모바일 앱을 관리하거나 개발하는 과정에서 개발자 및 담당자는 모바일 앱 보안을 위한 많은 노력이 필요합니다. 수많은 모바일 앱이 시장에 출현하고 있으나, 모두 다 보안을 위해 완벽하게 대응하고 있지 못합니다. 많은 해커는 앱의 보안 허점 틈새를 파고들어 취약점을 알아내고 이를 악용합니다. 특히 리버스 엔지니어링 기술은 앱 개발자나 사업자의 지적 재산 및 매출에 큰 손실을 일으킬 수 있어 비즈니스적으로 심각한 위협이 될 수 있습니다. 개발자는 이러한 위협을 신속하게 처리할 수 있어야 하며, 악의적인 행위로부터 앱을 보호하기 위한 방어책을 마련해야만 합니다.
리버스 엔지니어링이란?
리버스 엔지니어링은 APK 파일을 분해한 후 컴파일된 바이너리로부터 원본 소스 코드를 얻어내는 프로세스입니다. 안드로이드 런타임에서 해석되는 DEX 파일은 디컴파일 도구를 통해서 JAR 파일로 변환되고, 이후 또 다른 도구를 사용하여 Java 소스 코드로 변환될 수 있습니다. 이러한 프로세스는 해커뿐만 아니라 사업적인 경쟁 위치에 있는 개발자나 회사가 경쟁사의 앱을 분석하거나 일부 기능을 복사하여 차용하는데 사용될 수도 있습니다. 해커는 이 기술을 사용하여 인증 프로세스를 우회하여 앱의 프리미엄 기능에 액세스할 수 있습니다. 특히 모바일 게임의 경우 이러한 기술을 통하여 게임 내의 경쟁상대보다 우월하게 불공정한 이득을 얻는데 활용되기도 합니다.
SoftIce 및 OllyDbg와 같은 디버거는 프로그램의 흐름을 추적하는 데 사용되며, 이를 통해 해커는 앱의 전체 비즈니스 로직을 파악하여 이를 다른 모바일 앱에 적용할 수 있습니다. 또한 파악된 로직을 조작하여 악성코드를 삽입하고 배포하는 행위를 하기도 합니다. 만약 일반 사용자가 이러한 앱을 다운로드해 설치하였을 경우에는 개인 정보의 심각한 침해를 당할 수도 있습니다.
리버스 엔지니어링 다루기
앱 보안은 제품을 사용하는 소비자를 보호하기 위한 가장 기본적인 조치이며, 이를 통해서 사용자의 신뢰를 얻을 수 있습니다. 따라서 앱 개발자는 강력한 공격 방법인 리버스 엔지니어링으로부터 앱을 보호하는 다양한 방안을 채택하는 것이 필수입니다. 아래는 이를 위해 참고해야 하는 실천 사례입니다.
- 프로그래밍 언어에 따라서 리버스 엔지니어링 공격의 난이도가 달라집니다. C/C++는 상대적으로 리버스 엔지니어링을 통해서 공격하기 어렵습니다. 따라서 앱의 비즈니스 로직이나 주요한 알고리즘을 코딩하는데는 C/C++를 사용해야 합니다. Java의 경우 상대적으로 매우 쉽게 리버스 엔지니어링이 가능합니다. 따라서 안드로이드에서 제공하는 NDK를 사용하여 앱의 주요한 로직은 모두 SO 형태로 만들어야 합니다.
- 암호화 기술을 사용하여 일부 코드를 서버에 저장하고 이를 적절한 시점에 다운로드 받아 사용하도록 하는 방식은 리버스 엔지니어링을 방어하는 하나의 방법입니다. 단, 이를 위해서는 서버와 앱간에 적절한 커뮤니케이션 방식을 정의하고 인증 절차가 준비되어야 합니다.
- 중요한 비즈니스 로직을 리소스화하고 이를 암호화하는 방식을 사용하는 것은 리버스 엔지니어링 공격으로부터 방어하는 또다른 효과적인 방안입니다. 암호화된 로직을 복호화하여 사용하는 코드는 강력한 난독화를 적용하여 해커가 해석하기 어렵게 만들어야 합니다.
- 암호화된 바이너리의 위변조 여부를 확인하는 해시 알고리즘을 사용할 때는 반드시 키를 유추할 수 없도록 PBKDF2나 bcrypt와 같은 키 생성 함수를 사용해야 합니다. 이를 통해서 해시 함수의 공격을 효과적으로 방어할 수 있습니다.
- 사용자 자격 증명은 반드시 암호화된 형식으로 서버에 저장하여 보호를 해야 합니다. 특히 이러한 정보는 디바이스/외부저장 장치/앱내 저장소 등에는 가급적 저장하지 않는 것이 좋습니다. 만약 이러한 정보가 암호화되지 않고 공격자가 접근가능한 위치에 저장된다면, 공격자에 의해 해당 정보는 매우 쉽게 변조되어 악용될 수 있습니다.
- 데이터베이스에 저장되는 데이타는 AES-256과 같은 강력한 암호화 알고리즘이 적용되어 저장되어야 합니다.
