최근 스마트폰은 PC만큼 강력한 연산장치와 Wi-Fi, 3G 등의 무선통신 기술을 통해 사용자가 인터넷 기반의 정보를 더욱 효율적으로 활용할 수 있는 서비스 및 어플리케이션을 제공한다. 반면에 스마트폰에는 신용카드, 연락처, ID정보 등 PC보다 더 많은 개인 정보를 보유하고 있기 때문에 그만큼 악성코드에 의한 해킹사고에 노출될 개연성이 높다. 실제로 국내에서 Terdial과 같이 의도하지 않은 국제전화를 유도하는 모바일 악성코드가 출현한 바 있다. 본 논문에서는 윈도우 CE 커널에서 SMS 관리 기능의 취약점을 분석하고, 이를 이용한 모바일 결제 승인용 SMS 인증코드를 가로채어 금전적 손실을 유발하는 악성코드가 윈도우 모바일이 탑재된 스마트폰에 동작 가능함을 실험을 통해 보고한다. 또한 실험 분석결과를 토대로 응용프로그램 및 OS 계층에서의 스마트폰 해킹 대응방안에 대해 고찰해 본다.
Recently smartphones provide a variety of Internet-based personalized services and applications with the benefit of the advanced wireless technologies such as Wi-Fi and 3G, and the advance of computation power as much as a personal computer. They necessarily contain lots of personal information such as credit cards, contacts, personal identities for the intelligent service provisioning. However, the intensive belonging of valuable private data on the smartphone will be hacking target by the potential attackers. For example. the mobile malware called Terdial which makes unintentional international calls has been introduced. In this paper, we analyze vulnerabilities of SMS management on Windows CE kernel. Using these, we develop a potential mal ware that incurs financial theft by intercepting the SMS authorization code for mobile payments. Also, we propose the countermeasure against such malicious attacks at the different viewpoints of application and OS layers with thorough analysis of our experimental results.
