touchen appiron - nadosoftnadosoft.co.kr/slider/pdf/raon/touchen_appiron.pdf방안...
TRANSCRIPT
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
APP위변조방지솔루션TouchEn AppIron
2017. 01 라온시큐어
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Why TouchEnAppIron?
회사소개
솔루션개요
솔루션기능
목차
Ⅰ
Ⅱ
Ⅲ
Ⅳ
RAONSQ Up ServiceⅤ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅰ. 회사 소개RaonSecure
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
All about ICT Security, ICT 통합보안선도기업
I회사소개1. 일반현황
Security First
차세대 보안 선도기업
USIM 기반 본인확인 서비스
보안 서비스 사업
FIDO 생체인증 기반
통합 인증 플랫폼
ISMS 인증 컨설팅과 모의해킹
보안 인텔리전스
스마트하고 안전한 정보 사회 구현
3
라온시큐어(주)회사명 이순형 대표대표이사
2012년 : 라온시큐어㈜ 공식 출범설립연도 150명직원수
홈페이지 : http://www.raonsecure.com USIM 스마트인증 : http://www.usimcert.com라온 화이트햇 센터 : http://www.whitehat.co.kr 휴대폰 전자서명 서비스 : http://www.mobisign.co.kr
주요채널
- 국민건강보험공단 장기요양 모바일정보시스템 사업 구축- 국민생활체육회 모바일 농업재해현장조사시스템 iOS 보안솔루션 구축- 금융결제원 바이오정보 분산관리 시스템 구축사업 수주- 롯데캐피탈㈜ 모바일뱅킹 구축- 라온화이트햇 보안인텔리전스 서비스 론칭- 미래에셋증권㈜ 스마트폰 앱 난독화 구축- 서울시도시철도공사 모바일망 사업- 롯데제과 모바일 보안솔루션(MDM, 앱위변조 방지솔루션) 도입 사업- FIDO 생체인증 공급 확대(KT, LGU+, 부산/경남은행, 씨티은행, 현대카드,신한카드 등)
- 광주소방본부 모바일 보안구축 도입 사업
2016
- CJ Only One R&D Park MDM 구축- ㈜한국스마트카드 고속버스 모바일앱 위변조 솔루션 구매- 근로복지공단 통합퇴직연금시스템 구축- 롯데손해보험 CM시스템 구축- FIDO 생체인증기반 간편인증/결제 솔루션 출시, 국제 FIDO Certified 제품인증 획득
- CC인증 : 모바일 단말관리(MDM/MAM) 솔루션 TouchEn mGuard
2015
- 동양생명보험 모바일 및 홈페이지 보안 솔루션 구축- 신한카드 모바일 소스코드 보호 솔루션 구축- 제 3회 정보보호의날 기념식 미래창조과학부 장관상 수상- KB생명보험 앱 난독화 및 보안솔루션 구축- KT 기업용 모바일 보안 사업 공동 추진 협약 체결- 한국모바일인증 앱위변조방지 솔루션 구축- 한국전자통신연구원(ETRI) 앱위변조 방지 솔루션 구축
2014
- GS인증 : 모바일 단말관리(MDM/MAM) 솔루션 TouchEn mGuard2013
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
2. 주요 사업영역
Line-up
Ⅱ회사소개
ICT 보안에 필수적인 다양한 솔루션과 보안 서비스를 제공하는 통합 보안 선도 기업입니다.
