[POC 2019] 티오리 박세준 대표, 국내·외 주요 앱보안 솔루션 10개 검증 결과 공개…”설계 단계부터 보안이 핵심”

“솔루션도 필요하지만 맹신은 금물, 설계 초기 단계부터 보안 적용이 중요해”

국제해킹보안컨퍼런스 POC 2019에서 박세준 티오리 대표가 앱보안 솔루션 검증 과정과 결과에 대해 강연을 진행하고 있다.

국제해킹보안컨퍼런스 POC 2019가 11월 7일부터 8일까지 양재동 더케이호텔서울 거문고홀에서 500여 명의 글로벌 해커들과 국내외 보안전문가들이 참석한 가운데 성황리에 개최되고 있다.

이 자리에서 티오리(Theori) 박세준(Brian Pak) 대표는 "Breaking Android Obfuscation By Applying BAOBAB"를 주제로 강연을 진행해 큰 관심을 끌었다.

발표 내용은 국내외 주요 앱보안 솔루션들이 제대로 작동을 하고 있는지 검증과정과 검증 결과를 발표하는 시간이었다. 핵심은 앱보안 솔루션이 필요 없다는 것이 아니라 보안을 위한 보조솔루션으로 생각하고 맹신은 금물이며 더 중요한 것은 소스코드가 공개 되더라도 위변조나 이용자 피해로 이어지지 않도록 설계단계부터 시큐어코딩을 비롯한 철저한 취약점 점검 작업이 프로젝트 초기단계부터 이루어져야 한다는 것이다.

이번 발표를 위해 티오리 연구원들은 3주에 걸쳐 6명의 연구원을 투입해 국내외 많이 사용되고 있는 대표적인 앱보안 솔루션 10개를 검증하기 위해 해당 솔루션을 활용해 제작된 앱들을 분석하기 시작했다. 한 솔루션당 1~3개 앱을 분석한 결과가 이번에 공개된 것이다. 특히 금융권과 기업들이 고객 서비스로 제작한 앱들이 검증 대상이 됐다.

박세준 대표는 앱보안 솔루션 검증 계기에 대해 “다양한 고객들이 모바일 서비스를 위해 앱을 제작하려고 하는데 어떤 앱보안 솔루션을 사용하면 좋을지 문의가 많았다. 검증하지 않으면 고객들에게 도움을 줄 수 없기 때문에 연구원들과 3주간에 걸쳐 주요 앱보안 솔루션 10개를 선정해 검증하게 됐다. 우리가 검증해 보지 않고는 추천해 줄 수 없기 때문이다. 확실한 데이터를 가지고 말하는 것이 맞다고 생각해 검증작업에 착수하게 됐다. 또 티오리는 앱보안 분야 경쟁기업도 아니기 때문에 객관적으로 검증하는데 초점을 맞춰 진행했다”고 설명했다.

이번에 분석된 앱보안 솔루션은 총 10개로 국내 주요 앱보안 기업들이 판매하고 있는 5개 솔루션이 포함됐고 미국의 유명 솔루션과 중국 솔루션도 다수 포함됐다. 검증 대상 솔루션명들은 발표자료에 모두 공개돼 있다.

-박세준 대표 발표자료 다운로드: 클릭

박 대표는 “앱보안 솔루션은 국내 금융권과 대기업에서 대부분 사용하고 있다. 사용 비용도 업체별로 많이 차이가 난다. 비용을 들여 사용하는 만큼 앱보안 솔루션들이 유용한지 그리고 그들이 제공한다는 보호기능들이 제대로 작동하는지 분석했다”며 총 9개 분야로 구분해 각 솔루션별 우회가능 여부를 공개했다.

티오리는 앱보안 솔루션들이 어떤 기술들을 사용하는지 분석하고 공격자 입장에서 분석해 이 기능들을 무력화 시킬 수 있는지 검증해 나갔다. 그 과정이 이번 POC 2019에서 발표된 것이다.

