모바일 앱 진단 질문에 대한 답변 사례

보안프로젝트 매거진 

실무에서 모바일어플 진단할 때 어떤 방식으로 어떻게 접근하는지 궁금합니다. 단순히 어플의 취약점만 컨설팅 한다고하면 집필하신 책에 나온 악성코드 부분은 해당되지 않는게 맞나요?? 간략하게 답변 부탁드립니다.

모바일 앱 서비스를 진단할 때나 보안 솔루션을 진단할 때 금융권에서 요구되는 항목을 많이 따르게 됩니다. 이유는 금융권이 제일 먼저 법적 규제 대상이 되는 경우가 많기 때문이죠. 그 이후에는 각 서비스에 따라 어떤 법률을 추가적으로 적용하냐에 따라 대응하는 것이 달라집니다. 금융권에서 아래와 같은 점검 체크리스트 및 가이드를 참고하게 됩니다. 비공개된 자료들도 있으니 구글에서 검색하시면 됩니다.

스마트폰 전자금융서비스 보안 가이드
스마트폰 안전대책 자체점검
스마트폰 전자금융앱 위변조방지대책
스마트폰 금융 안전대책 이행실태 점검 결과

그외 공공기관을 포함해서는 한국 인터넷 진흥원에서 배포하고 있는 http://www.kisa.or.kr/public/laws/laws3.jsp에서 배포하는 아래 가이드를 참고하게 됩니다.

모바일 앱 소스코드 검증 가이드라인
모바일 대민서비스 구축 가이드
모바일 대민서비스 보안취약점 점검 가이드
대민 모바일 보안공통기반 활용가이드

악성코드 앱을 분석하든 모바일 앱 취약점 분석을 하든 기술은 동일합니다. 한 예로, 동적 분석을 할 때 와이어샤크와 로그캣 정보를 확인하는 것, 후킹 기법을 하는 것 등 모든 기술은 동일합니다. 단지, 항목에 따라 접근하는 방법만 다를 뿐입이고, 서비스에 따라서 어떻게 접근을 할 지 다를 뿐입니다.

또한, 앱이 실행되고 난 뒤에 생성되는 정보, 변경되는 정보 등을 파악하는 것도 악성코드 앱이든 진단 앱이든 기술은 동일합니다. 난독화 기법, 루팅 체크 등 다양한 보안 기법에 대한 해제 기법도 동일하게 접근합니다. 기술을 서비스 환경에 맞춰 어떻게 적용하냐가 중요합니다.