보안서비스
02
차세대보안
FIDO 기반의 생체인증
공인인증서 패스워드 대체
FIDO 기반의 mOTP/ PKI / SSO
이상 인증 탐지를 위한 FDS
통합인증보안(FIDO)03
보안솔루션
앱위변조 방지
보안 키패드
모바일 백신
암호/인증/단일인증(mSSO)
일회용 패스워드(mOTP)
모바일 보안01 키보드 보안
가상 키보드
웹페이지 보안
개인 PC보안
자동 가입 방지
온라인 PC 보안
모바일웹 전자서명
네트워크 암호/인증
기기 인증 보안
XML 암호/인증
어플리케이션 인증
유비쿼터스/PKI
단일인증(SSO)
권한관리(EAM)
계정관리(IM)
통합계정관리
취약점 점검
국내 최정예 화이트해커에의한 모의해킹 및 보안 감사서비스 제공
ISMS 인증 컨설팅
명의인증 서비스
패스워드 필요 없는간편인증
USIM 기반 인증 서비스
USIM에 공인인증서저장/발급 및 인증
스마트폰 웹 브라우저에서공인인증서 서비스 제공
서비스별 관리비용 절감 및인증 편의성 제공
모바일 단말관리 (MDM)
모바일 앱관리 (MAM)
모바일 컨텐츠관리 (MCM)
모바일 계정관리 (MIM)
모바일 위협관리 (MTM)
모바일 보안(EMM) 보안 인텔리전스
휴대폰 전자서명 서비스
금결원 공동 서비스
I
4
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
3. 핵심 역량 Ⅱ회사소개
주요 금융, 공공 분야 40% 이상의 시장에서 가 함께하고 있습니다.핵심역량및고객사
금융기관 정부기관 일반기업
I
제조사 및 인증기관과의 기술/사업 협력• 국내 최초 미국 애플社, MDM 공식 파트너• 삼성전자 S.E.A.P 공식 파트너 (기술 제휴)• LG전자 MDM 공식 파트너 (API 공유 협력)• 휴대폰 전자서명, 인증서 이동 및 저장 제휴
핵심 기술력 확보 인증 및 특허 다수 획득, 검증된 보안 기술력 확보- 특허 등록 및 출원 : 총 45건 원천 기술 특허 보유- 상표 등록 및 출원 : 총 18건 상표권 보유 국정원 CMVP, CC 인증 등 차세대 보안 기술 확보- FIDO 기반 통합인증 플랫폼- TEE 기반의 보안 인증기술 (USIM, Trust Zone, HSM 등)
정보보안 컨설팅• 국내 최고 화이트햇으로 구성된 해커 그룹 보유• 선행 보안기술 연구, R&D 역량 강화• ISMS 인증 / 컨설팅• 국제 해킹 대회 참가 및 우승, 국위선양
플랫폼 변화에 따른 보안 신기술 표준 선도• FIDO 기반의 통합인증 플랫폼 (세계 최초 FIDO certified 인증 획득)• Window8 공인인증 PKI 기술 상용화• 통신사 연계 모바일 보안토큰 ‘USIM스마트인증’ 서비스• 국내 통신사를 통한 SaaS형 MDM 플랫폼
5
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅱ. 솔루션 개요TouchEn AppIron
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
솔루션 개요 Ⅱ
$0
$5,000
$10,000
$15,000
$20,000
$25,000
$30,000
$35,000
$40,000
2008 2009 2010 2011 2012 2013 2014 2015 2016 2017
스마트폰 테블릿PC
(백만달러)
(출처: Strategy /KISA)
전 세계 모바일 APP 시장 규모 증가 추이
전세계 모바일 APP 다운로드 수는 2012년에 500억 건으로 크게 증가되었으며, 시장규모는 2013년까지 250억 달러로 예상되고
있습니다. 또한 산업규모는 2017년 까지 약 350억 달러 이상이 될 것으로 예상을 하고 있습니다
1. 모바일 APP 시장
7
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
솔루션 개요 Ⅱ2. 모바일 APP 위협
모바일 악성코드 증가율
(출처: Kaspersky Lab)
32.3%
23.2%
27.7%
4.9%
12.0%
Backdoor
Trojan
Trojan-SMS
Trojan-Spy
Other
모바일 악성코드 증가율
모바일 시장이 성장함에 따라서, 모바일은 사이버 범죄자들의 새로운 목표가 되고 있습니다. 악의적인 목적을 가지고 배포하는
악성코드, 바이러스 등이 2013년 상반기에만 10만개 이상 나타나기 시작하였으며 이는 계속적으로 증가 추세에 있습니다.
이를 배포하는 통로는 모바일 APP 위변조, 스미싱이 대표적 행위입니다.
1048
6293
29179
46445
100386
0
20000
40000
60000
80000
100000
120000
H1 2011 H2 2011 H1 2012 H2 2012 H1 2013
8
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
웹 하드 또는 블랙마켓 등의 불법사이트에서 위변조 APP(뱅킹, 엔터테인먼트, 쇼핑 등)을 다운로드하여 사용하는 경우 공격자는
불법 APP에 악의적인 코드를 삽입 후 재패키징하여 사용자의 각종 정보를 탈취가 가능합니다. 이러한 경우 사용자가 위변조
프로그램을 실행하면 공격자는 탈취한 사용자의 PIN 및 인증서 비밀번호를 이용하여 불법적으로 결제가 가능합니다.
