Yongdae����������� ������������������  Kim����������� ������������������  

한국과학기술원����������� ������������������  ����������� ������������������  

*����������� ������������������  All����������� ������������������  of����������� ������������������  the����������� ������������������  vulnerabilities����������� ������������������  were����������� ������������������  responsibly����������� ������������������  disclosed����������� ������������������  in����������� ������������������  advance����������� ������������������  

규제����������� ������������������  없는����������� ������������������  Fintech����������� ������������������  보안����������� ������������������  ����������� ������������������  -����������� ������������������  건전하고����������� ������������������  안전한����������� ������������������  Fintech의����������� ������������������  성장을����������� ������������������  위하여����������� ������������������  ����������� ������������������  

들어가기����������� ������������������  q 엄청난����������� ������������������  이전투구����������� ������������������  하에����������� ������������������  있는����������� ������������������  현재����������� ������������������  Fintech����������� ������������������  시장����������� ������������������  

q 취약점이����������� ������������������  공개될����������� ������������������  경우����������� ������������������  

▹  Fintech����������� ������������������  시장����������� ������������������  위축����������� ������������������  우려����������� ������������������  

▹  시장����������� ������������������  형성에����������� ������������������  부정적����������� ������������������  영향을����������� ������������������  줄����������� ������������������  수����������� ������������������  있음����������� ������������������  

q 그럼에도����������� ������������������  불구하고����������� ������������������  몇����������� ������������������  가지����������� ������������������  사례에����������� ������������������  대하여����������� ������������������  분석����������� ������������������  개요����������� ������������������  발표����������� ������������������  

▹  다양한����������� ������������������  측면에서����������� ������������������  Market을����������� ������������������  lead하고����������� ������������������  있는����������� ������������������  제품들����������� ������������������  

▹  이미����������� ������������������  취약점이����������� ������������������  나온����������� ������������������  제품도����������� ������������������  있고,����������� ������������������  …⋯����������� ������������������  ����������� ������������������  

▹  Responsible����������� ������������������  disclosure����������� ������������������  후����������� ������������������  추후����������� ������������������  공개할����������� ������������������  예정����������� ������������������  ����������� ������������������  

1  

발표����������� ������������������  범위����������� ������������������  

Fintech����������� ������������������  =����������� ������������������  Financial����������� ������������������  +����������� ������������������  Technology����������� ������������������  q Main����������� ������������������  Players����������� ������������������  

▹  전통적인����������� ������������������  금융����������� ������������������  기업의����������� ������������������  새로운����������� ������������������  IT����������� ������������������  기술의����������� ������������������  도입����������� ������������������  

▹  ICT����������� ������������������  기업,����������� ������������������  플랫폼����������� ������������������  기업,����������� ������������������  보안업체����������� ������������������  등의����������� ������������������  금융����������� ������������������  서비스����������� ������������������  진출����������� ������������������  

q 주요����������� ������������������  서비스:����������� ������������������  송금,����������� ������������������  결제,����������� ������������������  자산관리,����������� ������������������  투자,����������� ������������������  보안����������� ������������������  및����������� ������������������  데이터����������� ������������������  분석����������� ������������������  

q 구현:����������� ������������������  다양한����������� ������������������  서버,����������� ������������������  플랫폼����������� ������������������  기술,����������� ������������������  다양한����������� ������������������  Client����������� ������������������  (주로����������� ������������������  Mobile)����������� ������������������  ����������� ������������������  

안드로이드����������� ������������������  기반의����������� ������������������  광범위한����������� ������������������  서비스����������� ������������������  2  

엄청나게����������� ������������������  많은����������� ������������������  Fintech����������� ������������������  

