2024.04.21 (일)
앱 위변조 방지 솔루션이란 말 그대로 모바일 애플리케이션의 위변조를 방지하는 보안 솔루션의 일종이다. 최근 들어 위변조된 모바일 애플리케이션으로 인한 피해사례들이 생겨나면서 이를 방지할 수 있는 솔루션들이 속속 출시되고 있다.
특히 모바일 뱅킹과 같은 금융 애플리케이션의 경우 금융당국 규제상 해킹 또는 루팅된 스마트폰에서는 사용할 수 없는데 이를 위변조한 앱을 통해 이러한 정책을 우회하고 있다. 이때 앱 안에 금융정보 유출과 같은 악의적인 기능을 삽입, 위변조해 배포한다면 심각한 2차 피해로 이어질 가능성이 있다.
이에 지난 3월 금융위원회는 금융권에 모바일뱅킹 앱에 대한 해킹 취약점에 대한 대책안을 마련하라는 지침을 내렸다. 현재 7개 메이저 은행에서는 대부분 도입을 마쳤으며 보험, 증권 분야로 확산이 진행되고 있다. 또한 게임, 제조 등 다른 산업분에서도 앱 위변조 방지 솔루션에 대한 관심이 금융권 못지 않게 뜨거워 당분간 관련 시장은 상승세를 그릴 것으로 전망된다.
연보라 기자 bora@ciociso.com
기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (쉬프트웍스, 엔시큐어, 이니텍)
1. 시장동향
금융업계 중심으로 타 산업계로 확산
위변조 앱, 개인정보 탈취겫맘?솔루션 무력화 피해 발생
앱 위변조 방지 솔루션이란 말 그대로 모바일 애플리케이션의 위변조를 방지하는 보안 솔루션의 일종이다. 최근 들어 위변조된 모바일 애플리케이션으로 인한 피해사례들이 생겨나면서 이를 방지할 수 있는 솔루션들이 속속 출시되고 있다.
업계에 따르면, 본래 위변조 방지 솔루션이 처음 등장하게 된 계기는 미군 스텔스(Stealth) 전투기의 중국 영토 추락사건으로부터였다.
추락한 스텔스기에는 수많은 임베디드 소프트웨어가 탑재돼 있었는데 중국이 이를 리버싱 기법을 통해 미군의 첨단 소프트웨어를 모두 내재화해버렸다. 이에 미(美) 국방성은 기존 스텔스기에 적용된 모든 소프트웨어를 폐기, 새로운 시스템으로 전환했으며, 외부에 유출되더라도 리버싱이 불가능하도록 하는 시스템의 필요성이 대두되면서 개발된 것이 위변조 방지 솔루션의 출발이라고 보고 있다. 이것이 모바일상에서 상용화된 것이 오늘날의 앱 위변조 방지 솔루션인 것이다.
난독화 방식 vs. 무결성 검증 방식
현재 국내에 출시된 앱 위변조 방지 솔루션은 크게 무결성 검증 방식과 난독화 방식으로 분류할 수 있다.
쉽게 말하면, 무결성 검증 방식은 앱 위변조 또는 단말기의 해킹 여부를 확인하는 방식이고 난독화 방식은 앱 자체를 위변조하기 힘들도록 보호막을 싸는 방식이라고 할 수 있다.
무결성 검증 방식을 취하는 대표적 업체로는 이니텍, 소프트포럼 등이 있고 엔시큐어와 시프트웍스 등은 난독화 방식을 취하고 있다.
두 방식은 장단점이 있으나 다양한 보안대책이 수반됐을 시 보다 강력한 위변조 성능을 지닐 수 있으므로 서로 다른 방식의 솔루션 업체가 협력해 성능을 보완하는 추세도 나타나고 있다.
앱 위변조 방식은 운영체제에 따라서도 달라진다. 즉 iOS와 안드로이드에서의 대응방법이 달라야 한다.
무결성 확인 방식의 솔루션은 주로 앱의 해시값(hash value: 특정 파일이 갖는 고유한 값)을 검증함으로써 무결성 여부를 판단하는데 iOS상에서는 이것이 어렵다.
