이 시각 주요 뉴스

여백

다양한 사례로 본 앱 보안의 중요성

이승윤 기자l승인2018.09.20 17:12:28l수정2018.09.20 17:21

크게

작게

메일

인쇄

신고

오늘날 대부분의 핸드폰 사용자들은 스마트폰을 사용하고 있다. 2017년 세계이동통신사업자협회(GSMA) 발표에 따르면 2016년 세계 스마트폰 보급률이 51%이며 2020년까지 75%까지 높아질 것으로 전망했다. 국내 휴대폰 사용자들은 세계 시장보다 더 많이 스마트폰을 사용하고 있다. TNS와 KT경제경영연구소 발표 자료에 따르면 지난 2016년 상반기 국내 스마트폰 평균 보급률은 91%라고 설명했다.

스마트폰이 대중화되고 널리 보급된 이유는 여러가지가 있지만, 큰 이유 중 하나는 다양한 모바일 애플리케이션을 사용할 수 있다는 점이다. 대표적인 모바일 애플리케이션을 꼽자면 사람들이 대중적으로 많이 쓰는 카카오톡, 페이스북, 인스타그램 등이 있다. 또한, 은행 창구에 가지 않고도 은행 업무가 가능한 금융 앱, 운전시 필수적으로 사용하게 된 네비게이션 앱 등 다양한 애플리케이션으로 출시돼 있다. 이러한 애플리케이션이 나올 수 있는 건 모바일 애플리케이션을 만드는 앱 개발자들이 있기 때문이다.

지속적으로 성장하고 있는 앱 마켓 시장

통계자료통계 전문 기업 스테이티스타(Statista) 자료에 따르면 2017년 3월 기준으로 앱 마켓 중 가장 많은 애플리케이션을 공급하고 구글의 플레이 스토어(Play Store) 마켓의 경우 총 280만개를 넘어서는 애플리케이션이 등록돼 있었으며, 현재는 310만개 가량 등록돼 있다. 구글 다음으로 많은 애플리케이션을 공급하고 있는 애플(Apple)의 애플스토어(App Store)에는 약 220만개 가량이 등록돼 있으며 현재는 IOS 버전 업이나 앱 스토어 등록 절차가 까다로워진 관계로 210만개로 줄어든 상태다. 또한, 기타 앱 마켓에서 약 150만개에 달하는 앱을 제공하고 있다.

2017년 3월 주요 앱 마켓 별 애플리케이션 수 출처 : Statista

많은 애플리케이션들 중에서 좋은 콘텐츠와 서비스를 제공하는 앱들은 수 억원 이상의 수익을 올리기도 한다. 그래서인지 모바일 앱 개발자들은 좋은 콘텐츠와 서비스 퀄리티를 가진 앱을 개발하기 위해 고민하고 노력한다. 하지만 개발자 본인이 심혈을 기울여 만든 모바일 앱 자체의 보안에 대한 부분은 그다지 고려하지 않고 있다.

미비한 앱 보안으로 불법 복제나 악성코드 피해 발생

개발자들이 앱 자체의 보안을 생각하지 않기 때문에 시중에 나와있는 많은 애플리케이션들은 쉽게 불법 복제되거나 변조돼 불법유통된다. 보통 기존에 있던 것을 모방하는 것을 ‘카피캣(Copycat)’이라고 부른다. 하지만 요즘 불법 복제자들은 모바일 앱의 카피캣을 넘어서 원본 앱의 소스코드 일부만 변경한 앱을 마켓에 등록해 수익을 올리는 사례도 많이 나타나고 있다.

또한, 앱 자체에 악성코드를 심어서 일반 사용자들에게 피해가 발생하고 있다. 모바일 앱 보안 회사 앱솔리드(AppSolid)에 따르면 플레이스토어(Play Store)의 상위 200개 무료 앱 중 85%가 디컴파일 가능하고, 상위 100개의 무료 게임 중 96%가 리버스 엔지니어링이 가능하다고 발표했다. 이렇게 취약한 모바일 앱의 보안으로 인해 불법 복제로 인한 수익 손실이 매우 크다. 탭코어(Tapcore)에서 발표한 자료에 따르면 모바일 앱 시장은 불법 복제로 인해 17억 달러 이상의 손실을 나타나고 있다고 설명했다. 그럼 실제로 발생한 사건에서는 어떤 피해가 발생했을까? 실제 불법복제 및 악성코드가 발생한 사례를 통해 알아보자.

오닉스 ‘탭 타이탄’, 중국 불법 복제 사건

2015년 2월 중국 내 진출을 앞둔 오닉스의 인기 게임 앱 ‘탭 타이탄’이 중국에서 불법 복제되는 사건이 발생했다. 불법 복제된 게임은 일반적으로 불리는 모방인 ‘카피캣’ 수준이 아닌 원본과 똑같은 UI와 게임 플레이 화면이 구현돼 있었다. 2015년 당시 카피본 ‘탭탭 히어로즈’는 iOS 게임 중 상위 15위 안에 진입했다. 오닉스는 이런 문제를 해결하기 위한 대응팀을 갖추고 있어 강력한 대응을 통해 해당 카피본을 중국 내 모든 앱 마켓에서 제거했다.

릴리스게임즈, 표절관련 입증 서명서 발표

개발사 릴리스게임즈(Lilith Games)가 자사 유명 게임 앱인 올스타 히어로즈(All Star Heroes)를 미국 모바일 게임 제작사인 유클(uCool)이 표절했다고 서명서를 발표했다. 릴리스게임즈는 자사 게임 앱 올스타 히어로즈의 게임 방식, 배틀 화면, 게임 룰, 스킬, UI 등을 유클의 히어로스 차지(Heroes Charge)가 표절했다고 주장했다. 릴리스 게임즈는 이 주장을 뒷받침하는 근거를 자사 페이스북에 관련 동영상을 통해 공개했다.