Ⅱ솔루션 개요2. 모바일 APP 위협
위변조 APP 사용 예시
금융기관
위변조 APP 설치
위변조 프로그램 실행
PIN 및 개인정보 입력
불법 사이트
(웹 하드, 블랙마켓)
악의적인 코드 삽입 후불법사이트 업로드
3
4
5
1
공격 대상의 스마트 폰공격자
위변조 APP 다운로드2
인증번호 탈취6
정상 은행 / 쇼핑몰
탈취한 개인정보악용 (결제 등)
7
개인정보 탈취 /
금전적 피해
10
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅱ솔루션 개요
금융회사 정보기술(IT)부문
보호업무 모범 규준감독규정시행세칙전자금융감독규정
금융회사 정보기술(IT)부문 보호업무 모범규준 (금융위원회/금융감독원, 2011. 10)
● 해킹 등 침해행위 방지 대책
⑧ (전자금융거래프로그램검증) 금융회사등은 악성코드를 이용한 전자금융사고에 대비하여 전자금융거래에서 이용자에게 제공하거나
거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위․변조 여부 등 무결성을 검증할 수 있는 방법을 제공
하여야 한다.
전자금융거래프로그램 검증 방법(예시) : 금융회사등이 배포한 프로그램과 PC, 스마트폰 등 이용자의 전자적 장치
에서 구동되는 프로그램의 파일크기․해쉬 결과 확인 등을 통해 프로그램 무결성 검증 실시
● 부칙
이 규준은 2011년 11월 1일부터 시행한다. 전자금융거래프로그램검증을 위한 정보보호기술 도입에 관한 사항은 전자금융감독규정
고시일 이후 6개월이 경과한 날부터 적용한다. (2012년 4월 1일 부터 적용)
금융위원회와 금융감독원은 2011년 10월 전자금융거래의 안전성을 확보하고 정보기술부문의 보호업무에 필요한 사항을 규정하는
『금융회사정보기술(IT)부문 보호업무 모범규준』 수정/발표하였으며, 2012년 6월에는 APP위변조 보안대책을 발표하였습니다.
스마트폰 APP 위변조 방지
보안대책 (2012.06)
기기 임의 개조 / APP 위변조 / 악성프로그램 감염 / 입력 전송정보의 위변조 에 대한 대처 방안 수립 방안요구
스마트폰 APP 위변조방지 보안대책(2012.06)
3. 법률과 제도
전자금융감독규정 감독규정시행세칙금융회사 정보기술(IT)부분
보호업무 모범기준
스마트폰 APP 위변조 방지보안대책(2012.06)
11
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅱ4. 가이드 라인 및 대응 솔루션 솔루션 개요
카테고리 내용 대응 솔루션 지침 / 가이드라인
단말기 분실/도난 시
대응방안
모바일 단말관리 솔루션을 적용하여 단말기 분실/도난시 원격제어를 통한 기기잠금 및 공장초기화,
중요 데이터 백업/삭제 등의 기능으로 단말기 내 개인정보/고객정보의 정보유출 방지 보장TouchEn
mGuard
국가-공공기관 업무용 스마트폰 보안 규격 (국정원/행안부, 2011.05)
스마트워크 정보보안 가이드라인
(금융감독원, 2011.06)
모바일 전자정부 서비스 구축 지침(행안부, 2011.11)
전자문서 작성 및 관리 시 보안
가이드라인 (금융위원회, 012.01)
안전한 모바일 오피스 보안 수칙
(방통위/KISA, 2012.12)
스마트폰 보안규격(국정원, 2013.03)
개인정보보호법 (개인정보의 안전성 확보조치 기준)
단말기 제어를 통한 보안
적용 방안(사내정보유출예방)
모바일 단말관리 솔루션을 적용하여 중요정보가 있는 화면캡쳐 행위를 방지하며 보안정책을 통한
단말기 제어를 통해 다양한 경로의 정보유출 방지 보장
악성코드 및 해킹 방지 방안 모바일 전용 백신솔루션을 적용하여 바이러스 및 악성코드 등의 해킹 방지 보장TouchEn
mVaccine
입력데이터 보안 적용 방안
(E2E)
모바일 보안키패드 솔루션을 적용하여 개인정보 및 금융정보 등 중요한 입력 정보에 대한 암호화
및 메모리 해킹 방지 보장
TouchEn
mTranskey
정보전송의 기밀성보장 및
인증강화/본인확인 방안
모바일 전문 통신구간 암호화 솔루션을 적용하여 모바일 전 구간에 보안세션 수립을 통한 기밀성
보장 및 모바일PKI인증솔루션을 연동한 공인인증 기반의 사용자 인증 강화 및 본인확인 보장Key# wireless
APP 위변조를 통한
정보유출 방지 방안
모바일 APP 위변조솔루션을 적용하여 개발된 APP 을 암호화하고 코드난독화 및 무결성 검증을
