표제지
목차
약어표 8
논문요약 9
제1장 서론 10
제2장 관련연구 13
제1절 Proxy 13
1.1. Proxy 개념 13
1.2. Proxy 특징 14
1.3. Proxy 실험 환경 및 방법 16
1.4. 모바일 애플리케이션 Proxy 실험 환경 및 방법 23
제2절 모바일 애플리케이션 SSL Pinning 29
2.1. 모바일 애플리케이션 SSL Pinning 개념 29
2.2. 모바일 애플리케이션 SSL Pinning 특징 31
제3장 모바일 애플리케이션의 SSL Pinning 우회 33
제1절 모바일 애플리케이션의 SSL Pinning 우회 개념 33
제2절 모바일 애플리케이션의 SSL Pinning 우회 실험 환경 및 방법 35
제3절 모바일 애플리케이션의 SSL Pinning 우회 대응방안 42
제4장 결론 46
참고문헌 47
ABSTRACT 49
[표 1-1] 국내 침해사고 사례 목록 10
[표 2-1] Proxy 종류와 내용 15
[표 2-2] 웹 애플리케이션 Proxy 환경 17
[표 2-3] Burp Suite 기능 설명 20
[표 2-4] 웹 취약점 진단 유형 22
[표 2-5] 모바일 애플리케이션 취약점 진단 유형 28
[표 3-1] Android, iOS 플랫폼 해킹 탐지 대상 예시 42
[표 3-2] Android, iOS 플랫폼 해킹 탐지 우회 프로그램 예시 43
[그림 2-1] 웹 프록시 서버 14
[그림 2-2] 웹 애플리케이션 Proxy 구조 16
[그림 2-3] 웹 브라우저 Internet Explorer에서 Proxy 설정 17
[그림 2-4] Burp Suite에서 Proxy Listeners 설정 (loopback IP) 18
[그림 2-5] Proxy 설정 오류일 때 웹 브라우저에서 출력되는 에러 메시지 18
[그림 2-6] Proxy 설정 정상일 때 웹 브라우저에서 출력되는 화면 19
[그림 2-7] 포털 사이트 http://www.naver.com/ 접속 요청 패킷 19
[그림 2-8] 포털 사이트 http://www.naver.com/ 접속 응답 패킷 20
[그림 2-9] PC에 설정된 IP 확인 23
[그림 2-10] Burp Suite에서 PC에 설정된 IP로 설정 24
[그림 2-11] Support invisible proxying (enable only if needed) 체크 24
[그림 2-12] IP, Port Proxy 설정 완료 25
[그림 2-13] '네트워크 설정 관리' 메뉴에서 '고급 옵션 표시' 체크 25
[그림 2-14] 프록시 '수동' 선택 후 IP, Port 설정 26
[그림 2-15] NAVER 모바일 애플리케이션이 실행됨 26
[그림 2-16] Android 모바일 애플리케이션 송·수신 패킷 확인 27
[그림 2-17] iOS 모바일 애플리케이션 송·수신 패킷 확인 27
[그림 2-18] SSL Handshake 및 채널 보안 처리 흐름 29
[그림 2-19] SSL MiTM 공격 30
[그림 2-20] SSL Pinning 처리 흐름 31
[그림 2-21] Android 스마트폰에서 Instagram 에러 메시지 32
[그림 2-22] iOS 스마트폰에서 Instagram 에러 메시지 32
[그림 3-1] Android SSL Trust Killer 설치 완료 35
[그림 3-2] Cydia Substrate 모바일 애플리케이션 설치 36
[그림 3-3] Link Substrate Files 버튼 클릭 36
[그림 3-4] Restart System (Soft) 버튼 클릭 37
[그림 3-5] 에러 메시지 없이 정상적으로 출력됨 37
[그림 3-6] HTTPS 프로토콜 송·수신 패킷 분석 가능 38
[그림 3-7] 확장자 *.deb 파일 다운로드 39
[그림 3-8] iFunbox를 이용하여 iOS 스마트폰에 *.deb 파일 삽입 39
[그림 3-9] SSL Kill Switch 도구 설치 및 스프링보드 재실행 40
[그림 3-10] SSL Kill Switch 도구가 생성됨 40
[그림 3-11] 'Disable Certificate Validation' 활성화 41
[그림 3-12] HTTPS 프로토콜 송·수신 패킷 분석 가능 41
[그림 3-13] 플랫폼 해킹 탐지 메시지 예시 45