SlideShare a Scribd company logo

모바일 게임 보안

Download as PPTX, PDF
TOAST_NHNent
TOAST_NHNent

모바일 게임 보안에 대한 이슈를 설명하고, Toast Cloud를 활용한 보안상 향상에 대한 방향을 설명합니다. Toast Cloud 바로가기: http://cloud.toast.com/

Technology
1 of 23
모바일 게임 보안 ⓒ 2015 NHN Entertainment Corp. v.1.0 NHN 엔터테인먼트 이창율 2015년 9월 11일
목차 1. 모바일 게임 보안 1.1 루팅, 탈옥 1.2 인앱결제 조작 1.3 메모리 조작 1.4 패킷 조작 1.5 스피드 조작 1.6 데이터 파일과 코드 조작 2. 보안 검수 2.1 웹 검수 2.2 앱 검수 3. 모바일 보안 솔루션 앱가드 3.1 간략한 소개 3.2 주요 특징 3.3 적용 과정 3.4 실제 동작 3.5 웹콘솔
1. 모바일 게임 보안
4 / 모바일 게임 보안 1. 0 소개 소속: 응용보안팀 하는 일  검수: 서비스(PC, Web, Mobile) 출시 전 취약성 검토  분석: 악성코드, 게임 치팅, 기타 분석  개발: 자사 보안 솔루션 개발
5 / 모바일 게임 보안 1. 1 루팅, 탈옥 루팅  Android에서 익스플로잇을 이용하여 관리자권한을 획득하는 것을 말함 예) 루트 권한을 가진 시스템의 취약한 기능을 이용하여 원하는 코드를 실행하여 권한 상승 탈옥  iOS의 제한된 폴더만 접근 가능한 Jailed환경을 벗어나 익스플로잇 을 이용하여 무력화하여 임의의 코드를 실행하여 인증서 서명 강제 시스템을 반영구적으로 비활성화하는 행위
6 / 모바일 게임 보안 1. 2 인앱결제 조작 원리: SSL 우회, 가상 결제 서버 결제 대응: 앱스토어와 게임 서버간 영수증 체크
7 / 모바일 게임 보안 1. 3 메모리 조작 원리: ptrace API 사용, 디버깅 등 대응: 메모리 셔플링, 변수 해쉬 검사, 암호화, 감사 로그, 서버 검증
8 / 모바일 게임 보안 1. 4 패킷 조작 원리: 리버스 테더링 등으로 패킷을 캡쳐하여 분석 후 조작 대응: 패킷 암호화, 시리얼 체크, 클라이언트는 단지 뷰어로만
9 / 모바일 게임 보안 1. 5 스피드 조작 원리: 시간 관련 API 후킹 후 조작 대응: 서버 등에서 시간 검증
10 / 모바일 게임 보안 1. 5 데이터 파일과 코드 조작 원리: disunity와 같은 디코딩, 디컴파일 후 코드 분석, 함수 직접 사용, 자바 디컴파일 및 리패키징(apktool, dex2jar, jad-ui) 등 대응: 파일 암호화, 파일 무결성 검사
11 / 모바일 게임 보안 1. 6 데이터 파일과 코드 조작
12 / 모바일 게임 보안 2. 보안 검수
