“애플리케이션을 보호하기 위해서는 침해 방지를 위한 하드닝(hardening)만으로 충분치 않다. 침해 탐지와 대응이 함께 이뤄져야 한다. 애플리케이션이 사용되는 전체 현황을 모니터링, 위협 가시성을 확보해 시간이 지날수록 보안을 최적화해야 한다.”

전세계 애플리케이션 위변조 방지 솔루션 시장 선두업체인 악산(Arxan)의 러스티 카터(Rusty Carter) 제품관리 부사장은 28일 한국을 방한해 새롭게 총판 계약을 맺은 인섹시큐리티 본사에서 기자들과 만나 효과적인 애플리케이션 보호 방안으로 이같이 제시했다.

악산은 모바일과 데스크톱, 서버, 사물인터넷(IoT) 기기에서 사용, 배포되는 금융, 게임, 헬스케어, 디지털미디어(스트리밍) 서비스 등 다양한 애플리케이션 위변조를 방지, 보호하는 기능을 제공한다.

난독화와 암호화, 주의분산(Diversion) 기능으로 공격자들이 앱 소스 디컴파일(Decompile)과 디버깅(Debugging), 리버스엔지니어링(reverse engineering) 등을 사용해 소스코드를 알 수 없도록 만들거나 분석과 침투를 어렵게 하는 것이 주요 기능이다.

정적 보호 기능뿐 아니라 애플리케이션이 구동되는 상황에서도 앱 침투를 탐지·방어해 무결성이 유지되도록 지원한다. 디버깅, 루팅이나 제일브레이크, 코드 변경과 데이터 후킹, 메소드 변경, 그리고 악성코드를 유포하는 웹사이트로 접속하는 MITB(Man in the Browser) 공격에 대응할 수 있다.

악산은 모바일과 데스크톱, 서버, 자바스크립트용으로 구성된 ‘악산 애플리케이션 프로텍션’ 모든 제품군에서 난독화로 대변되는 여러 위변조 방지 기능과 더불어 고도화된 애널리틱스(분석) 기능을 통합 제공한다는 게 카터 부사장의 설명이다.

그는 “보안은 목적지가 아니라 과정(프로세스)이며, 공격자도 여러 과정에 걸쳐 수행하게 된다”라면서 “위협 분석을 통해 전사적으로 각 경계(Perimeter)별 애플리케이션에서 어떤 일이 일어나고 있는지 현황을 모니터링해 위협 가시성을 확보하고, 위협에 적응하면서 한 발 앞서 위협을 예측하고 대응해야 한다”고 강조했다.

아울러 “악산은 모니터링, 적응, 보호로 이어지는 사이클에 따른 보안을 제공한다”라면서 “안드로이드, iOS 등 모바일 애플리케이션 난독화는 물론 윈도우, 맥, 리눅스 기반 애플리케이션 보호 분야에서도 지난 15년간 최강자로 독보적인 위치를 차지해 왔다”고 부각했다.

‘악산 애플리케이션 프로텍션’은 보안 적용을 위해 기기에 별도의 솔루션을 설치할 필요가 없다. 소스코드 변경 없이 간단하게 강력한 보안 기능을 제공할 수 있는 것이 특징이다. 솔루션 실행 시에 기업이 기존에 실행하고 있는 소프트웨어 개발 생명주기(SDLC)와 핵심 기능에 영향을 주지 않도록 구현했다. 또 앱에 직접 구축된 패시브(수동) 보호와 액티브(능동) 보호는 물론, 난독화, 암호화, 체크섬(checksum, 중복검사), 디버깅 탐지, 인증, 무결성 검증, 표준 대응, 경고 등의 통합 보안 기능을 제공한다.

악산은 지난 6년 전 한국 시장에 진출했다. 국내 파트너사로는 엔시큐어와 협력해 왔다. 최근 시장 공략을 더욱 강화하기 위해 기 위해 엔포스와 인섹시큐리티까지 파트너사를 세 개 업체로 확대했다.

김종광 인섹시큐리티 대표는 “악산과 총판 계약을 체결해 공격적으로 애플리케이션 보안 시장에서 마케팅을 시작했다”라면서 “영업은 물론 앱 위변조 방지 관련 전문가를 양성할 수 있도록 국내 공인센터도 운영한다”고 말했다.

한편, 악산은 미국 캘리포니아에 본사를 두고 있는 기업이다. 현재 악산이 보호하고 있는 애플리케이션은 10억개 이상이다.

악산은 애플리케이션 위변조 솔루션 외에 모바일 애플리케이션관리(MAM) 솔루션도 제공한다. 지난해 초 인수해 확보한 ‘어페리언(Apperian)’ MAM 솔루션은 기업이 사내직원과 협력사용으로 사용하는 모바일 애플리케이션을 기기에 신속하고 안전하게 배포하고 설치할 수 있게 하며, 보안 기능과 규정 준수, 정책 기반 관리 기능을 제공한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network