2019-12-11 01:43 (수)
신동휘 스틸리언 이사 "모바일 앱, 암호화 키 보호 되고 있나?"
상태바
신동휘 스틸리언 이사 "모바일 앱, 암호화 키 보호 되고 있나?"
  • 길민권
  • 승인 2016.03.01 02:29
이 기사를 공유합니다

신동휘 스틸리언 이사 “알고리즘과 키 담고 있는 파일도 보호해야”
지난 2월 17일 데일리시큐 주최 2016 모바일 정보보호 컨퍼런스(MISCON 2016)가 300여 명의 공공, 기업, 금융 정보보호 담당자가 참가한 가운데 역삼동 포스코P&S타워 이벤트홀에서 성황리에 개최됐다.
 
이 자리에서 스틸리언(대표 박찬암) 신동휘 이사는 ‘앱보안 누가 왜 필요한가’란 주제로 발표를 진행해 참관객들의 큰 호응을 얻었다.

 
신동휘 이사(사진)는 모바일 앱 보안의 필요성에 대해 “기업의 모바일 앱은 중요한 자산이 됐다. 자산에 대한 위협이 존재할 경우 보안 필요성은 필수적”이라며 “모바일 앱에 대한 위협 대부분은 악성앱에 대한 피해 위주로 논의됐다. 따라서 앱 자체가 기업이 지켜야 할 자산이며 위변조 방지가 중요시되고 있다. 물론 위변조 이외 기기의 무결성, 난독화, 암호화, 역공학 방지 등의 기능이 부각되고 있다. 위변조에만 초점을 맞추던 시대를 지나 모바일 앱에 대한 전반적 보안을 고민하면서 나타난 현상”이라고 설명했다.
 
신 이사의 발표 내용을 정리해 보면 이렇다.
 
◇모바일 앱 보안 위협과 보호 필요성
공격자들은 앱 위변조로 만들어진 악성앱을 배포해 사용자 개인정보 및 금융정보와 사진, 메신저 대화 유출 및 도청 등의 피해를 유발할 수 있다. 또 스미싱을 통해 정보유출 피해 사례도 계속 발생하고 있다.
 
악성 해커들은 모바일 앱 분석을 통해 서버들에 대한 직접적인 공격이 가능하다. 모바일 앱은 코드와 리소스로 이루어져 있으며 코드와 리소스의 접점을 해커들이 공격하기 때문에 접점에 대한 접근통제를 위한 모바일 앱 보안이 필요하다.
 
악성앱 공격자들은 끊임 없이 연구하고 노력하고 있다. 최근 악성앱들은 보안기능까지 사용하고 있다. 악성앱의 행위 정보를 담고 있는 코드 내용과 수집하는 정보를 저장, 관리하는 서버 주소와 정보를 보호하기 위해서다.
 
모바일 인스턴트메신저와 SNS, 게임, 쇼핑, 뱅킹 사용자는 날로 증가하고 있다. 특히 모바일 인터넷 이용자의 99.1%가 모바일 인스턴트 메신저를 이용하고 있으며 52.2%가 모바일 쇼핑, 47.8%가 모바일 뱅킹을 이용하고 있다. 또 기업 비즈니스에도 모바일 앱은 사용되고 있다. 계정정보, 개인정보, 금융정보, 회사정보, 기타 중요 정보들이 모바일 앱에 저장되고 있는 것이다. 개인과 기업이 반드시 보호해야 할 중요한 정보들이다. 
 
◇모바일 앱, 암호화 키 관리 제대로 이루어져야
신 이사는 모바일 앱 보호를 위해 함수명 변경, 문자열 암호화, 클래스 암호화, 제어흐름 변경, API 숨김, 디버깅 방지, 역분석 방지 등을 강조했다.
 
특히 신 이사는 “난독화는 읽기 어렵도록 할 뿐이지 읽을 수 없는 것은 아니다. 읽지 못하도록 하기 위해 암호화를 사용한다. 하지만 암호화 키는 어디에 보관하고 있을까. 대부분 간과하고 있는 문제점이다. 암호화 알고리즘과 키를 한 곳에 보관하고 있고 알고리즘과 키를 담고 있는 파일에 대한 보호기능이 없어 실질적인 대응을 못하고 있다. 이에 대한 대응책 마련이 모바일 앱 보안의 핵심 관건”이라고 강조했다.

 
◇스틸리언(STEALIEN)의 앱 보안 노하우
다수의 국내외 유명 해킹방어대회 우승과 해킹대회 운영 경험을 가진 유명 해커들로 구성된 스틸리언은 해커들의 실제 해킹 공격을 이해하고 방어하는 입장에서 보안솔루션을 개발하고 있다. 해커의 공격 기술을 연구해 이를 역으로 방어하는 기술을 적용해 실용적 방어기술을 개발하는 기업이다. 특히 앱 보안이 필요한 모든 주체에게 보다 안정적이고 효과적인 보안성을 제공하고 있다.
 
스틸리언이 개발한 ‘앱수트(AppSuit)’는 최근 금융권에 도입됐으며 금감원이 제시한 앱보안 기술 요구사항을 모두 총족하고 금융권 앱 보안성 심의를 통과했다. 이 기업은 앱수트 기술 연구와 개발을 위한 전담 조직을 구성하고 지속적인 연구를 통해 신규 보안 기능을 업데이트하고 있으며 앱 해킹 방지를 위한 대응체계를 마련하고 있다.
 
특히 앱수트는 암호화를 위한 알고리즘과 키 분리 기능을 제공하며 스틸리언이 자체적으로 개발한 기술인 만큼 효과적인 유지보수와 커스터마이징이 가능하다. 또 적용 대상에 최적화되도록 개발시 협의를 통해 필요한 기능을 제공할 수 있는 앱수트 라인업도 보유하고 있다.
 
한편 스틸리언은 모의해킹 기술을 통한 앱 보안, 제품(앱수트)을 통한 앱 보안 그리고 모의해킹과 앱수트를 통합해 최종 보안성 점검을 통해 앱 보안 서비스를 제공하고 있다.
 
신동휘 이사는 “궁극적인 모바일 앱 보안을 위해서는 앱 자체에 대한 보안과 앱이 포함하고 사용하고 저장하는 정보에 대한 보안이 필수적”이라며 “앱이 포함하고 있는 코드와 리소스에 대한 보호가 이루어지지 않는 다면 앱과 앱을 위해 필요한 정보들의 보안성을 담보할 수 없다. 앱 사용 중, 이용자의 주요 정보가 요구되고 저장되는 또는 앱을 통한 서비스 제공을 위해 임의의 시스템들을 제공하는 경우 앱을 제작, 배포하는 주체는 모바일 앱 보안에 대해 관심을 가져야 한다”고 결론을 맺었다.
 
스틸리언 신동휘 이사의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com