포켓몬 고, 악성코드 삽입 피해 발생

2016년 7월 증강현실 기술을 이용한 포켓몬고(Pokemon Go) 게임 앱이 출시되면서 국내외에 폭발적인 흥행을 이끌었다. 하지만 이러한 흥행에 편승해 악성코드도 같이 극성을 부렸다. 포켓몬고의 경우 전세계 동시 출시가 아니라 지역 또는 나라마다 출시일이 달랐기 때문에 출시가 늦어지는 나라의 사용자들은 비 공식적인 앱 마켓 또는 블랙 마켓을 통해 포켓몬 고를 다운받았다. 문제는 이렇게 다운받아 설치한 포켓몬 고에 악성코드가 삽입돼 있었던 것이다.

포켓몬 고 로고 출처 : 나이언틱

불법 배포지마다 삽입된 악성코드는 다양했지만, 대표적으로 원격 접근 도구(Remote Access Tool, RAT)기능이 삽입된 파일이 많다. RAT 악성코드 기능이 동작하면 해커는 원격으로 기기를 조작할 수 있어 핸드폰에 저장돼 있는 자료와 개인정보 유출 등의 피해가 발생할 수 있다. 포켓몬 고 제작사는 이런 악성코드에 대응하기 위해 공인된 앱 마켓에서 앱을 받도록 권장했으며, 공인 마켓 이외에 다른 경로로 다운로드 받는 것은 위험하다고 발표했다.

이렇게 여러 사례를 통해 앱 보안의 중요성을 알아보았다. 하지만 이처럼 중요한 앱 보안을 과연 개발자나 IT 전문가들은 어떻게 생각할까?

개발자, 앱 보안에 대한 중요성은 인지…보안적용은 별개 업무

오닉스 게임 불법 복제 사건, 포켓몬 고 악성코드 등 앱에 대한 사이버 공격위협이 높아지면서 앱 개발자들은 보안의 중요성은 인지하고 있다. 그러나 실제 보안을 적용하고 관리하는 것은 개발자의 업무가 아니라고 생각하고 있다. 매년 IT 전문가들에게 DevOps와 보안에 대해 설문조사하는 DevSonatype가 조사한 설문조사 자료를 살펴보면 기업 내 개발자 50% 이상이 보안을 중요하기 여기지만 시간을 투자하지 않는다고 답했으며, 17%는 다른 그룹에서 진행할 일, 9%는 개발자의 업무가 아니라고 말하고 있다.

개발자 보안 인식 설문조사 결과 출처 : Devsecops

보안 개발자 중 단 24%만이 앱 보안이 중요하다고 답한 통계를 통해 아직까지 보안에 대한 의식 개선이 많이 필요하다는 것을 알 수 있다. 많은 개발자들이 앱의 ‘기능 구현’과 ‘품질’에 심혈을 기울여 개발을 진행한다. 하지만 보안이 제대로 되지 않으면 개발자가 힘들게 기 능을 만들고 퀄리티를 높인 앱이 쉽게 크랙 당하거나 카피돼 불법 공유된다. 앞선 사례들처럼 앱으로 발생하는 금전적 이익들이 불법복제 본으로 피해 받을 수 있어 개발자들의 보안 의식을 개선하기 위해선 기업 자체적인 교육이 필요하다. 또한, 개발자는 자체적으로도 보안에 대한 중요성을 되새길 필요가 있다.

그렇다면 개발자들은 앱 보안에서 어떤 점에 주목해야 하고 보안 기술을 접목해야 하는지 궁금하다. 국내 보안 기업 인섹시큐리티에서는 앱 보안 사고를 막기 위해서는 다음과 같은 보안이 적용돼야 한다고 제시했다.

모바일 앱의 소스 코드 난독화

시중에 나온 대부분의 모바일 앱들은 쉽게 원본의 소스코드를 복호화돼 리버싱 할 수 있다. 소스코드 복호화를 방지하고 리버싱을 막기 위해 전문적인 소스코드 난독화 제품이 필요하다. 난독화를 하면 제품의 불법 복제본 또는 크랙본을 방지하는데 큰 도움이 되며 앞선 사례들을 막는 가장 강력한 방법이기도 하다. 무료 툴로는 ProGuard가 있으며 상용 툴로는 모바일 난독화 제품으로 유명한 Arxan의 ‘Arxan Application Protection’이 있다.

워터마크 코드 삽입

올스타히어로즈(All Star Heroes)와 히어로스 차지(Heroes Charge)와 유사한 피해를 막기 위해 앱 자체에 숨겨진 기능을 가진 워터마크 코드를 삽입해야 한다. 이 코드가 삽입되면 불법 복제가 발생할 경우 해당 코드나 기능의 존재 여부를 확인돼 소스코드의 복제 여부를 확인할 수 있다.

구글 플레이 라이선스 사용

구글 플레이 라이선스(Google Play License) 또는 LVL(License Verification Library)을 사용하면 앱을 사용하는 사용자가 정상적인 경로로 구매돼 정상적인 라이선스가 부여되었는지 구글 플레이라이센스 서버(Google Play License Server)에서 확인할 수 있어 불법 다운로드와 같은 행위를 감지할 수 있다.

무결성 검증

앱 구동시 마다 서버 또는 자체 내장된 코드를 통해 앱이 변조되었는지 무결성 검증을 한다. 이를 통해 유료 앱이 크랙 설치나 악성코드가 삽입되는 등의 변조를 확인하고 차단할 수 있다.

김종광 | 인섹시큐리티 대표

#앱 보안#악성코드#스마트폰#모바일 보안

이승윤 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이승윤 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2018 CCTV뉴스. All rights reserved .