데일리시큐와 머니투데이가 공동주최한 금융보안&개인정보보호페어 FPIS 2013에서 윤선희 NSHC 보안솔루션 개발팀 부장은 ‘금융 APP 위변조 방지를 위한 현실적인 난독화 대안 솔루션 소개’라는 주제로 세션발표를 진행했다.
 
윤선희(사진) 부장은 “안드로이드 유료앱의 경우 상위 100개가 100% 위변조되어 무료로 풀렸다. 안드로이드는 난독화하지 않으면 앱 위변조를 막을 방법이 없다”며 “초보 해커도 인터넷에 공개된 앱 위변조 해킹 매뉴얼을 그대로 따라하면 1~2시간 안에 해킹에 성공할 수 있는 정도다. 이를 방지하기 위해서는 난독화 적용이 필수적이다”라고 강조했다.
 
IOS의 경우 역공학을 해도 소스는 얻을 수 없지만 소스가 없어도 바이너리 에디터를 통해 분석 및 변조가 가능하다. 하지만 안드로이드에 비해서는 안전한 상황이다. 순정폰에서는 위변조된  앱설치가 원칙적으로 불가능해 IOS는 탈옥방지가 가장 중요한 관건이다.
 
반면 안드로이드 OS는 역공학을 하면 원본 소스를 얻을 수 있고 통제된 앱스토어가 아니더라도 개발자 임의로 SW를 만들어 배포할 수 있다. 또 루팅폰이 아닌 순정폰에서도 얼마든지 위변조된 앱이 설치될 수 있어 앱 위변조를 막기 위한 근본적인 대책이 중요하다.
 
윤 부장은 “앱 위변조를 막기위해서는 난독화 적용이 필수적인데 국내 난독화 솔루션중 무료로 제공되고 있는 것은 프로가드(Proguard)가 있다. 벨기에 개발자가 만든 것으로 기본 난독화만 되고 암호화는 지원이 안된다”며 “이를 보완한 솔루션이 바로 덱스가드(Dexguard)다. 프로가드를 만든 개발자가 프로가드를 업그레이드 시킨 버전으로 가격도 저렴하면서 보안성도 탁월한 제품이다. 낙독화 솔루션이 현실적 대안이라고 할 수 있다”고 설명했다.
 
덱스가드는 프로가드의 기능 전체를 수용해 난독화의 기본기능이 탁월하고 String암호화 외에 Class/Asset 파일들의 선택적 암호화가 가능하며 해커에 의한 앱 변조후 재 배포가 매우 힘들다.  또 솔루션 비용이 비교적 저렴하며 안드로이드에 특화된 제품으로 난독화 유료 솔루션 중 현실적 대안 제품이라는 것이다.
 
윤 부장은 “덱스가드는 앱 개발이 완료 된 후 마지막 단계에 적용해 주면 된다. 이를 통해 최근 금융권 앱에서 문제가 된 위변조 앱과 모든 안드로이드 앱 위변조에 따른 보안문제 및 경제적 손실을 예방할 수 있다”며 “NSHC는 덱스가드 적용을 위한 다양한 방식의 가이드와 컨설팅이 가능하다. 비용이 저렴해 금융앱부터 소규모 앱까지 전방위적으로 사용할 수 있다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com