Embed Size (px)
Citation preview
Smart-phone Security 대응 전략
발표자: 이기혁
스마트폰 보안위협 대응전략 워크샵
I. 스마트폰이 가져온 변화
II. 스마트폰 보안위협
III. 모바일 보안 서비스
IV. 모바일 보안 생태계
V. 결론
【 목차 】
2
Ⅰ. 서비스 개요1. 스마트폰이 가져온 변화 – 통신 기술 및 서비스
스마트폰의 등장은 피처폰 기술 환경의 변화와 서비스 제공 환경의 변화를 가져 옴
•오픈 마켓
•컨버전스 서비스
•모바일 망 개방
•복합 단말 등장
ü 단말기 및 네트워크 발전으로 복합 상품의 등장 (FMC#1 , FMS#2)
ü 타 기간통신사업자와 CP/ISP/포탈에게 개방 가속화로 양질의 다양한 컨텐츠 공급 가능
ü 다양한 모바일 어플리케이션을 자유롭게 공유할 수 있는 온라인공간 제공
•오픈 플랫폼 제공 ü WIPI 의무화 해제 및 오픈 플랫폼 적용 확대
ü PC와 대등한 수준의 기능과 성능을 갖는 모바일 복합 단말 등장
•멀티접속 환경 제공 ü 3G, Wi-Fi, Bluetooth, ActiveSync 등 다양한 인터페이스 지원으로외부 기기와 인터넷의 접속 편리성 제공
단말기술환경
서비스제공
환경
• FMC#1(Fixed Mobile Convergence) :유무선 통합 서비스로 휴대전화 단말에서 3G 이동통신과 Wi-Fi 인터넷 통신이 가능한 서비스
• FMS#2(Fixed Mobile Substitution): 통화할인 지역으로 미리 설정된 지역에서 통화요금을 할인 받는 서비스
3
Ⅰ. 서비스 개요1. 스마트폰이 가져온 변화 – 서비스 제공 관계
스마트폰의 등장은 피처폰 서비스 변화를 주도하였을 뿐 아니라 기존 모바일 서비스의 폐쇄적 환경을
개방형으로 변화시켜 수평적 관계의 모바일 생태계를 만드는 핵심 원동력이 되었음
[수평 관계의 모바일 생태계]
모바일 생태계 (Mobile ecosystem): 기업과 기업 간 혹은 기업과 개인 간 서로 자유롭고 지속적인 발전으로 상생하는 수평 관계의 커뮤니티
Consumers
Products & services
Contents providers
Internet service
providers
Mobile network
operators
Applications developers
Softwareproviders
Network & infrastructure
providers
Device manufactures
Platform providers
4
1. 스마트폰이 가져온 변화 – 비즈니스관점: 오픈마켓
애플의 App-Store 성공 이후 지속적인 Open-market 활성화로 정보 공유와 여러 사업 주체들간의 자발적인
참여를 유도하는 수평적 관계의 모바일 생태계가 형성 됨
[참여와 공유를 자연스럽게 유도하는 관계 형성으로 고객이 원하는 서비스 제공]
§ 스마트폰의 확산은 App-Store 라는 새로운 Open-market 비즈니스 모델과 맞물려 시너지 효과 발생
§ 다양한 모바일 컨텐츠와 응용프로그램이 자유롭게 거래되는 온라인 장터 형성
§ 개발과 수익 창출 영역을 외부 업체와 수평적으로 개방한 전형적인 웹 2.0 페러다임 (참여와 공유)
§ 구글, MS, 노키아, 심비안 등의 외국 업체와 국내업체도 자체 App-Store 서비스 제공 및 활성화에 노력하고 있음
고객 유치스마트폰 판매
증가앱스토어
다운로드 증가
앱스토어활성화
어플리케이션개발자 증가
어플리케이션증가
고객
5
WAC (Wholesale Application
Community)
1. 스마트폰이 가져온 변화 – 비즈니스관점: 오픈마켓