13 / 모바일 게임 보안 2. 1 웹 검수 SQL Injection XSS 요청 및 응답 값 위/변조 원격 실행 임의 파일 다운로드 소스 코드 내 중요 정보 노출 세션 재사용 세션 타임아웃 체크 접근 제어 우회 인증 서버 정보 누출 로그인 비번 계정 정보 노출 관리자 페이지 노출 백업, 임시 파일 제로데이 취약점 패치
14 / 모바일 게임 보안 2. 2 앱 검수 인증 정보 암호화 구매 관련 정보 암호화 여부 IAP 결제 우회 파일 저장 시 암호화 여부 파일 조작 여부 체크 디컴파일 소스 누출 바이너리의 게임 데이터, 코드 수정 가능 여부 패킷 암호화 패킷 재전송 치팅 앱 실행 중요 데이터 조작 시 서버 검증 여부
15 / 모바일 게임 보안 3. 모바일 보안 솔루션 앱가드
16 / 모바일 게임 보안 3. 1 간략한 소개  앱가드는 사용자 편의를 위해 간편한 적용과 단순히 치팅 툴 탐지 기능만이 아닌 디컴파일 방지와 파일 무결성 검증 등의 강력한 기능을 제공하는 모바일 보안 솔루션입니다. 지원 플랫폼과 현황 영역 구분 상세 내용 지원 플랫폼 Android - 오픈소스이며, 많은 권한을 허용하는 안드로이드 플 랫폼 특성상 주로 많은 어뷰징이 발생하는 플랫폼이라 선지원 - Android 5.0, 샤오미 등 AOSP 테스트 완료 iOS 하반기 지원 예정(현재 프로토타입 개발은 완료) 월 누적 로그량 최대 3억건 루팅 등의 로그가 많음, 현재 최적화로 많이 줄어 듬 적용 앱 수 13개(2014년 5월 12일부터) 7월부터 NHN Ent. 전체 서비스 앱에 모두 순차 적용
17 / 모바일 게임 보안 3. 2 주요 특징 강력한 코드 조작 대응 간편한 적용 직관적인 웹 콘솔 애플리케이션 전 영역을 보안
18 / 모바일 게임 보안 3. 2 주요 특징 영역 구분 기능명 방어 코드 조작 방지 디컴파일 방지(현재 *.SO(COCOS2D-X), *.DLL(Unity3D) 지원 향후 Java도 지원 예정 파일 암호화(현재 COCOS2D-X(*.SO), Unity3D(*.DLL) 지원 향후 Java도 지원 예정 탐지 패턴 치팅 툴, 매크로툴 등(파일, 프로세스, 메모리) 휴리스틱 에뮬레이터, 디버거 등 행위 기반 루팅, 스피드 조작, 에뮬레이터 등 파일 무결성 빌드된 바이너리 파일의 무결성 검증(자바 *.dex, *.so, *.dll 파일에 대한 변조를 탐지) 대응 제재 어뷰징 탐지 시 로그 전송 -> 탐지 로그의 내용과 유저 아이디로 제재 어뷰징 탐지 시 앱 실행 자동 차단(클라이언트) 어뷰징 탐지 시 앱 실행 자동 차단(서버): 1차 시스템 제재 구현 예정
19 / 모바일 게임 보안 3. 3 적용 과정
20 / 모바일 게임 보안 3. 4 실제 동작
21 / 모바일 게임 보안 3. 5 웹 콘솔
22 / 모바일 게임 보안 3. 5 웹 콘솔
Thank You.