3  

자율����������� ������������������  규제����������� ������������������  시대의����������� ������������������  시작����������� ������������������  ����������� ������������������  q 신규����������� ������������������  전자금융거래에����������� ������������������  대한����������� ������������������  보안성����������� ������������������  심의����������� ������������������  전면폐지����������� ������������������  

q 금융회사����������� ������������������  자체의����������� ������������������  취약점����������� ������������������  분석����������� ������������������  내실화����������� ������������������  유도����������� ������������������  ����������� ������������������  

q 계좌이체����������� ������������������  등����������� ������������������  전자금융거래서����������� ������������������  공인인증서����������� ������������������  사용의무����������� ������������������  폐지����������� ������������������  

q 은행,����������� ������������������  증권사����������� ������������������  금융거래시����������� ������������������  액티브-X����������� ������������������  제거����������� ������������������  유도����������� ������������������  

q 금융권����������� ������������������  FDS����������� ������������������  구축����������� ������������������  및����������� ������������������  고도화����������� ������������������  추진����������� ������������������  

q 시장����������� ������������������  자율적인����������� ������������������  금융보안����������� ������������������  인증체계����������� ������������������  도입����������� ������������������  

▹  Fintech����������� ������������������  업체들의����������� ������������������  PCI-DSS����������� ������������������  등����������� ������������������  보안����������� ������������������  인증����������� ������������������  획득����������� ������������������  유도����������� ������������������  ����������� ������������������  

4  

공인����������� ������������������  인증서����������� ������������������  취약점����������� ������������������  q NPKI����������� ������������������  디렉토리에����������� ������������������  Epassword(SKA)����������� ������������������  저장����������� ������������������  

▹  Windows/Android����������� ������������������  rooting����������� ������������������  시����������� ������������������  보안성은����������� ������������������  Password의����������� ������������������  강도에����������� ������������������  의존����������� ������������������  

q 안전하지����������� ������������������  않은����������� ������������������  운영체제����������� ������������������  ▹  Windows,����������� ������������������  Android,����������� ������������������  …⋯����������� ������������������  

q ActiveX/Plug-in����������� ������������������  문제점����������� ������������������  ▹  N개의����������� ������������������  싸이트는����������� ������������������  N개의����������� ������������������  다른����������� ������������������  구현����������� ������������������  ����������� ������������������  ▹  N개����������� ������������������  중����������� ������������������  1개만����������� ������������������  취약점이����������� ������������������  존재할����������� ������������������  경우����������� ������������������  Epassword(SKA)����������� ������������������  노출����������� ������������������  

q 보안����������� ������������������  3종����������� ������������������  세트:����������� ������������������  N개의����������� ������������������  싸이트에����������� ������������������  3*N개의����������� ������������������  소프트웨어����������� ������������������  추가����������� ������������������  설치����������� ������������������  ▹  키보드해킹방지����������� ������������������  플러그인,����������� ������������������  개인방화벽,����������� ������������������  바이러스스캔����������� ������������������  ▹  사용자에게����������� ������������������  “확인”����������� ������������������  버튼을����������� ������������������  누르는����������� ������������������  가속성����������� ������������������  ▹  대부분����������� ������������������  우회����������� ������������������  가능����������� ������������������  ����������� ������������������  

5  

HAC����������� ������������������  Section����������� ������������������  13.8����������� ������������������  Page����������� ������������������  583����������� ������������������  “The����������� ������������������  private����������� ������������������  keys����������� ������������������  may����������� ������������������  be����������� ������������������  stored����������� ������������������  in����������� ������������������  tamper-resistant����������� ������������������  hardware,����������� ������������������  ����������� ������������������  and����������� ������������������  by����������� ������������������  system����������� ������������������  design����������� ������������������  never����������� ������������������  available����������� ������������������  outside����������� ������������������  thereof.”����������� ������������������  

규제와����������� ������������������  Fintech����������� ������������������  q 대부분의����������� ������������������  규제에는����������� ������������������  Scope����������� ������������������  존재����������� ������������������  

q 그러나����������� ������������������  전체����������� ������������������  Echo����������� ������������������  System에����������� ������������������  대한����������� ������������������  보안이����������� ������������������  필요����������� ������������������  ����������� ������������������  

q 이통3사����������� ������������������  USIM����������� ������������������  공인인증서����������� ������������������  

