2010년 2월 1일 월요일

윈도우모바일6.1 해킹관련 PureWeb기반 보안대책

윈도우모바일6.1 해킹관련 PureWeb기반 보안대책

http://news.donga.com/It/New/3/08/20100201/25872427/1&top=1
기사를 보면 윈도우모바일 6.1 해킹관련 기사가 크게 났다.
퓨어웹환경에서의 보안대책을 고민해보았다.

1. 해킹절차

1) 유저는 해커가 준비한 웹사이트 방문
2) 유저는 해커가 유도한 프로그램 다운로드하여 자신의 기기에 설치
3) 유저가 웹사이트 방문하여 입력하는 정보를 Key-Logging
4) Logging한 정보를 해커가 설치한 프로그램을 통해 해커서버로 전송
5) 해커가 유저를 대신하여 쇼핑몰에서 상품 구매
6) Key-Logger로 빼낸 정보를 이용자를 가장하여 입력
7) 이통사에서 SMS문자인증 메세지 발송
8) 원 유저의 폰에서 문자 수신
9) 원 유저 폰에 설치된 프로그램이 문자내용을 해커에게 전송
10) 해커는 쇼핑몰에서 SMS 인증번호 입력하여 상품정상결제

2. PureWeb기반 보안대책

2.1 입력정보 보호대책

2.1.1  Javascript Screen Keyboard이용하여 keylogging 방지

- Javascript입력정보는 Javascript sandbox내에서만 존재함
- screen keyboard 배열을 세션 연계하여 random하게 변경

2.1.2 Javascript 보안

- Javascript 무결성 검증
- Javascript 동적 로딩 및 난독화
- Caja를 이용하여 보호

2.2 악성코드 예방대책

2.2.1 취약점이 존재하는 OS및 브라우저를 이용한 결제접근 차단

- Server에서 Browser UA정보 확인하여 취약점이 존재하고 벤더제공 패치가 나오지 않은 경우 결제접근 차단

2.2.2 이용자에게 보안권고 및 인지동의과정 추가

- 프로그램을 함부로 설치하지 않도록 보안권고
- OS 보안 업데이트 권고
- 본격 안티바이러스 설치 권고(가능하다면)

2.3 카드정보등 주요정보 Client 저장금지

- screen keyboard로 입력된 카드번호등은 서버전송후 browser memory에서 제거
- 주요정보는 browser sandbox내에서만 잠간 존재했다가 사라짐