PC 없이 스마트폰으로만 온라인 거래를 할 수 있는 시대가 됐다. 카카오뱅크와 같은 인터넷 전문은행이 아니더라도 대부분의 금융서비스는 PC보다 스마트폰이 더 편리하게 설계돼 있으며, 온라인 쇼핑, SNS, 언론, 포털, 기타 온라인 콘텐츠 서비스 등도 모바일이 훨씬 더 편리하다. 이러한 현상을 앞으로 더 심화될 것이며, 곧 PC보다 모바일이 더 대세를 이루게 될 것이다.
이럴 때 일 수록 모바일 앱의 보안을 더욱 잘 점검해야 한다. 모바일 앱은 누구나 쉽게 개발하고 올리고 다운받을 수 있으므로 보안 취약점 점검을 잘 하지 않는다. 금융앱은 개발 완료 후 반듣시 취약점 점검을 하도록 되어 있으나 배포할 때 한번만 진행하므로 서비스를 제공하고 있는 과정에서는 취약점 관리가 소홀할 수 있다.
모바일 앱 취약점 점검 서비스 시장 순항
이 때문에 모바일 앱 취약점 점검 컨설팅 서비스 시장이 성장을 거듭하고 있으며, 자동으로 취약점을 점검하는 솔루션도 선보이고 있다. 안드로이드 뿐 아니라 iOS를 지원하는 취약점 점검 솔루션도 나와 주목된다.
라온시큐리티의 양정규 대표는 “모바일로 은행 업무까지 하는 시대가 됐지만, 모바일 앱 취약점을 전문적으로 점검하는 솔루션은 찾아보기 어렵다. 금융사는 모바일 앱을 개발한 후 취약점 진단 서비스를 받고 있다. 그러나 진단 시점에서 찾아내지 못한 취약점을 해결할 방법을 모색해야 한다. 또한 전문가의 업무를 줄이고 실수로 놓친 부분도 찾을 수 있는 자동화된 솔루션이 필요하다”고 말했다.
라온시큐리티는 모의해킹, 취약점 진단 컨설팅 전문기업으로, 많은 금융사의 취약점 진단 서비스를 수행해 온 경험을 기반으로 자이로이드를 개발했다. 자이로이드는 기술적·관리적(컴플라이언스) 측면에서 향상된 보안 점검을 수행하는 모바일 취약점 진단도구로, 난독화된 앱도 분석할 수 있으며, 실시간 데이터를 분석할 수 있다. 가상 에뮬레이터를 사용하지 않고 실제 단말기에서 구동해 플랫폼 소스와 바이너리 수정 없이 정확한 분석이 가능하다.
라온시큐리티는 금융, 통신, 게임 등 기존에 컨설팅 서비스를 공급해 온 고객을 중심으로 자이로이드 영업을 전개할 계획이며, 모바일 애플리케이션 보안이 중요한 기업·기관으로 확장해 나갈 계획이다. 또한 중소·중견 개발사들도 비용 효율적으로 사용할 수 있도록 내년에는 SaaS 모델도 출시할 계획이다.
양정규 대표는 “이제 경쟁사가 나타나기 시작했으며, 내년에는 시장이 본격적으로 성장할 것으로 기대하고 있다. 자이로이드는 소스코드 없이 바이너리만으로도 분석할 수 있어 경쟁력이 높다고 자신한다”며 “또한 라온시큐리티가 가진 컨설팅 전문 인력을 함께 서비스 할 수 있어 더 정확하고 빠르게 취약점을 진단할 수 있다”고 말했다.
소스코드 난독화·취약점 진단으로 보안성 UP
모바일 앱 취약점 점검 시장의 성장이 기대되면서 엠시큐어도 이 시장에 뛰어들고 경쟁을 가속화하고 있다. 엠시큐어는 안드로이드와 iOS 분석이 가능한 ‘브이파인더(v-finder)’를 출시하며 시장 확장에 나섰다. 애플리케이션 난독화 및 무결성 솔루션 ‘세이프앱(SafeApp)’과 함께 시장을 공략할 계획이다. 엠시큐어 역시 모의해킹과 취약점 점검, 보안 컨설팅 사업을 진행하고 있으며, 이 역량을 결집해 브이파인더를 출시하게 됐다.
홍동철 엠시큐어 대표는 “금융의 경우 앱 개발 후 반드시 취약점 점검을 하도록 돼 있다. 그러나 표준화된 기술이나 기준이 없어 컨설턴트의 역량에 따라 취약점 점검 결과가 달라질 수 있다는 문제제기가 있다. 또한 자동화된 툴이 있을 때 컨설팅 인력의 시간을 줄일 수 있고 더 정확한 진단 결과를 도출할 수 있다”며 “브이파인더는 취약점 점검 전문가의 역량을 상향평준화하는 제품이 될 것”이라고 말했다.
세이프앱은 안드로이드 소스코드 보호 솔루션으로, DEX 파일을 암호화해 핵심 소스코드 분석을 방지하고, 무결성 검증으로 앱 위변조를 방지한다. 앱 개발 완료 후 APK파일을 엠시큐어 서비스에 업로드하면 보호된 APK 파일을 다운로드 받을 수 있다.
클라우드 기반 모바일 앱 보호 솔루션도 오랜 기간 시장을 다져오고 잇다. 에스이웍스는 안드로이드, iOS, 유니티 엔진 등 전문 게임엔진까지 지원하는 통합 앱 보안 솔루션 ‘앱솔리드(Appsolid)’ 영업에 총력을 기울이고 있다.
앱 개발 완료 후 앱솔리드 클라우드에 올리면 취약점을 진단하고 보안 조치를 취한 후 보호 처리 된 앱을 내려받을 수 있다. 이 제품은 바이너리 레벨 보안을 제공하고, 디컴파일, 코드 수정 등을 하는 리버스 엔지니어링 위협을 차단한다.
홍민표 에스이웍스 대표는 “앱솔리드는 제품의 안정성과 편의성을 고려해 서비스하고 있으며, 에스이웍스의 전문 보안팀이 지속적으로 최신 공격 형태와 취약점을 모니터링하고, 대응하며 빠르게 엔진을 업데이트한다. 그리고 에스이웍스가 자체 보유한 테스트베드를 통해 수많은 단말기에서 품질 검증과 테스트를 해 높은 안정성을 보장받고 있다”고 말했다.
