[인터뷰] OWASP 모바일 Top 10 맴버 조나단 카터
“보안 담당자 사고의 폭 넓힐 수 있도록 환경 개선해야”
모바일 업무환경으로 급속도로 변화하면서 모바일 보안 위협도 급증하고 있다. 이에 OWASP도 모바일 보안 위협 TOP 10을 발표하며 심각한 위협들에 대해 적극적으로 알리는 작업들을 전개하고 있다.“보안 담당자 사고의 폭 넓힐 수 있도록 환경 개선해야”
국제웹보안표준기구(OWASP)는 오픈소스 웹 어플리케이션 보안 프로젝트다. 주로 웹에 관한 정보노출, 악성파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 어플리케이션 취약점(OWASP Top 10)을 3년 주기로 발표한다. 이와 더불어 ‘OWASP 모바일 Top 10’도 발표했다. 이에 데일리시큐는 최근 한국을 방문한 OWASP 모바일 시큐리티 맴버중 한명인 조나단(Jonathan Carter)을 엔시큐어(대표 문성준) 사무실에서 만나 인터뷰를 진행했다.
조나단(아래 사진)은 모바일 앱 보안 글로벌 기업인 악산(ARXAN)의 기술 디렉터로 일하고 있다. 또 OWASP 모바일 시큐리티 3개 프로젝트에서 컨텐츠를 제공하는 5명 중 1명의 스페셜리스트이며, 올해 1월 처음으로 모바일 Top 10의 10번째 항목으로 채택된 ‘Lack of Binary Hardening’이라는 새로운 카테고리를 만든 참여자다. 다음은 그와의 일문일답 내용이다.
-이번에 한국을 방문한 목적은
일본 OWASP 챕터에서 주관하는 APP Sec에 강연차 일본에 방문일정 중 한국에 들러 관련 기술 및 동향에 대해 알리러 왔다.
-기존 Top 10과 이번에 발표된 내용의 가장 큰 차이점이 있다면
기존 Top 10과 가장 큰 차이점은 '리버스엔지니어링에 대한 바이너리 보호(Lack of Binary Hardening)'가 포함 되었다는 것이다. 이는 최근 모바일에서 바이너리에 대한 리버싱 및 재 패키징 등으로 인한 위협이 증가했다는 것을 의미한다.
이 항목은 올해 1월 카테고리에 포함됐다. 모바일 앱에 대한 리버스엔지니어링을 통한 코드변조 문제가 실제로 대두되고 있다. 상용앱들을 리버싱해서 마치 자신이 제작한 앱처럼 올려서 판매하는 경우도 많다. 이런 앱 속에 악성코드를 삽입해 사용자 개인정보를 탈취할 수 있고 앱을 위변조해 다양한 형태의 보안 위협을 가할 수 있어 상당한 주의를 기울여야 한다.
-실제로 모바일 앱들에 대한 보안 현실은 어떤가
악산에서 2013년 조사한 결과를 보면, 유료앱 상위 100개를 기준으로 테스트해본 결과 안드로이드 앱은 100% 해킹이 될 수 있고 실제로 해킹된 앱이 판매되고 있는 것으로 조사됐고 iOS앱의 경우는 56% 정도 해킹이 되고 해킹된 앱이 유통되고 있는 것으로 조사됐다. 특히 안드로이드앱의 경우 시장 점유율이 81%에 달하고 있어 큰 위협이 아닐 수 없다.
또 무료앱 상위 100개를 테스트 해 본 결과, 안드로이드 앱 73%가 해킹돼 유통이 되고 있었으며 iOS 앱은 53%가 해킹되어 유통된 것이 확인됐다. 여기서 해킹은 리버싱과 크래킹을 말한다.
특히 지난해 금융앱을 조사한 결과, 안드로이드 앱이 53% 해킹이 가능했으며 iOS 앱은 23% 정도가 크랙이 될 수 있는 상태다.
-이러한 위협들을 예방하려면 어떻게 해야 할까
JAVA와 Objective-C는 리버싱 입장에서 취약할 수밖에 없다. 그러므로 중요한 로직과 코드는 C/C++로 작성되어야 한다. 한국 금융사의 경우 금융당국의 관련 권고로 인해 최소한의 범위에 대해서만 보안이 적용되고 있지만 해외의 경우 자율적이고 장기적인 안목에서 보안이 설계되고 적용하고 있는 현실이다.
한국도 해외처럼 중요한 코드는 C코드로 내려서 코딩을 해야 한다. 현재 한국 금융 당국의 권고로는 약하다. 중요한 코드가 위험한 언어로 개발되고 있는 것은 큰 문제다. 내부적으로 C개발자를 채용해야 하는 등 여러 가지 어려움은 있겠지만 적극적인 대처가 필요하다. 특히 금융권은 보다 강력한 적용이 요구된다. 또 앱 위변조에 대한 탐지 및 차단을 위해 안티디버깅을 통해 방어해야 한다. 그리고 중요 코드가 변경됐을 때 원복 기능을 가지고 있어야 안전할 수 있다.
-특히 한국 금융사들은 금융당국의 지침만 따르려는 경향이 있다. 어떻게 생각하나
그렇게 되면 최소한의 기준만 지키려고 하기 때문에 더 위험할 수 있다. 해외는 국가에서 보안에 대해 구체적으로 지침을 내리지 않는다. 자율적으로 판단하는 것이다. 그래서 담당자들이 생각을 하게 된다. 지침은 없지만 실제 사고가 발생하지 않도록 사고를 하면서 보안을 적용하게 되는 것이다. 너무 세부적인 지침은 내리면 거기까지만 책임을 지려고 하고 면피만 생각하기 때문에 보안을 위해서는 더욱 안 좋은 결과를 가져올 것으로 생각된다. 담당자의 사고의 폭이 넓어질 수 있도록 그들의 사고를 막으면 안된다.
-악산(Arxan)에 대해 소개해 준다면
악산 테크놀로지 솔루션은 코드/데이터 등에 대한 강력한 난독화, Checksum, Anti-Debug, Repair 등 다양한 기술을 제공 하고 있다. 모바일 및 임베디드 애플리케이션 보안 솔루션으로 글로벌에서도 기술력을 인정받고 있는 기업이다.
또 가드잇(GuardIT)과 인슈어잇(EnsureIT)은 애플리케이션 무결성 보호 솔루션으로 데스크톱, 서버, 모바일, 임베디드에 배포된 모바일 앱, 디지털저작권관리(DRM), 게임, 스트리밍 서비스 등 다양한 애플리케이션의 리버스 엔지니어링 즉 프로그램 변조 및 보안 우회를 차단하는 솔루션이다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