Recommended

스프링 시큐리티 구조 이해
스프링 시큐리티 구조 이해스프링 시큐리티 구조 이해
스프링 시큐리티 구조 이해
beom kyun choi
 
XSS Magic tricks
XSS Magic tricksXSS Magic tricks
XSS Magic tricks
GarethHeyes
 
[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다
[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다
[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다
강 민우
 
삶이편해지는_백엔드_개발자_지식.pdf
삶이편해지는_백엔드_개발자_지식.pdf삶이편해지는_백엔드_개발자_지식.pdf
삶이편해지는_백엔드_개발자_지식.pdf
Seung kyoo Park
 
Pentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - AbdullahPentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - Abdullah
idsecconf
 
인프런 - 스타트업 인프랩 시작 사례
인프런 - 스타트업 인프랩 시작 사례인프런 - 스타트업 인프랩 시작 사례
인프런 - 스타트업 인프랩 시작 사례
Hyung Lee
 
NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기
NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기
NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기
Jaeseung Ha
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
GangSeok Lee
 

Recommended

스프링 시큐리티 구조 이해
스프링 시큐리티 구조 이해스프링 시큐리티 구조 이해
스프링 시큐리티 구조 이해
beom kyun choi
 
XSS Magic tricks
XSS Magic tricksXSS Magic tricks
XSS Magic tricks
GarethHeyes
 
[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다
[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다
[IGC2018] 넷마블 이상철 - 모바일 게임 보안 AR(Android Republic) 변조앱 내부를 파헤치다
강 민우
 
삶이편해지는_백엔드_개발자_지식.pdf
삶이편해지는_백엔드_개발자_지식.pdf삶이편해지는_백엔드_개발자_지식.pdf
삶이편해지는_백엔드_개발자_지식.pdf
Seung kyoo Park
 
Pentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - AbdullahPentesting react native application for fun and profit - Abdullah
Pentesting react native application for fun and profit - Abdullah
idsecconf
 
인프런 - 스타트업 인프랩 시작 사례
인프런 - 스타트업 인프랩 시작 사례인프런 - 스타트업 인프랩 시작 사례
인프런 - 스타트업 인프랩 시작 사례
Hyung Lee
 
NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기
NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기
NDC 2017 하재승 NEXON ZERO (넥슨 제로) 점검없이 실시간으로 코드 수정 및 게임 정보 수집하기
Jaeseung Ha
 
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
[2013 CodeEngn Conference 09] Park.Sam - 게임 해킹툴의 변칙적 공격 기법 분석
GangSeok Lee
 
nginx 입문 공부자료
nginx 입문 공부자료nginx 입문 공부자료
nginx 입문 공부자료
choi sungwook
 
Modern C++ 프로그래머를 위한 CPP11/14 핵심
Modern C++ 프로그래머를 위한 CPP11/14 핵심Modern C++ 프로그래머를 위한 CPP11/14 핵심
Modern C++ 프로그래머를 위한 CPP11/14 핵심
흥배 최
 
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
Heungsub Lee
 
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
devCAT Studio, NEXON
 
객체지향 개념 (쫌 아는체 하기)
객체지향 개념 (쫌 아는체 하기)객체지향 개념 (쫌 아는체 하기)
객체지향 개념 (쫌 아는체 하기)
Seung-June Lee
 
Introduction to Spring Boot
Introduction to Spring BootIntroduction to Spring Boot
Introduction to Spring Boot
Trey Howard
 
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
흥배 최
 
Java Deserialization Vulnerabilities - The Forgotten Bug Class
Java Deserialization Vulnerabilities - The Forgotten Bug ClassJava Deserialization Vulnerabilities - The Forgotten Bug Class
Java Deserialization Vulnerabilities - The Forgotten Bug Class
CODE WHITE GmbH
 
OWASP AppSecCali 2015 - Marshalling Pickles
OWASP AppSecCali 2015 - Marshalling PicklesOWASP AppSecCali 2015 - Marshalling Pickles
OWASP AppSecCali 2015 - Marshalling Pickles
Christopher Frohoff
 
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat Security Conference
 
OReilly-Web-Application-Security-NGINX.pdf
OReilly-Web-Application-Security-NGINX.pdfOReilly-Web-Application-Security-NGINX.pdf
OReilly-Web-Application-Security-NGINX.pdf
RazaMehmood7
 
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
min woog kim
 
Dvwa low level
Dvwa low levelDvwa low level
Dvwa low level
hackstuff
 
실시간 게임 서버 최적화 전략
실시간 게임 서버 최적화 전략실시간 게임 서버 최적화 전략
실시간 게임 서버 최적화 전략
YEONG-CHEON YOU
 
오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...
오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...
오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...
Amazon Web Services Korea
 
Massive service basic
Massive service basicMassive service basic
Massive service basic
DaeMyung Kang
 
코드 생성을 사용해 개발 속도 높이기 NDC2011
코드 생성을 사용해 개발 속도 높이기 NDC2011코드 생성을 사용해 개발 속도 높이기 NDC2011
코드 생성을 사용해 개발 속도 높이기 NDC2011
Esun Kim
 
