지난 2월 17일 데일리시큐 주최 2016 모바일 정보보호 컨퍼런스(MISCON 2016)가 300여 명의 공공, 금융, 기업 정보보호 담당자가 참석한 가운데 성황리에 개최됐다. 이날 엔시큐어(대표 문성준) 손장군 이사는 ‘2016 최신 모바일 보안위협 현황과 보호방안’을 주제로 주제발표를 진행했다.  
 
손장군 이사는 “모바일 앱을 통한 기업의 업무들이 많아 지면서 최근 수 년간 국내외는 애플리케이션 해킹으로 인한 수많은 사고들이 발생했으며, 그 피해는 과거의 것과는 비교할 수 없을 정도의 규모로 기업의 존폐를 위협할 정도로 커지게 되었다. 또한 최근 모바일을 이용한 금융거래가 급증하고 2017년도에는 7천2백억불에 육박 할 것이라는 전망 까지 나오고 있다”며 “모바일 앱에 대한 공격이 만연한 이유는 사용자가 급증 하고 모바일 디바이스와 앱은 패스워드, 메시지, 전화 기록, 위치 정보, 사진, 연락처 등의 중요 개인정보와 앱을 통한 회사 기밀, 고객정보, 금융 거래정보 등 다양한 중요 데이터로의 접근 경로 이기 때문”이라고 말했다.
 
발표내용을 요약해 보면 다음과 같다.

 
모바일 앱에 대한 공격은 일반적으로 앱 개발시 내재된 보안 취약점과 앱에 대한 역공학 분석 및 코드/데이터에 대한 변조를 통해 이루어 진다. 또한 모바일 디바이스의 보안 통제장치를 사용자 스스로 해제하는 루팅 및 탈옥을 하는 상황에서, 모바일 앱은 더 이상 신뢰 할 수 있는 환경에서 실행 된다고 보장 받기 어려워 졌다. 일례로 ‘SuperSu’와 같은 루팅 디바이스 차단 우회 앱을 통해 국내 금융앱이 실행을 금지하고 있는 루팅 환경에서의 금융 거래를 사용자 스스로 우회하여 이용하고 있는 실정이다.
 
손장군 이사(사진)는 "일반적으로 해커가 모바일 앱을 대상으로 실행 하는 공격은, 루팅, 탈옥, 보안로직에 대한 우회, 중요 비즈니스 로직에 대한 오용, 앱 내부의 특허 알고리즘의 절도, 암호 키에 대한 추출, 보안취약점 탐색 등 다양하다"고 설명했다.

 
기존의 웹 서비스는 개발시 보안 취약점을 제거 하는 것으로 많은 취약 요소를 감쇠 할 수 있었다. 반면 모바일 앱은 네이티브 앱 또는 웹 서비스와 결합하는 하이브리드 형태의 앱으로 서비스 되고 최근에는 생체 인증 등이 탑재 되면서 모바일 앱에 의지하는 보안은 과거에 비해 증가했기 때문에 개발 시 보안 취약점을 제거 하는 시큐어 코딩과 앱을 분석 하여 보안 통제 장치를 우회하는 역 공학 분석 및 변조 공격 등에 대해서도 보호가 고려 되어야 한다.
 
모바일 앱 보안 전문 기업인 악산(Arxan)에서 발표한 2014년도 모바일 보안 현황 자료에 따르면, 상위 100개의 상용 안드로이드 앱의 97%, iOS 앱의 87%가 해킹되어 유통 되었다고 하며, 최근에 발표한 조사에서는 84%의 앱 제조사는 본인들의 앱이 안전하다고 생각한다는 반면에 조사 대상의 90% 앱에서 최소 2개 이상의 취약점이 발견되었다.
 
한편 애플리케이션 보안에 대한 연구 성과를 제공 하는 국제 민간 단체인 OWASP에서도 모바일 보안 가이드라인을 제공하고 있으며, 2014년도 모바일 Top 10 리스크에서는 바이너리 보호에 대한 항목이 추가 되었으며, 이는 개발시의 시큐어코딩과 배포시 바이너리 보호 기술의 적용이 필요하다는 의미이다.
 
특히 배포시 바이너리 보호를 위해서는 단순 난독화 만으로는 부족하며, 가능한 중요 로직은 Intermediate(JAVA, Objective-C 등) 언어 대신 C/C++코드로 구현하고, 코드/데이터에 대한 체크섬, 안티디버깅, 코드 원복 등 다양한 보호 기술을 심층 적용 해야한다. 또한 이러한 기술을 적용 함에 있어 적용된 보안 기술이 분석되어 우회되지 않는 자가 방어 기술이 포함되어야 한다는 점을 강조하고 있다.
 
이에 손장군 이사는 앱에 대한 분석 예방, 공격 탐지, 대응의 최신 보호 기술과 그에 따른 보호 기술을 소개했다.
 
다음은 손장군 이사의 현장 발표 영상이다. 또한 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.