모바일 장치 보안
스마트폰 사용 이전 조직 컴퓨터 및 네트워크 보안 패러다임은 아래와 같다
- IT에 대한 완벽한 통제
- 사용자 장치는 주로 윈도우 PC
- 비즈니스 응용프로그램도 IT 부서에서 통제
- 네트워크 보안은 신뢰영역과 비신뢰영역 사이에서 구현
즉 Trust Zone을 만들어서 조직 내 보안 패러다임을 유지하였다
하지만 스마트폰, 사용 이후 환경이 변화하였다
새로운 장비 사용 증대(Growing use of new devices)
- 모바일 기기 증대
클라우드-기반 응용 프로그램(Cloud-based applications)
- 모바일 가상 서버, 클라우드 서버 활용
경계 붕괴(De-perimeterization)
- 기기, 응용프로그램, 사용자, 데이터에 대한 다수의 네트워크 경계가 다이나믹하고 수시로 변경
외적 비즈니스 요구(External business requirements)
- 장소 구애 없어지고 게스트나 비즈니스 파트너도 네트워크 접근 허가 필요
보안 위협
모바일 기기에서는 조직의 시설 내부에서 사용하거나, 조직 내부 네트워크 안에서 사용하는 다른 클라이언트 장치를 위한 방안 이외에 특별한 보호 방안을 가지고 있어야 한다
SP-800-14 보안 문제에서 제시한 보안 문제 7가지이다
물리 보안 통제 부재
- 이동성에 기인하여 도난이나 기기 오염의 위협 존재
- 공격자가 기기에서 민감한 데이터를 빼내거나, 기기를 사용해 자원에 대한 접근 허가를 획득하려는 것을 감안한 보안 정책을 수립해야 한다
신뢰할 수 없는 모바일 기기 사용 - 조직은 모든 직원의 모바일 기기를 신뢰해서는 안된다
- 백도어 등 보안 규제나 운영체제를 회피 할 수 있기 때문이다
신뢰할 수 없는 네트워크 사용
- 경계 밖에서 인터넷을 통해 조직 자원에 접근하는 경우, 중간자 공격이나 도청에 취약해진다
미지 대상이 생성한 응용프로그램 사용
다른 시스템과의 상호 교환
- 다른 기기나 클라우드-기반 저장소 등에 자동으로 데이터를 동기화 하는 기능
- 조직에서 동기화하는 모든 기기를 통제하지 않는 한 조직의 내부 정보가 빠져나갈 위험이 있다
신뢰할 수 없는 콘텐츠 사용
- 모바일 기기로 다른 컴퓨팅 기기가 접근하지 않는 컨텐츠에 접속하거나 사용할 수 있다
- Ex. QR 코드의 URL를 조작해서 악성 웹 사이트로 유도 할 수 있다
위치 서비스 사용
- 모바일 기기의 GPS 기능을 이용하면 기기의 물리적 위치를 파악 할 수 있다
- 이러한 정보는 공격자에게 유익할 수 있다
모바일 기기 보안 전략
기기 보안(Device security)
1. BYOD(Bring-your-own-device) 정책 : 개인 모바일 기기로 기업의 자원에 접속 할 수 있도록 허가하는 정책
- 자동 잠금(auth-lock)을 활성화
- 패스워드와 PIN 보호를 활성화
- 자동-완성 기능을 배제
- 원격 제거 기능을 활성화
- SSL/TLS 보호 기능이 있다면 반드시 활성화
- 소프트웨어 최신 상태 유지
- 안티바이러스 소프트웨어 설치
- 민감 데이터를 모바일 기기에 저장하지 않거나 저장하려면 암호화
- 기기를 불능화할 수 있는 권한 확보
- 3자의 응용 프로그램 설치 금지
- 허용목록(whitelisting) 구현
- 보안 샌드박스(sandbox) 구현
- 허용목록 상 모든 응용 프로그램은 반드시 신뢰된 기관의 공개 키 인증서로 디지털 서명
- 클라우드기반 저장소 접속 가능 기기 규정
- 인적 요소에 대한 교육 훈련 및 모바일 기기 카메라 비활성화
- 위치 서비스 비활성화
- IT 관리자
- 네트워크 접속 허락 전 각 기기 조사
- IT 센터
- 운영체제와 응용 프로그램 설정 가이드라인 제시
2. 트래픽 보안(Client/server Traffic security)
- 암호와 인증 메커니즘에 토대하여 실시
- 모든 트래픽을 TLS나 IPv6처럼 암호화하여 안전한 상태로 전송
- 가상 사설망(VPN: Virtual private network) 활용
- 강력한 인증 프로토콜 사용
- 이중 인증 메커니즘 활용
3. 장벽 보안(Perimeter security)
- 보안 메커니즘 구비
- 침입차단시스템 정책 수립
- 모든 모바일 기기의 데이터 및 응용프로그램 접근 범위 제한
- 침입 탐지 및 침입예방시스템 설정
- 모바일 트래픽 통제
부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>
728x90
'Computer Science > Security' 카테고리의 다른 글
| 이메일 위협과 종합적 이메일 보안 (0) | 2023.06.03 |
|---|---|
| IEEE 802.11i 무선 LAN 보안 (1) | 2023.06.03 |
| 무선 보안 (0) | 2023.06.03 |
| 페이로드-공격 에이전트-좀비, 봇 (0) | 2023.05.28 |
| SSH의 포트포워딩 (0) | 2023.05.04 |
