[기획/모바일보안 ⑥] 모바일서비스의 관건은 ‘앱 무결성 확보’
- 가
- 가
이민형 기자
- 앱 위변조 방지솔루션, 금융권 넘어 전방위 확산 중
[디지털데일리 이민형기자] 스마트폰에 설치되는 모바일 애플리케이션(앱)을 업무에 활용하거나 서비스로 제공하고자 할 때, 가장 중요한 요소는 무엇일까.
앱의 품질과 안정성도 중요하겠지만 제일 먼저 생각해야하는 것은 바로 ‘무결성 확보’다. 앱이 아무리 훌륭하더라도 취약점이 있다거나, 쉽게 위변조가 가능하다면 이는 보안사고로 이어질 수 있기 때문이다.
굳이 모바일 환경이 아니더라도 무결성 확보는 매우 중요하다. 지난달 전산망 해킹에 사용된 악성코드가 배포된 방식을 살펴보면 백신 업데이트 파일의 무결성 확보 과정이 없었고, 이는 대량 감염으로 이어졌다.
‘앱 무결성 확보’에 가장 먼저 대응한 곳은 금융권이다. 모바일뱅킹 등 금전적인 피해가 발생할 수 있기 때문이다.
보통 탈옥이나 루팅이 된 스마트폰에서는 금융권 앱이 구동되지 않는다. 특정 파일(cydia, su)이나 폴더의 유무를 체크하는 코드가 들어있기 때문이다. 그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱, Rebirthing)시켜 배포한다.
사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 리스크도 매우 크다. 전문을 금융기관과 주고받는 과정에서 이를 탈취당할 수 있으며, 사용자 몰래 키로깅 코드를 숨겨둘 수 있어 위험은 배가 된다.
사용자가 위변조된 앱을 사용하다가 금전적인 피해를 입을 경우, 금융기관이 이에 대한 책임을 져야한다. 서비스 전 무결성 체크를 해야하기 때문이다.
이와 관련 지난 2011년 10월 금융감독원은 전자금융감독규정 개정을 통해 ‘금융기관 또는 전자금융업자는 전자금융거래프로그램의 위변조여부 등 무결성을 검증할 수 있는 방법을 제공해야 한다’고 정한 바 있다.
이후 대부분의 금융권은 앱 위변조 방지 솔루션을 도입해 모바일뱅킹 앱을 변조할 수 없도록 조치를 취하고 있으며 최근에는 보험사, 증권사에서도 이를 적극적으로 도입하고 있다.
김준구 소프트포럼 금융영업팀장은 “현재 금융권에서는 앱 위변조 방지 솔루션 구축을 이미 마친상태다. 증권사를 통해 서비스를 제공하는 업체들의 도입이 증가하고 있는 추세”라며 “앱 무결성 확보는 모바일 환경이 고도화될수록 지속적으로 이슈가 될 것으로 예상되며, 앱을 통해 비즈니스를 하는 모든 기업과 공공기관으로 전이될 것으로 기대된다”고 말했다.
<이민형 기자>kiku@ddaily.co.kr
[디지털데일리 이민형기자] 스마트폰에 설치되는 모바일 애플리케이션(앱)을 업무에 활용하거나 서비스로 제공하고자 할 때, 가장 중요한 요소는 무엇일까.
앱의 품질과 안정성도 중요하겠지만 제일 먼저 생각해야하는 것은 바로 ‘무결성 확보’다. 앱이 아무리 훌륭하더라도 취약점이 있다거나, 쉽게 위변조가 가능하다면 이는 보안사고로 이어질 수 있기 때문이다.
굳이 모바일 환경이 아니더라도 무결성 확보는 매우 중요하다. 지난달 전산망 해킹에 사용된 악성코드가 배포된 방식을 살펴보면 백신 업데이트 파일의 무결성 확보 과정이 없었고, 이는 대량 감염으로 이어졌다.
‘앱 무결성 확보’에 가장 먼저 대응한 곳은 금융권이다. 모바일뱅킹 등 금전적인 피해가 발생할 수 있기 때문이다.