앱스토어에 앱을 등록하기 전 승인과정을 거쳐야 하는데 이 과정에서 이미 해시값이 달라지기 때문이다.
이윤승 NSHC 부사장은 “따라서 iOS상에서는 앱의 무결성 검증방식보다는 단말기의 탈옥 여부를 검증하는 것이 낫다”며 “해시값 검증과 더불어 여러 보안기술을 함께 적용하는 것이 더 안전하다”고 말했다.
또 그는 “어차피 이 분야는 창과 방패의 싸움이다. 해커들은 현재의 솔루션을 뚫을 수 있는 대응책을 또 갖고 나올 것이다”라면서 “이들의 트렌드를 알고 지속적으로 적절히 대응할 수 있는 경험과 기술이 요구된다”고 강조했다.
3. 각 사별 솔루션 특징
쉬프트웍스 - “독보적 난독화 기술 접목, 위변조 방지 성능 강화”
쉬프트웍스는 지난 5월 기존의 앱 위변조 방지 솔루션을 업그레이드한 ‘앱 프리즈(App Freeze)’를 새롭게 출시했다.
기존의 제품이 앱의 위변조 유무를 서버상에서 검증하는 방식에서 쉬프트웍스만의 독자적인 PC 난독화 기술을 접목해 위변조 방지 성능을 한 층 강화했다. 또한 관련 특허도 출원을 완료한 상태다.
앱 프리즈는 서버 난독화, 애플리케이션 난독화를 모두 수행해 위변조 위험성을 낮추고 인증된 앱만 접근하도록 하며, 단순히 위변조 행위를 방지하는 것뿐 아니라 위변조된 앱을 역추적까지 할 수 있어 효율적이고 안전한 애플리케이션 관리가 가능하다. 새로 개발하는 앱이든 기 개발된 앱이든 상관없이 적용이 손쉽다는 것도 장점이다.
홍민표 쉬프트웍스 대표는 “본래 독보적인 난독화 기술을 갖고 있는데다 실제 공격 테스트를 하는 선행기술팀이 있어 철저한 검증과정을 거치므로, 실제 필드에서 확실히 보호받을 수 있는 제품”이라며 “마케팅보다는 실제 기술력으로 승부하겠다”는 포부를 전했다.
한편, 쉬프트웍스는 국내 최초로 안드로이드 백신을 개발한 보안 기업으로 국내에서 가장 먼저 스마트폰 악성 코드에 대응했으며, 특히 모바일 백신인 V-Guard의 경우 현재 금융권의 70% 이상에 공급 중이다.
관련 솔루션 | 앱 프리즈(App Freeze)
1차적으로 자체 난독화 기술과 2차적으로 서버의 앱 정보를 이용해 구동하게 함으로써 위·변조 위험성을 낮췄다. 또한 단순히 위변조 행위를 방지하는 것뿐 아니라 위변조된 앱을 역추적까지 할 수 있어 효율적이고 안전한 애플리케이션 관리가 가능하다.
엔시큐어는 지난 3월 미국 악산 테크놀로지(Arxan Technology)의 앱 위변조 방지 솔루션 ‘악산(Arxan)’의 총판 계약을 체결하고 국내에 제품을 공급해오고 있다.
악산은 데스크탑, 서버, 모바일, 임베디드에 베포된 모바일 앱, 디지털저작권관리(DRM), 게임, 스트리밍서비스 등 다양한 응용프로그램에 난독화, 암호화 등의 보안기술을 적용한다.
문성준 엔시큐어 대표는 “악산은 무결성 검증보다는 애플리케이션 자체를 강하게 만들어 위변조를 방지하는 제품”이라고 요약했다.
문 대표는 “금융위의 권고사항을 보면 클라이언트 모듈의 무결성을 보장하고 인증서버를 통한 인증방법을 통해 무결성을 항상 유지해야 하며 위변조 행위가 발생할 경우 경고조치가 있어야 한다고 알려져 있다. 하지만 그 자체로는 근본적인 해결책이 아니다”라고 지적했다. 그는 “무결성 점검 후 경고조치 하는 것은 사후조치이지 사전예방에는 큰 도움이 되지 않는다”라면서 “악산은 난독화를 통해 위변조 시도 자체를 방지하는 솔루션”이라고 설명했다. 또 “타 업체 제품에 비해 절반에 해당하는 가격경쟁력을 지녔다”고 덧붙였다.