▹  USIM에����������� ������������������  비밀키를����������� ������������������  안전하게����������� ������������������  저장����������� ������������������  

▹  USIM:����������� ������������������  한국인터넷진흥원이����������� ������������������  검증한����������� ������������������  보안����������� ������������������  1등급����������� ������������������  매체����������� ������������������  

▹  전자신문.����������� ������������������  2014.����������� ������������������  7.����������� ������������������  20.����������� ������������������  공인인증서����������� ������������������  유심����������� ������������������  서비스����������� ������������������  ‘보안성’����������� ������������������  논란����������� ������������������  

6  

USIM����������� ������������������  공인����������� ������������������  인증서����������� ������������������  취약점����������� ������������������  ����������� ������������������  

7  

SIM����������� ������������������  

Relay����������� ������������������  

PC����������� ������������������   Phone����������� ������������������  

Push����������� ������������������  Bank����������� ������������������  

SSL����������� ������������������  SSL����������� ������������������  

Memory����������� ������������������  hacking����������� ������������������  

Improper����������� ������������������  logcat����������� ������������������  

messages����������� ������������������  

SIM����������� ������������������  APDU����������� ������������������  with����������� ������������������  

plaintext����������� ������������������  

Typical����������� ������������������  금융앱들의����������� ������������������  Threat����������� ������������������  Model����������� ������������������  q Attacker����������� ������������������  has����������� ������������������  permanent����������� ������������������  root����������� ������������������  access����������� ������������������  q Attacker����������� ������������������  has����������� ������������������  one����������� ������������������  time����������� ������������������  root����������� ������������������  access����������� ������������������  q Attacker����������� ������������������  obtains����������� ������������������  a����������� ������������������  file����������� ������������������  associated����������� ������������������  with����������� ������������������  the����������� ������������������  app����������� ������������������  q Attacker����������� ������������������  obtains����������� ������������������  a����������� ������������������  lost����������� ������������������  smartphone����������� ������������������  q Attacker����������� ������������������  can����������� ������������������  install����������� ������������������  a����������� ������������������  malicious����������� ������������������  app����������� ������������������  on����������� ������������������  the����������� ������������������  phone����������� ������������������  

▹  With����������� ������������������  different����������� ������������������  permission����������� ������������������  (e.g.����������� ������������������  SMS,����������� ������������������  Internet,����������� ������������������  …⋯)����������� ������������������  

q Attacker����������� ������������������  can����������� ������������������  enable����������� ������������������  and����������� ������������������  have����������� ������������������  access����������� ������������������  to����������� ������������������  adb����������� ������������������  q Or����������� ������������������  their����������� ������������������  combination����������� ������������������  q Or����������� ������������������  none����������� ������������������  of����������� ������������������  the����������� ������������������  above����������� ������������������  

How����������� ������������������  secure����������� ������������������  is����������� ������������������  your����������� ������������������  app����������� ������������������  under����������� ������������������  these?����������� ������������������  8  

Typical����������� ������������������  금융앱들의����������� ������������������  보안����������� ������������������  기능����������� ������������������  q Rooting����������� ������������������  Detection:����������� ������������������  File,����������� ������������������  Process,����������� ������������������  Package,����������� ������������������  using����������� ������������������  

Native����������� ������������������  or����������� ������������������  3rd����������� ������������������  party����������� ������������������  App����������� ������������������  Solution����������� ������������������  

q Integrity����������� ������������������  monitoring:����������� ������������������  Native,����������� ������������������  3rd����������� ������������������  party����������� ������������������  App����������� ������������������  

q Keyboard����������� ������������������  보안����������� ������������������  ����������� ������������������  

q 난독화:����������� ������������������  String,����������� ������������������  Variable,����������� ������������������  Function,����������� ������������������  Class,����������� ������������������  …⋯����������� ������������������  ����������� ������������������  

q 악성����������� ������������������  앱����������� ������������������  탐지:����������� ������������������  AV����������� ������������������  

q 암호화:����������� ������������������  https,����������� ������������������  shttp,����������� ������������������  파일����������� ������������������  암호화,����������� ������������������  …⋯����������� ������������������  

q …⋯����������� ������������������  

9  

회사명����������� ������������������   ����������� ������������������  애플리케이션명����������� ������������������   난독화����������� ������������������   루팅����������� ������������������  체크����������� ������������������  

