▹ 과도한����������� ������������������ 독립성����������� ������������������ 및����������� ������������������ 인증����������� ������������������ 우회����������� ������������������ ����������� ������������������ ����������� ������������������ è����������� ������������������ 서버와����������� ������������������ 세션����������� ������������������ 인증으로����������� ������������������ 보완����������� ������������������ 완료����������� ������������������
▹ 비밀����������� ������������������ 정보의����������� ������������������ 불필요한����������� ������������������ 해쉬값����������� ������������������ è����������� ������������������ 제거����������� ������������������ ����������� ������������������
q Minor����������� ������������������ 취약점����������� ������������������ 2종����������� ������������������
17
B-Pay����������� ������������������ 보안����������� ������������������ 솔루션����������� ������������������ ����������� ������������������ q Rooting����������� ������������������ Detection����������� ������������������
▹ 자체����������� ������������������ 루팅����������� ������������������ 탐지����������� ������������������ 우회����������� ������������������
▹ 백신����������� ������������������ 리턴����������� ������������������ 값����������� ������������������ 조작����������� ������������������
q Integrity����������� ������������������ Monitoring����������� ������������������
▹ 자체����������� ������������������ 무결성����������� ������������������ 검증����������� ������������������ 우회����������� ������������������
▹ Native����������� ������������������ 라이브러리에서����������� ������������������ 사용하는����������� ������������������ 명령어����������� ������������������ 우회����������� ������������������
▹ Shell����������� ������������������ script를����������� ������������������ 통해����������� ������������������ PM����������� ������������������ 명령어����������� ������������������ 사용����������� ������������������ 시����������� ������������������ 우회����������� ������������������
18
B-pay����������� ������������������ 취약점����������� ������������������ ����������� ������������������ q 취약점����������� ������������������
▹ 각����������� ������������������ Module이����������� ������������������ 유기적����������� ������������������ 동작����������� ������������������ 없이����������� ������������������ 과도하게����������� ������������������ 독립적으로����������� ������������������ 수행됨.����������� ������������������ ����������� ������������������
▹ 전체����������� ������������������ 절차����������� ������������������ 중����������� ������������������ 특정����������� ������������������ 절차����������� ������������������ 생략����������� ������������������ 가능.����������� ������������������
q 가정:����������� ������������������ 사용자가����������� ������������������ 스마트폰을����������� ������������������ 분실����������� ������������������
q 가능한����������� ������������������ 공격����������� ������������������
▹ 새����������� ������������������ PIN����������� ������������������ 번호����������� ������������������ 설정����������� ������������������ 후����������� ������������������ 강제����������� ������������������ 종료하면����������� ������������������ 등록된����������� ������������������ 결제����������� ������������������ 수단����������� ������������������ 재사용����������� ������������������ 가능����������� ������������������
19
C-Pay����������� ������������������ 보안����������� ������������������ 솔루션����������� ������������������ ����������� ������������������ q Rooting����������� ������������������ Detection����������� ������������������
▹ 자체����������� ������������������ 루팅����������� ������������������ 탐지����������� ������������������ 우회����������� ������������������
▹ 백신����������� ������������������ 리턴����������� ������������������ 값����������� ������������������ 조작����������� ������������������
q Anti-debugging����������� ������������������ ▹ Native����������� ������������������ 라이브러리를����������� ������������������ 호출하지����������� ������������������ 않도록����������� ������������������ 수정����������� ������������������
q Integrity����������� ������������������ Monitoring����������� ������������������ ▹ 자체����������� ������������������ 무결성����������� ������������������ 검증����������� ������������������ 우회����������� ������������������
▹ Native����������� ������������������ 라이브러리����������� ������������������ 수정����������� ������������������ (루팅����������� ������������������ 필요)����������� ������������������
20
C-Pay����������� ������������������ 취약점����������� ������������������ ����������� ������������������ q 보안����������� ������������������ 솔루션에����������� ������������������ 취약점����������� ������������������ 존재����������� ������������������
▹ 현재����������� ������������������ 모든����������� ������������������ 과정이����������� ������������������ HTTP����������� ������������������ 프로토콜을����������� ������������������ 통해����������� ������������������ 동작����������� ������������������
▹ Man-in-the-middle����������� ������������������ 공격����������� ������������������ 가능����������� ������������������
q 가정����������� ������������������ :����������� ������������������ DNS����������� ������������������ 조작����������� ������������������ (악성����������� ������������������ Wi-Fi����������� ������������������ AP����������� ������������������ 등����������� ������������������ 이용)����������� ������������������
q 가능한����������� ������������������ 공격����������� ������������������ ▹ 공격자의����������� ������������������ 파일을����������� ������������������ 다운����������� ������������������ 받아����������� ������������������ 실행����������� ������������������ 가능����������� ������������������
