SlideShare a Scribd company logo

모바일 게임 보안

Download as PPTX, PDF
TOAST_NHNent
TOAST_NHNent

모바일 게임 보안에 대한 이슈를 설명하고, Toast Cloud를 활용한 보안상 향상에 대한 방향을 설명합니다. Toast Cloud 바로가기: http://cloud.toast.com/

Technology
1 of 23
모바일 게임 보안 ⓒ 2015 NHN Entertainment Corp. v.1.0 NHN 엔터테인먼트 이창율 2015년 9월 11일
목차 1. 모바일 게임 보안 1.1 루팅, 탈옥 1.2 인앱결제 조작 1.3 메모리 조작 1.4 패킷 조작 1.5 스피드 조작 1.6 데이터 파일과 코드 조작 2. 보안 검수 2.1 웹 검수 2.2 앱 검수 3. 모바일 보안 솔루션 앱가드 3.1 간략한 소개 3.2 주요 특징 3.3 적용 과정 3.4 실제 동작 3.5 웹콘솔
1. 모바일 게임 보안
4 / 모바일 게임 보안 1. 0 소개 소속: 응용보안팀 하는 일  검수: 서비스(PC, Web, Mobile) 출시 전 취약성 검토  분석: 악성코드, 게임 치팅, 기타 분석  개발: 자사 보안 솔루션 개발
5 / 모바일 게임 보안 1. 1 루팅, 탈옥 루팅  Android에서 익스플로잇을 이용하여 관리자권한을 획득하는 것을 말함 예) 루트 권한을 가진 시스템의 취약한 기능을 이용하여 원하는 코드를 실행하여 권한 상승 탈옥  iOS의 제한된 폴더만 접근 가능한 Jailed환경을 벗어나 익스플로잇 을 이용하여 무력화하여 임의의 코드를 실행하여 인증서 서명 강제 시스템을 반영구적으로 비활성화하는 행위
6 / 모바일 게임 보안 1. 2 인앱결제 조작 원리: SSL 우회, 가상 결제 서버 결제 대응: 앱스토어와 게임 서버간 영수증 체크
7 / 모바일 게임 보안 1. 3 메모리 조작 원리: ptrace API 사용, 디버깅 등 대응: 메모리 셔플링, 변수 해쉬 검사, 암호화, 감사 로그, 서버 검증
8 / 모바일 게임 보안 1. 4 패킷 조작 원리: 리버스 테더링 등으로 패킷을 캡쳐하여 분석 후 조작 대응: 패킷 암호화, 시리얼 체크, 클라이언트는 단지 뷰어로만
9 / 모바일 게임 보안 1. 5 스피드 조작 원리: 시간 관련 API 후킹 후 조작 대응: 서버 등에서 시간 검증
10 / 모바일 게임 보안 1. 5 데이터 파일과 코드 조작 원리: disunity와 같은 디코딩, 디컴파일 후 코드 분석, 함수 직접 사용, 자바 디컴파일 및 리패키징(apktool, dex2jar, jad-ui) 등 대응: 파일 암호화, 파일 무결성 검사
11 / 모바일 게임 보안 1. 6 데이터 파일과 코드 조작
12 / 모바일 게임 보안 2. 보안 검수
13 / 모바일 게임 보안 2. 1 웹 검수 SQL Injection XSS 요청 및 응답 값 위/변조 원격 실행 임의 파일 다운로드 소스 코드 내 중요 정보 노출 세션 재사용 세션 타임아웃 체크 접근 제어 우회 인증 서버 정보 누출 로그인 비번 계정 정보 노출 관리자 페이지 노출 백업, 임시 파일 제로데이 취약점 패치
14 / 모바일 게임 보안 2. 2 앱 검수 인증 정보 암호화 구매 관련 정보 암호화 여부 IAP 결제 우회 파일 저장 시 암호화 여부 파일 조작 여부 체크 디컴파일 소스 누출 바이너리의 게임 데이터, 코드 수정 가능 여부 패킷 암호화 패킷 재전송 치팅 앱 실행 중요 데이터 조작 시 서버 검증 여부
15 / 모바일 게임 보안 3. 모바일 보안 솔루션 앱가드
16 / 모바일 게임 보안 3. 1 간략한 소개  앱가드는 사용자 편의를 위해 간편한 적용과 단순히 치팅 툴 탐지 기능만이 아닌 디컴파일 방지와 파일 무결성 검증 등의 강력한 기능을 제공하는 모바일 보안 솔루션입니다. 지원 플랫폼과 현황 영역 구분 상세 내용 지원 플랫폼 Android - 오픈소스이며, 많은 권한을 허용하는 안드로이드 플 랫폼 특성상 주로 많은 어뷰징이 발생하는 플랫폼이라 선지원 - Android 5.0, 샤오미 등 AOSP 테스트 완료 iOS 하반기 지원 예정(현재 프로토타입 개발은 완료) 월 누적 로그량 최대 3억건 루팅 등의 로그가 많음, 현재 최적화로 많이 줄어 듬 적용 앱 수 13개(2014년 5월 12일부터) 7월부터 NHN Ent. 전체 서비스 앱에 모두 순차 적용
17 / 모바일 게임 보안 3. 2 주요 특징 강력한 코드 조작 대응 간편한 적용 직관적인 웹 콘솔 애플리케이션 전 영역을 보안
18 / 모바일 게임 보안 3. 2 주요 특징 영역 구분 기능명 방어 코드 조작 방지 디컴파일 방지(현재 *.SO(COCOS2D-X), *.DLL(Unity3D) 지원 향후 Java도 지원 예정 파일 암호화(현재 COCOS2D-X(*.SO), Unity3D(*.DLL) 지원 향후 Java도 지원 예정 탐지 패턴 치팅 툴, 매크로툴 등(파일, 프로세스, 메모리) 휴리스틱 에뮬레이터, 디버거 등 행위 기반 루팅, 스피드 조작, 에뮬레이터 등 파일 무결성 빌드된 바이너리 파일의 무결성 검증(자바 *.dex, *.so, *.dll 파일에 대한 변조를 탐지) 대응 제재 어뷰징 탐지 시 로그 전송 -> 탐지 로그의 내용과 유저 아이디로 제재 어뷰징 탐지 시 앱 실행 자동 차단(클라이언트) 어뷰징 탐지 시 앱 실행 자동 차단(서버): 1차 시스템 제재 구현 예정
19 / 모바일 게임 보안 3. 3 적용 과정
20 / 모바일 게임 보안 3. 4 실제 동작
21 / 모바일 게임 보안 3. 5 웹 콘솔
22 / 모바일 게임 보안 3. 5 웹 콘솔
Thank You.

