모바일앱 보안 잡아라..대권 레이스 주목

지난해 말 KT경제경영연구소가 발표한 '스마트폰 도입 5년, 모바일 라이프 변화' 보고서에 따르면 우리나라 사람들의 평균 스마트폰 이용시간 219분 중 모바일앱 사용비중이 85%가 넘는다. 그만큼 앱과 함께 생활하는 시간이 많아졌다는 뜻이다.

사용자들이 몰리자 공격자들이 앱을 공격대상으로 삼기 시작했다. 가짜 모바일뱅킹앱을 다운로드 받도록 해 사용자 정보유출을 시도하는가 하면, 모바일게임 내 소스코드를 변경해 인앱결제를 우회해 유료아이템을 얻거나 악성코드를 삽입해 재배포하는 수법이 쓰이고 있다. 마치 PC게임 크랙버전처럼 유료 게임을 공짜로 쓸 수 있도록 불법복제해 배포하는 일까지 벌어지고 있는 실정이다. 때문에 사용자는 물론 앱개발사들까지 피해가 확산되고 있다.

이에 따라 국내서 앱보안을 전문으로 하는 회사들을 정리해봤다. 아직은 초기시장에 머물고 있지만 앞으로 모바일앱을 통한 서비스가 더 활발하게 제공될 수 있는 만큼 보안성에 대한 우려도 높아질 가능성이 높다. 이미 미국까지 진출한 회사에서부터, 온라인게임개발사 출신들이 차린 회사, 콘텐츠 보호(DRM) 기술로 시작해 사업영역을 넓힌 회사들까지 다양한 국내 모바일앱 보안 회사의 스펙트럼을 살펴봤다.

■에스이웍스

그동안 가장 많이 주목 받았던 회사는 에스이웍스다. 미국 실리콘밸리까지 직접 진출한 이 회사는 '앱시큐어(AppSecu:re)'라는 보안솔루션을 제공하는 중이다. 클라우드를 기반으로 개발사가 만든 안드로이드앱 실행파일(APK)을 자사 웹사이트에 업로드하면 자동으로 보안기능이 적용되도록 한 점이 특징이다. 이 회사 박광혁 과장은 "바이너리 난독화 방식을 적용해 공격자가 소스코드를 볼 수 없게 했다"고 설명했다. 이를 통해 공격자가 소스코드를 추출할 수 있는 디컴파일러를 활용하지 못하도록 했다는 것이다.

■잉카엔트웍스

2000년 창업해 업력이 15년이 된 잉카엔트웍스는 본래 영화, 음원, 인터넷강의 등 콘텐츠를 보호하는 DRM 개발사로 시작해 지난해부터 모바일앱 보안으로 사업영역을 넓힌 케이스다. 이 회사가 제공하고 있는 '앱실링'은 소스코드를 알아보기 힘들게 만드는 난독화 기술 대신 DRM 등에 활용해 온 암호화 기술을 적용한 것이 특징이다. 잉카엔트웍스 앱실링 사업팀 남재민 팀장은 "보호된 앱을 실행하면 스마트폰 내 메모리 영역(RAM)에 상주해서 돌아가는 프로그램을 보호할 수 있다"고 밝혔다. 모바일게임이 온라인 MMORPG 게임 수준으로 발전하면서 모바일게임을 PC 내 가상머신(VM) 환경에서 실행한 뒤에 게임 내에서 치트툴 등을 쓰는 사례들이 목격된다. 앱실링의 경우 블루스택 등을 포함한 VM구동툴이 허가없이 게임 중에 쓰이지 않도록 방지하는 기능을 가졌다.

■락인컴퍼니

락인컴퍼니가 개발한 '리앱'은 암호화 기술을 사용한다는 점에서 잉카엔트웍스와 유사해보이지만 대신 보안이 필요한 영역마다 별도의 태그를 붙일 필요가 없이 개발이 완료된 APK파일을 SaaS에 업로드하면 자동으로 암호화 처리가 되도록 했다. 최명규 락인컴퍼니 대표는 "5초에서 늦어도 30초 내에 보안기능을 적용할 수 있어 실행속도가 빠르다는 점에서 차별화된다"고 말했다. 소스코드 보호, VM탐지, 디버깅 탐지, 파일/메모리 변조 방지 등을 제공한다는 설명이다. 최 대표는 "온라인 게임 등을 포함한 기업 보안 담당자, 보안회사 등에서 10년 이상 근무했던 인력들로 구성된 만큼, 안정적인 보안 서비스를 보장한다"고 밝혔다.