보통 탈옥이나 루팅이 된 스마트폰에서는 금융권 앱이 구동되지 않는다. 특정 파일(cydia, su)이나 폴더의 유무를 체크하는 코드가 들어있기 때문이다. 그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱, Rebirthing)시켜 배포한다.
사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 리스크도 매우 크다. 전문을 금융기관과 주고받는 과정에서 이를 탈취당할 수 있으며, 사용자 몰래 키로깅 코드를 숨겨둘 수 있어 위험은 배가 된다.
사용자가 위변조된 앱을 사용하다가 금전적인 피해를 입을 경우, 금융기관이 이에 대한 책임을 져야한다. 서비스 전 무결성 체크를 해야하기 때문이다.
이와 관련 지난 2011년 10월 금융감독원은 전자금융감독규정 개정을 통해 ‘금융기관 또는 전자금융업자는 전자금융거래프로그램의 위변조여부 등 무결성을 검증할 수 있는 방법을 제공해야 한다’고 정한 바 있다.
이후 대부분의 금융권은 앱 위변조 방지 솔루션을 도입해 모바일뱅킹 앱을 변조할 수 없도록 조치를 취하고 있으며 최근에는 보험사, 증권사에서도 이를 적극적으로 도입하고 있다.
김준구 소프트포럼 금융영업팀장은 “현재 금융권에서는 앱 위변조 방지 솔루션 구축을 이미 마친상태다. 증권사를 통해 서비스를 제공하는 업체들의 도입이 증가하고 있는 추세”라며 “앱 무결성 확보는 모바일 환경이 고도화될수록 지속적으로 이슈가 될 것으로 예상되며, 앱을 통해 비즈니스를 하는 모든 기업과 공공기관으로 전이될 것으로 기대된다”고 말했다.
<이민형 기자>kiku@ddaily.co.kr
[알림] ‘제8회, NES 2013 차세대 기업보안 세미나 & 전시회’에 여러분을 초대합니다.
<디지털데일리>는 이달 25일 J.W 메리어트 호텔 서울에서 차세대 기업보안 세미나 ‘NES 2013’을 개최합니다.
올해로 8회째 열리는 NES 2013은 ‘지능형 위협과 기업보안, 안전한 BYOD 환경 구축’을 주제로 급변하는 IT·위협 환경에서 기업이 주목해야 할 최신 보안 이슈와 대응기술 방안을 집중 조명할 예정입니다.
독자 여러분의 많은 관심과 참여 부탁드립니다. 감사합니다.
행사 안내 바로가기
<디지털데일리>는 이달 25일 J.W 메리어트 호텔 서울에서 차세대 기업보안 세미나 ‘NES 2013’을 개최합니다.
올해로 8회째 열리는 NES 2013은 ‘지능형 위협과 기업보안, 안전한 BYOD 환경 구축’을 주제로 급변하는 IT·위협 환경에서 기업이 주목해야 할 최신 보안 이슈와 대응기술 방안을 집중 조명할 예정입니다.
독자 여러분의 많은 관심과 참여 부탁드립니다. 감사합니다.
행사 안내 바로가기
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
당신이 좋아할 만한 뉴스
많이 본 기사
연재기사
실시간 추천 뉴스
-
‘급등’ 비트코인 6만3천달러선 탈환… 연준 ‘빅컷’ 효과 ‘톡톡’
2024-09-20 10:23:04 -
7월 국내은행 대출 연체율 0.47%…전월대비 0.05%p 상승
2024-09-20 10:22:47 -
두나무 업비트 투자자보호센터, ‘미국 대선과 가상자산’ 리포트 발간
2024-09-20 10:22:26 -
2024-09-20 10:09:29
-
MBC스포츠+·CGV, 프로야구 실시간 이원생중계 나서
2024-09-20 10:04:32
회사명: ㈜디지털데일리|제호: 디지털데일리|등록번호 : 서울아00039|등록발행연월일: 2005년 9월 6일|사업자 등록번호: 101-86-13419
주소: (04057)서울특별시 마포구 신촌로14길 24(노고산동 54-46)|대표전화: 02-334-7781|Fax: 02-334-7782
대표자: 양경진|편집국장: 채수웅|개인정보·청소년보호책임자: 오주엽
Copyright © DIGITAL DAILY Co.,Ltd. All Rights Reserved.