2020-10-21 19:00 (수)
"모바일 보안, 비용 대비 최대 효과 내기 위해 필요한 것은"
상태바
"모바일 보안, 비용 대비 최대 효과 내기 위해 필요한 것은"
  • 길민권
  • 승인 2015.02.15 17:57
이 기사를 공유합니다

MISCON 2015, 타이거팀 황석훈 대표 ‘모바일앱과 난독화의 관계’ 발표
데일리시큐 주최 2015년 모바일 정보보호 컨퍼런스 MISCON 2015가 지난 2월 12일 한국과학기술회관 대회의실에서 정보보호 실무자 300여 명이 모인 가운데 성황리에 개최됐다. 이 자리에서 타이거팀 황석훈 대표는 ‘모바일 보안과 난독화’를 주제로 발표를 진행했다.
 
황석훈 대표(사진)는 “모바일 단말기를 이용한 각종 서비스가 증가되면서 보안에 대한 이슈도 함께 증가되고 있다. 이에 따라 해외에서는 Mobile OWASP Top 10이 발표되고, 국내에서는 금융위와 금감원 등에서 개발 가이드도 배포하고 있다”며 “이러한 가이드를 분석해 보면 개발자가 구현 가능한 보안적 이슈가 있고 솔루션으로 해결해야만 하는 이슈가 존재한다”고 설명했다.
 
황 대표의 발표 내용에 따르면, 대표적인 것이 무결성, 난독화 등이라 할 수 있다. 개발시 해당 솔루션에 대한 도입 및 적용을 함께 고려하지 않을 수 없다. 하지만 비용적인 측면과 비금융앱이라는 이유로 관련 기능을 모두 적용하지 않거나 아예 적용하지 않고 출시되는 앱들도 있다.
 
하지만 해당 서비스가 중요 서비스일 경우에는 즉시 분석되어 심각한 문제가 발생할 가능성이 매우 높다. 모바일 앱에 대한 분석 능력이 많이 발전해 분석 시간은 짧아지고 내용은 고도화 되어가고 있기 때문이다. 일부 자동화된 도구들도 속속 나오고 있다고 설명했다.
 
황 대표는 “가급적 모든 솔루션을 적용하는 것이 바람직하다. 하지만 비용 대비 모든 보안솔루션을 적용하기 어려울 때가 있다. 또한 막연한 불안감으로 인해 전혀 적용하지 않을 없다”며 “몇몇 고객사의 질문들도 비슷한 맥락이었다. 그렇다면 어떤 접근이 정보유출 또는 침해사고에 대응하는 관점에서 최소의 비용 대비 최대의 효과를 낼 수 있을까라는 측면에서 고민해 보았고 그에 대한 내용을 발표한다”고 전했다.

 
발표 내용에 따르면, 보안솔루션은 그 제공 방식이 C/C++로 개발된 Native Code인 경우가 대다수다. 매우 드물게 JAVA PKG 형태로 제공되는 것도 있다. 하지만 이러한 솔루션이 어느 위치에 존재하든 위?변조가 가능하고 위?변조를 통해서 보안 기능을 무력화 시킬 수 있다는 점이 가장 큰 이슈라는 것.
 
상대적으로 Native Lib로 제공되는 경우가 난이도가 높아 상대적으로 안전하다고 평가되지만, 시간적인 이슈일뿐 안전하다고 보기에는 무리수가 있다. 또한 트윅이나 스위즐링 기법 등을 통해서 Lib를 위변조 하지 않고도 공용 라이브러리를 통해서 기능 자체를 우회하는 방법도 존재하기 때문에 이에 대한 보안 대응책 고민이 필요하다고 황 대표는 강조한다.
 
그 외 메모리변조나 메모리접근을 통해서 특정 값들을 유출하는 경우도 있다. 따라서 메모리에 대한 접근시 정보유출 대응방안에 대한 고민도 필요하다고 덧붙였다.
 
그는 또 “현실적으로 서비스 개발후, 보안성 검토 수행시 앱 서비스 하나에 대해서 최장 1명 기준으로 일주일 이상 투입하는 곳은 극히 드물다. 업무 협의와 보고서 작성 및 리뷰 등의 시간을 제외하고 나면 사실상 분석 시간은 3일에서 3.5일 정도기 때문에 앱서비스 분석과 JAVA 코드 레벨의 리버싱 이상을 수행하기가 어렵다”며 “또한 간혹 3rd Party에 대한 부분 보안성 검토에서 배제해 달라는 요청도 간혹 있어 제대로 검증하지 못하는 경우가 허다하다”고 말했다.
 
보안솔루션 중에서 분석을 어렵게 하는 솔루션이 있다. 그 중 하나가 난독화 솔루션이다. 난독화 솔루션 역시 공개형, 상용 제품들이 존재한다. 지원되는 기능 수준이 조금씩 차이가 있다. 특히 공개형 도구들의 경우에는 난독화 수준이 미약하거나 제대로 적용되지 않는 경우가 많다. 이 경우에는 대부분 가이드 준수에 초점이 맞추어져 있는 경우라는 것이다.  

 
황석훈 대표는 “난독화 솔루션은 최소한 위의 기능을 만족해야 한다고 생각한다. 기본적인 문자열, 클래스, 메소드명 난독화 이외에도 분석을 난해하게 하기 위해서 코드 난독화도 필수”라며 “또한 메모리상에서 난독화가 유지되어야 하며 동적으로 생성된 데이터도 난독화가 될 수 있다면 메모리 접근에 대한 공격도 효과적으로 차단할 수 있을 것”이라고 설명했다.
 
마지막으로 그는 “iOS에서 나타나는 스위즐링 기법은 무결성을 해치지 않아도 공용 라이브러리 제작을 통해서 기능을 우회할 수 있는 공격 기법으로 이에 대한 대응책도 함께 지원되면 좋은 솔루션이라 할 수 있겠다”고 덧붙였다.
 
또한 황석훈 대표는 MISCON 2015 강연중 바이너리 패치 데모와 메모리 덤프 및 위변조 데모를 상세한 동영상과 함께 참관객들에게 설명해 큰 호응을 얻었다.
 
타이거팀 황석훈 대표의 발표자료와 데모시연 동영상은 데일리시큐 자료실에서 다운로드 할 수 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com