- API 검증에 사용되는 키는 안전하게 숨겨지거나 시큐어 채널을 통해서 전달되어야 합니다. 이러한 정보가 하드코딩되어 있거나 리소스 폴더등에 저장될 경우 검증용 키를 쉽게 유추하여 임의로 API를 호출하는 등의 피해를 입힐 수가 있습니다.
Proguard:
이 Java로 작성된 오픈 소스 크로스 플랫폼 도구는 라이선스가 부여된 서버를 사용하여 모바일 애플리케이션의 보안을 지원하므로 코드를 되돌리기가 어렵습니다. 완벽한 보안을 보장하기 위해 다음과 같은 4가지 주요 메소드가 사용됩니다.
- 축소: 사용되지 않는 클래스, 필드, 메소드를 구체적으로 식별하고 제거합니다.
- 최적화: 메소드의 바이트코드를 분석하고 최적화하여 크기를 줄이고 더 빠르게 만듭니다.
- 난독화: 클래스, 필드, 메소드의 이름을 의미 없고 들어본 적 없고 알기 어려운 이름으로 변경합니다.
- 사전 검증: JME, Java 6 이상 버전에 필요한 클래스에 사전 검증 정보를 추가합니다.
디버거 탐지 기술:
이러한 기술은 디버거를 능동적으로 찾는 데 사용될 수 있습니다. 몇 가지 기술은 다음과 같습니다.
- CheckRemoteDebuggerPresent() Windows API: 지정한 프로세스가 디버깅되고 있는지 확인합니다.
- NtGlobalFlag 디버거 탐지: 디버거를 탐지하는 데 사용되는 간단한 리버스 방지 방법입니다.
- IsDebuggerPresent() Windows API: 사용자 모드 디버거를 통해 호출 프로세스가 디버깅되고 있는지 확인합니다.
다른 호스트의 기술에는 다음과 같은 것들이 있습니다.
- OllyDbg INT3 예외 탐지
- OllyDbg OutputDebugString() 형식 문자열 취약성
- OllyDbg PE 헤더 구문 분석 DoS 취약성
- PEB ProcessHeap 플래그 디버거 탐지
모바일에서 저장하는 경우 값 난독화:
애플리케이션에 존재하는 데이터는 수많은 정보를 갖고 있습니다. 하지만 애플리케이션에 데이터가 없다면 어떻게 될까요? 이때 난독화가 데이터 보호 작업을 더욱 스마트하게 진행하는 데 도움이 됩니다. 암호화, 토큰화 또는 데이터 마스킹을 수행하여 데이터가 다른 형식이나 구조로 변환되고 안전하게 저장되도록 할 수 있습니다. 일부 알고리즘이나 복잡한 구조의 형태로 데이터를 저장하는 데 중점을 둡니다. 원본 데이터 저장을 피할 수 있습니다.
SSL 구현 시 각별한 주의 필요:
SSL 인증서는 리소스의 ID와 암호화를 인증하는 데 도움이 되는 디지털 인증서입니다. 당연히 모바일 앱 개발자들은 더 나은 코드 보안을 위해 SSL 인증서를 구현합니다. 이것은 SSLSocketFactory 인터페이스(Android의 경우)를 구현하는 클래스에 여러 메소드를 정의하는 방식을 통해 수행됩니다. 그러나 이러한 메소드는 여러 종류의 인증서를 허용하기 때문에 중간자 공격이 발생할 가능성이 높습니다. 데이터 패킷이 이러한 인증서를 통과할 때 전문 해커가 자체 서명된 인증서를 통해 연결을 위반할 수 있으므로 데이터 패킷의 기밀성도 위험에 처할 수 있습니다. 따라서 SSL을 사용할 때는 주의가 필요합니다.
앱 보안을 위한 원스톱 솔루션 AppSealing
AppSealing은 강력한 리버스 엔지니어링을 방어 체계를 제공함과 더불어 다양한 공격으로부터 모바일 앱을 보호할 수 있는 효과적인 방어책을 제공하는 엔드투엔드 보안 제품입니다. AppSealing은 DEX, SO 및 DLL 파일의 전체 암호화를 통하여 해커의 디컴파일 공격과 동적 코드 탈취 공격을 방어합니다.
AppSealing이 적용된 모바일 앱은 실행시점에서 바이너리 공격, 디버깅 공격, 디컴파일 공격 등을 앱 스스로 방어하는 런타임 애플리케이션 자가 보호(RASP)를 수행합니다. 모바일 앱을 구성하는 모든 요소들의 해시 검증을 통하여 앱의 무결성을 보장합니다. AppSealing은 루트 디바이스 및 안드로이드 애뮬레이터 환경에서 앱 실행을 감지하고 옵션에 따라서 앱 실행을 차단합니다.
코딩이 필요없는 AppSealing은 메모리 사용량, CPU 및 베터리 소모에 최소한의 영양을 끼치도록 설계되어 있으며, 적용을 위해서는 단지 앱을 업로드만 하면 10분 후에 보안이 적용된 앱을 다운받을 수 있습니다.
첨단화된 보안 공격은 혁신적인 방어 기술을 필요로 합니다. 사용이 쉽고 강력한 보안 기능을 제공하는 AppSealing으로 보안 문제를 해결하십시오.
자세한 내용이 궁금하신 분은 보안 전문가와 상의하십시오.