Recommended

Modern C++의 타입 추론과 람다, 컨셉
Modern C++의 타입 추론과 람다, 컨셉Modern C++의 타입 추론과 람다, 컨셉
Modern C++의 타입 추론과 람다, 컨셉HyunJoon Park
 
전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013
전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013
전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013devCAT Studio, NEXON
 
Overlapped IO와 IOCP 조사 발표
Overlapped IO와 IOCP 조사 발표Overlapped IO와 IOCP 조사 발표
Overlapped IO와 IOCP 조사 발표Kwen Won Lee
 
Iocp 기본 구조 이해
Iocp 기본 구조 이해Iocp 기본 구조 이해
Iocp 기본 구조 이해Nam Hyeonuk
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 
Application Profiling for Memory and Performance
Application Profiling for Memory and PerformanceApplication Profiling for Memory and Performance
Application Profiling for Memory and Performancepradeepfn
 
Windows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCPWindows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCPSeungmo Koo
 
Windows logging cheat sheet
Windows logging cheat sheetWindows logging cheat sheet
Windows logging cheat sheetMichael Gough
 

Recommended

Modern C++의 타입 추론과 람다, 컨셉
Modern C++의 타입 추론과 람다, 컨셉Modern C++의 타입 추론과 람다, 컨셉
Modern C++의 타입 추론과 람다, 컨셉HyunJoon Park
 
전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013
전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013
전형규, M2 클라이언트 스레딩 아키텍쳐, NDC2013devCAT Studio, NEXON
 
Overlapped IO와 IOCP 조사 발표
Overlapped IO와 IOCP 조사 발표Overlapped IO와 IOCP 조사 발표
Overlapped IO와 IOCP 조사 발표Kwen Won Lee
 
Iocp 기본 구조 이해
Iocp 기본 구조 이해Iocp 기본 구조 이해
Iocp 기본 구조 이해Nam Hyeonuk
 
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규
[NDC07] 게임 개발에서의 클라이언트 보안 - 송창규ChangKyu Song
 