애플의 Open-market 이후 단일 플랫폼 위주의 Open-market 시장이 활발히 출현하였고, 최근에는 이통사와
제조사 등이 연합 한 형태의 모바일 생태계로 발전하고 있음
해외
세계 휴대전화 사업자와 제조사 등 24
개사가 참여하여 어플리케이션을 단
일 플랫폼에 제공하기 위한
국제 공동 커뮤니티
✦ 2008년 7월 App Store 런칭
✦ 2009년 다운로드 10억회 돌파
✦ 오픈마켓의 성공적인 모델
✦ 2008년 10월 Android Market 런칭
✦ 개발자 중심의 개방형 컨텐츠 유통 시스템 제공
✦ Google 어플리케이션 서비스 지원
✦ 2009년 OVI Market 런칭
✦ 전세계 휴대폰 판매 1위
✦ 심비안 OS 오픈소스화
✦ 유무선 윈도우 플랫폼 확대
✦ 유무선 연동 개발 용이
구글안드로이드 마켓
애플앱스토어
노키아오비스토어
MS 윈도우마켓플레이스
✦ 2009년 2월 런칭
✦ 윈도우 모바일, 심비안, 자바 어플리케이션 제공
삼성 모바일어플리케이션
✦ 개발자 사이트 오픈LG 모바일
개발자 네트워크
✦ 2009년 런칭, SK 표준플랫폼 적용
✦ 다양한 OS 수용SKT T-Store
KT ✦ 어플리케이션 오픈마켓 준비 중
국내
6
Ⅰ. 서비스 개요
▣PC기반의 업무에서 스마트폰으로 확대되어
장소에 제한 없이 업무 진행 가능
업무 범위의 확대ü
▣회사 기밀정보 및 중요 정보를 안전하게
제공하기 위한 모바일 오피스 보안 서비스
제공 필요
▣기존 인트라넷 서비스와 안전한 결합
▣다양한 위협에 대응하기 위한 지속적인 대응
필요
보안을 고려해야 할 범위가 확대 됨ü
1. 스마트폰이 가져온 변화 – 비즈니스관점: 모바일 오피스
모바일 오피스 구성 서비스 특징
업무의 편리성과 효율을 높이기 위해 기존 PC기반의 업무를 스마트폰으로 확대하는 시도가 활발히 발생하고
있음 (스마트폰이 개인에서 기업 업무문화로 활성화)
본사 외부
G/W
IP Phone
WiFi zone
외부외부고객고객
유선망
무선망
3G3G접속접속
지사
VPN/ 전용회선
유선인터넷
WiWi--FiFi접속접속
Legacy System
MS Exchange
Portal System
DRM
SSO
SFA
Messenger
Mobile Gateway
IP-PBX
IP Phone
WiFi zone
서비스 제공영역의 확장ü
▣기존 IT인프라개발에 스마트폰 고려 필수
▣기존 IT인프라의 활용 극대화
7
2. 스마트폰 보안 위협 – 배경
PC 수준의 성능과 기능을 보유한 반면 스마트폰은 급격한 판매 증가로 보안이 충분히 고려 되지 않아
보안위협에 노출되어 있으므로 체계적인 전략으로 스마트폰 위협에 대응하여야 함
[스마트폰 보안 시장 성장 변화] [Legacy IT 보안 시장 성장 변화 ]
보안을 고려한 시장성장하여 지속적으로안정화를 위한 유지
를 노력 해 왔음
[보안 프레임워크 예]
• 스마트폰은 해킹의 주요 공격 대상
• 체계적인 조직/정책/책임과 신뢰 기반의 전략적인
대응 방안 필요
시장
활성
화와
보안
기술
의성
숙은
비례
관계
보안 관리 및 모니터링
보안 기술서비스 보안
보안 변화 관리
정책 및 지침
보안 이슈 발생
[오픈마켓]
스마트폰 보안 위협 대비 보호대책 부족
오픈마켓으로 인한급격한 시장팽창으로보안을 충분히 고려
하지 못했음
8
2. 스마트폰 보안 위협 - 알려지지 않은 위협
모바일에서는 보안을 체계적으로 대응할 수 있는 경험과 조직 체계 및 역할과 책임이 없어 알려지지 않은
해킹 발생 시 모든 관련 주체가 피해자가 될 수 있음
•스마트폰에 있는 개인 정보 (메시지, 이메일, 사진, 주소록, 이메일, 과금정보 등) 유출 시 책임은 고객에게만 있는가?
개인 유출
오과금
좀비 단말
DDoS 공격알려지지 않은 악의적 공격
대응책은 ?
책임은?