Frans Rosén Keynote at BSides Ahmedabad
Frans Rosén Keynote at BSides AhmedabadFrans Rosén Keynote at BSides Ahmedabad
Frans Rosén Keynote at BSides Ahmedabad
Security BSides Ahmedabad
 
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
Mario Heiderich
 
도메인 주도 설계의 본질
도메인 주도 설계의 본질도메인 주도 설계의 본질
도메인 주도 설계의 본질
Young-Ho Cho
 
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
NAVER D2
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온
시온시큐리티
 

More Related Content

What's hot

Modern C++ 프로그래머를 위한 CPP11/14 핵심
Modern C++ 프로그래머를 위한 CPP11/14 핵심Modern C++ 프로그래머를 위한 CPP11/14 핵심
Modern C++ 프로그래머를 위한 CPP11/14 핵심
흥배 최
 
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
devCAT Studio, NEXON
 
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat Security Conference
 
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
min woog kim
 
코드 생성을 사용해 개발 속도 높이기 NDC2011
코드 생성을 사용해 개발 속도 높이기 NDC2011코드 생성을 사용해 개발 속도 높이기 NDC2011
코드 생성을 사용해 개발 속도 높이기 NDC2011
Esun Kim
 
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
Mario Heiderich
 

What's hot (20)

nginx 입문 공부자료
nginx 입문 공부자료nginx 입문 공부자료
nginx 입문 공부자료
 
Modern C++ 프로그래머를 위한 CPP11/14 핵심
Modern C++ 프로그래머를 위한 CPP11/14 핵심Modern C++ 프로그래머를 위한 CPP11/14 핵심
Modern C++ 프로그래머를 위한 CPP11/14 핵심
 
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
 
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
 
객체지향 개념 (쫌 아는체 하기)
객체지향 개념 (쫌 아는체 하기)객체지향 개념 (쫌 아는체 하기)
객체지향 개념 (쫌 아는체 하기)
 
Introduction to Spring Boot
Introduction to Spring BootIntroduction to Spring Boot
Introduction to Spring Boot
 
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
 
Java Deserialization Vulnerabilities - The Forgotten Bug Class
Java Deserialization Vulnerabilities - The Forgotten Bug ClassJava Deserialization Vulnerabilities - The Forgotten Bug Class
Java Deserialization Vulnerabilities - The Forgotten Bug Class
 
OWASP AppSecCali 2015 - Marshalling Pickles
OWASP AppSecCali 2015 - Marshalling PicklesOWASP AppSecCali 2015 - Marshalling Pickles
OWASP AppSecCali 2015 - Marshalling Pickles
 
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
BlueHat v17 || Dangerous Contents - Securing .Net Deserialization
 
OReilly-Web-Application-Security-NGINX.pdf
OReilly-Web-Application-Security-NGINX.pdfOReilly-Web-Application-Security-NGINX.pdf
OReilly-Web-Application-Security-NGINX.pdf
 
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
 
Dvwa low level
Dvwa low levelDvwa low level
Dvwa low level
 
실시간 게임 서버 최적화 전략
실시간 게임 서버 최적화 전략실시간 게임 서버 최적화 전략
실시간 게임 서버 최적화 전략
 
오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...
오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...
오딘: 발할라 라이징 MMORPG의 성능 최적화 사례 공유 [카카오게임즈 - 레벨 300] - 발표자: 김문권, 팀장, 라이온하트 스튜디오...
 
Massive service basic
Massive service basicMassive service basic
Massive service basic
 
코드 생성을 사용해 개발 속도 높이기 NDC2011
코드 생성을 사용해 개발 속도 높이기 NDC2011코드 생성을 사용해 개발 속도 높이기 NDC2011
코드 생성을 사용해 개발 속도 높이기 NDC2011
 
Frans Rosén Keynote at BSides Ahmedabad
Frans Rosén Keynote at BSides AhmedabadFrans Rosén Keynote at BSides Ahmedabad
Frans Rosén Keynote at BSides Ahmedabad
 
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes,...
 
