데일리시큐 주최 2015년 모바일 정보보호 컨퍼런스 MISCON 2015가 지난 2월 12일 한국과학기술회관 대회의실에서 정보보호 실무자 300여 명이 모인 가운데 성황리에 개최됐다. 이 자리에서 엔시큐어 손장군 이사는 ‘모바일 앱 보호 전략, 개발보안과 앱 무결성‘을 주제로 발표를 진행했다.
 
손장군 이사(사진)는 “모바일 앱을 통한 기업의 업무들이 많아지면서 최근 수 년간 국내외는 애플리케이션 해킹으로 인한 수많은 사고들이 발생했으며, 그 피해는 과거와는 비교할 수 없을 정도의 규모로 기업의 존폐를 위협할 정도로 커지게 되었다”며 “모바일 앱에 대한 공격이 만연한 이유는 모바일 디바이스와 앱은 패스워드, 메시지, 전화 기록, 위치 정보, 사진, 연락처 등의 중요 개인정보와 앱을 통한 회사 기밀, 고객정보, 금융 거래정보 등 다양한 중요 데이터로의 접근 경로 이기 때문”이라고 전했다.
 
손 이사의 발표에 따르면, 이러한 모바일 앱에 대한 공격은 일반적으로 앱 개발시 내재된 보안 취약점과 앱에 대한 역공학 분석 및 코드/데이터에 대한 변조를 통해 이루어 진다. 또한 모바일 디바이스의 보안 통제장치를 사용자 스스로 해제 하는 루팅 및 탈옥을 하는 상황에서 모바일 앱은 더 이상 신뢰할 수 있는 환경에서 실행 된다고 보장 받기 어려워 졌다. 예를들어 ‘SuperSu’와 같은 루팅 디바이스 차단 우회 앱을 통해 국내 금융앱이 실행을 금지하고 있는 루팅 환경에서의 금융 거래를 사용자 스스로 우회해 이용하고 있는 실정이다.
 
일반적으로 해커가 모바일 앱을 대상으로 실행하는 공격은 루팅, 탈옥, 보안로직에 대한 우회, 중요 비즈니스 로직에 대한 오용, 앱 내부의 특허 알고리즘의 절도, 암호 키에 대한 추출, 보안취약점 탐색 등 다양하다.
 
기존의 웹 서비스는 개발시 보안취약점을 제거하는 것으로 많은 취약 요소를 감쇠할 수 있었다. 반면 모바일 앱은 네이티브 앱 또는 웹 서비스와 결합하는 하이브리드 형태의 앱으로 서비스 되기때문에, 개발 시 보안 취약점을 제거하는 시큐어코딩과 앱을 분석해 보안 통제 장치를 우회하는 역공학 분석 및 변조 공격 등에 대해서도 보호가 고려되어야 한다고 강조했다.  

 
손 이사는 “모바일 앱 보안 전문 기업인 Arxan사에서 발표한 2014년도 모바일 보안 현황 자료에 따르면, 상위 100개의 상용 안드로이드 앱의 97%, iOS 앱의 87%가 해킹되어 유통되었다”며 “또 애플리케이션 보안에 대한 연구 성과를 제공하는 국제 민간단체인 OWASP에서도 모바일 보안 가이드 라인을 제공하고 있으며, 2014년도 모바일 Top 10 Risk에서는 바이너리 보호에 대한 항목이 추가 되었다. 또 이는 개발시 시큐어코딩과 배포시 바이너리 보호 기술 적용이 필요하다는 의미”이라고 설명했다.
 
특히 손 이사는 “배포시 바이너리 보호를 위해서는 단순 난독화 만으로는 부족하며 가능한 중요 로직은 Intermediate(JAVA, Objective-C 등) 언어 대신 C/C++코드로 구현하고, 코드/데이터에 대한 채크섬, 안티디버깅, 코드 원복 등 다양한 보호 기술을 심층 적용 해야 한다”며 “또한 이러한 기술을 적용함에 있어 적용된 보안 기술이 분석되어 우회되지 않는 자가 방어 기술이 포함되어야 한다”는 점을 강조했다.
 
더불어 엔시큐어 손장군 이사는 앱에 대한 분석 예방, 공격 탐지, 대응의 최신 보호 기술과 그에 따른 보호 기술도 소개했다.
 
엔시큐어 손장군 이사의 MISCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com