통해 안전한 모바일 APP 서비스 보장
TouchEn
AppIron
스마트폰 APP 위변조 방지 보안대책 (금융감독원, 2012.06)
사용자 인증정보 해킹 방지방안
모바일 통합계정 관리 솔루션을 적용하여 통합 사용자인증 체계 마련TouchEn
mWiseaccess
스마트폰 보안규격(국정원, 2013.03)
모바일 전자정부 서비스 구축 지침(행안부, 2011.11)
모바일 웹 서비스 해킹 방지방안
모바일 웹 전자서명 서비스를 통한 웹서비스 정보보호 체계 마련(전자서명, 안티바이러스 백신, 키보드 보안, 침입 차단 방지)
TouchEn appfree
개인정보보호법 (개인정보의 안전성 확보조치 기준)
전자금융 감독규정 개정 (2011년10월 5일 제 16차 금융위원회 의결)
12
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
제품명
제조사 라온시큐어㈜
• 국정원 인증 암호화 모듈 탑재• 특허 출원
(출원번호 :10-2012-0094179 )• 안전행정부 모바일 전자 정부 공통기반 선정 제품
Ⅱ
TouchEn AppIron
TouchEn AppIron은 APP 위변조 방지 솔루션으로써 APP 무결성 보장, 소스코드 보호, 난독화 등의 기능을 제공합니다.
무결성 검증을 위한 Server모듈과 위변조 탐지를 위한 Client모듈, 코드 디컴파일 방지를 위한 난독화 모듈로 구성되어 있는 APP
위변조 전문 방지 솔루션입니다.
5. APP 위변조 방지 솔루션 솔루션 개요
구분 상세설명
APP 위변조방지
• APP 위변조 방지를 위한 코드 디컴파일 방지 / 코드 난독화
• 디버깅 시도를 차단하는 안티디버깅
• 랜덤 값을 이용한 hash 무결성 검증
• 무결성 추가 검증 (2차인증)
• 공신력 있는 국정원 인증 암호화 모듈 (CMVP) 사용
• 네이티브 라이브러리 사용
• (Android)바이너리 은닉화 (별도 라이센스)
• (iOS) APP Thinning 적용 앱의 무결성 검증 지원
단말 위변조탐지
• OS변조 (루팅 / 탈옥) 탐지 및 APP 종료기능
• OS 변조를 숨겨주는 위험APP (테크라크등) 탐지
• 위험APP 코드 업데이트
기타• 정책 / 로그 관리
• 다양한 포맷의 리포트 기능
13
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ. 솔루션 기능TouchEn AppIron
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
S/W 구성
TouchEn AppIron의 Server모듈은 WAS에 설치됩니다. Server모듈은 무결성 검증 과 UI를 담당하며, 로그 저장을 위하여 DB를
필요로 합니다. 배포되는 APP에는 Client모듈이 삽입되어 위변조 검사 및 기타 검증에 사용됩니다.
1. 구성
로그인
DB Server
APP 위변조 로그단말위변조 로그 관리자
모니터링
AppIron Server
AppIron
AppIron Manager
AppIron Server
WAS DB
Application DB
WAS Module
APP 위변조 검사우회 확인
위변조로그 저장
AppIron DB
APP 위변조 검사및 위변조 로그 전송
Moblie Device
Mobile APP
Legacy APP
AppIronClient
Module
14
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
H/W 구성
H/W구성은 무결성 체크, Web UI, 로그정보 등을 남기는 Server와 사용자 단말에 APP과 함께 배포되는 Client 모듈로 구성됩니다.
Server 모듈은 인터넷 망의 WAS 내에 설치되며, DB Server와 통신하는 구성을 가지고 있으며, 무결성 체크의 안정성을 위하여 L4를
이용한 이중화를 권장합니다.
1. 구성
*기존 WAS/DB를 활용하여 운용
내부망
인터넷
망
15
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ2. 지원사양
Server / Client 사양
본 제품은 무결성, 관리자 UI 및 로그 관리에 사용되는 Server 모듈과 APP 위변조 탐지 및 안티디컴파일, OS 변조 탐지 등에 사용
되는 Client 모듈로 구성되어 있습니다.