도메인 주도 설계의 본질
도메인 주도 설계의 본질도메인 주도 설계의 본질
도메인 주도 설계의 본질
 

Similar to 모바일 게임 보안

Android발표자료 홍종진
Android발표자료 홍종진Android발표자료 홍종진
Android발표자료 홍종진
Jong Jin Hong
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
Sang Don Kim
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?
Chulgyu Shin
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?
Chulgyu Shin
 
『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기
복연 이
 

Similar to 모바일 게임 보안 (20)

[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS Serminar
 
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
 
Android발표자료 홍종진
Android발표자료 홍종진Android발표자료 홍종진
Android발표자료 홍종진
 
스마트락 발표자료
스마트락 발표자료스마트락 발표자료
스마트락 발표자료
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
 
『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 

More from TOAST_NHNent

More from TOAST_NHNent (6)

TOAST Meetup2015 - 구름 Cloud IDE (류성태)
TOAST Meetup2015 - 구름 Cloud IDE (류성태)TOAST Meetup2015 - 구름 Cloud IDE (류성태)
TOAST Meetup2015 - 구름 Cloud IDE (류성태)
 
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
 
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
 
네트워크 기본
네트워크 기본네트워크 기본
네트워크 기본
 
Toast cloud analytics
Toast cloud analyticsToast cloud analytics
Toast cloud analytics
 
Toast cloud for beginners
Toast cloud for beginnersToast cloud for beginners
Toast cloud for beginners
 