피해자는?서비스 거부
오동작보안전문
기업( )컨텐츠 개발(기업&개인)
백신벤더
OS벤더OS벤더
단말제조사
정부
이통사
고객
•이러한 보안 문제를 대응하기 위하여 필요한 것은 무엇인가?
9
S 사
Ⅰ. 서비스 개요3. 스마트폰 보안
S사는 모바일 보안과 관련 한 보안관리센터 설립 및 운영, T아카데미 설립, 대응전략을 위한 내부 워킹그룹
구성, 모바일 보안 관련과제 수행 등을 진행하여 적극적으로 대응전략을 수행하고 있음
9
대응 세부 항목
• Win-Mobile Kernel level File-I/O Filter 개발
• WiFi 모듈 Monitoring F/W 모듈 개발A
B
C
대응 action item
• Application별 Kernel Resource 접근제어 모듈
• Protective folder/disk 관리모듈 개발
• Vaccine-Pattern management frame work
• 개발자 대상의 실질적 모바일 교육을 무료 지원
• 스마트폰 OS 기반 애플리케이션 개발을 위한 모바
일 개발자 과정
• 모바일 서비스, 게임기획 및 디자인/컨텐츠 제작을
위한 모바일 기획자 과정
• 워킹그룹을 통해 적극적인 문제점 논의 및 협의 안 도출
• 정부과제 7.7 DDoS 대응 관련 과제 수행
• 자체 모바일 보안 관련과제 수행
모바일 보안 관리 센터운영
모바일 교육 센터(T아카데미) 설립 및 운영
모바일 보안 워킹그룹구성
D
모바일 보안 관련과제 수행
• 모바일 보안 취약성 정보 관리
• 보안 패치 적용
• 모바일 신기술 보안 연구
• 모바일 보안 사전 예방 및 사고 대응
10
4. 모바일 생태계와 보안 – 수평관계유지
모바일 생태계(EcoSystem)는 가치사슬(Value Chain)구조에서 참여와 공유를 강조한 패러다임으로 변화시켜
수직적 비즈니스 관계를 수평적 관계로 전이시켰음
가치사슬은 제공자(Vendor)와 구매자(Buyer, end-user)간
의 단일관계로 구성
사용자 자발적 참여자유로운 정보 공유
모바일 생태계의 핵심 키워드는 상생체계를위한 수평적 관계 형성
VendorEnd-user
모바일 보안 생태계 핵심 키워드는 안전한 모바일 서비스제공을 위한 수평적관계하에 적극적으로 역할과 책임을 준
수하는 유기적 신뢰관계 형성으로 상생체계를 강화
ConsumersProducts
& services
Contents providers
Internet service
providers
Mobile network
operators
Applications developers
Softwareproviders
Network & infrastructure
providers
Device manufactures
Platform proviiders
S e c u r i t ybased on mobile
ecosystem
11
5. 결론
자연스럽게 조성 된 모바일생태계 기반에 보안의 중요성을 함께 인지하고 실행할 수 있도록 각 서비스 제공
주체 별로 보안을 고려하여 상호 협력 대응 할 수 있는 협력 체계 구성
1
2
3
u보안 SDK 개발
u보안 SDK 제공 및 지속적 업그레이드단말 벤더
5
6
어플리케이션개발자
4
고객
컨텐츠 제공자
보안
전문 기업
플랫폼 밴더
어플리케이션서비스 제공자
u플랫폼 지원 보안 SDK 개발
u플랫폼 보안 SDK 제공
모바일 보안
생태계 환경
기반의 보안
위협 대응
7
u제공 된 보안 SDK 기반의 개발
u보안을 고려한 개발
u제공 컨텐츠 보안 설정 제공
u컨텐츠 보안 설정을 위한 권한 관리 기반의 컨텐츠 제공
u어플리케이션 제공 과정에 보안 프로세스 확립 및 준수
u어플리케이션 권한 관리
u신규 기술에 필요한 보안 대응 방안 제공 및 상품화
u보안 문제 발생 시 신속한 대응 서비스 시스템 구축
u보안 문제를 사전에 방지할 수 있는 방안을 고객의 환경에 맞게 제공
u개인 정보의 프라이버시 강화
u다운 받은 어플리케이션의 보안 실행
12
Q&A
13
End of Document
