Android Security에 대한 고찰

Mobile app Security Market

---

Understand App Security Market

---

'앱 보안' 이라는 키워드를 토대로 검색시 대부분의 글은 누군가가 본인의 제품을 홍보하기 위한 글이 대다수이다.

해당 글 들의 내용을 살펴보면 '모바일 앱을 보다 안전하게 만들기 위해서는 제품을 써야한다' 라는 뉘앙스로 이야기를 한다. -> 이는 곧 '어떠한 제품이 더욱 퍼포먼스가 좋냐?' 라는 관점에서만 제품을 살펴보게 된다.

애초에 이를 바라보는 관점에 문제가 존재한다.

'100퍼센트 안전하다' 라는 말은 절대 내뱉어서는 안된다. 실 예로 이러한 얘기를 공개적인 자리에서 언급했다가 고수들에게 크게 혼난 사례가 있다.

간단한 예시로 솔루션들의 주요기능 중 하나인 Source Code Obfuscation에 대해 살펴보자.

'난독화' 자체의 의미가 읽기 힘들도록 만든다는 의미이다. 즉, 안풀린 다는 것이 아니라 읽기 어려운, 읽으려면 시간이 오래걸리거나 높은 수준의 지식이 필요하다는 소리이다. 이는 곧 투자하면 풀 수 있다는 얘기와 같다.

모바일 금융 앱 사용자 815명과 이를 감독하는 268명의 IT 의사 결졍자들을 대상으로 실시한 조사에 의하면, 이들 가운데 84%는 자신들이 제공하거나 사용하는 모바일 앱의 84%는 안전하다고 인식하고 있는 것으로 낱났다.

이 중 63%는 모바일 앱을 보호하기 위한 모든 조치를 취했다고 이야기 하였으며 이 중 90%가 최소 2개 이상의 Critical한 보안 취약점이 존재하는 것으로 나타났다.

발견된 취약점은 Owasp Mobile Top 10에 속한 위협 가운데 바이너리 보호 미흡, 불충분한 전송 계층 보호, 의도치 않은 데이터 유출, 신뢰할 수 없는 입력을 통한 보안 결함, 클라이언트 영역 주입, 취약한 서버 통제, 부적절한 세션 처리, 안전하지 않은 데이터 저장, 취약한 권한 부여 및 인증 등 대부분이 해당된다.

Market

---

앱 보안을 살피기 이전에 시장을 살펴본다.

모바일 보안 시장에 나오는 솔루션들은 대체로 주요 취약점들에 대한 대응을 위하여 아래와 같은 대응방안들을 제공한다.

• Source Obfuscation

• Tamper Detection

• Root/Jailbreak Detection

• App Assetment

• Etc...

실제 필드에서 이루어지고 있는 보안의 흐름이다.

'일단 앱 만들어놓고, 그 이후에 난독화하자, 위/변조 탐지 기능 적용하자, 루팅 감지하자...' 식이다.

정작 가장 중요하게 생각해야 할 것은 Think about App Security가 존재하지 않는다.

제작할 앱에 대한 요구사항을 확실히 분석하고 최고의 퍼포먼스와 최고의 보안성을 위해 설게에 가장 큰 힘을 쏟아야한다고 생각한다.

More Secure App

---

그렇다면, 이번에는 왜 현재 보안 시장에서 '일단 만들고나서 솔루션을 적용하자' 라는 마인드셋이 적용되었는지를 파악해보자.

국내만 하여도 아래와 같이 다양한 스마트폰에 대한 보안 가이드 지침이 존재한다.

• 스마트폰 전자 금융 서비스 보안 가이드

• 스마트폰 안전 대책 자체 점검

• 스마트폰 전자 금융 앱 위변조 방지 대책

• 스마트폰 금융 안전 대책과 이행 실태 점검 결과

위 지침서들을 조금이라도 읽어보면 알겠지만 대응방안을 앞서 설명했던 것과 같이 제공하게된 원인은 이것이다.

'서비스를 release하는 입장에서 이것만 지키면 된다' 라는 생각이 어느새 시장 가운데 깊숙히 자리잡고있다.

즉, 가장 주요한 Think about Security는 하지 않는다는 말이다.

'어떻게 하면 안전하게 만들수 있지?' 라는 원천적인 고민을 하지 않고 위 가이드에만 맞춰 제작하기 급급하다.

Result

---

보다 안전한 앱을 위해서 대부분의 기업은 Security Product를 고려한다.

그러나 이는, 2nd answer이며 제일 우선시 해야할 것은 business logic 과 protocols 내에서 어떻게 더욱 안전하게 개발을 할 지에 집중해야 한다.