▹ 원래����������� ������������������ 최신����������� ������������������ 버전����������� ������������������ 보다����������� ������������������ 높은����������� ������������������ 버전����������� ������������������ 정보와����������� ������������������ 악성����������� ������������������ 라이브러리����������� ������������������ 해시����������� ������������������ 값����������� ������������������ 전송����������� ������������������
▹ 라이브러리����������� ������������������ 업데이트����������� ������������������ 이후����������� ������������������ 앱에서����������� ������������������ 악성����������� ������������������ 라이브러리����������� ������������������ 자동����������� ������������������ 실행����������� ������������������
21
E-pay����������� ������������������ 보안����������� ������������������ 취약점����������� ������������������ ����������� ������������������ ����������� ������������������ q 취약점����������� ������������������
▹ 각����������� ������������������ Module이����������� ������������������ 유기적����������� ������������������ 동작����������� ������������������ 없이����������� ������������������ 과도하게����������� ������������������ 독립적으로����������� ������������������ 수행됨.����������� ������������������ ����������� ������������������
▹ Query에����������� ������������������ 대한����������� ������������������ 검증����������� ������������������ 없이����������� ������������������ 특정����������� ������������������ 명령����������� ������������������ 수행����������� ������������������ 가능.����������� ������������������
q 가능한����������� ������������������ 공격����������� ������������������
▹ 기존����������� ������������������ 비밀번호를����������� ������������������ 무시한����������� ������������������ 채,����������� ������������������ 타인의����������� ������������������ 비밀번호를����������� ������������������ 변경����������� ������������������ 가능.����������� ������������������
▹ 변경된����������� ������������������ 비밀번호를����������� ������������������ 이용해����������� ������������������ 타인의����������� ������������������ 계정으로����������� ������������������ 로그인����������� ������������������ 후����������� ������������������ 결제����������� ������������������ 가능.����������� ������������������
22
규제����������� ������������������ 없는����������� ������������������ Fintech����������� ������������������ 보안을����������� ������������������ 위한����������� ������������������ 제언����������� ������������������ q 실력있는����������� ������������������ 그리고����������� ������������������ 차별있는����������� ������������������ 취약점����������� ������������������ 분석����������� ������������������
▹ Repackaging에����������� ������������������ 실패한����������� ������������������ 취약점����������� ������������������ 분석은����������� ������������������ 실패나����������� ������������������ 다름����������� ������������������ 없음����������� ������������������
▹ 차별적����������� ������������������ pricing����������� ������������������ (많이����������� ������������������ 찾을수록����������� ������������������ 많은����������� ������������������ 보상)����������� ������������������
▹ 보안����������� ������������������ 솔루션을����������� ������������������ 적용����������� ������������������ 안한����������� ������������������ 상태의����������� ������������������ 취약점����������� ������������������ 분석����������� ������������������
q Patch����������� ������������������ 후����������� ������������������ 취약점����������� ������������������ 공개����������� ������������������
▹ 대부분의����������� ������������������ 개발����������� ������������������ 회사들이����������� ������������������ 비슷한����������� ������������������ 실수,����������� ������������������ 반복����������� ������������������ 되지����������� ������������������ 말아야����������� ������������������ 함����������� ������������������
q 카드����������� ������������������ 회사����������� ������������������ 등의����������� ������������������ 출자를����������� ������������������ 통한����������� ������������������ Bug����������� ������������������ Bounty����������� ������������������
▹ Many����������� ������������������ eyes����������� ������������������ are����������� ������������������ better����������� ������������������ than����������� ������������������ a����������� ������������������ few����������� ������������������ experts!����������� ������������������ ����������� ������������������
q 안전한����������� ������������������ 설계!����������� ������������������ 개발자����������� ������������������ 보안����������� ������������������ 교육!����������� ������������������ 취약점����������� ������������������ 점검!����������� ������������������ Incidence����������� ������������������ Response!����������� ������������������
23
Questions?����������� ������������������ q Yongdae����������� ������������������ Kim����������� ������������������
▹ email: [email protected]
▹ Home: http://syssec.kaist.ac.kr/~yongdaek
▹ Facebook: https://www.facebook.com/y0ngdaek
▹ Twitter: https://twitter.com/yongdaek
▹ Google “Yongdae Kim”
q 몇몇����������� ������������������ 참고문헌 ▹ 한국����������� ������������������ 핀테크의����������� ������������������ 줄기를����������� ������������������ 찾아서,����������� ������������������ 마이크로소프트웨어,����������� ������������������ 2015.����������� ������������������ 3����������� ������������������
▹ 핀테크(Fintech)가����������� ������������������ 정보보호산업에����������� ������������������ 미치는����������� ������������������ 영향에����������� ������������������ 대한����������� ������������������ 고찰,����������� ������������������ 한국인터넷진흥원,����������� ������������������ 2015.����������� ������������������ 2.����������� ������������������
24