문 대표는 “최근 금융사뿐 아니라 게임, 제조 분야에서도 앱 위변조 방지 솔루션에 대한 관심이 뜨겁다”면서 “향후 이들 분야로 영업 범위를 폭넓게 가져갈 계획”이라고 밝혔다.
한편 엔시큐어는 애플리케이션 보안 전문업체로 포티파이 제품을 국내 공급하고 있으며, HP의 포티파이소프트웨어 합병으로 인해 지난 2월 회사명을 엔시큐어로 변경한 바 있다.
관련 솔루션 | 악산(Arxan)
Arxan 솔루션은 데스크탑, 서버, 모바일, 임베디드에 배포된 모바일 앱, DRM, 게임, 스트리밍서비스 등 다양한 응용프로그램에 대해 난독화, 암호화, 인증, 위/변조 탐지 등 다양한 기술을 이용한다.
이를 통해 리버스엔지니어링, 위변조를 원천 봉쇄함으로써 중요 정보 탈취, 무단 사용, 임의변조 등 최근 금융권 모바일 애플리케이션에서 발생한 위변조 사례와 같은 침해로부터 애플리케이션을 보호할 수 있다.
이니텍 - “위변조 불가능한 안전한 해시값 검증”
이니텍은 보안전문회사인 NSHC(대표 허영일)와 함께 앱 위변조 방지 솔루션 ‘앱-프로텍트(App-Protect)’를 공동 개발했다.
앱-프로텍트는 해시 값을 검증하는 무결성 점검 방식의 앱 위변조 방지 솔루션이다. 그러나 단순히 해시값 검증에 그치는 것이 아니라 다양한 보안기술을 복합적용해 위변조 성능을 강화했다.
우선 해시값을 서버로 전송하는 과정에서 이를 가로채 재사용하거나 바꾸는 행위를 방지하기 위해 전송구간에 암호화 모듈을 적용했다.
이 암호화 모듈 또한 ECDH라는 원-타임 패스워드 방식이라 매번 키값을 새롭게 생성하므로 보다 안전하다.
박찬홍 상무는 “타 솔루션들이 주로 안드로이드에 적합한 앱 위변조 방지 솔루션을 iOS에도 구분없이 무분별하게 공급하는 경우가 있는데 엄연히 두 운영체제에서의 앱 위변조 방지 방식은 달라야 한다”며 “앱 프로텍트는 해시검증 이외에 iOS 단말기의 탈옥 여부를 검증함으로써 앱 위변조를 원천적으로 차단하고 있다”고 설명했다.
앱-프로텍트는 크게 3가지 기능을 탑재하고 있는데 ‘앱 위변조 방지기능’과 ‘탐지기능’ 그리고 ‘지속적 대응 시스템’이다.
앱 위변조 방지 기능은 기본적으로 코드를 난독화 하는 기능을 제공하며 역공학 방지나 허니트랩 등 앱을 변조하기 어렵게 만들어주는 세션이 포함돼 있다.
탐지 기능은 변조된 앱을 탐지하고 대응할 수 있는 기능으로 ECDH를 이용한 원-타임 토큰을 제공한다. 또한 지속적 대응 시스템은 비정상 행위에 대한 접근 기록을 로깅하며 해킹패턴의 진화에 따라 대응할 수 있는 채널을 제공한다.
관련 솔루션 | 앱-프로텍트(App-Protect)
무결성 점검 방식의 앱 위변조 방지 솔루션 앱-프로텍트는 해시값 전송 시 원-타임 패스워드 방식의 ECDH라는 암호화 모듈을 적용해 해시값 전송과정에서의 해킹 위협을 차단했다.
‘앱 위변조 방지기능’과 ‘탐지기능’ 그리고 ‘지속적 대응 시스템’을 탑재하고 있으며 안드로이드와 iOS 운영체제에 각각 적합한 솔루션을 별도로 공급하고 있다.