앱 위변조 방지 솔루션이란 말 그대로 모바일 애플리케이션의 위변조를 방지하는 보안 솔루션의 일종이다. 최근 들어 위변조된 모바일 애플리케이션으로 인한 피해사례들이 생겨나면서 이를 방지할 수 있는 솔루션들이 속속 출시되고 있다.
특히 모바일 뱅킹과 같은 금융 애플리케이션의 경우 금융당국 규제상 해킹 또는 루팅된 스마트폰에서는 사용할 수 없는데 이를 위변조한 앱을 통해 이러한 정책을 우회하고 있다. 이때 앱 안에 금융정보 유출과 같은 악의적인 기능을 삽입, 위변조해 배포한다면 심각한 2차 피해로 이어질 가능성이 있다.
이에 지난 3월 금융위원회는 금융권에 모바일뱅킹 앱에 대한 해킹 취약점에 대한 대책안을 마련하라는 지침을 내렸다. 현재 7개 메이저 은행에서는 대부분 도입을 마쳤으며 보험, 증권 분야로 확산이 진행되고 있다. 또한 게임, 제조 등 다른 산업분에서도 앱 위변조 방지 솔루션에 대한 관심이 금융권 못지  않게 뜨거워 당분간 관련 시장은 상승세를 그릴 것으로 전망된다.

연보라 기자 bora@ciociso.com
 

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (쉬프트웍스, 엔시큐어, 이니텍)

1. 시장동향

금융업계 중심으로 타 산업계로 확산

위변조 앱, 개인정보 탈취겫맘?솔루션 무력화 피해 발생
앱 위변조 방지 솔루션이란 말 그대로 모바일 애플리케이션의 위변조를 방지하는 보안 솔루션의 일종이다. 최근 들어 위변조된 모바일 애플리케이션으로 인한 피해사례들이 생겨나면서 이를 방지할 수 있는 솔루션들이 속속 출시되고 있다.
업계에 따르면, 본래 위변조 방지 솔루션이 처음 등장하게 된 계기는 미군 스텔스(Stealth) 전투기의 중국 영토 추락사건으로부터였다.
추락한 스텔스기에는 수많은 임베디드 소프트웨어가 탑재돼 있었는데 중국이 이를 리버싱 기법을 통해 미군의 첨단 소프트웨어를 모두 내재화해버렸다. 이에 미(美) 국방성은 기존 스텔스기에 적용된 모든 소프트웨어를 폐기, 새로운 시스템으로 전환했으며, 외부에 유출되더라도 리버싱이 불가능하도록 하는 시스템의 필요성이 대두되면서 개발된 것이 위변조 방지 솔루션의 출발이라고 보고 있다. 이것이 모바일상에서 상용화된 것이 오늘날의 앱 위변조 방지 솔루션인 것이다.