이를 위해 티오리 연구원들은 오픈소스를 수정, 개선해 가며 분석에 활용했고 안드로이드 앱 분석 툴도 자체적으로 업그레이드 시켜 사용했다.

분석 결과 국내외 많은 앱보안 솔루션들이 짧게는 30분에서 길게는 3일 정도면 우회(bypass)가 가능하다는 결과가 나왔다. 이를 솔루션 별로 난이도(Difficulty)로 표시해 공개했다.

앱보안 솔루션이 우회됐다는 것은 이들의 보호기능을 우회할 수 있다는 뜻이다. 앱 위변조가 가능하면 피싱앱을 통해 기업과 고객간 정보들이 탈취될 수 있고 직접적인 이용자 피해로 이어질 수 있는 위험성이 크다는 것이다.

박 대표는 “검증 결과에 대해 놀라기도 했다. 너무 쉽게 바이패스 되는 솔루션도 있었기 때문이다. 하지만 이런 솔루션들이 필요 없다는 것을 말하려고 하는 것이 아니다. 공격자들의 공격 비용을 높이기 위해서는 이런 보호 솔루션들이 필요하다”며 “하지만 더 중요한 것은 솔루션에만 의존하면 안된다는 것이다. 설계 초기단계부터 시큐어코딩과 취약점 진단이 있어야 한다. 취약점이 없어야 소스코드가 노출된다 하더라도 안전할 수 있다. 글로벌 기업들도 앱 개발시 앱보안 솔루션을 사용하면서도 그 보다 설계단계부터 보안에 중점을 두고 모든 과정에서 시큐어코딩과 철저한 취약점 진단을 병행하고 있다. 취약점이 있는 소스코드를 난독화로 덮을 것이 아니라 취약점을 없애도록 해야 한다”고 강조했다.

박세준 티오리 대표는 이번 POC 2019 발표자료를 깃허브에 공개했고 이번 검증 과정에서 사용된 오픈소스와 개선된 안드로이드 분석 툴 등을 조만간 공개할 것이라고 밝혔다.

한편 티오리는 올해 질적, 양적 성장을 이룩한 한 해다. 대기업, 금융사, 암호화폐거래소, 블록체인업체, 게임사, 스타트업, 운영체제 벤더, 임베디드 기기 제조사 등 다양한 고객들과 컨설팅 프로젝트를 진행했다.

인력도 지난해 비해 2배가 늘었다. 인턴까지 포함하면 30명 규모로 성장했다. 인력도 늘었지만 매출도 80% 이상 성장했다. 내년에는 교육 플랫폼 사업도 계획하고 있다.

박 대표는 “후배들이 어떻게 보안공부를 해야 하는지 자주 물어온다. 그럴 때마다 도움이 되는 조언을 해 줄 수 없어서 목표를 세웠다. 제대로 된 교육 플랫폼을 만들어 한 곳에서 학습과 연습, 응용 모든 것이 가능한 플랫폼을 열심히 준비하고 있다. 개인들에게는 무료로 제공될 예정이다. 내년 초에 교육과 워게임 플랫폼 오픈을 위해 힘쓰고 있다”며 “향후 이 교육플랫폼을 중심으로 보안분야에 도움이 될 수 있는 일들을 전개해 나갈 계획이다. 물론 이번처럼 한국의 보안 발전을 위해 선행연구도 계속 진행해 나갈 것”이라고 전했다.

끝으로 그는 “최근 설계 단계부터 펜테스팅을 의뢰해 같이 빌드업하는 기업들이 늘고 있다. 물론 초기 비용은 더 들겠지만, 개발이 완료되고 서비스 단계에서 보안문제가 발생하면 후처리 비용이 더 들어 간다. 신뢰도 잃게 되고 큰 어려움을 겪게 된다. 초기 설계단계부터 보안에 대한 투자가 반드시 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★