■웰비아

세 곳 회사는 기본적으로 앱 실행파일을 특정 웹사이트에 올리면 보안기술을 적용해 다시 다운로드 받아 사용할 수 있게 하는 방식을 사용하고 있다. 반면 웰비아닷컴이 제공하는 사인코드3는 앱개발자들이 직접 손쉽게 보안 라이브러리를 가져다가 쓸 수 있도록 API 형태로 서비스를 제공한다. 외부 웹 연결없이 개발자가 직접 보안모듈을 적용할 수 있게 한 것이다. 2006년 창업해 온라인 게임을 대상으로 보안서비스를 제공하면서 쌓아온 게임핵 등에 대한 노하우를 자사 솔루션에 적용했다. 백신과 마찬가지로 새로운 취약점이 발견될 때마다, 해당 내용을 바로 모바일게임에 반영할 수 있도록 했다. 박전진 웰비아닷컴 대표는 "게임 내부 업데이트시 콘텐츠딜리버리네트워크(CDN)를 활용하게 되는데 이 과정에서 보안업데이트까지 동시에 이뤄질 수 있도록 했다"고 설명했다. SaaS 방식을 취하는 대신 게임 업데이트와 보안 업데이트를 동시에 진행할 수 있게 했다는 것이다.

■스틸리언

화이트해커들로 구성된 보안 스타트업 스틸리언은 최근 자사가 개발한 앱수트를 한국NFC가 서비스 중인 'NFC간편결제'에 도입하면서 핀테크, 금융앱 등을 노리고 있다. 기본적으로 앱위변조 방지, 소스코드 난독화 등 기능을 제공한다. 박찬암 스틸리언 대표는 "앱수트를 적용하는 것과 함께 해당 앱에서 나올 수 있는 보안취약점들을 모의해킹을 통해 사전 탐지, 방어하는 종합서비스도 제공할 예정"이라고 밝혔다.

■에버스핀

코스콤 주관 2015 핀테크 코리아 공모전에서 핀테크 기술부문 대상을 받았던 에버스핀은 난독화나 암호화와는 또 다른 방식으로 앱보안에 접근하고 있다. 이 회사가 개발한 '에버세이프'는 앱을 실행할 때마다 별도 서버를 통해 실시간으로 소스코드가 바뀌는 보안모듈을 다운로드 받는 방식을 취했다. 이를 통해 공격자가 앱에 대한 소스코드분석(리버스엔지니어링)을 원천차단하겠다는 아이디어를 적용한 것이다. 하영빈 에버스핀 대표는 "고정된 보안모듈을 활용하는 정적 방식은 시간이 오래걸리더라도 뚫릴 가능성이 있다"며 "에버세이프는 앱을 실행할 때마다 시간제약이 있는 보안모듈을 동적으로 할당하기 때문에 모듈에 대한 분석이 불가능하다"고 설명했다.

■서비스와 과금은 어떻게?

이들 회사가 공급 중인 모바일앱 보안기술은 크게 앱실행파일을 별도 클라우드 기반 웹에 업로드해 보안기능을 적용하는 SaaS 방식, 앱개발자들에게 서비스를 연동할 수 있는 API를 제공하는 방식, 고객사 내부 서버를 통해서만 보안기능을 적용할 수 있도록 하는 방식으로 나뉜다.

업계 관계자들에 따르면 모바일게임의 경우 여전히 시장규모가 크지 않고, 영세 개발사들도 많은 상황이라 SaaS 형태 혹은 대형 개발사나 퍼블리셔를 통해 API 형태로 연동해서 제공되는 방식이 주로 활용되고 있다. 반면 모바일뱅킹앱 등을 제공 중인 전통 금융권의 경우 망분리 등으로 인해 외부 인터넷 사용을 제한하는 만큼, 내부 서버를 통해 관련 서비스를 활용하거나 도입을 검토 중인 상황이다.

과금 방식은 기본적으로 앱 당 연간 라이선스 방식을 쓰는 경우가 많았다. 이와 함께 월별 앱 사용자수(MAU)를 산정하는 방식도 활용되고 있다. 남 팀장에 따르면 앱실링의 경우 이전까지 앱을 업데이트할 때마다 건당 과금하는 방식을 썼으나 사용자수에 따라 과금한다는 방침이다.

■아직 미개척지, 글로벌 시장 공략도 승부수 띄울만