모바일 앱 보안성 확보하려면···"시큐어코딩뿐 아니라 취약점 점검도 자동화 필요"

"많은 기업들은 자신들이 개발, 배포하는 모바일 애플리케이션(앱)이 안전하다고 믿고 있지만 대다수의 앱에는 취약점이 존재하고 있다."

(중략)

발견된 취약점은 'OWASP(The Open Web Application Security Project) 모바일 톱(Top)10'에 속한 위협 가운데 ▲바이너리 보호 미흡▲불충분한 전송계층 보호 ▲의도치 않은 데이터 유출 ▲신뢰할 수 없는 입력을 통한 보안 결함 ▲클라이언트영역 주입(멀웨어) ▲취약한 서버 통제 ▲부적절한 세션 처리 ▲안전하지 않은 데이터 저장 ▲취약한 권하부여·인증 등 대부분이 해당된다.

손장군 엔시큐어 전략사업본부(이사)은 "모바일 앱 취약점은 소스코드 수정으로 상당히 해결할 수 있어 보안 개발이 필수적이다. 하지만 결함이 없는 코드도 리버스 엔지니어링이나 조작으로 악의적으로 수정돼 무결성을 위협할 수 있다"라며 "모바일 앱 설계, 개발부터 배포까지 라이프사이클 전체에 걸쳐 보안을 적용해야 한다"고 강조했다.

분석·설계 단계에서부터 보안요구사항을 도출하고 개발 단계에서는 보안코딩(시큐어코딩)과 오픈소스 취약점 점검을 수행해야 한다. 테스트 과정에서도 보안취약점 점검과 분석, 모의해킹 테스트 등을 시행해야 한다. 운영 단계에서는 앱 난독화와 암호화, 위변조 방지를 위한 무결성 보호, 암호화 키 보호 조치가 필수적이다.

손이사는 "앱을 개발할 때 개발자들이 보안 개발을 위해 자동화된 시큐어코딩 툴을 사용하지만 테스트 단계의 보안진단은 대개 툴이 아닌 사람이 모의해킹 방법으로 수행하고 있다."라고 강조하면서 테스트 단계에서 앱 취약점 점검을 자동화된 방식으로 수행할 필요성이 있다고 지적했다.

(중략)

엔시큐어는 라온시큐리티(대표 양정규)가 개발한 모바일 앱 취약점 자동 점검 솔루션인 '자이로이드(Zyroid)'총판을 맡고 있다.

(중략)

기사보러가기->Go!

(출처 : 바이라인네트워크; 이유지 기자; 2017.06.23)

임직원과 고객이 함께하는 엔시큐어