애플리케이션 및 IT인프라 보안 기업 엔시큐어(대표 문성준 ensecure.co.kr)는 22일 국내 카드사 두 곳에 금융앱 보안 솔루션 공급 계약을 맺었다고 밝혔다.
 
수주한 솔루션은 악산 테크놀로지사(Arxan Technology)의 가드잇(GuardIT)과 인슈어잇(EnsureIT)으로 데스크톱, 서버, 모바일, 임베디드에 배포된 모바일 앱, 디지털저작권관리(DRM), 게임, 스트리밍 서비스 등 다양한 애플리케이션의 리버스엔지니어링 즉, 프로그램의 변조 및 보안 우회를 원천적으로 차단하는 솔루션이다.
 
모바일 환경에서 금융 서비스를 제공하는 국내외 금융앱은 전자금융 보안성 확보를 위해 난독화, 암호화, 무결성 검증, 탈옥/루팅폰 통제 등의 보안솔루션을 도입하여 운용 하고 있다. 그러나 해커의 공격에 대비해 보안성이 낮은 솔루션 적용으로 인해 해커가 코드를 쉽게 파악해 보안을 침해할 수 있기 때문에 사실상 소프트웨어 불법 복제 및 조작을 방지하기 위한 방법으로는 턱없이 부족한 상황이다.
 
특히 신뢰할 수 없는 환경에서 배포되는 모바일 및 임베디드 애플리케이션은 일반적으로 코드기반 공격에 취약하며 해커들은 보통 애플리케이션 코드를 풀어 디버깅함으로써 핵심 알고리즘을 검색한 후 소프트웨어를 손상시키는 공격을 수행한다.
 
가드잇과 인슈어잇은 ‘침해에 대한 방어, 공격에 대한 탐지, 공격에 대한 경보 및 반응’ 세 단계로 구성되어, 각각 난독화, 암호화, 체크섬, 안티디버그, 원복, 경보 등의 기능을 통해 애플리케이션의 무결성을 보호하고 있다.
 
애플리케이션 바이너리의 강화를 통해 해킹폰 탐지 코드, 리소스 보호 코드 등 적용된 보안 코드 우회에 대해 원천 방지 및 차단하고 C/C++, Objective-C, JAVA로 작성된 애플 iOS 및 안드로이드 기반에서 작동되는 애플리케이션에 대한 침해 리버싱 시도에 대해 탐지 및 방어한다. 또한 바이너리는 릴리즈 시 마다 다른 바이너리를 생성해 이전 버전의 분석 정보를 무력화 시킨다.
 
특히 Android, Apple iOS, WIndows Phone, Tizen, Linux, Power PC, Windows, Mac OSX의 다양한 기반에서 작동하는 애플리케이션에 대한 보호를 지원하며, 국내에서 iOS플랫폼에 대한 보호를 지원하는 유일한 솔루션이다.
 
손장군 엔시큐어 이사는 “이번에 수주한 두 카드사의 경우, 기존에 적용했던 운영체제 변조 및 위변조 탐지, 난독화 등 다양한 애플리케이션 보호 솔루션을 통합하여 대체했다는 것과 더불어 보안성 또한 세계적 수준으로 대폭 상향시켜 적용했다는 데에 큰 의미가 있다”며 “기존에 설치된 솔루션들이 각각 다른 회사의 제품이기에 상호 호환성 및 안정성 문제 등 서비스 품질 유지 및 관리에 어려움이 많았는데, 이번 계약을 통해 이러한 문제점을 단일 솔루션으로 해결하고 운용비용 또한 대폭 절약한 결과를 낳을 것이다”라고 전했다.
 
한편 엔시큐어는 애플리케이션 무결성 방어 솔루션 이외에도 시큐어 코딩, 보안 성숙도 측정 솔루션 및 컨설팅 서비스를 제공하고 있으며, 국내 주요 금융사, 제조사, 게임사, 공공기관 등 300여 고객을 확보하고 있다.
 
엔시큐어는 국내 애플리케이션 보안 분야의 전문 기업으로, 2008년 창립 이후 지속적으로 양질의 정보보안 솔루션 및 컨설팅 서비스를 제공하고 있다. 특히 엔시큐어만의 고도의 기술력 및 시스템 구축 노하우, 정보보호 컨설팅 능력을 기반으로 ‘시큐어코딩 통합관리 솔루션’, ‘일체형 통합계정권한관리 시스템’, ‘정보보안 이러닝 서비스’ 등 보다 더 나은 솔루션 및 서비스를 제공하기 위해 노력하고 있으며, 국내 주요 금융 및 제조, 유통, 게임 등 다양한 레퍼런스를 보유하고 있다. 또한 HP, CA, Arxan, Cigital의 국내 총판을 담당하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com