모바일을 통한 비즈니스가 활성화됨에 따라 애플리케이션(앱) 보안에 대한 수요도 높아지고 있다.
앱을 통해 서비스를 제공할 때 가장 중요한 점은 품질과 안정성이지만, 그 이전에 고민해봐야할 것은 앱의 ‘무결성’을 확보하는 것이다. 앱이 아무리 훌륭하더라도 취약점이 있다거나, 쉽게 위변조가 가능하다면 이는 보안사고나 기업의 손실로 이어질 수 있기 때문이다.
지난해에는 국내 인기 모바일게임 ‘아이러브커피’를 그대로 복제한 사건이 발생했다. 아이러브커피의 불법 복제게임인 ‘커피러버’는 원작인 아이러브커피의 소스코드를 해킹해 이를 바탕으로 개발한 것으로 드러났다.
뿐만 아니라 모바일게임의 결제모듈을 해킹해 불법적으로 게임머니를 취득하는 사례는 셀 수 없을 정도로 자주 발생하고 있다. 게임이 출시된 지 6시간 만에 게임 아이템 판매 매출이 1억원을 넘어섰는데, 실제 들어온 돈은 5000만원 채 안됐다는 이야기는 모바일게임 업계에서는 유명한 일화로 꼽힌다.
굳이 모바일 환경이 아니더라도 무결성 확보는 매우 중요하다. 지난해 3.20 전산망해킹에 사용된 악성코드의 배포된 방식을 살펴보면 백신 업데이트 파일의 무결성 확보 과정이 없었고 이는 대량 감염으로 이어졌다.
‘앱 무결성 확보’에 가장 적극적으로 대응하고 있는 곳은 금융회사들이다. 전자금융서비스를 제공하고 있어 금전적인 손실이 현실화돼 있기 때문이다.
보통 탈옥이나 루팅이 된 스마트폰에서는 전자금융 앱이 구동되지 않는다. 특정 파일(cydia, su)이나 폴더의 유무를 체크하는 코드가 들어있기 때문이다. 그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱, Rebirthing)시켜 배포한다.
사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 리스크도 매우 크다. 전문을 금융기관과 주고받는 과정에서 이를 탈취당할 수 있으며, 사용자 몰래 키로깅 코드를 숨겨둘 수 있어 위험은 배가 된다.
사용자가 위변조된 앱을 사용하다가 금전적인 피해를 입을 경우 금융회사가 이를 책임져야 한다. 앱 무결성 검증에 대한 책임 역시 금융회사에 있기 때문이다.
이때문에 대부분의 금융회사들은 앱 위변조 방지 솔루션을 도입해 모바일뱅킹 앱을 변조할 수 없도록 조치를 취하고 있으며 최근에는 보험사, 증권사에서도 이를 적극적으로 도입하고 있다.
올해는 이러한 분위기가 더욱 가속돼 모바일에 대한 전반적인 보안책이 강화될 예정이다. 앱 위변조만으로는 부족하다는 지적이다.
보안업계 관계자는“과거 앱 위변조에만 초점을 잡았던 금융회사들이 이제는 전반적인 보안을 고민하고 있다”며 “금융회사들은 위변조 대응을 넘어 루팅, 탈옥 등 시스템 변경, 커널·운영체제(OS) 변조, 역공학(Reverse Engineering) 등 서비스에 영향을 끼칠 수 있는 모든 영역에 대한 보호를 원한다”고 말했다.
실제 금감원의 스마트금융 안전대책에는 금융회사들이 스마트금융 서비스를 위해 구현해야할 약 20개의 항목이 존재한다. 항목에는 ▲백신 적용 ▲모듈 보호 ▲소스 암호화·난독화 ▲앱 위변조 방지 ▲멀티로그인 차단 등이다.
올해부터는 공공기관에서도 앱 보안에 비용을 투자하게 된다.
안전행정부는 내년부터 모바일전자정부 서비스지침을 개정해 모바일 앱 소스코드에 대한 보안성 검증을 의무화한다고 21일 밝혔다.
기존에는 소스코드에 대한 보안성 검증은 권고 사안이었다. 안전행정부는 지난해 11월 공공기관에서 발표하는 신규 앱에 대해 보안성 검증을 받아야 앱을 등록할 수 있도록 했다.
여기에 추가로 안행부는 앱 위변조 방지, 인증서 전달기능 암호화 등 모바일 보안모듈을 제공해 모바일 앱의 안전성을 강화한다는 계획이다.
현재 앱 위변조 방지 솔루션 시장에는 엔시큐어(악산), NHSC, 에스이웍스, 락인컴퍼니 등의 업체들이 주자로 활동하고 있다.