엔시큐어-악산-데일리그리드, FinForum 개최...악산 리 쿠퍼 부사장 앱 취약성 강연

▲ 지난 10일 개최된 Dailygrid FinFourm에서 이렇게 밝힌 앱 보안 업체인 악산(Arxan)의 리쿠퍼(Lee Cooper) 부사장은 “기존의 앱을 가짜로 만드는 것이 가능하다. 기능을 변화시켜서 돈을 다른 곳으로 이체할 수 있게 할 수도 있다.”며 모바일 앱의 취약성에 대해 설명했다.

“보안업계의 전통적인 사고체계는 지난 수십년 동안 방화벽을 중심으로 데이터가 분산되는 것을 생각하는 방식이었다. 그러나 오늘날은 더 이상 중앙에서 집중된 것이 아니고, 피어투피어 방식으로 개별적인 접근을 취한다.”

지난 10일 개최된 Dailygrid FinFourm에서 이렇게 밝힌 애플리케이션 보안 업체인 악산(Arxan)의 리쿠퍼(Lee Cooper) 부사장은 “모바일 앱의 공격 흐름은 공격자의 입장에선 안드로이드나 iOS 입장에서 얘기하면 편리하다”며 “기존의 앱을 가짜로 만드는 것이 가능하다. 기능을 변화시켜서 돈을 다른 곳으로 이체할 수 있게 할 수도 있다.”며 모바일 앱의 취약성에 대해 설명했다.

해커는 이메일이나 문자를 속여서 해킹툴을 다운로드하게 만들 수 있다. 보안커뮤니티인 “owasp”는 모바일 바이너리를 보호하는 것이 중요하다고 제시했다. 올해는 새로 10개 가이드라인을 제시했는데, 그중 2개는 바이너리에 관한 것을 역설계와 같이 데이터를 탈취하는 것과, 데이터를 변조하는 내용이다.

구글이 무료로 공개한 HCE(Host Card Emulation) 는 모바일 결제와 관련해 개발자가 결제 수단으로 사용된다. 기존 HCE의 사용방법은 하드웨어 칩이 보안을 담당하는 것이 핵심이었다. 최근엔 하드웨어 없이도 애플리케이션에서 HCE가 적용되기 시작했다. 이는 안드로이드 앱에서 HCE를 사용하게 된다는 의미다.

쿠퍼는 “이런 상황에서 앱을 보호하기 위해선 암호키를 보호하는 것이 중요하다”며 “화이트 박스 암화화 방식을 써서 키를 저장할 수 있다”고 밝혔다.

▲ DailyGrid FinFourm 행사 모습
그는 “화이트박스 스크립터가 의미가 있는 것은 디버그해서 볼 수 있다는 점이며, 헤커가 화이트박스르 볼더라도 이를 숨기거나 새롭게 다른 것으로 구현할 수 있다”고 설명했다.

쿠퍼는 또 “코드강화, 즉 코드하드닝 방식을 쓰면 위변조 방지나 역설계 방지가 가능하다는 점이며, 이를 통해, 모바일 앱에 적용된 HCE의 보안 취약점을 보안할 수 있다”고 밝혔다.

쿠퍼는 최근 이슈가 되고 있는 블록체인에 대해서도 설명했다. 블록체인은 비트코인 인증방식으로 적용되면서 큰 관심사가 되고 있다.

쿠퍼는 “키를 분배해 신뢰성을 높이는 블록체인 기술은 키를 잘 숨기는 것이 중요하다. 이를 통해 은행과 이용자 사이의 신뢰를 높여야 한다.”고 밝혔다.

모바일 금융앱은 새로운 환경에서 새로운 형식으로 발전하고 있다. 이런 여러 가지 점에 있어서 보안은 매우 중요하다.쿠퍼는 “악산의 역할은 앱에 대한 보호, 방어, 리엑트 3가지”라고 밝혔다.

이어 그는 “방어는 해커가 앱에 접근하는 것을 막는 것이다. 보호는 해커가 코드를 바꾸는 것을 감지할 수 있다. 리엑트는 바뀐 코드를 원상태로 복귀하는 것이다. 우리는 이것을 모두 잘 할 수 있다.”고 설명했다.

조남욱 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지