최근 위변조 행위는 보안이 취약한 모바일상에서 매우 빈번하게 일어나고 있다. 본래의 모바일 앱을 리버싱(rebirthing)함으로써 임의로 앱을 위변조해 배포하는 것이다.
이때 악의적인 해커들은 기존 앱의 모듈을 변조시켜 다른 행위를 하는 코드를 심어놓아 재배포할 수 있다.
위변조된 앱은 결제시스템을 우회하거나 다른 프로그램을 무력화시키거나 개인정보를 유출하는 행위까지도 가능하다.
앱 위변조 문제는 국내는 물론이고 해외에서도 중요한 보안 이슈로 떠오르고 있다. 지난 4월 세계적으로 인기가 높은 게임앱 ‘앵그리버드(Angry Bird)’은 트로이 목마 바이러스가 삽입된 위변조 앱을 통해 개인정보가 유출되는 사건이 있었다.
비슷한 시기 SNS사진앱 ‘인스타그램(Instagram)’의 위변조 앱이 등장해 강제 과금으로 수익을 가로채는 사건도 발생했다.
특히 모바일 뱅킹과 같은 금융 애플리케이션의 경우 이로 인한 피해는 더욱 심각하다. 본래 금융 애플리케이션은 금융당국의 규제에 의해 해킹 또는 루팅된 스마트폰에서는 금융거래가 일어날 수 없게끔 돼있다.
그러나 일부 사용자들이 이를 우회하기 위해 앱을 위변조해 블로그나 커뮤니티 등을 통해 배포하면, 이를 다운받아 금융 앱을 사용하는 사용자들이 적지 않은 실정이다.
또는 위변조된 앱을 정상 앱인 것처럼 위장해 마켓에 게시하는 경우도 있다. 앱 다운 시 개발자 이름까지 확인하는 일은 드물기 때문에 사용자들은 아무 의심 없이 본인도 의식하지 못하게 위변조 앱을 사용하게 되는 것이다.
이윤승 NSHC 부사장은 “위변조 앱은 시한폭탄과 같이 굉장히 위험한 것”이라면서 “앱 안에는 가상키패드를 비롯해 다양한 보안 솔루션이 탑재돼 있는데 이 앱을 위변조해버리면 그런 보안 솔루션들이 무력화될 수 있다”고 이유를 설명했다.
이 부사장은 “만약 악의적인 해커가 정상 모바일 뱅킹 애플리케이션에 비정상적인 기능을 삽입, 위변조해 배포했다면, 이를 다운받아 사용했을 때 당장은 별 문제가 없을지라도 사용자 모르게 지속적으로 금융정보를 누출 또는 수집해 2차 피해가 발생하는 시나리오도 가능하다”며 “실제 위변조 앱으로 인한 금융사고가 발생했을 경우 이것이 해킹폰에서 발생한 것인지 아닌지를 알기 힘들기 때문에 본래 정상 애플리케이션을 배포했던 기업이 이에 대한 책임을 고스란히 떠안게 돼 책임 소재 논란도 생겨날 수 있다”고 경고했다.

금융권 중심으로 솔루션 도입 활발
이에 금융위원회는 지난 3월 21일 시중은행들에게 모바일뱅킹 앱에 대한 해킹 취약점에 대한 대책안을 마련하라고 권고한 바 있다.
대부분의 은행들은 ‘애플리케이션 위변조 방지 솔루션’도입 쪽으로 가닥을 잡았고 4월부터 앱 위변조 방지 솔루션 제품들이 속속들이 출시 되기 시작했다. 7월 현재 7개 메이저 은행에서는 대부분 도입을 마쳤으며 보험, 증권 분야로 확산이 진행되고 있다.
앱 위변조 방지 솔루션에 대한 관심은 금융업계뿐 아니라 게임, 제조 등 다른 산업분야에서도 뜨겁다.
위변조된 모바일 애플리케이션을 통해 정상적인 결제를 우회하는 행위들이 발견되고 있기 때문이다.
한 게임회사는 위변조 앱에서 다른 비정상 사이트로 연결해 낮은 가격으로 과금이 되도록 하는 행위가 발견됐으며 한 음악 사이트는 음악파일의 불법복제를 방지하는 DRM(Digital Rights Management)을 해제하는 위변조 앱도 있었다.
뿐만 아니라 제조업체의 생산라인에는 임베디드가 들어간 것이 많은데 위변조로 인해 이 공정에 이상이 생기면 그 피해는 돈으로 환산할 수 없을 만큼 심각하다.
문성준 엔시큐어 대표는 “금융업계는 금융위 지침이라는 스팟성 이슈로 붐업이 됐다지만 게임사나 제조사 등은 바로 ROI(Return on Investment: 투자자본수익률)로 직결되기 때문에 더 관심이 뜨겁다”고 언급했다.
이에 몇몇 앱 위변조 방지 솔루션 업체들은 금융 외에 다른 산업군으로 영업의 폭을 넓히고 있다.