Application Profiling for Memory and Performance
Application Profiling for Memory and PerformanceApplication Profiling for Memory and Performance
Application Profiling for Memory and Performancepradeepfn
 
Windows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCPWindows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCPSeungmo Koo
 
Windows logging cheat sheet
Windows logging cheat sheetWindows logging cheat sheet
Windows logging cheat sheetMichael Gough
 
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games ConferenceKGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games ConferenceXionglong Jin
 
라이브 서비스를 위한 게임 서버 구성
라이브 서비스를 위한 게임 서버 구성라이브 서비스를 위한 게임 서버 구성
라이브 서비스를 위한 게임 서버 구성Hyunjik Bae
 
임태현, 게임 서버 디자인 가이드, NDC2013
임태현, 게임 서버 디자인 가이드, NDC2013임태현, 게임 서버 디자인 가이드, NDC2013
임태현, 게임 서버 디자인 가이드, NDC2013devCAT Studio, NEXON
 
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012Esun Kim
 
Windows IOCP vs Linux EPOLL Performance Comparison
Windows IOCP vs Linux EPOLL Performance ComparisonWindows IOCP vs Linux EPOLL Performance Comparison
Windows IOCP vs Linux EPOLL Performance ComparisonSeungmo Koo
 
Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용흥배 최
 
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterX-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterMasato Kinugawa
 
Building Advanced XSS Vectors
Building Advanced XSS VectorsBuilding Advanced XSS Vectors
Building Advanced XSS VectorsRodolfo Assis (Brute)
 
What should a hacker know about WebDav?
What should a hacker know about WebDav?What should a hacker know about WebDav?
What should a hacker know about WebDav?Mikhail Egorov
 
Multithread & shared_ptr
Multithread & shared_ptrMultithread & shared_ptr
Multithread & shared_ptr내훈 정
 
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버Heungsub Lee
 
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019devCAT Studio, NEXON
 
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018devCAT Studio, NEXON
 
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019min woog kim
 
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018devCAT Studio, NEXON
 
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.Mikhail Egorov
 
How To Become Better Engineer
How To Become Better EngineerHow To Become Better Engineer
How To Become Better EngineerDaeMyung Kang
 
How to Test for The OWASP Top Ten
How to Test for The OWASP Top Ten How to Test for The OWASP Top Ten
How to Test for The OWASP Top TenSecurity Innovation
 
Iocp advanced
Iocp advancedIocp advanced
Iocp advancedNam Hyeonuk
 
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기Chris Ohk
 
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비NAVER D2
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온시온시큐리티
 

More Related Content

What's hot

KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games ConferenceKGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games ConferenceXionglong Jin
 
라이브 서비스를 위한 게임 서버 구성
라이브 서비스를 위한 게임 서버 구성라이브 서비스를 위한 게임 서버 구성
라이브 서비스를 위한 게임 서버 구성Hyunjik Bae
 
임태현, 게임 서버 디자인 가이드, NDC2013
임태현, 게임 서버 디자인 가이드, NDC2013임태현, 게임 서버 디자인 가이드, NDC2013
임태현, 게임 서버 디자인 가이드, NDC2013devCAT Studio, NEXON
 
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012Esun Kim
 
Windows IOCP vs Linux EPOLL Performance Comparison
Windows IOCP vs Linux EPOLL Performance ComparisonWindows IOCP vs Linux EPOLL Performance Comparison
Windows IOCP vs Linux EPOLL Performance ComparisonSeungmo Koo
 
Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용흥배 최
 
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterX-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterMasato Kinugawa
 
What should a hacker know about WebDav?
What should a hacker know about WebDav?What should a hacker know about WebDav?
What should a hacker know about WebDav?Mikhail Egorov
 
Multithread & shared_ptr
Multithread & shared_ptrMultithread & shared_ptr
Multithread & shared_ptr내훈 정
 
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버Heungsub Lee
 
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019devCAT Studio, NEXON
 
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018devCAT Studio, NEXON
 
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019min woog kim
 
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018devCAT Studio, NEXON
 
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.Mikhail Egorov
 
How To Become Better Engineer
How To Become Better EngineerHow To Become Better Engineer
How To Become Better EngineerDaeMyung Kang
 
How to Test for The OWASP Top Ten
How to Test for The OWASP Top Ten How to Test for The OWASP Top Ten
How to Test for The OWASP Top TenSecurity Innovation
 
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기Chris Ohk
 

What's hot (20)

KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games ConferenceKGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
KGC 2016: HTTPS 로 모바일 게임 서버 구축한다는 것 - Korea Games Conference
 
라이브 서비스를 위한 게임 서버 구성
라이브 서비스를 위한 게임 서버 구성라이브 서비스를 위한 게임 서버 구성
라이브 서비스를 위한 게임 서버 구성
 
임태현, 게임 서버 디자인 가이드, NDC2013
임태현, 게임 서버 디자인 가이드, NDC2013임태현, 게임 서버 디자인 가이드, NDC2013
임태현, 게임 서버 디자인 가이드, NDC2013
 
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
자동화된 소스 분석, 처리, 검증을 통한 소스의 불필요한 #if - #endif 제거하기 NDC2012
 
Windows IOCP vs Linux EPOLL Performance Comparison
Windows IOCP vs Linux EPOLL Performance ComparisonWindows IOCP vs Linux EPOLL Performance Comparison
Windows IOCP vs Linux EPOLL Performance Comparison
 
Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용Twitter의 snowflake 소개 및 활용
Twitter의 snowflake 소개 및 활용
 
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS FilterX-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
X-XSS-Nightmare: 1; mode=attack XSS Attacks Exploiting XSS Filter
 
Building Advanced XSS Vectors
Building Advanced XSS VectorsBuilding Advanced XSS Vectors
Building Advanced XSS Vectors
 
What should a hacker know about WebDav?
What should a hacker know about WebDav?What should a hacker know about WebDav?
What should a hacker know about WebDav?
 
Multithread & shared_ptr
Multithread & shared_ptrMultithread & shared_ptr
Multithread & shared_ptr
 
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버
 
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
홍성우, 게임 서버의 목차 - 시작부터 출시까지, NDC2019
 
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
윤석주, 인하우스 웹 프레임워크 Jul8 제작기, NDC2018
 
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
김민욱, (달빛조각사) 엘릭서를 이용한 mmorpg 서버 개발, NDC2019
 
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
전형규, 좋은 이름, 나쁜 이름, 이상한 이름, NDC2018
 
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
What’s wrong with WebSocket APIs? Unveiling vulnerabilities in WebSocket APIs.
 
How To Become Better Engineer
How To Become Better EngineerHow To Become Better Engineer
How To Become Better Engineer
 
How to Test for The OWASP Top Ten
How to Test for The OWASP Top Ten How to Test for The OWASP Top Ten
How to Test for The OWASP Top Ten
 
Iocp advanced
Iocp advancedIocp advanced
Iocp advanced
 
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
[C++ Korea 3rd Seminar] 새 C++은 새 Visual Studio에, 좌충우돌 마이그레이션 이야기
 

Similar to 모바일 게임 보안

[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비NAVER D2
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온시온시큐리티
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarYongjun Park
 
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요NAVER D2
 
Android발표자료 홍종진
Android발표자료 홍종진Android발표자료 홍종진
Android발표자료 홍종진Jong Jin Hong
 
스마트락 발표자료
스마트락 발표자료스마트락 발표자료
스마트락 발표자료lgllee
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408Justin Shin
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015 Chanjin Park
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구Youngjun Chang
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)Sang Don Kim
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안창열 최
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?Chulgyu Shin
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?Chulgyu Shin
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista SecurityYoungjun Chang
 
『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기복연 이
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 시온시큐리티
 

Similar to 모바일 게임 보안 (20)

[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
[1D7]안드로이드 L-Preview 보안 아키텍처 및 설비
 
2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온2014_서버용 자료유출방지 솔루션_시온
2014_서버용 자료유출방지 솔루션_시온
 
Mobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS SerminarMobile security & security testing - Speaker at CSS Serminar
Mobile security & security testing - Speaker at CSS Serminar
 
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
[1B3]모바일 앱 크래시 네이버에서는 어떻게 수집하고 보여줄까요
 
Android발표자료 홍종진
Android발표자료 홍종진Android발표자료 홍종진
Android발표자료 홍종진
 
스마트락 발표자료
스마트락 발표자료스마트락 발표자료
스마트락 발표자료
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
All In One MDM솔루션_Mobile watcher 제안서_korean_20140408
 
Mobile app security nov 2015
Mobile app security nov 2015 Mobile app security nov 2015
Mobile app security nov 2015
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
[Td 2015]windows 10 엔터프라이즈 시나리오 part II 보안 및 관리(권순만)
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?
 
