HOME > 보안정보 > 최신보안동향
Security Information
문의사항
작성자 관리자 날짜 2010-12-16
제목
이 시대의 스마트폰 사정

컴퓨터시큐리티연구소 야마시로시게나루가 선택한 시큐리티 키워드 2010은

< 이 시대의 스마트폰 사정 >


2010년은 스마트 폰의 화제가 끊어지지 않는 해였다. Apple사의 iPhone이 대브레이크 해, 그것이 기폭제가 되었는지 Google의 AndroidOS를 탑재한 여러가지 단말기들이 발매되었다. 어플리케이션의 수도 풍부하게 되어 이용자는 더욱 더 증가해 왔다.
필자 자신도 스마트 폰 유저이지만, 주변에는 최근 들어서 사용하기 시작한 사람이 대부분이라고 느끼고 있다. 향후, 보통 휴대 전화 단말기보다 스마트 폰 단말기가 많아지는 것은 아닐까 예상하고 있다.
다기능이 특징인 스마트 폰이지만, 보다 편리하게 정보를 활용할 수 있게 하기 위해 많은 개인정보를 보존할 수 있도록 디자인 되어 있다. 이것이 공격자가 노리는 이유이기도 하다. 이 점에서 나는 스마트 폰에 대한 공격 사례를 들어 피해를 당하지 않기 위한 지식을 전하고자 한다.

트로이 목마의 출현
스마트 폰은 기능을 확장하기 위해 유저의 손으로 여러가지 어플리케이션을 인스톨 하는 기능이 있다.
해외의 사례이지만, 금년 8월에 앙금 펠 스키사가 Android 단말기을 노리는 첫 마르웨아를 검지했다고 발표했다. 「Trojan-SMS.AndroidOS.FakePlayer.a」이라고 불리며 SMS를 마음대로 송신하는 트로이의 목마다. 이것은, 미디어 플레이어를 가장한 어플리케이션으로, SMS로 송금을 하는 구조인「프리미어 SMS」을 뒤에서 악용 해, 유저에게 5 달러 송금시키는 것으로 범죄자가 이익을 얻고 있다.

JailBreak(탈옥)에 의해 생겨나는 문제
JailBreak란, 스마트 폰에 설치된 제한을 해제하는 것으로, 메이커가 의도하지 않는 어플리케이션을 기동시키는 것이다. 제일 알기 쉬운 예로 말하면, Apple사가 발매하고 있는 제품에 대하여 App Store에 배포되어 있지 않은 어플리케이션을 인스톨 하는 것이다.
JailBreak 어플리케이션에는 여러 종류가 다양하게 존재한다. 얼핏 보면 편리해 보이지만, JailBreak를 실시하는 것으로 자기 자신의 단말기에 시큐리티 홀을 만들어 버릴 가능성이 있다.
iPhone로 말하면, 「ikee 」라고 하는 바이러스가 유명하다. JailBreak 한 iPhone를 개입시키는 바이러스로, SSH의 기존 패스워드를 사용해 침입, 감염한다. 감염한 iPhone은 다른 단말에 대해 같은 공격을 실시해, 감염을 펼친다. 또, ikee의 아종(亞種)에게는 보존되고 있는 개인정보나 온라인 뱅크등의 데이터를 송신하는 것까지도 있다.
개인·기업 상관없이 iPhone나 iPad를 가지고 계신 분은, 안이하게 JailBreak를 실시하지 않도록 조심했으면 한다

스마트폰의 향후
올해 8 월초, JailBreakMe2. 0이라고 하는 사이트가 공개되었다. 이것은 iOS에 있어서 PDF 취급의 취약성을 이용해 iPhone이나 iPod Touch, iPad를 PC 없이 JailBreak 할 수 있는 것이다. 브라우저로 액세스 할 뿐이라는 간단함의 반면에, 실은 매우 위험하다.
폐사 연구소가 조사했는데, 이 취약성을 이용한 PDF 파일을 홈 페이지상에서 공개, 혹은 메일 등에서 송신해, 그것을 열람하는 것으로 iPhone등을 바이러스에 감염시키는 것이 가능하다는 것을 확인했다. 말하자면, iPhone등의 이용자가 사이트를 열람하는 것만으로 공격자의 뜻대로 조작되어 버리는 것을 의미한다.
현재의 iOS의 버젼에서는 벌써 해결된 부분이지만, 이와 유사한 취약성 발견이 예측되어지는 만큼 각별한 주의가 필요하다.

이와 같이, 스마트 폰이 폭발적으로 증가하고 있는 현상을 생각하면, PC의 다음으로 표적이 되어지는 것은 바로 디바이스라고 생각할 수 있다.
향후보다 세련된 공격이 등장하는 것을 염두하여 시큐리티 대책 혹은 사고 대책을 염두에 두고 마음껏 활용해 주었으면 한다.




작성자 : 야마시로 시게나루(山城重成)

주식회사 LAC 컴퓨터시큐리티연구소
원문보기

 

목록보기