솔루션 기능
구분 지원사양 구분 지원사양
Server
OS
• AIX 5.0 이상
• HP-UX 11.11 이상
• Windows 2003 이상
• Solaris 7 이상
• Linux Kernel 2.3 이상
Client
Android • Android 2.2 이상
DB
• DB2 9.5 이상
• Oracle 9I 이상
• My SQL 5.0 이상
• MS SQL 2005 이상
• Sybase 12.5 이상
• TIBERO 5.0 이상
iOS • iOS 4.0 이상
16
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
AppIron Cloud
개발자 환경 업무 서버
17
솔루션 기능
앱 위변조 방지 적용 프로세스
3. 주요기능 Ⅲ
위변조에 따른 위협을 방지 하기 위하여 본 제품은 안티 디컴파일, 무결성, 난독화를 통하여 코드보호 기술을 적용하였으며, Client
모듈은 네이티브 라이브러리로 구현되어 보안성을 강화하였습니다. 소스코드 보호를 위하여 난독화를 적용할 시 소스 수정 없이
적용이 가능하여 관리 및 적용의 편의성을 제공합니다.
1
무결성 검증 API호출 로직 삽입
2 위/변조 방지 적용
3
바이너리 은닉화적용 시
위변조 방지 모듈적용된 APP
TouchEn AppIron 서버
앱 무결성 정보 생성
4 무결성 정보등록 요청
* 바이너리 은닉화 기능은 별도 라이선스
위/변조 방지
1. 난독화
2. 안티 디버깅
3. 안티 디컴파일
6
APP 배포
4. 검증 모듈 추가
APP Store
5
7 APP 다운로드
9
APP 무결성 검증 요청
10 APP 인증 시도
11
APP 인증 요청
8 위변조 방지 적용 APP 실행 시도
사용자 단말별도 라이센스
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
솔루션 기능
소스코드 난독화 (1/2)
3. 주요기능 Ⅲ
TouchEn AppIron은 제어흐름 난독화, 함수명, 변수명 난독화, 문자열 암호화, 리소스 난독화 (xml 등)를 제공하여 비즈니스
로직의 흐름을 난독화하고, 변수와 상수 값을 원천적으로 알아보지 못하게 하는 수준의 난독화를 제공합니다.
List slist = dao.retrive();
for ( int i = 0 ; slist != null && i < slist.size() ; i++ ){
Map result = (Map)slist.get(i);
SessionVo vo = new SessionVo();
vo.setMODEL((String)result.get("MODEL"));vo.setTIMESTAMP((String)result.get("TIMESTAMP"));vo.setTOKEN((String)result.get("TOKEN"));
list.add(vo);}
_L5:IiiIiIIiIi iiiiiiiiii;Map iii = (Map)list.get(k);
iiiiiiiiii.ii((String)iii.get(CryptoSDKv20.o(")\035)\0133\0274\0071\035#")));iiiiiiiiii.IiiI((String)iii.get(CryptoSDKv20.o("\0354\033%\021>")));iiiiiiiiii.IIiiiiI((String)iii.get(CryptoSDKv20.o(";\b*\0077\0319")));list;k++;arraylist.add(iiiiiiiiii);
_L1:JVM INSTR ifnull 410;
goto _L2 _L3_L2:……..
원본소스 난독화 적용
<activity android:name="iiiiiiiiii.IIiIiiiiiI" android:screenOrientation="portrait"/><activity android:label="@string/app_name" android:name="iiiiiiiiii.iiIIIiIIii"
android:screenOrientation="portrait"/><receiver android:name="iiiiiiiiii.iIiiiIiIII“ /><service android:exported="false" android:name="iiiiiiiiii.IiiiIiiiII“ />
<activity android:name="com.raon.raon.ui.DialogActivity" android:screenOrientation="portrait"/>
<activity android:label="@string/app_name" android:name="com. raon.safecert.ui.PopUpActivity" android:screenOrientation="portrait"/>
<receiver android:name="com.raon.safecert.receiver.BootupReceiver" /></receiver><service android:name="com. raon.safecert.service.NpkiCertFindService"
android:exported="false" />
원본 AndroidManifest.xml 난독화 적용
18
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved19
솔루션 기능
소스코드 난독화 (2/2)
3. 주요기능 Ⅲ
소스코드 보호를 위하여 난독화를 적용할 시, 난독화 수준 제어와 선택적인 난독화적용등 다양한 옵션은 설정 파일의 변경만으로
소스코드 수정 없이 적용이 가능하여 관리 및 적용의 편의성을 제공합니다.
제어흐름 난독화 수준 조절
- normal : 난독화를 위한 코드 삽입
수 최소화
- maximum : 난독화를 위한 코드 삽입
수 최대화
- disable
네이밍 난독화 옵션 조절
[class-naming]
abc : 소문자로 난독화
iii : iii, iiI, iIi 등으로 난독화
[methods-naming]
abc : 소문자로 난독화
iii : iii, iiI, iIi 등으로 난독화
keywords : java 예약어를 이용한 난독화
주요기능
<config>. . .
