우리 주변에서 남녀노소에 상관없이 모바일 앱을 이용하여 관심사를 검색하는 풍경을 쉽게 찾아볼 수 있습니다. 이는 모바일 앱이 급속도로 성장하여 과거 데스크톱 중심의 환경이 모바일로의 전환이 이루어지고 있다는 것을 나타냅니다. 이러한 모바일 환경에서 보안은 더 이상 프리미엄 기능이 아닌 사용자의 프라이버시 보호를 위한 필수적이고 매우 기본적인 기능으로 여겨지고 있습니다. 모바일 앱이 여러 분야에서 강력한 기능을 갖추고, 수준높게 발전한 것을 감안할 때 데이타나 통신을 통한 정보 교환과 관련하여 사용자가 앱과 안전하게 상호 작용할 수 있는 환경을 유지하는 것이 필수 불가결해졌습니다. 사실 방대한 앱 (개인용 및 기업용) 컬렉션을 제공하는 Android 및 iOS 앱 스토어를 이용하는 고객은 제품에 대한 완전한 믿음을 기대할 수 있는 보안된 앱 사용을 원합니다.
최종 사용자의 관점에서 보안에 문제가 없고 안전한 모바일 앱을 개념화하고 개발하려면 다음과 같은 지침을 고려해야 합니다.
- 앱 보안은 결코 한가지 주요 사항으로 한정할 수 없습니다. 다양한 측면에서 종합적으로 고려되어야 하며, 앱의 개발 수명 주기 전반에 걸쳐 필수 가이드로 발전해야 합니다. 성능, 유용성, 사용성 등과 관련된 다른 버그 및 문제점과 달리 보안 허점과 관련된 문제는 시간과 비용 및 인력 측면에서 큰 파급 효과를 가져 오기 때문입니다. 따라서 보안 관리에 대한 지속적인 강조는 필수적이며, 익숙해 지기까지 긴 시간이 소요됨을 주지해야 합니다.
- HTTPS는 보안되지 않은 HTTP의 보안 계층으로 자리 잡고 있으며, 암호화를 통해 브라우저와 서버간 통신 및 데이터 무결성을 안전하게 유지하도록 지원합니다. HTTPS는 공개된 인터넷 네트워크를 이용한 도청 행위를 방지하기 위해 정의된 전송 계층 보안을 통해 구현 됩니다. 이러한 방식은 패킷 스니핑 방지와 종단간 데이터 보호 메커니즘의 동작을 보장합니다.
- “닫히지 않은” 포트 연결을 이용하여 파일 및 리소스에 대해 부적절하게 접근하는 시도를 방지하기 위해서는 세션을 적절하게 처리하고 타임아웃 기준을 설정해야 합니다. 이는 사용자 프로파일링, 사용자 액세스 제한, 일반 네트워크 스캔 등을 통하여 처리 할 수 있습니다.
- OWASP에 따르면 취약한 서버 측 컨트롤은 가장 낮은 위험 등급이지만 가장 많이 악용된 모바일 보안 위협 중 하나입니다. 모바일 앱이 서버에 접속하여 데이터 검색을 할 수 있는 많은 백엔드 서비스가 있기 때문에, 공격에 사용될 수 있는 많은 포트들이 열려 있습니다. API가 제대로 구현되지 않은 경우도 마찬가지로 공격에 노출될 수 있습니다. 응용 프로그램을 적절히 검사하고 서버 측 제어의 기회를 약화하도록 코드를 리팩터링하는 것이 이러한 빈틈을 효과적으로 처리하는 방법중에 하나입니다.
지금까지 모바일 앱이 앞으로 나아갈 길을 조명해 봤습니다. 행복하고 안전한 고객을 확보하기 위해서는 조속히 보안 기능을 도입 해야할 것입니다.
For any application security assistance email us at contact@appsealing.com.