100억 원대 시장 예상, 모바일 백신 시장보다는 적을 듯
이제 막 선보이는 솔루션이기 때문에 아직 시장규모를 추산하기는 이르다. 그러나 업계 한쪽에서는 모바일 백신 시장과 유사하거나 그에 못 미치는 수준으로 시장이 성장할 것으로 전망하고 있다.
기존 모바일 보안 솔루션이 적용된 곳에는 앱 위변조 방지 솔루션도 추가적으로 적용될 소지가 많기 때문이다. 현재 국내 모바일 백신 시장규모는 80억 원에서 100억 원 사이로 추산된다.
반면 또 다른 한쪽에서는 모바일 백신 시장규모와 동일하게 보기에는 무리가 있다는 목소리도 있다.
문성준 엔시큐어 대표는 “금융권은 금융위 이슈로 인해 스팟성으로 도입되는 부분이어서 내년 정도까지 대부분의 금융권이 도입을 마치고 나면 보합세로 접어들 것”이라는 한편 “그러나 다른 산업군에서도 도입을 검토하고 있고, 모바일 시장이 PC 시장보다 빠른 속도로 성장하고 있으므로 그에 따라 앱 위변조 방지 솔루션 시장도 동반 성장할 것”이라고 전망했다.
문 대표는 또 “앱 위변조 방지뿐 아니라 클라이언트, 서버 및 임베디드 등의 애플리케이션에 대한 위변조 방지 시장까지 합쳐진다면 시장은 더 커질 것”이라고 덧붙였다.

고객 판단 기준 될 검증체계 마련 시급
현재 앱 위변조 방지 솔루션을 제공하는 업체로는 쉬프트웍스, 엔시큐어, 이니텍, 소프트포럼, 비티웍스, 아이티홀릭 등 10여 개 이상의 업체들이 시장에서 각축을 벌이고 있다. 그야말로 춘추전국시대라 할 수 있다. 지난 3월 금융위원회에서 모바일 애플리케이션 취약성 보완 대책 마련을 지시한 이후, 보안시장에는 짧은 시간 만에 많은 관련 솔루션들이 쏟아져 나왔다.
충분한 연구ㆍ개발ㆍ검증 과정 없이 급하게 출시된 까닭에 일부 성능 미달의 제품도 유통되고 있어 공신력 있는 검증체계를 마련해야 한다는 업계의 목소리가 나오고 있다.
박병제 이니텍 보안사업부문 부장은 “금융위에서 지침을 내리긴 했지만 앱 위변조 방지의 기능 카테고리가 명확히 정의된 바가 없기 때문에 시장에서 고객들이 선택하기가 혼란스럽다”며 “고객들이 판단할 수 있는 근거가 부족하기 때문에 단지 솔루션 업체의 말만 믿고 도입할 수밖에 없는 실정”이라고 지적했다.
또 다른 한 보안 솔루션 업체 관계자는 “최근 한 은행에 보안 컨설팅 차 방문을 했는데 그 은행이 앞서 도입했다는 앱 위변조 방지 솔루션이 전혀 기능을 하지 못하고 있더라”는 이야기 끝에 “한 금융IT 관련 기관에서 앱 위변조 방지 솔루션에 대한 검증과정 도입을 준비 중인 것으로 알고 있다”고 덧붙였다.

2. 기술동향                     

난독화 방식 vs. 무결성 검증 방식

현재 국내에 출시된 앱 위변조 방지 솔루션은 크게 무결성 검증 방식과 난독화 방식으로 분류할 수 있다.
쉽게 말하면, 무결성 검증 방식은 앱 위변조 또는 단말기의 해킹 여부를 확인하는 방식이고 난독화 방식은 앱 자체를 위변조하기 힘들도록 보호막을 싸는 방식이라고 할 수 있다.
무결성 검증 방식을 취하는 대표적 업체로는 이니텍, 소프트포럼  등이 있고 엔시큐어와 시프트웍스 등은 난독화 방식을 취하고 있다.
두 방식은 장단점이 있으나 다양한 보안대책이 수반됐을 시 보다 강력한 위변조 성능을 지닐 수 있으므로 서로 다른 방식의 솔루션 업체가 협력해 성능을 보완하는 추세도 나타나고 있다.
앱 위변조 방식은 운영체제에 따라서도 달라진다. 즉 iOS와 안드로이드에서의 대응방법이 달라야 한다.
무결성 확인 방식의 솔루션은 주로 앱의 해시값(hash value: 특정 파일이 갖는 고유한 값)을 검증함으로써 무결성 여부를 판단하는데 iOS상에서는 이것이 어렵다.
앱스토어에 앱을 등록하기 전 승인과정을 거쳐야 하는데 이 과정에서 이미 해시값이 달라지기 때문이다.
이윤승 NSHC 부사장은 “따라서 iOS상에서는 앱의 무결성 검증방식보다는 단말기의 탈옥 여부를 검증하는 것이 낫다”며 “해시값 검증과 더불어 여러 보안기술을 함께 적용하는 것이 더 안전하다”고 말했다.
또 그는 “어차피 이 분야는 창과 방패의 싸움이다. 해커들은 현재의 솔루션을 뚫을 수 있는 대응책을 또 갖고 나올 것이다”라면서 “이들의 트렌드를 알고 지속적으로 적절히 대응할 수 있는 경험과 기술이 요구된다”고 강조했다.