앱이냐?웹이냐?
앱이냐?웹이냐?앱이냐?웹이냐?
앱이냐?웹이냐?
 
해킹과 보안
해킹과 보안해킹과 보안
해킹과 보안
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
 
201412 epp mdm_시온
201412 epp mdm_시온201412 epp mdm_시온
201412 epp mdm_시온
 
『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기『안드로이드 시큐리티 인터널』 - 미리보기
『안드로이드 시큐리티 인터널』 - 미리보기
 
내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안 내부자정보유출방지 : 엔드포인트 통합보안
내부자정보유출방지 : 엔드포인트 통합보안
 

More from TOAST_NHNent

TOAST Meetup2015 - 구름 Cloud IDE (류성태)
TOAST Meetup2015 - 구름 Cloud IDE (류성태)TOAST Meetup2015 - 구름 Cloud IDE (류성태)
TOAST Meetup2015 - 구름 Cloud IDE (류성태)TOAST_NHNent
 
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)TOAST_NHNent
 
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형TOAST_NHNent
 
Toast cloud analytics
Toast cloud analyticsToast cloud analytics
Toast cloud analyticsTOAST_NHNent
 
Toast cloud for beginners
Toast cloud for beginnersToast cloud for beginners
Toast cloud for beginnersTOAST_NHNent
 

More from TOAST_NHNent (6)

TOAST Meetup2015 - 구름 Cloud IDE (류성태)
TOAST Meetup2015 - 구름 Cloud IDE (류성태)TOAST Meetup2015 - 구름 Cloud IDE (류성태)
TOAST Meetup2015 - 구름 Cloud IDE (류성태)
 
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
TOAST Meetup2015 - TOAST Cloud XaaS framework architecture (문지응)
 
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
TOAST Meetup2015 - TOAST Cloud tenant isolation / 김태형
 
네트워크 기본
네트워크 기본네트워크 기본
네트워크 기본
 
Toast cloud analytics
Toast cloud analyticsToast cloud analytics
Toast cloud analytics
 
Toast cloud for beginners
Toast cloud for beginnersToast cloud for beginners
Toast cloud for beginners
 