<keep-names><class template="class org.apache.**">
<field access="private+" /><method access="private+" parameters="keep" />
</class> (난독화 선택 적용)</keep-names>
<property name="control-flow-obfuscation" value="enable"/><property name="extensive-flow-obfuscation" value="maxim um"/> value = maximum, minimum, disable (제어흐름 난독화)
<property name="classes-naming" value="abc"/> value = abc, iii (클래스명 난독화)
<property name="methods-naming" value="iii"/> value = abc, iii, keyword (메소드명 난독화)
<property name="string-encryption" value="enable"/>(문자열 암호화)
</config>
소스코드 난독화 설정
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved20
솔루션 기능
바이너리 은닉화
3. 주요기능 Ⅲ
TouchEn AppIron은 앱 소스코드가 컴파일되고 난 이후의 dex 및 리소스 파일에 대해 바이너리 수준의 은닉화를 제공하여
바이너리를 디컴파일시에도 원본소스에 대한 노출이 되지 않는 강력한 보안성을 제공합니다.
앱 실행을 위한 코드만 적재
원본코드상에 포함된패키지 및 소스코드는 존재하지 않음
디컴파일 소스
2 Classes.dex디컴파일
1 APK 내부 확인
바이너리 은닉화적용된 APP
원본소스
APP 생성
소스 분석불가능
• 바이너리 은닉화 기능은 별도 라이선스• 해당 기능은 당사 Cloud Server 이용
바이너리 은닉화
DEX 파일 은닉화
디컴파일 방지
안티디버깅 방지
API은닉
클래스암호화
리소스암호화
문자열 암호화
APK파일 무결성 검사
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
OS 변조 탐지 및 처리
단말 위변조에 따른 위협을 방지하기 위하여 해당 스마트기기의 OS 변조 상태를 검증합니다. 검증결과에 따라 APP의 실행 유무를
결정하는 기능을 제공하여, 위변조에 따른 보안사고를 미연에 방지합니다.
3. 주요기능
업무앱(앱위변조 적용)
플랫폼 위변조(루팅/탈옥)
체크
앱 위변조체크
앱 실행 및업무수행
플랫폼 정상
플랫폼 위조시
앱 무결성 확인
앱 위변조시
앱 강제 종료appIron 서버로
앱 위변조 로그 전송관리자에
앱위변조 알람 전송
APP 실행
21
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
강력한 무결성 검증
TouchEn AppIron은 APP 위변조 탐지를 위하여 Hash값 검증기능을 제공합니다. 무결성 통신 세션은 암호화 처리하여 통신상의
기밀성을 제공하며, Server의 Random 값을 이용하여 Hash 값을 연속적으로 변화시키어 Replay attack 을 방어합니다. 더불어 무결성
우회 시도를 방지하기 위한 2차 인증기능을 제공합니다.
3. 주요기능
AppIron Server
Replay attack 방지
무결성 세션 암호화
2
4
5
고객사 ServerAPP
관리효율성6
1
2
3
Server에서 무결성 검증 수행
(Random값 + 등록된 APP의 Hash값 검증)
사용된 검증 정책 초기화
검증 종료된 세션에 대한 검증우회 여부 검증요청
(2차인증)
4
5
6
Random 값 및 검증정책 전송
Client에서 무결성 검증 정보 생성
무결성 검증 정보 Server로 전송
(Random 값 + APP에서 생성된 Hash 값)
무결성
검증
3
1
22
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
신속한 위협 대응 – 코드 업데이트
무결성 검증 시 Server는 OS변조 탐지, 위험 APP(테크라크 커널 등) 등의 정보를 정책에 담아 Client 로 전송하여 단말내 위험APP을
탐지하는 기능을 제공합니다. 신종 위험 APP 출현시 위험 APP 정보를 Server에 update하여 신종 위험APP 대응이 가능합니다.
APP의 재배포 없이 위협 APP 코드 업데이트가 가능합니다.