3. 각 사별 솔루션 특징

쉬프트웍스 - “독보적 난독화 기술 접목, 위변조 방지 성능 강화”

쉬프트웍스는 지난 5월 기존의 앱 위변조 방지 솔루션을 업그레이드한 ‘앱 프리즈(App Freeze)’를 새롭게 출시했다.
기존의 제품이 앱의 위변조 유무를 서버상에서 검증하는 방식에서 쉬프트웍스만의 독자적인 PC 난독화 기술을 접목해 위변조 방지 성능을 한 층 강화했다. 또한 관련 특허도 출원을 완료한 상태다.
앱 프리즈는 서버 난독화, 애플리케이션 난독화를 모두 수행해 위변조 위험성을 낮추고 인증된 앱만 접근하도록 하며, 단순히 위변조 행위를 방지하는 것뿐 아니라 위변조된 앱을 역추적까지 할 수 있어 효율적이고 안전한 애플리케이션 관리가 가능하다. 새로 개발하는 앱이든 기 개발된 앱이든 상관없이 적용이 손쉽다는 것도 장점이다.
홍민표 쉬프트웍스 대표는 “본래 독보적인 난독화 기술을 갖고 있는데다 실제 공격 테스트를 하는 선행기술팀이 있어 철저한 검증과정을 거치므로, 실제 필드에서 확실히 보호받을 수 있는 제품”이라며 “마케팅보다는 실제 기술력으로 승부하겠다”는 포부를 전했다.
한편, 쉬프트웍스는 국내 최초로 안드로이드 백신을 개발한 보안 기업으로 국내에서 가장 먼저 스마트폰 악성 코드에 대응했으며, 특히 모바일 백신인 V-Guard의 경우 현재 금융권의 70% 이상에 공급 중이다.

관련 솔루션 |  앱 프리즈(App Freeze)
1차적으로 자체 난독화 기술과 2차적으로 서버의 앱 정보를 이용해 구동하게 함으로써 위·변조 위험성을 낮췄다. 또한 단순히 위변조 행위를 방지하는 것뿐 아니라 위변조된 앱을 역추적까지 할 수 있어 효율적이고 안전한 애플리케이션 관리가 가능하다.

엔시큐어 - “다양한 응용프로그램에서 위변조 시도 원천 봉쇄”

엔시큐어는 지난 3월 미국 악산 테크놀로지(Arxan Technology)의 앱 위변조 방지 솔루션 ‘악산(Arxan)’의 총판 계약을 체결하고 국내에 제품을 공급해오고 있다.
악산은 데스크탑, 서버, 모바일, 임베디드에 베포된 모바일 앱, 디지털저작권관리(DRM), 게임, 스트리밍서비스 등 다양한 응용프로그램에 난독화, 암호화 등의 보안기술을 적용한다.
문성준 엔시큐어 대표는 “악산은 무결성 검증보다는 애플리케이션 자체를 강하게 만들어 위변조를 방지하는 제품”이라고 요약했다.
문 대표는 “금융위의 권고사항을 보면 클라이언트 모듈의 무결성을 보장하고 인증서버를 통한 인증방법을 통해 무결성을 항상 유지해야 하며 위변조 행위가 발생할 경우 경고조치가 있어야 한다고 알려져 있다. 하지만 그 자체로는 근본적인 해결책이 아니다”라고 지적했다. 그는 “무결성 점검 후 경고조치 하는 것은 사후조치이지 사전예방에는 큰 도움이 되지 않는다”라면서 “악산은 난독화를 통해 위변조 시도 자체를 방지하는 솔루션”이라고 설명했다. 또 “타 업체 제품에 비해 절반에 해당하는 가격경쟁력을 지녔다”고 덧붙였다.
문 대표는 “최근 금융사뿐 아니라 게임, 제조 분야에서도 앱 위변조 방지 솔루션에 대한 관심이 뜨겁다”면서 “향후 이들 분야로 영업 범위를 폭넓게 가져갈 계획”이라고 밝혔다.
한편 엔시큐어는 애플리케이션 보안 전문업체로 포티파이 제품을 국내 공급하고 있으며, HP의 포티파이소프트웨어 합병으로 인해 지난 2월 회사명을 엔시큐어로 변경한 바 있다.

