모바일 애플리케이션은 편리함, 간편함, 신속함을 보장해 주었습니다. 한 번의 버튼 클릭만으로 거래가 가능해졌습니다. 하지만 보안 문제 또한 매분 두각을 나타내고 있습니다. 새로운 결제 수단이 시장에 계속 도입됨에 따라 새로운 문제가 발생하고 있습니다.
여러분의 비즈니스가 결제 카드 세부 정보를 승인, 처리, 저장 또는 전송하는 모바일 애플리케이션에 의존한다면 PCI(결제 카드 산업) 컴플라이언스 준수가 가장 중요합니다. 그러나 GSM, CDMA, GPS, Bluetooth와 같은 여러 셀룰러 기술이 이를 더욱 어렵게 만듭니다.
모바일 기기는 데스크톱과 노트북에 비해 광범위한 기능을 제공하는 경우가 많기 때문에 모바일 애플리케이션의 보안 위험은 매우 큽니다. PCI를 준수하려면 DevOps 및 DevSecOps 팀이 PCI 모바일 결제 승인 보안 지침을 따르고 충족해야 합니다.
모바일 애플리케이션 보안 및 PCI 지침의 주요 개념은 다음과 같습니다.
기업은 사용자 데이터 보호를 위한 일련의 지침과 업계 표준을 따라야 합니다. 이러한 지침의 세부 사항에 대해 살펴보기 전에 기업이 모바일 애플리케이션 보안에 보다 효과적으로 대처하는 데 도움이 되는 중요한 개념을 살펴보겠습니다.
- 변조 탐지: 이것은 장치에서 발생할 수 있는 모든 변조를 실시간으로 감지하는 것입니다. 감지에 실패하면 장치의 무결성이 손상되거나 데이터가 도용될 수 있습니다. 올바르게 작동하면 장치가 적절한 작업을 수행하는 데 도움이 될 수 있습니다.
- 루팅/탈옥 감지: 장치를 악용하고 일부 잘못된 소프트웨어를 설치하려는 시도를 탐지합니다. 이러한 공격이 탐지되지 않으면 공격자는 운영 체제, 파일, 기능의 루트에 대한 전체 액세스 권한을 얻을 수 있습니다.
- 후킹 탐지: 외부 애플리케이션이 시스템 라이브러리 또는 모바일 애플리케이션 중 하나에 있는 호출된 함수를 불법적으로 가로채려고 하는지 탐지합니다.
- 디버거 및 디컴파일러 탐지: 사용자가 프로그램의 실행 상태를 보거나 변경하려는 시도(디버거) 또는 사용자가 실행 프로그램을 필수 권한 없이 이해할 수 있는 형식으로 변환하려는 시도(디컴파일러)를 점검합니다.
- 에뮬레이터 탐지: 공격자가 일반적으로 코드를 되돌리거나 디버거를 연결하거나 애플리케이션 변조를 시도하는 데 사용하는 에뮬레이터가 있는지 확인합니다. 따라서 한 시스템이 다른 시스템의 기능을 모방할 수 있는 에뮬레이터를 신속하게 처리할 수 있습니다.
- 코드 암호화: 권한이 부여된 당사자만 코드에 액세스할 수 있도록 합니다. 그런 다음 코드 소유자/발신자가 제공한 비밀 키로 암호를 해독합니다.
- 데이터 및 리소스 암호화: 이를 통해 데이터가 다른 형태로 변환되어 타사에서 접근하거나 이해할 수 없게 됩니다. 암호화된 데이터는 암호문이라고 불리며, 암호문은 신뢰할 수 있는 상대에 의해 비밀 키로 해독됩니다. 따라서 디지털 데이터와 리소스가 무단 액세스로부터 보호됩니다.
PCI 모바일 결제 승인 보안 지침
이제 모바일 애플리케이션 보안으로 보장되는 주요 측면에 대해 알아보았으므로 PCI 지침 중 몇 가지를 살펴보겠습니다.
4.1 무단 논리 장치 액세스 방지:
- 세부 사항: 이 지침은 공격자가 시스템에 침투할 수 없도록 모바일 기기를 무단 액세스로부터 보호해야 함을 명시합니다.
- 앱실링(AppSealing)의 이점: 앱실링의 코드 암호화 기능은 중요한 API와 코드를 안전하게 보호합니다. 또한 애플리케이션 변조 및 탈옥 시도도 사전에 탐지합니다.
4.2 서버측 컨트롤 생성 및 무단 액세스 보고:
- 세부 사항: 이 지침은 모바일 애플리케이션을 개발하는 회사가 무단 액세스 시도를 방지하고 보고할 수 있도록 점검을 실시해야 함을 명시합니다. 또한 기업은 비정상적인 활동을 추적하고 향후 액세스 중단과 같은 시정 조치를 취할 수 있어야 합니다.
- 앱실링(AppSealing)의 이점: 앱실링의 강력한 모바일 애플리케이션 보안 솔루션은 특정 애플리케이션 또는 기능에 대한 무단 액세스를 탐지하고 보고합니다.