3. 주요기능
APP실행
위험APP 탐지5
위험APP 검증
TouchEn appIron서버
위험 APP 관리 모듈
정책 모듈
1 위험 APP 코드업데이트
2 APP정보 및 무결성 정책 요청
3 APP 정보 및 정책 정보 전송(무결성 / OS변조탐지 위험APP 패키지 정보 등)
7 모니터링
[위험 APP 탐지 정보 모니터링]
관리 Console
관리자
4
위변조 APP
위험APP 미탐지5
6 위험 APP 탐지로그 전송
23
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
위변조 로그 모니터링 및 관리
배포 APP의 위/변조, API 후킹 등 위협 상황 발생시 실시간 탐지하여 TouchEn appIron Server에 해당 로그가 저장됩니다. 담당자는
이러한 정보를 통하여 배포한 APP에 대한 위변조 여부를 탐지하며, 다양한 포맷의 리포팅을 통해 모니터링이 가능합니다.
3. 주요기능
위변조 APP
TouchEn appIron서버
Hash 생성 모듈
Monitor / Log 관리자
1 위변조 앱 실행 2 위변조 접속 시도 알람
3 접속 차단 설정4 접속 차단 설정
[검증 현황 및 이력 조회 및 통계]
알림 기능 제공
1. 화면 팝업 알림
2. 메일 알림
3. SMS 알림
• 앱 별 접속 현황
- 시간대 별 앱 접속 현황 통계제공
- 일단위 앱 접속 현황 통계 제공
- 위변조 발생 앱 접속 현황 발생제공
(발생횟수 및 최초 발생일 등)
모니터링 기능
• 제조사 별 접속 현황
- 제조사 모델 별 접속 현황 통계 제공
- 제조사 모델 별 OS 변조(루팅/탈옥)폰 현황 정보 제공
24
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅲ솔루션 기능
자사 CMVP 모듈 탑재
알고리즘의 적정성을 준수하기 위하여 TouchEn AppIron은 국정원 인증 암호화 모듈인 CMVP를 탑재하였습니다. 라온시큐어의
CMVP 모듈인 Key# crypto를 탑재하여 암호화 기능에 사용되는 알고리즘을 제공하고 있으며, 이러한 자사 CMVP 모듈 사용을 통해
공신력 있는 보안 서비스를 제공하고 있습니다.
3. 주요기능
국정원 인증암호화 모듈을 통한
서비스 제공
라온시큐어 CMVP모듈-Key# crypto
25
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅳ. Why TouchEn AppIron?
TouchEn AppIron
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Why TouchEn AppIron?1. 제품의 특징 Ⅳ
27
3단계 심층방어(Defense in Depth) 모델, 앱 위변조 방지
TouchEn AppIron는 앱 위변조를 위해 전처리 과정으로 1) 난독화 및 바이너리 은닉화, 후처리 과정으로 2) 플랫폼 및 앱 위변조 감
시, 3) Anti-Reverse Engineering의 3단계 심층방어(Defense in Depth) 모델을 제공하여 앱위변조로 발생할 수 있는 보안위협에
대해 전방위적 대응이 가능합니다.
OBFUSCATIONENCAPSULATION
• 안드로이드 소스코드 난독화 지원
• Dex 파일의 은닉화를 통한 소스코드 유출 원천 방지 (별도 라이선스)
PLATFORMAPPLICATION
• 플랫폼 위변조 시 앱 실행제한
• APP 실행 시 무결성 체크(해쉬 검증)
• APP 위변조 시 실행 제한
ANTI - REVERSEENGINEERING
• 안티 디버깅, 안티 디컴파일 방지
• 리소스 암호화 지원
01 02 03
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Why TouchEn AppIron?
모바일 보안 전문 기업의 제품
라온시큐어는 모바일 보안 전문 기업으로써 모바일 환경에 대한 고객의 needs를 이해하고 대응하는데 최선을 다하고 있습니다.
이를 위하여 차세대 보안 기술 연구 개발 및 자사보유 화이트 해커를 통한 보안 동향연구에 매진하고 있으며,TouchEn AppIron은
여러 가지 보안 위협에 효과적으로 대응할 수 있는 모바일 보안 기업의 제품입니다.
1. 제품의 특징
모바일 보안연구
APP위변조방지라온
시큐어
APP 위변조 방지 APP 위변조 방지 전문 제품 출시 다양한 레퍼런스 보유 자사 모바일 보안 솔루션 연동
모바일 보안 연구 자사 화이트 햇을 통한 보안취약점 연구
모바일 환경 Needs 이해 및제품 반영
라온 시큐어 ICT 통합 보안 기업 차세대 보안 기술 연구 다양한 모바일 보안솔루션 출시
Ⅳ
28
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Why TouchEn AppIron?
다양한 레퍼런스
TouchEn AppIron은 강력한 성능을 바탕으로 하여 제 1금융권인 외환은행을 비롯하여 여러 금융사 / 공공기관 / 기업 등에서
도입을 하고 있습니다.