관련 솔루션 |  악산(Arxan)
Arxan 솔루션은 데스크탑, 서버, 모바일, 임베디드에 배포된 모바일 앱, DRM, 게임, 스트리밍서비스 등 다양한 응용프로그램에 대해 난독화, 암호화, 인증, 위/변조 탐지 등 다양한 기술을 이용한다.
이를 통해 리버스엔지니어링, 위변조를 원천 봉쇄함으로써 중요 정보 탈취, 무단 사용, 임의변조 등 최근 금융권 모바일 애플리케이션에서 발생한 위변조 사례와 같은 침해로부터 애플리케이션을 보호할 수 있다.

이니텍 - “위변조 불가능한 안전한 해시값 검증”

이니텍은 보안전문회사인 NSHC(대표 허영일)와 함께 앱 위변조 방지 솔루션 ‘앱-프로텍트(App-Protect)’를 공동 개발했다.
앱-프로텍트는 해시 값을 검증하는 무결성 점검 방식의 앱 위변조 방지 솔루션이다. 그러나 단순히 해시값 검증에 그치는 것이 아니라 다양한 보안기술을 복합적용해 위변조 성능을 강화했다.
우선 해시값을 서버로 전송하는 과정에서 이를 가로채 재사용하거나 바꾸는 행위를 방지하기 위해 전송구간에 암호화 모듈을 적용했다.
이 암호화 모듈 또한 ECDH라는 원-타임 패스워드 방식이라 매번 키값을 새롭게 생성하므로 보다 안전하다.
박찬홍 상무는 “타 솔루션들이 주로 안드로이드에 적합한 앱 위변조 방지 솔루션을 iOS에도 구분없이 무분별하게 공급하는 경우가 있는데 엄연히 두 운영체제에서의 앱 위변조 방지 방식은 달라야 한다”며 “앱 프로텍트는 해시검증 이외에 iOS 단말기의 탈옥 여부를 검증함으로써 앱 위변조를 원천적으로 차단하고 있다”고 설명했다.
앱-프로텍트는 크게 3가지 기능을 탑재하고 있는데 ‘앱 위변조 방지기능’과 ‘탐지기능’ 그리고 ‘지속적 대응 시스템’이다.
앱 위변조 방지 기능은 기본적으로 코드를 난독화 하는 기능을 제공하며 역공학 방지나 허니트랩 등 앱을 변조하기 어렵게 만들어주는 세션이 포함돼 있다.
탐지 기능은 변조된 앱을 탐지하고 대응할 수 있는 기능으로 ECDH를 이용한 원-타임 토큰을 제공한다. 또한 지속적 대응 시스템은 비정상 행위에 대한 접근 기록을 로깅하며 해킹패턴의 진화에 따라 대응할 수 있는 채널을 제공한다.

관련 솔루션 | 앱-프로텍트(App-Protect)
무결성 점검 방식의 앱 위변조 방지 솔루션 앱-프로텍트는 해시값 전송 시 원-타임 패스워드 방식의 ECDH라는 암호화 모듈을 적용해 해시값 전송과정에서의 해킹 위협을 차단했다.
‘앱 위변조 방지기능’과 ‘탐지기능’ 그리고 ‘지속적 대응 시스템’을 탑재하고 있으며 안드로이드와 iOS 운영체제에 각각 적합한 솔루션을 별도로 공급하고 있다.