다음카카오����������� ������������������   카카오����������� ������������������  페이����������� ������������������   O����������� ������������������   O����������� ������������������  

뱅크월렛����������� ������������������  카카오����������� ������������������   O����������� ������������������  (프로가드+btworks-codeguard)����������� ������������������   O����������� ������������������  

증권플러스����������� ������������������  for����������� ������������������  kakao����������� ������������������   O����������� ������������������  (프로가드)����������� ������������������   O����������� ������������������  

NHN����������� ������������������   라인페이����������� ������������������   O����������� ������������������  (프로가드)����������� ������������������   X����������� ������������������  

비바����������� ������������������  리퍼블리카����������� ������������������   토스����������� ������������������   O����������� ������������������  (Arxan)����������� ������������������   O����������� ������������������  

삼성����������� ������������������   삼성월렛����������� ������������������   O����������� ������������������  (프로가드+droidx3+adbcheck)����������� ������������������   O����������� ������������������  

삼성m포켓����������� ������������������  전자지갑����������� ������������������   O����������� ������������������   O����������� ������������������  

KT����������� ������������������   모카월렛����������� ������������������   O����������� ������������������  (프로가드)����������� ������������������   O����������� ������������������  

모카페이����������� ������������������  (UB페이)����������� ������������������   X����������� ������������������   O����������� ������������������  

페이온����������� ������������������  플러스����������� ������������������  (NFC)����������� ������������������   O����������� ������������������   O����������� ������������������  

탭사인����������� ������������������   O����������� ������������������  (프로가드+com.touchEN.mVaccine+bitdefender백신)����������� ������������������   O����������� ������������������  

LG����������� ������������������  U+����������� ������������������   paynow+����������� ������������������   O����������� ������������������  (앱아이언)����������� ������������������   O����������� ������������������  

u+스마트월렛����������� ������������������   O����������� ������������������  (앱아이언)����������� ������������������   X����������� ������������������  

LG����������� ������������������  CNS����������� ������������������   Mpay����������� ������������������   O����������� ������������������  (프로가드)����������� ������������������   O����������� ������������������  

KG����������� ������������������  Inicis����������� ������������������   INIpay����������� ������������������   O����������� ������������������  (프로가드)����������� ������������������   O����������� ������������������  

Kpay����������� ������������������   O����������� ������������������  (appdefence+vguard)����������� ������������������   O����������� ������������������  

KG����������� ������������������  Mobilence����������� ������������������   엠틱����������� ������������������   X����������� ������������������   X����������� ������������������  

KCP����������� ������������������   페이코����������� ������������������  (퀵페이)����������� ������������������   O����������� ������������������  (decompile����������� ������������������  x)����������� ������������������  +����������� ������������������  v3����������� ������������������  mobile����������� ������������������  plus����������� ������������������   X����������� ������������������  

페이온����������� ������������������  (NFC)����������� ������������������   X����������� ������������������   X����������� ������������������  

VP����������� ������������������   일반결제����������� ������������������  (ISP)����������� ������������������   O����������� ������������������  (프로가드����������� ������������������  +����������� ������������������  NSHC-백신)����������� ������������������   O����������� ������������������  

SK����������� ������������������  Planet����������� ������������������   페이핀����������� ������������������   O����������� ������������������  (NSHC-AppProtect+V3mobile)����������� ������������������   O����������� ������������������  

