모바일 앱 취약점 점검 솔루션 ‘자이로이드’, 안드로이드 이어 iOS도 지원

라온시큐리티(대표 양정규)가 개발, 엔시큐어(대표 문성준)가 총판을 맡고 있는 모바일 애플리케이션(앱) 취약점 점검 솔루션 ‘자이로이드(Zyroid SE)’가 새로운 iOS 버전을 선보였다.

그동안 안드로이드 운영체제(OS)만 지원해온 ‘자이로이드’는 iOS까지 확장하면서 대부분의 상용 모바일 앱 보안 취약점을 한층 쉽고 신속하게 점검할 수 있게 됐다.

OS 앱은 보통 탈옥(Jailbreak)이 가능한 기기에서만 점검할 수 있었다. 이에 비해 자이로이드 iOS는 일반 아이폰을 이용해 직접 점검할 수 있다는 점이 특징이다.

또한 기존 앱 취약점 점검 솔루션과 서비스는 정적 분석 기능 위주로 제공해 왔지만, 자이로이드 iOS는 점검자가 입력하는 값과 그 결과 값을 실제 해킹하는 과정과 동일하게 위·변조해 취약점을 분석한다.

모바일 기기가 아닌 별도의 PC에서 점검이 이뤄져 점검자가 쉽고 편하게 점검을 수행할 수 있도록 구현했다.

자이로이드는 전문가가 주요 취약점을 심도 깊게 분석할 수 있는 실시간 점검과 비전문가도 쉽게 작동이 가능한 자동 점검 기능을 제공한다. 도출된 진단 결과는 상세한 취약점 점검 결과 및 대응 방법을 포함한 보고서로 제공해 과거 점검 내역을 보다 편리하게 관리할 수 있다.

이 제품은 OWASP(The Open Web Application Security Project) 모바일 톱(TOP) 10과 금융위원회의 금융앱 점검항목 등 다양한 컴플라이언스를 충족시킨다.

OWASP 모바일 톱 10 항목에는 ▲취약한 서버 통제 ▲안전하지 않은 데이터 저장 ▲불충분한 전송계층 보호 ▲의도치 않은 데이터 유출 ▲취약한 권한부여·인증 ▲취약한 암호 ▲클라이언트영역 주입(멀웨어) ▲신뢰할 수 없는 입력을 통한 보안 결함 ▲부적절한 세션 처리 ▲바이너리 보호 미흡이 포함된다.

문성준 엔시큐어 대표는 “최근 모바일 앱을 겨냥한 보안 침해 사례가 늘어남에 따라 기존 엔시큐어 고객사들에서 앱 취약점 분석 솔루션에 큰 관심을 갖고 있다.”며, “자이로이드가 기존 엔시큐어의 솔루션들과 결합해 좋은 시너지 효과를 낼 것으로 기대한다”고 밝혔다.

한편, 엔시큐어는 현재 오픈소스 보안 솔루션 및 시큐어코딩, 컨설팅 서비스를 제공하고 있으며, 국내 주요 금융사, 제조사, 게임사, 공공기관 등 300여 고객을 확보하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network