모바일 게임 보안

  • 1. 모바일 게임 보안 ⓒ 2015 NHN Entertainment Corp. v.1.0 NHN 엔터테인먼트 이창율 2015년 9월 11일
  • 2. 목차 1. 모바일 게임 보안 1.1 루팅, 탈옥 1.2 인앱결제 조작 1.3 메모리 조작 1.4 패킷 조작 1.5 스피드 조작 1.6 데이터 파일과 코드 조작 2. 보안 검수 2.1 웹 검수 2.2 앱 검수 3. 모바일 보안 솔루션 앱가드 3.1 간략한 소개 3.2 주요 특징 3.3 적용 과정 3.4 실제 동작 3.5 웹콘솔
  • 4. 4 / 모바일 게임 보안 1. 0 소개 소속: 응용보안팀 하는 일  검수: 서비스(PC, Web, Mobile) 출시 전 취약성 검토  분석: 악성코드, 게임 치팅, 기타 분석  개발: 자사 보안 솔루션 개발
  • 5. 5 / 모바일 게임 보안 1. 1 루팅, 탈옥 루팅  Android에서 익스플로잇을 이용하여 관리자권한을 획득하는 것을 말함 예) 루트 권한을 가진 시스템의 취약한 기능을 이용하여 원하는 코드를 실행하여 권한 상승 탈옥  iOS의 제한된 폴더만 접근 가능한 Jailed환경을 벗어나 익스플로잇 을 이용하여 무력화하여 임의의 코드를 실행하여 인증서 서명 강제 시스템을 반영구적으로 비활성화하는 행위
  • 6. 6 / 모바일 게임 보안 1. 2 인앱결제 조작 원리: SSL 우회, 가상 결제 서버 결제 대응: 앱스토어와 게임 서버간 영수증 체크
  • 7. 7 / 모바일 게임 보안 1. 3 메모리 조작 원리: ptrace API 사용, 디버깅 등 대응: 메모리 셔플링, 변수 해쉬 검사, 암호화, 감사 로그, 서버 검증
  • 8. 8 / 모바일 게임 보안 1. 4 패킷 조작 원리: 리버스 테더링 등으로 패킷을 캡쳐하여 분석 후 조작 대응: 패킷 암호화, 시리얼 체크, 클라이언트는 단지 뷰어로만
  • 9. 9 / 모바일 게임 보안 1. 5 스피드 조작 원리: 시간 관련 API 후킹 후 조작 대응: 서버 등에서 시간 검증
  • 10. 10 / 모바일 게임 보안 1. 5 데이터 파일과 코드 조작 원리: disunity와 같은 디코딩, 디컴파일 후 코드 분석, 함수 직접 사용, 자바 디컴파일 및 리패키징(apktool, dex2jar, jad-ui) 등 대응: 파일 암호화, 파일 무결성 검사
  • 11. 11 / 모바일 게임 보안 1. 6 데이터 파일과 코드 조작
  • 12. 12 / 모바일 게임 보안 2. 보안 검수
  • 13. 13 / 모바일 게임 보안 2. 1 웹 검수 SQL Injection XSS 요청 및 응답 값 위/변조 원격 실행 임의 파일 다운로드 소스 코드 내 중요 정보 노출 세션 재사용 세션 타임아웃 체크 접근 제어 우회 인증 서버 정보 누출 로그인 비번 계정 정보 노출 관리자 페이지 노출 백업, 임시 파일 제로데이 취약점 패치
  • 14. 14 / 모바일 게임 보안 2. 2 앱 검수 인증 정보 암호화 구매 관련 정보 암호화 여부 IAP 결제 우회 파일 저장 시 암호화 여부 파일 조작 여부 체크 디컴파일 소스 누출 바이너리의 게임 데이터, 코드 수정 가능 여부 패킷 암호화 패킷 재전송 치팅 앱 실행 중요 데이터 조작 시 서버 검증 여부
  • 15. 15 / 모바일 게임 보안 3. 모바일 보안 솔루션 앱가드
  • 16. 16 / 모바일 게임 보안 3. 1 간략한 소개  앱가드는 사용자 편의를 위해 간편한 적용과 단순히 치팅 툴 탐지 기능만이 아닌 디컴파일 방지와 파일 무결성 검증 등의 강력한 기능을 제공하는 모바일 보안 솔루션입니다. 지원 플랫폼과 현황 영역 구분 상세 내용 지원 플랫폼 Android - 오픈소스이며, 많은 권한을 허용하는 안드로이드 플 랫폼 특성상 주로 많은 어뷰징이 발생하는 플랫폼이라 선지원 - Android 5.0, 샤오미 등 AOSP 테스트 완료 iOS 하반기 지원 예정(현재 프로토타입 개발은 완료) 월 누적 로그량 최대 3억건 루팅 등의 로그가 많음, 현재 최적화로 많이 줄어 듬 적용 앱 수 13개(2014년 5월 12일부터) 7월부터 NHN Ent. 전체 서비스 앱에 모두 순차 적용
  • 17. 17 / 모바일 게임 보안 3. 2 주요 특징 강력한 코드 조작 대응 간편한 적용 직관적인 웹 콘솔 애플리케이션 전 영역을 보안
  • 18. 18 / 모바일 게임 보안 3. 2 주요 특징 영역 구분 기능명 방어 코드 조작 방지 디컴파일 방지(현재 *.SO(COCOS2D-X), *.DLL(Unity3D) 지원 향후 Java도 지원 예정 파일 암호화(현재 COCOS2D-X(*.SO), Unity3D(*.DLL) 지원 향후 Java도 지원 예정 탐지 패턴 치팅 툴, 매크로툴 등(파일, 프로세스, 메모리) 휴리스틱 에뮬레이터, 디버거 등 행위 기반 루팅, 스피드 조작, 에뮬레이터 등 파일 무결성 빌드된 바이너리 파일의 무결성 검증(자바 *.dex, *.so, *.dll 파일에 대한 변조를 탐지) 대응 제재 어뷰징 탐지 시 로그 전송 -> 탐지 로그의 내용과 유저 아이디로 제재 어뷰징 탐지 시 앱 실행 자동 차단(클라이언트) 어뷰징 탐지 시 앱 실행 자동 차단(서버): 1차 시스템 제재 구현 예정
  • 19. 19 / 모바일 게임 보안 3. 3 적용 과정
  • 20. 20 / 모바일 게임 보안 3. 4 실제 동작
  • 21. 21 / 모바일 게임 보안 3. 5 웹 콘솔
  • 22. 22 / 모바일 게임 보안 3. 5 웹 콘솔