많은 사람들이 스마트폰을 사용하여 은행 업무, 검색, 쇼핑 등과 같은 다양한 온라인 거래를 이용하고 있으며, 이러한 추세는 앞으로 기하급수적으로 증가할 것입니다. 현재까지 알려진 바로는 인터넷 트래픽의 약 4분의 3이 모바일 플랫폼을 통해 발생하고 있다고 합니다. 트래픽이 많은 만큼, 민감한 정보를 훔치기 위한 위협과 공격 또한 많이 시도되고 있으며, 안타깝게도 모바일 환경은 많은 취약점이 존재합니다.
보안 뉴스 매체에 따르면, 모바일 앱의 75%는 취약점을 가지고 있다고 하며, 해킹 위협에서 벗어나기 위해서 모바일 앱을 보호하기 위해 여러 가지 측면에서 조치가 필요함은 자명한 사실입니다. 하지만, 너무 실망하지 마십시오. 간단한 개발 관련 프로토콜을 잘 따른다면, 보안 허점을 대부분 지울 수 있습니다.
코드베이스 보안
모바일 생태계의 위협과 취약점을 처리하는 가장 좋은 방법은 적극적으로 선제 대응을 하는 것입니다. 모바일 앱을 개발하는 과정에서 코드 베이스의 모범 사례를 검토하고 적극적으로 반영하는 것은 향후 해당 앱의 미래가치를 보장하는 데 큰 도움이 된다고 할 수 있습니다. 어떠한 문제가 발생했을 때 패치를 통해서 해결하는 것 대신에, 사전에 다양한 각도에서 앱에 영향을 줄 수 있는 환경을 가정하고 이를 대처하는 모범 사례들을 벤치 마크하여 앱 개발 시에 이러한 접근이 반영될 수 있도록 개발 문화를 만드는 것이 더욱 효과적이고 중요합니다. 이러한 능동적인 방법론은 앱 내에서 사용되는 중요한 데이터를 보호하고 취약성을 신속하게 처리하며 고객의 신뢰를 유지하는 데 중요합니다.
앱 디자인과 직관적인 사용자 인터페이스 제공 측면과 함께 앱 보안은 앱 개발 및 품질 분석 프로세스 과정에서 중요하게 다루어져야 합니다. 비록 “100% 안전함”이라는 타이틀을 내세울 수 있는 애플리케이션을 만드는 것은 불가능하다고 할 수 있지만, 그런데도 공격을 받을 수 있는 곳에 대해 대처를 하지 않거나 보안 기능을 이해하고 구현하는데 많은 시간과 노력을 기울이지 않는 것은 매우 위험합니다. 하지만 어렵지 않습니다. 앱 성능에 부정적인 영향을 미치지 않으면서 보안을 지킬 수 있는 좋은 사례들을 참고하십시오.
개발팀이 바로 구현할 수 있는 몇 가지 시큐어 코딩 모범 사례는 아래와 같습니다.
- 코드 난독화 구현
이는 앱의 기능 또는 논리 흐름을 모호하게 만들어 해커가 이해하여 조작할 수 있는 영역을 줄이는 가장 기본적인 리버스 엔지니어링 방어 기법 중에 하나입니다. 개발자는 Java보다 C/C++를 선호해야 합니다. Java의 경우 컴파일된 바이트 코드는 해독하기 쉬우나, C/C++의 경우 컴파일된 코드를 이해하는 것은 상대적으로 매우 어렵습니다. 디버거와 에뮬레이터 등에서 앱 프로세스와 저수준의 런타임 코드에 접근할 수 없도록 조치해야 합니다. - 적절한 세션 관리 및 데이터 암호화 기술
런타임 시에 사용자 인증을 반드시 수행하고, 앱의 주요한 기능에 접근하는 다양한 세션에 대해서는 적절한 관리를 수행해야 합니다. 앱에서 생성하고 사용하는 데이터는 반드시 암호화하여 저장해야 합니다. 데이터 암호화는 앱 보안을 강화하는데 가장 효과적인 방법입니다. AES -256과 같은 강력한 암호화 알고리즘과 네트워크 보안을 통해 신뢰할 수 있는 세션에서 보안 통신이 이루어지는 것을 항상 확인하십시오. - 크래시 리포팅 기능과 코드베이스 통합
개발 단계에서 예상치 못한 크래시가 발생하지 않는 앱은 없습니다. 개발주기 동안 크래시 분석을 밀접하게 모니터링하고 분석합니다. 이는 앱의 보안 버전을 발전시키는 데 도움이 됩니다. 버그는 해커가 앱의 핵심 정보 또는 IP에 쉽게 접근할 수 있는 통로로 사용될 수 있기 때문에 개발단계에서 크래시를 제거하는 것은 매우 중요합니다. - 안티 탬퍼링 기술 적용
악성코드가 삽입된 앱은 사용자들에 대한 회사의 신뢰를 영구적으로 훼손하고, 서비스에 대한 충성도를 떨어뜨립니다. 따라서 앱 무결성을 유지하는 데 큰 도움이 되는 위변조 방지 기술 및 변조 감지 기술을 구현하는 것은 필수적입니다.. 앱 구성요소의 체크섬을 확인하거나 해시값을 체크하는 등의 절차를 사용해야 합니다. 앱 변조가 용이한 에뮬레이터 환경과 조작에 필요한 정보 획득 절차인 디버깅 행위에 대한 감지 기능이 필요하며, 만약 이러한 행위가 감지될 경우 앱을 더는 실행하지 않도록 조처를 해야 합니다. - 내부 데이터 저장소
가능한 한 개인 정보를 앱 내보다 기기의 내부 저장소에 저장하십시오. 이 방법으로 다른 앱은 이러한 파일에 액세스할 수 없으며 공격이 발생해도 오용될 수 없습니다. - 캐시 관리
민감한 데이터는 캐싱 처리하지 않도록 해야 합니다. WRITE_EXTERNAL_STORAGE 권한을 가진 앱은 캐싱된 데이터를 액세스할 수 있으므로 캐싱하는 데이터와 캐싱하지 않는 데이터를 이중으로 확인하는 것이 중요합니다.
시큐어 코딩과 함께 AppSealing 적용하기
AppSealing은 다양한 공격으로부터 앱 실행을 안전하게 보장하고 강력한 코드 보안 기능을 제공하는 RASP 서비스입니다. 시큐어 코딩과 함께 적용한다면, 그 효과는 배가될 것입니다. 앱실링의 뛰어난 보안 기능을 활용하시려면 지금 무료 평가판과 함께 시작하십시오.