4.3 권한 상승 방지:
- 세부 사항: 이 지침은 기업이 권한의 상승을 막기 위해 관련 보안 조치를 마련해야 함을 명시합니다. 장치에 대한 권한을 우회하면 공격자가 시스템에 들어가거나 시스템을 탈옥할 수 있습니다. 보안 강화는 모바일 애플리케이션에 추가적인 보안 계층을 제공하기 때문에 도움이 됩니다.
- 앱실링(AppSealing)의 이점: 앱실링은 한 단계 앞서 온라인 및 오프라인 환경에서 기업이 탈옥 및 루팅 장치를 탐지할 수 있도록 지원합니다. 또한 이 솔루션은 사용자가 차단되었거나 애플리케이션에 액세스하는 데 필요한 권한이 없음을 사용자에게 알려주는 사용자 지정 메시지를 제공합니다.
4.7 애플리케이션 강화:
- 세부 사항: 이 지침은 무단 액세스나 시스템 침입 시도를 방지하기 위해 모바일 애플리케이션을 처음부터 끝까지 강화해야 함을 명시합니다. 코드 주입 및 리버스 엔지니어링 시도도 차단됩니다.
- 앱실링(AppSealing)의 이점: 앱실링은 데이터 무결성 및 코드 암호화를 유지하면서 코드 주입 및 리버스 엔지니어링 공격을 방지합니다. RASP(Runtime Application Self Protection)의 강력한 기능을 통해 이 솔루션은 파일 수준 뿐만 아니라 메모리 수준에서도 코드를 암호화합니다.
4.9 안전한 코딩, 엔지니어링, 시험 준수:
- 세부 사항: 이 지침은 개발자가 모범 사례를 따라 보안 코드를 작성해야 함을 명시합니다. 일이 잘못될 경우를 대비한 공식적인 대응 계획도 세워야 합니다. 특히 코드 변조 및 리버스 엔지니어링은 주의가 필요합니다.
- 앱실링(AppSealing)의 이점: 앱실링의 RASP 솔루션은 개발 단계부터 모바일 애플리케이션의 보안을 보장하는 완벽한 솔루션입니다.
4.11 승인되지 않은 애플리케이션으로부터 모바일 장치 보호:
- 세부 사항: 이 지침은 인증된 모든 애플리케이션이 소스 인증을 허용하고 실행 파일의 무결성을 검사해야 함을 명시합니다. 이에 따라 시스템은 무단 액세스 시도를 탐지하고 방지할 수 있는 동시에 이러한 애플리케이션의 로드 및 실행을 방지할 수 있게 됩니다.
- 앱실링(AppSealing)의 이점: 앱실링의 강력한 검증 메커니즘은 실행 파일, 파일, 라이브러리의 무결성을 검사합니다. 변조 탐지 기능은 공격으로부터 애플리케이션을 더욱 보호합니다.
4.12 악성 프로그램으로부터 모바일 장치 보호:
- 세부 사항: 이 지침은 모바일 애플리케이션에 악성 소프트웨어 또는 애플리케이션을 찾아내기 위한 보안 소프트웨어가 설치되어 있어야 함을 명시합니다. 이러한 악성 애플리케이션을 탐지하고 제거하기 위해 앱 내 보호 소프트웨어 및 강화 솔루션을 구현할 수도 있습니다.
- 앱실링(AppSealing)의 이점: 앱실링은 모바일 애플리케이션을 실시간으로 스캔하고 보호하여 공격자로부터 앱을 보호합니다.
4.13 승인되지 않은 첨부 파일로부터 모바일 장치 보호:
- 세부 사항: 이 지침은 모바일 애플리케이션이 시스템에 불법 침입을 시도할 수 있는 외부 첨부 파일을 지속적으로 확인해야 함을 명시합니다. 모바일 애플리케이션은 서로 상호작용하므로 수신하는 파일/첨부 파일을 검사하는 것이 중요합니다.
4.16 보안 상태 표시 제공:
- 세부 사항: 이 지침은 모바일 애플리케이션이 특정 시점에서 안전한 상태로 작동 중임을 알 수 있어야 함을 명시합니다. 사용자는 자신의 데이터가 안전하고 보안이 유지된다는 확신을 가져야 합니다.
- 앱실링(AppSealing)의 이점: 앱실링의 24시간 보안 솔루션은 애플리케이션의 안전성과 보안성이 어느 수준인지를 정기적으로 업데이트하여 알려줍니다. 애플리케이션은 외부 세계와 상호작용하고 이동 중에도 거래를 수행하기 때문입니다.
결론
앱실링(AppSealing)의 최고 수준의 모바일 애플리케이션 보안을 통해 기업은 모바일 애플리케이션을 24시간 모니터링할 수 있으므로 거래와 비즈니스 상호작용이 모두 보호되어 즐겁고 안전한 사용자 환경을 구축할 수 있습니다.