시럽����������� ������������������   O����������� ������������������  (프로가드+암호화����������� ������������������  모듈)����������� ������������������   X����������� ������������������  

Danal����������� ������������������   바통����������� ������������������   O(프로가드+v3����������� ������������������  keypad����������� ������������������  solution)����������� ������������������   O����������� ������������������  

Security����������� ������������������  Theater����������� ������������������  q Security����������� ������������������  theater����������� ������������������  is����������� ������������������  the����������� ������������������  practice����������� ������������������  of����������� ������������������  ����������� ������������������  

▹  investing����������� ������������������  in����������� ������������������  countermeasures����������� ������������������  intended����������� ������������������  to����������� ������������������  provide����������� ������������������  the����������� ������������������  feeling����������� ������������������  of����������� ������������������  improved����������� ������������������  security����������� ������������������  

▹  while����������� ������������������  doing����������� ������������������  little����������� ������������������  or����������� ������������������  nothing����������� ������������������  to����������� ������������������  actually����������� ������������������  achieve����������� ������������������  it����������� ������������������  

11  

Fintech����������� ������������������  App����������� ������������������  Analysis����������� ������������������  Method����������� ������������������  

12����������� ������������������  

일반폰����������� ������������������  App분석이����������� ������������������  어려움����������� ������������������  -����������� ������������������  ADB에서����������� ������������������  데이터����������� ������������������  추출����������� ������������������  -����������� ������������������  분석����������� ������������������  툴����������� ������������������  삽입����������� ������������������  

루팅폰����������� ������������������  

Rooting����������� ������������������  

앱설치����������� ������������������  

“Rooting이����������� ������������������  감지됨”����������� ������������������  

추출����������� ������������������  BakSmali����������� ������������������  

Smali/Sign����������� ������������������  

Rooting/Integrity/Analysis����������� ������������������  Patch����������� ������������������  MITM����������� ������������������  Dynamic����������� ������������������  Analysis����������� ������������������  Static����������� ������������������  Analysis����������� ������������������  

Final����������� ������������������  App����������� ������������������  

Typical����������� ������������������  금융앱의����������� ������������������  보안성����������� ������������������  ����������� ������������������  q 대부분����������� ������������������  ����������� ������������������  

▹  루팅����������� ������������������  탐지,����������� ������������������  무결성����������� ������������������  검증����������� ������������������  등����������� ������������������  보안����������� ������������������  기능은����������� ������������������  우회����������� ������������������  가능����������� ������������������  

▹  난독화는����������� ������������������  반드시����������� ������������������  풀����������� ������������������  필요는����������� ������������������  없음:����������� ������������������  Dynamic/Static����������� ������������������  Analysis����������� ������������������  

▹  Repackaging은����������� ������������������  가능����������� ������������������  

▹  따라서����������� ������������������  논리의����������� ������������������  분석도����������� ������������������  가능����������� ������������������  

q 그러므로����������� ������������������  대부분의����������� ������������������  threat����������� ������������������  model에����������� ������������������  대하여����������� ������������������  난독화되지����������� ������������������  않은����������� ������������������  상태에서����������� ������������������  안전해야����������� ������������������  함.����������� ������������������  ����������� ������������������  

▹  Permanent����������� ������������������  root����������� ������������������  access의����������� ������������������  경우는����������� ������������������  제외����������� ������������������  

13  

Fintech����������� ������������������  보안성����������� ������������������  점검����������� ������������������  현황����������� ������������������  

A-Pay����������� ������������������   B-pay����������� ������������������   C-Pay����������� ������������������   D-Pay����������� ������������������   E-Pay����������� ������������������  

Rooting����������� ������������������   O����������� ������������������   O����������� ������������������   O����������� ������������������   X����������� ������������������   O����������� ������������������  

Integrity����������� ������������������   O����������� ������������������   O����������� ������������������   O����������� ������������������   X����������� ������������������   X����������� ������������������  

