김충희 연구원 “앱 보안, 무엇을 보호할 것인지 목적이 뚜렷해야”
지난 2월 17일 데일리시큐 주최 ‘2016 모바일 정보보호 컨퍼런스(MISCON 2016)’가 300여 명의 공공, 금융, 기업 정보보호 담당자가 참석한 가운데 성황리에 개최됐다. 이 자리에서 에스이웍스(대표 홍민표) 김충희 선임연구원은 ‘모바일 앱 코드 보안’이란 주제로 발표를 진행했다.김충희 선임은 모바일 앱이 무엇인지 그리고 앱이 실행될 때 무엇으로 동작하는지 또 Dalvik과 ART 등에 대해 기술적 설명을 이어갔다.
또한 소스코드를 보호하기 위한 소스코드 난독화와 안티 디컴파일, 바이너리 난독화와 암호화 등 앱을 보호하기 위한 다양한 방안에 대해 설명했다.
김충희 선임(사진)은 “기업에서 모바일 앱을 보호하려고 한다면 회사 앱이 어떤 형태의 어떤 목적을 가진 앱인지 정확히 파악하는 것이 우선되어야 한다”며 “네이티브앱인지, 웹앱인지, 하이브리드앱인지 파악하고 또 소스코드 자체가 중요한지 리소스가 중요한지 판단해야 한다. 리소스나 DB가 중요한 앱은 난독화 보다는 데이터 보호에 집중해야 한다”고 말했다.
또 “앱 복제가 위험한지 코드 노출이 위험한지 파악하는 것도 중요하다. 앱 복제가 위험하면 무결성이나 DRM을 활용하는 것이 효과적이고 소스코드 노출이 안되어야 하는 상황이라면 난독화가 더 효과적이다. 앱의 무엇을 보호할 것인지 목적이 뚜렷해야 효과적으로 보안을 할 수 있다”고 조언했다.
다음은 김충희 에스이웍스 선임연구원의 MISCON 2016 발표영상이다. 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지