2. 구축사례 및 레퍼런스 Ⅳ
• 외환은행 스마트 폰 금융서비스 사용자 대상
• iOS / Android OS 지원
• 스마트폰 금융서비스 APP 10종 대상
• 암호화 / 무결성 / 난독화 기능 사용
• 다양한 로그 관리 및 통계 기능 제공
29
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
Ⅴ. RAON SQ Up Service(Security IQ Up)
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
1. 라온 화이트햇 센터 – 보안 인텔리전스 ⅤRAON SQ Up Service
통합 보안 인텔리전스(SHIELD)
공격자 입장의 보안 취약점 분석 및 세계최고의 화이트해커를 통한 보안교육을 통해 기업 내 주요자산을 보호하는 보안 인텔리전스
서비스 R-SHIELD에는 정보보호 컨설팅, PTES방법론을 적용한 모의해킹, 보안인텔리전스 교육 및 감사서비스가 포함됩니다.
30
보안교육 및 감사 서비스
보안교육 서비스
웹 해킹, 악성코드 분석, 모바일 보안 등최신 해킹 및 방어 기술에 대한 실무 위주교육 서비스
보안감사 서비스
구축 대상 시스템에 대한 취약점분석,모의해킹, IT보안진단 등 보안감사서비스 제공을 통해 최적의 보안시스템구축 및 운영지원
ISMS, PIMS, ISO27001 등 인증 및 고객사 정보보호 목표 모델을 분석
이행과제를 정의하고마스터플랜 수립
구축방안, 소요자원, 기대효과 분석
통합 추진 로드맵 수립 ICBM 보안 인텔리전스
정보보호
컨설팅
PTES방법론 채택 및 적용하여 보다 효과적인 취약점분석 결과 제공
사용자환경 모의해킹(PC환경 보안성, 클라이언트 프로그램/모바일 앱 리버스엔지니어링)
서버환경 모의해킹(서버 및OS환경,웹 어플리케이션, DB서버 공격 대응)
모의해킹
취약점 관리Reduce Your Risk of aBreach
침해사고 탐지 및 분석Find The Attacks You’re Missing
보안 컨설팅 서비스Accelerate Security Improvement
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
OnePass 간편인증 적용 서비스
2. FIDO기반 OnePass 간편인증 ⅤRAON SQ Up Service
USIM의 보안성과 FIDO의 편리성을 결합한 인증서비스
Mobile Only 시대에 접어들면서 mobile에서 보안성과 사용성을 충족시키는 새로운 인증체계의 필요성이 되두되고 있습니다. 이를
만족시키기위하여 OnePass 간편인증은 FIDO의 사용의 편리성과 USIM의 보안성을 접목하여 단말인증 및 점유인증을 지원하여 빠
르고 편리한 명의인증을 지원합니다.
32
레퍼런스
Ⅱ
Copyright(c)2016 by RAONSECURE Co.,Ltd. All rights reserved
3. USIM 기반공인인증서비스
안전한 1등급 보안매체, 모바일 보안토큰
Ⅴ
스마트폰에 탑재된 USIM칩에 공인인증서를 저장하여 이용할 수 있는 모바일 공인인증 서비스
USIM 스마트인증 서비스는 높은 보안성, 휴대성, 편의성을 모두 해결하는 신개념 공인인증 서비스
USIM 스마트인증 사용방법
App 다운로드
인증서 발급 or USIM으로 저장
USIM에 있는공인인증서 사용
보안성
1등급 보안 매체 USIM을 이용한 인증서 외부
유출 방지
편의성
국제 표준기술 준수(PKCS#7, RFC2510 등)
다양한 이용기관(1700여개)
휴대성
스마트폰 USIM을 활용한 편리한 휴대성
이동통신사와의 제휴를 통한 편리한 가입
RAON SQ Up Service
31
주소 : 서울시 강남구 테헤란로 145, 11~13층 (역삼동, 우신빌딩) 라온시큐어㈜Tel. 02-561-4545 / Fax. 02-561-5343
제휴문의: 김운봉 이사 010-2990-2208 / [email protected]기술문의: 이근우 팀장 010-6311-8677 / [email protected]
감사합니다.
본 자료의 저작권은 라온시큐어㈜에 있으며, 당사의 사전 동의 없는 제 3자의 열람 및 무단복제를 금지합니다.
모비싸인www.mobisign.co.kr
USIM 스마트인증www.usimcert.com
화이트햇센터whitehat.co.kr