'앱시큐어'에 해당되는 글 1

  1. 2012/10/15 [2012 보안솔루션③] 애플리케이션 위변조 방지 솔루션



금융감독원은 지난해 발표한 ‘금융회사 IT보안 강화 종합대책’을 지속적으로 추진할 것이라고 밝힘에 따라 애플리케이션 위변조 방지솔루션 시장의 확대가 기대된다.

앱 위변조 방지솔루션이 부각되기 시작한 것은 올해 초부터다. 지난해 10월 금융감독당국은 전자금융감독규정 개정을 통해 금융기관 또는 전자금융업자는 전자금융거래프로그램의 위변조여부 등 무결성을 검증할 수 있는 방법을 제공해야 한다고 정한 바 있다.

다행이도 이미 국내 대부분의 은행에서는 앱 위변조 방지솔루션 도입을 확정하고 적용에 돌입했다. 주요 은행중 농협, 하나은행, 기업은행, 국민은행, 산업은행, 우체국 등은 이미 구축을 완료한 상태다. 대구은행, 광주은행 등 지역기반 은행도 도입을 준비 중이다.

또한 증권업계에서도 MTS(모바일트레이딩시스템) 앱의 무결성 확보를 위해 앱 위변조 방지솔루션 도입을 준비하고 있어 관련 시장이 더욱 탄력을 받을 것으로 전망된다. MTS 역시 무결성이 확보되지 않으면 거래시 심각한 문제가 발생할 수 있기 때문이다.

앱 위변조 방지솔루션의 중요성이 언급되기 시작한 것은 지난해부터다. 스마트폰 모바일 뱅킹 사용자가 급속도로 늘었으나 이에 대한 보안조치가 미비하다는 금융당국의 지적이 나왔다. 이는 루팅, 탈옥된 스마트폰에서 금융 서비스를 사용하는 것이 매우 위험하기 때문이다.

지난해부터 일부 금융권 앱의 설치파일(iOS : .IPA, 안드로이드 : .APK)의 코드가 변경돼 재배포되고 있다. 이는 스마트폰 사용자들의 기능 향상을 목적으로 탈옥이나 루팅을 한 환경에서 금융권 앱을 사용하기 위한 니즈가 급격히 늘어났기 때문이다.

통상 탈옥이나 루팅이 된 스마트폰에서는 금융권 앱이 구동되지 않는다. 특정 파일(cydia, su)와 같은 파일의 유무를 체크하는 코드가 들어있기 때문이다.

그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱 Rebirthing)시켜 배포한다. 사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 이게 말처럼 편하기만 한 것은 아니다.

위변조된 앱들이 단순히 탈옥한 사실을 숨겨주는 코드뿐 아니라 사용자 정보를 탈취하는 코드를 심어놨을지는 아무도 알 수 없기 때문이다. 가령 위변조된 스마트뱅킹 앱이 사용자의 금융정보를 탈취해갈 수 있다.

전문을 금융기관과 주고받는 과정에서 이를 탈취당할 수 있으며, 사용자 몰래 키로깅 코드를 숨겨둘 수 있어 위험은 배가 된다.

국내에서는 이와 같은 사례가 발생하지 않았지만 해외에서는 이미 ‘드로이드드림(DroidDream)과 같이 정상 앱의 코드 변조를 통한 악성코드 유포나 개인정보 탈취가 이뤄진 사례가 발견된 바 있다.

현재 앱 위변조 방지솔루션을 보유한 업체들은 솔루션의 고도화를 통해, 난독화, 안티디버깅, 무결성체크, 통신 암호화 등 다양한 기술을 접목시키고 있다.


2012/10/15 09:24 2012/10/15 09:24