모바일 게임 보안

  • 1. 모바일 게임 보안 ⓒ 2015 NHN Entertainment Corp. v.1.0 NHN 엔터테인먼트 이창율 2015년 9월 11일
  • 2. 목차 1. 모바일 게임 보안 1.1 루팅, 탈옥 1.2 인앱결제 조작 1.3 메모리 조작 1.4 패킷 조작 1.5 스피드 조작 1.6 데이터 파일과 코드 조작 2. 보안 검수 2.1 웹 검수 2.2 앱 검수 3. 모바일 보안 솔루션 앱가드 3.1 간략한 소개 3.2 주요 특징 3.3 적용 과정 3.4 실제 동작 3.5 웹콘솔
  • 4. 4 / 모바일 게임 보안 1. 0 소개 소속: 응용보안팀 하는 일  검수: 서비스(PC, Web, Mobile) 출시 전 취약성 검토  분석: 악성코드, 게임 치팅, 기타 분석  개발: 자사 보안 솔루션 개발
  • 5. 5 / 모바일 게임 보안 1. 1 루팅, 탈옥 루팅  Android에서 익스플로잇을 이용하여 관리자권한을 획득하는 것을 말함 예) 루트 권한을 가진 시스템의 취약한 기능을 이용하여 원하는 코드를 실행하여 권한 상승 탈옥  iOS의 제한된 폴더만 접근 가능한 Jailed환경을 벗어나 익스플로잇 을 이용하여 무력화하여 임의의 코드를 실행하여 인증서 서명 강제 시스템을 반영구적으로 비활성화하는 행위
  • 6. 6 / 모바일 게임 보안 1. 2 인앱결제 조작 원리: SSL 우회, 가상 결제 서버 결제 대응: 앱스토어와 게임 서버간 영수증 체크
  • 7. 7 / 모바일 게임 보안 1. 3 메모리 조작 원리: ptrace API 사용, 디버깅 등 대응: 메모리 셔플링, 변수 해쉬 검사, 암호화, 감사 로그, 서버 검증
  • 8. 8 / 모바일 게임 보안 1. 4 패킷 조작 원리: 리버스 테더링 등으로 패킷을 캡쳐하여 분석 후 조작 대응: 패킷 암호화, 시리얼 체크, 클라이언트는 단지 뷰어로만
  • 9. 9 / 모바일 게임 보안 1. 5 스피드 조작 원리: 시간 관련 API 후킹 후 조작 대응: 서버 등에서 시간 검증
  • 10. 10 / 모바일 게임 보안 1. 5 데이터 파일과 코드 조작 원리: disunity와 같은 디코딩, 디컴파일 후 코드 분석, 함수 직접 사용, 자바 디컴파일 및 리패키징(apktool, dex2jar, jad-ui) 등 대응: 파일 암호화, 파일 무결성 검사
  • 11. 11 / 모바일 게임 보안 1. 6 데이터 파일과 코드 조작
  • 12. 12 / 모바일 게임 보안 2. 보안 검수
  • 13. 13 / 모바일 게임 보안 2. 1 웹 검수 SQL Injection XSS 요청 및 응답 값 위/변조 원격 실행 임의 파일 다운로드 소스 코드 내 중요 정보 노출 세션 재사용 세션 타임아웃 체크 접근 제어 우회 인증 서버 정보 누출 로그인 비번 계정 정보 노출 관리자 페이지 노출 백업, 임시 파일 제로데이 취약점 패치
  • 14. 14 / 모바일 게임 보안 2. 2 앱 검수 인증 정보 암호화 구매 관련 정보 암호화 여부 IAP 결제 우회 파일 저장 시 암호화 여부 파일 조작 여부 체크 디컴파일 소스 누출 바이너리의 게임 데이터, 코드 수정 가능 여부 패킷 암호화 패킷 재전송 치팅 앱 실행 중요 데이터 조작 시 서버 검증 여부
  • 15. 15 / 모바일 게임 보안 3. 모바일 보안 솔루션 앱가드
  • 16. 16 / 모바일 게임 보안 3. 1 간략한 소개  앱가드는 사용자 편의를 위해 간편한 적용과 단순히 치팅 툴 탐지 기능만이 아닌 디컴파일 방지와 파일 무결성 검증 등의 강력한 기능을 제공하는 모바일 보안 솔루션입니다. 지원 플랫폼과 현황 영역 구분 상세 내용 지원 플랫폼 Android - 오픈소스이며, 많은 권한을 허용하는 안드로이드 플 랫폼 특성상 주로 많은 어뷰징이 발생하는 플랫폼이라 선지원 - Android 5.0, 샤오미 등 AOSP 테스트 완료 iOS 하반기 지원 예정(현재 프로토타입 개발은 완료) 월 누적 로그량 최대 3억건 루팅 등의 로그가 많음, 현재 최적화로 많이 줄어 듬 적용 앱 수 13개(2014년 5월 12일부터) 7월부터 NHN Ent. 전체 서비스 앱에 모두 순차 적용
  • 17. 17 / 모바일 게임 보안 3. 2 주요 특징 강력한 코드 조작 대응 간편한 적용 직관적인 웹 콘솔 애플리케이션 전 영역을 보안
  • 18. 18 / 모바일 게임 보안 3. 2 주요 특징 영역 구분 기능명 방어 코드 조작 방지 디컴파일 방지(현재 *.SO(COCOS2D-X), *.DLL(Unity3D) 지원 향후 Java도 지원 예정 파일 암호화(현재 COCOS2D-X(*.SO), Unity3D(*.DLL) 지원 향후 Java도 지원 예정 탐지 패턴 치팅 툴, 매크로툴 등(파일, 프로세스, 메모리) 휴리스틱 에뮬레이터, 디버거 등 행위 기반 루팅, 스피드 조작, 에뮬레이터 등 파일 무결성 빌드된 바이너리 파일의 무결성 검증(자바 *.dex, *.so, *.dll 파일에 대한 변조를 탐지) 대응 제재 어뷰징 탐지 시 로그 전송 -> 탐지 로그의 내용과 유저 아이디로 제재 어뷰징 탐지 시 앱 실행 자동 차단(클라이언트) 어뷰징 탐지 시 앱 실행 자동 차단(서버): 1차 시스템 제재 구현 예정
  • 19. 19 / 모바일 게임 보안 3. 3 적용 과정
  • 20. 20 / 모바일 게임 보안 3. 4 실제 동작
  • 21. 21 / 모바일 게임 보안 3. 5 웹 콘솔
  • 22. 22 / 모바일 게임 보안 3. 5 웹 콘솔