모바일 앱 보안성 확보하려면…“시큐어코딩뿐 아니라 취약점 점검도 자동화 필요”

“많은 기업들은 자신들이 개발, 배포하는 모바일 애플리케이션(앱)이 안전하다고 믿고 있지만 대다수의 앱에는 취약점이 존재하고 있다.”

애플리케이션 보안 전문업체인 엔시큐어(대표 문성준)가 소개한, 미국 악산(Arxan)에서 미국, 영국, 독일, 일본 지역의 인기 앱 126개를 대상으로 보안현황을 조사한 결과다.

모바일 건강·금융 앱 사용자 815명과 앱을 생산하거나 이를 감리·감독하는 268명의 IT 의사 결정자들을 대상으로 실시한 조사에 따르면, 이들 가운데 84%는 자신들이 제공하거나 사용하는 모바일 앱의 84%는 충분히 안전하다고 인식하고 있는 것으로 나타났다.

63%는 모바일 앱을 보호하기 위해 모든 조치를 취했다고 여기고 있는 것으로 조사됐다.

하지만 실제 앱의 보안현황을 살펴본 결과 90%의 앱이 최소 2개 이상의 중요(Critical) 보안취약점이 존재하고 있는 것으로 나타났다.

앱 보안 인식과 실제 위협 사이에 차이가 있다는 것을 보여주는 결과다.

발견된 취약점은 ‘OWASP(The Open Web Application Security Project) 모바일 톱(Top)10’에 속한 위협 가운데 ▲바이너리 보호 미흡 ▲불충분한 전송계층 보호 ▲의도치 않은 데이터 유출 ▲신뢰할 수 없는 입력을 통한 보안 결함 ▲클라이언트영역 주입(멀웨어) ▲취약한 서버 통제 ▲부적절한 세션 처리 ▲안전하지 않은 데이터 저장 ▲취약한 권한부여·인증 등 대부분이 해당된다.

손장군 엔시큐어 전략사업본부장(이사)은 “모바일 앱 취약점은 소스코드 수정으로 상당히 해결할 수 있어 보안 개발이 필수적이다. 하지만 결함이 없는 코드도 리버스 엔지니어링이나 조작으로 악의적으로 수정돼 무결성을 위협할 수 있다”라며 “모바일 앱 설계, 개발부터 배포까지 라이프사이클 전체에 걸쳐 보안을 적용해야 한다”고 강조했다.

분석·설계 단계에서부터 보안요구사항을 도출하고 개발 단계에서는 보안코딩(시큐어코딩)과 오픈소스 취약점 점검을 수행해야 한다. 테스트 과정에서도 보안취약점 점검과 분석, 모의해킹 테스트 등을 시행해야 한다. 운영 단계에서는 앱 난독화와 암호화, 위변조 방지를 위한 무결성 보호, 암호화 키 보호 조치가 필수적이다.

손 이사는 “앱을 개발할 때 개발자들이 보안 개발을 위해 자동화된 시큐어코딩 툴을 사용하지만 테스트 단계의 보안진단은 대개 툴이 아닌 사람이 모의해킹 방법으로 수행하고 있다”라고 강조하면서 테스트 단계에서 앱 취약점 점검을 자동화된 방식으로 수행할 필요성이 있다고 지적했다.

그는 “사람이 수작업으로 모의해킹과 취약점 점검을 수행하는 방식으로는 개발되는 다양한 앱을 지속적으로 보안 점검하기가 어렵고 시간과 비용이 많이 든다”라면서 “자동화된 앱 보안 점검 툴을 사용하면 기존에는 앱 하나 당 4~5일 정도 걸리던 앱 취약점 분석과 점검을 15분 안에 수행할 수 있다”고 설명했다.

이같은 자동화 툴은 수작업으로 시행하던 앱 취약점 점검을 빠르고 효율적으로 수행할 수 있도록 지원한다. 보안지식이 부족하더라도 툴을 이용해 필요한 보안 점검 항목을 손쉽게, 단순 반복잡업을 최소화하면서도 정기적으로 수행한다.

엔시큐어는 라온시큐리티(대표 양정규)가 개발한 모바일 앱 취약점 자동 점검 솔루션인 ‘자이로이드(Zyroid)’ 총판을 맡고 있다.

조일섭 라온시큐리티 연구소장은 “‘자이로이드’는 정적코드 분석과 동적분석까지 지원하는 국내 유일 모바일 앱 취약점 점검 자동화 소프트웨어”라면서 “수작업으로는 시간이 많이 걸렸거나 복잡한 환경에서 정밀한 취약점 분석이 요구돼 점검이 어려웠던 부분까지 간단한 정보 입력만으로 편리하게 수행할 수 있도록 지원한다”고 강조했다.

‘자이로이드’는 현재 안드로이드 환경만 지원하지만 조만간 아이폰 iOS 환경까지 지원하는 제품도 출시된다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network