Repackaging����������� ������������������   O����������� ������������������   O����������� ������������������   O����������� ������������������   O����������� ������������������   O����������� ������������������  

취약점����������� ������������������  분석����������� ������������������   O����������� ������������������   O����������� ������������������   O����������� ������������������   Minor����������� ������������������   O����������� ������������������  

POC����������� ������������������  App����������� ������������������   O����������� ������������������   필요����������� ������������������  없음����������� ������������������   O����������� ������������������   불가����������� ������������������   필요����������� ������������������  없음����������� ������������������  

Disclosure����������� ������������������   2015/01/04����������� ������������������   2015/06/23����������� ������������������   2015/06/18����������� ������������������   2015/06/17����������� ������������������   2015/06/23����������� ������������������  

개선����������� ������������������  완료����������� ������������������   2015/03����������� ������������������  

A-Pay����������� ������������������  보안����������� ������������������  솔루션����������� ������������������  ����������� ������������������  

15  

Rooting����������� ������������������  검사����������� ������������������  

Class����������� ������������������  ����������� ������������������  동적����������� ������������������  적재����������� ������������������  

보안����������� ������������������  keyboard����������� ������������������  ����������� ������������������  

API����������� ������������������  hiding����������� ������������������  

Hash값����������� ������������������  비교를����������� ������������������  통한����������� ������������������  무결성����������� ������������������  검증����������� ������������������  

Constant����������� ������������������  String����������� ������������������  encoding����������� ������������������  &����������� ������������������  String����������� ������������������  암호화����������� ������������������  

SSL����������� ������������������  &����������� ������������������  Certificate����������� ������������������  pining����������� ������������������   Class,����������� ������������������  variables����������� ������������������  renaming����������� ������������������  

A-Pay����������� ������������������  프로토콜����������� ������������������  분석����������� ������������������  

16  

• Session����������� ������������������  ID����������� ������������������  • Master����������� ������������������  Key����������� ������������������  초기화����������� ������������������  

• Enc����������� ������������������  Key����������� ������������������  로그인����������� ������������������  

결제����������� ������������������  

• 기기����������� ������������������  정보����������� ������������������  

Input����������� ������������������   Output����������� ������������������  

• 비밀번호����������� ������������������  

• 상품����������� ������������������  정보����������� ������������������  • 카드����������� ������������������  정보����������� ������������������  

A����������� ������������������  간편결제����������� ������������������  취약점����������� ������������������  분석����������� ������������������  및����������� ������������������  개선����������� ������������������  

q Major����������� ������������������  취약점����������� ������������������  

▹  과도한����������� ������������������  독립성����������� ������������������  및����������� ������������������  인증����������� ������������������  우회����������� ������������������  ����������� ������������������  ����������� ������������������  è����������� ������������������  서버와����������� ������������������  세션����������� ������������������  인증으로����������� ������������������  보완����������� ������������������  완료����������� ������������������  

▹  비밀����������� ������������������  정보의����������� ������������������  불필요한����������� ������������������  해쉬값����������� ������������������  è����������� ������������������  제거����������� ������������������  ����������� ������������������  

q Minor����������� ������������������  취약점����������� ������������������  2종����������� ������������������  

17  

B-Pay����������� ������������������  보안����������� ������������������  솔루션����������� ������������������  ����������� ������������������  q Rooting����������� ������������������  Detection����������� ������������������  

▹  자체����������� ������������������  루팅����������� ������������������  탐지����������� ������������������  우회����������� ������������������  

▹  백신����������� ������������������  리턴����������� ������������������  값����������� ������������������  조작����������� ������������������  

q Integrity����������� ������������������  Monitoring����������� ������������������  

▹  자체����������� ������������������  무결성����������� ������������������  검증����������� ������������������  우회����������� ������������������  

▹  Native����������� ������������������  라이브러리에서����������� ������������������  사용하는����������� ������������������  명령어����������� ������������������  우회����������� ������������������  

