모바일 애플리케이션의 무결성 침해 위협 및 해결전략

오늘날 다수 기업들의 모바일 기기를 사용한 비즈니스 범위가 넓어지자, 모바일 애플리케이션들이 해커들의 주요 공격대상이 되기에 이르렀다. 특히 바이너리 코드 분석과 위·변조와 같은 무결성 침해 위협들이 비일비재하게 벌어지면서 기업들은 모바일 애플리케이션의 효과적인 보안전략을 수립하는 데 총력을 기울이고 있다.
이와 관련 지난 3월12일 서울 삼성동 코엑스 인터콘티넨탈 호텔에서는 ‘모바일 애플리케이션의 무결성 침해 위협 및 해결전략’이라는 주제의 세미나가 열렸으며, 여러 금융기관 및 산업군의 CISO, CIO들의 관심이 집중됐다.

안상미 기자 smahn@ciociso.com

기업 플랫폼 변화에 보안대책 마련해야

3월12일 서울 삼성동 코엑스 인터콘티넨탈 호텔에서 CISO, CIO 및 IT 부서장를 대상으로 제172회 CIOCISO조찬회가 개최됐다. 
강연에 앞서 문성준 엔시큐어 대표이사는 “2011년부터 전 세계적으로 PC보다 모바일기기 사용이 크게 늘었으나 애플리케이션의 보안수준은 매우 심각한 상황이다”라며 “기업의 플랫폼이 점차 모바일기기 위주로 변모하는 만큼 보안사고에 확실한 대안을 마련해야 한다”고 세미나의 취지를 설명했다. 참고로 엔시큐어는 강연에 나선 악산의 한국 디스트리뷰터다.
이후 악산(Arxan Technologies)의 현 CTO인 케빈 모르간(Kevin Morgan)은 모바일 애플리케이션에 대한 리버스 엔지니어링과 위·변조 공격과 같은 무결성 침해 위협 동향과 해킹 유형 그에 대한 방어 사례 등을 소개했다.
케빈 모르간의 설명에 따르면 전 세계에서 모바일기기 중심으로 디지털경제가 구축되고 있는데 기업과 소비자 간은 물론이며 기업 내부운영에도 많이 이용되고 있기 때문에 기업에게 모바일 애플리케이션의 역할은 큰 편이다.

▲ 문성준 엔시큐어 대표이사

이에 따라 모바일 애플리케이션의 보안을 위협하는 해킹은 점점 악의적이고 첨단으로 바뀌고 있으며, 기업들이 갖춘 체계 안에서의 보안컨트롤은 안전성이 충분하지 않다고 그는 주장한다. 해커들이 모바일 애플리케이션을 추출해 애플리케이션 자체를 공격할 수 있기 때문이다.
한 예로 구글 월렛(Google Wallet)은 금융거래를 관여하는 애플리케이션임에도 세 차례나 해킹 당했다. 한 조사기관은 윤리적으로 해킹했을 경우 96%는 주요정보에 접근할 수 있다는 자료를 발표한 바 있으며, 악산은 애플리케이션의 92%는 해킹된 형태로 제공되고 있다는 점을 조사했다. 정보보안전문가들은 이미 모바일 애플리케이션이 보안에 큰 위협이라고 지적하고 있다. 
 
강력한 보안 ‘가드 펑션(Guard funcion)’

▲ 악산 테크놀로지(Arxan Technologies) 현 CTO인 케빈 모르간(Kevin Morgan)

케빈 모르간은 “이같은 해커들의 공격에 대비하려면 현재 구축돼 있는 보안체계의 결함을 제거하는 방법은 유효하지 않다”며 “애플리케이션 내부에 무결성 보호라는 매커니즘이 필요하다”고 주장했다.
케빈 모르간은 해커들이 주로 애플리케이션에서 메타데이터를 추출해 비즈니스 로직을 위·변조하거나 지적재산권 도용, 저작권 침해 등의 행위를 한다고 설명했다. 여기서 해커들의 특정한 공격방식이 드러나는데 애플리케이션을 복호화하거나 자체를 변조하는 경우가 있으며, 리패키징 혹은 스트링데이터를 추출해 키를 빼내기도 한다. 위·변조된 애플리케이션은 앱 스토어를 통해 합법적인 경로로 배포된다.
케빈 모르간은 “특히 금융거래 애플리케이션의 경우 해커들이 사용자의 핀(PIN)이나 패스워드는 물론 신용카드 정보까지 알아낸다. 게다가 애플리케이션의 허용 여부에 항상 예 혹은 아니오가 나오도록 위·변조해 여러 차례 피해를 입힐 수도 있다”고 말했다. 
그는 이어 점차 공격이 광범위해지는 애플리케이션의 보안에 전통적인 시큐어코드는 더 이상 유효하지 않고 오히려 내부 무결성 보호가 중요하다고 설명했다. 주요 기법으로는 자동화된 틀에서 방어할 수 있는 코드 난독법, 심볼의 정보를 제거하거나 심볼명을 바꾸는 방법, 스트링데이터를 암호화하는 방법 등이 있다. 이 경우 위·변조가 감지될 경우 보안컨트롤을 구동시키거나 실행 직전에 애플리케이션을 암호화시킬 수 있다.
가장 강력한 방법은 가드 펑션(Guard funcion)으로 코드와 가드를 동시에 보호하는 방법이다. 케빈 모르간은 거미줄을 예로 들어 “거미줄의 어느 곳을 건드려도 거미는 그 움직임을 알 수 있듯, 가드보호를 하면 네트위크 침입이나 위·변조가 어려워진다. 성능저하의 우려도 없다”고 설명했다.
참석자 중 “난독화 된 소스코드가 풀린다해도 웹 상에서 패스워드나 정보가 제로화 되면 위험하지 않나”고 질문하자, 그는 “바이너리 코드 단에서 관리가 들어가기 때문에 코드 난독화는 컴파일러가 작업한 이후 다시 관리가 들어간다고 보면 된다”고 답했다.
끝으로 케빈 모르간은 “그동안 보안작업을 통해 축적한 노하우를 얼마 전 핸드북으로 제작했다. 많은 기업들이 혜택을 받길 바란다”고 전하며 세미나를 마쳤다.