▹  Shell����������� ������������������  script를����������� ������������������  통해����������� ������������������  PM����������� ������������������  명령어����������� ������������������  사용����������� ������������������  시����������� ������������������  우회����������� ������������������  

18  

B-pay����������� ������������������  취약점����������� ������������������  ����������� ������������������  q 취약점����������� ������������������  

▹  각����������� ������������������  Module이����������� ������������������  유기적����������� ������������������  동작����������� ������������������  없이����������� ������������������  과도하게����������� ������������������  독립적으로����������� ������������������  수행됨.����������� ������������������  ����������� ������������������  

▹  전체����������� ������������������  절차����������� ������������������  중����������� ������������������  특정����������� ������������������  절차����������� ������������������  생략����������� ������������������  가능.����������� ������������������  

q 가정:����������� ������������������  사용자가����������� ������������������  스마트폰을����������� ������������������  분실����������� ������������������  

q 가능한����������� ������������������  공격����������� ������������������  

▹  새����������� ������������������  PIN����������� ������������������  번호����������� ������������������  설정����������� ������������������  후����������� ������������������  강제����������� ������������������  종료하면����������� ������������������  등록된����������� ������������������  결제����������� ������������������  수단����������� ������������������  재사용����������� ������������������  가능����������� ������������������  

19  

C-Pay����������� ������������������  보안����������� ������������������  솔루션����������� ������������������  ����������� ������������������  q Rooting����������� ������������������  Detection����������� ������������������  

▹  자체����������� ������������������  루팅����������� ������������������  탐지����������� ������������������  우회����������� ������������������  

▹  백신����������� ������������������  리턴����������� ������������������  값����������� ������������������  조작����������� ������������������  

q Anti-debugging����������� ������������������  ▹  Native����������� ������������������  라이브러리를����������� ������������������  호출하지����������� ������������������  않도록����������� ������������������  수정����������� ������������������  

q  Integrity����������� ������������������  Monitoring����������� ������������������  ▹  자체����������� ������������������  무결성����������� ������������������  검증����������� ������������������  우회����������� ������������������  

▹  Native����������� ������������������  라이브러리����������� ������������������  수정����������� ������������������  (루팅����������� ������������������  필요)����������� ������������������  

20  

C-Pay����������� ������������������  취약점����������� ������������������  ����������� ������������������  q 보안����������� ������������������  솔루션에����������� ������������������  취약점����������� ������������������  존재����������� ������������������  

▹  현재����������� ������������������  모든����������� ������������������  과정이����������� ������������������  HTTP����������� ������������������  프로토콜을����������� ������������������  통해����������� ������������������  동작����������� ������������������  

▹  Man-in-the-middle����������� ������������������  공격����������� ������������������  가능����������� ������������������  

q 가정����������� ������������������  :����������� ������������������  DNS����������� ������������������  조작����������� ������������������  (악성����������� ������������������  Wi-Fi����������� ������������������  AP����������� ������������������  등����������� ������������������  이용)����������� ������������������  

q 가능한����������� ������������������  공격����������� ������������������  ▹  공격자의����������� ������������������  파일을����������� ������������������  다운����������� ������������������  받아����������� ������������������  실행����������� ������������������  가능����������� ������������������  

▹  원래����������� ������������������  최신����������� ������������������  버전����������� ������������������  보다����������� ������������������  높은����������� ������������������  버전����������� ������������������  정보와����������� ������������������  악성����������� ������������������  라이브러리����������� ������������������  해시����������� ������������������  값����������� ������������������  전송����������� ������������������  

▹  라이브러리����������� ������������������  업데이트����������� ������������������  이후����������� ������������������  앱에서����������� ������������������  악성����������� ������������������  라이브러리����������� ������������������  자동����������� ������������������  실행����������� ������������������  

21  

E-pay����������� ������������������  보안����������� ������������������  취약점����������� ������������������  ����������� ������������������  ����������� ������������������  q 취약점����������� ������������������  

▹  각����������� ������������������  Module이����������� ������������������  유기적����������� ������������������  동작����������� ������������������  없이����������� ������������������  과도하게����������� ������������������  독립적으로����������� ������������������  수행됨.����������� ������������������  ����������� ������������������  

▹  Query에����������� ������������������  대한����������� ������������������  검증����������� ������������������  없이����������� ������������������  특정����������� ������������������  명령����������� ������������������  수행����������� ������������������  가능.����������� ������������������  

q 가능한����������� ������������������  공격����������� ������������������  

▹  기존����������� ������������������  비밀번호를����������� ������������������  무시한����������� ������������������  채,����������� ������������������  타인의����������� ������������������  비밀번호를����������� ������������������  변경����������� ������������������  가능.����������� ������������������  

▹  변경된����������� ������������������  비밀번호를����������� ������������������  이용해����������� ������������������  타인의����������� ������������������  계정으로����������� ������������������  로그인����������� ������������������  후����������� ������������������  결제����������� ������������������  가능.����������� ������������������  

22  

규제����������� ������������������  없는����������� ������������������  Fintech����������� ������������������  보안을����������� ������������������  위한����������� ������������������  제언����������� ������������������  q 실력있는����������� ������������������  그리고����������� ������������������  차별있는����������� ������������������  취약점����������� ������������������  분석����������� ������������������  

▹  Repackaging에����������� ������������������  실패한����������� ������������������  취약점����������� ������������������  분석은����������� ������������������  실패나����������� ������������������  다름����������� ������������������  없음����������� ������������������  

▹  차별적����������� ������������������  pricing����������� ������������������  (많이����������� ������������������  찾을수록����������� ������������������  많은����������� ������������������  보상)����������� ������������������  

▹  보안����������� ������������������  솔루션을����������� ������������������  적용����������� ������������������  안한����������� ������������������  상태의����������� ������������������  취약점����������� ������������������  분석����������� ������������������  

q  Patch����������� ������������������  후����������� ������������������  취약점����������� ������������������  공개����������� ������������������  

▹  대부분의����������� ������������������  개발����������� ������������������  회사들이����������� ������������������  비슷한����������� ������������������  실수,����������� ������������������  반복����������� ������������������  되지����������� ������������������  말아야����������� ������������������  함����������� ������������������  

q 카드����������� ������������������  회사����������� ������������������  등의����������� ������������������  출자를����������� ������������������  통한����������� ������������������  Bug����������� ������������������  Bounty����������� ������������������  

▹  Many����������� ������������������  eyes����������� ������������������  are����������� ������������������  better����������� ������������������  than����������� ������������������  a����������� ������������������  few����������� ������������������  experts!����������� ������������������  ����������� ������������������  

q 안전한����������� ������������������  설계!����������� ������������������  개발자����������� ������������������  보안����������� ������������������  교육!����������� ������������������  취약점����������� ������������������  점검!����������� ������������������  Incidence����������� ������������������  Response!����������� ������������������  

23  

Questions?����������� ������������������  q Yongdae����������� ������������������  Kim����������� ������������������  

▹  email: yongdaek@kaist.ac.kr

▹  Home: http://syssec.kaist.ac.kr/~yongdaek

▹  Facebook: https://www.facebook.com/y0ngdaek

▹  Twitter: https://twitter.com/yongdaek

▹  Google “Yongdae Kim”

q  몇몇����������� ������������������  참고문헌 ▹  한국����������� ������������������  핀테크의����������� ������������������  줄기를����������� ������������������  찾아서,����������� ������������������  마이크로소프트웨어,����������� ������������������  2015.����������� ������������������  3����������� ������������������  

▹  핀테크(Fintech)가����������� ������������������  정보보호산업에����������� ������������������  미치는����������� ������������������  영향에����������� ������������������  대한����������� ������������������  고찰,����������� ������������������  한국인터넷진흥원,����������� ������������������  2015.����������� ������������������  2.����������� ������������������  

24