미국에 본사를 둔 애플리케이션 보안 업체 악산이 안드로이드 위변조 방지에 초점을 둔 신제품을 내놨다.
악산은 국내 보안솔루션업체 인섹시큐리티를 신제품 영업과 마케팅을 맡을 새 총판사로 선정하며 국내 사업 강화에 나섰다.
인섹시큐리티는 28일 서울 금천구 사무실에서 기자간담회를 열고 '악산 애플리케이션 프로텍션'을 출시한다고 밝혔다. 인섹시큐리티는 2012년부터 악산 제품을 공급해 온 엔시큐어에 이어 신규 지정된 총판사 역할을 한다.
인섹시큐리티가 소개한 악산 애플리케이션 프로텍션은 역공학이나 위변조 시도로부터 모바일 앱, DRM, 게임, 스트리밍 서비스를 보호한다. 여기에 난독화, 암호화, 인증, 위변조 탐지 등 기술을 동원한다.
또 앱에 직접 패시브 및 액티브 보호 기능을 구축하고 체크섬(중복검사)과 디버깅 탐지, 무결성 검증, 표준 대응, 경고 등 기능을 제공한다. 보호할 수 있는 앱 구동 플랫폼은 윈도, 리눅스, 맥, iOS, 안드로이드 등 운영체제(OS)를 포함한다. 앱을 보호하려고 사용자가 각 기기에 별도 솔루션을 설치하거나 개발자가 소스코드를 변경할 필요가 없다.
악산 애플리케이션 프로텍션은 모바일용, 데스크톱용, 서버용, 자바스크립트용 등으로 나뉜다.
모바일 애플리케이션은 역공학과 디컴파일, 스푸핑을 통한 데이터 유출, 악성코드 삽입, 지적재산 도용과 침해, 보안 제어장치 중요기능 무단 수정, 허용되지 않은 기능 접근에 노출될 수 있다. 모바일용 애플리케이션 프로텍션은 애플리케이션 동작을 수정하는 악성코드를 제거하는 애플리케이션 자체 보호(RASP) 기술을 제공한다.
데스크톱용 애플리케이션 프로텍션은 맥OS, 윈도, 레드햇 및 우분투 리눅스 배포판에서 실행되는 애플리케이션을 소스코드 변경 없이 통합 관리 및 보호할 수 있다. 공통 프로세서 및 운영체제에서 네이티브, 매니지드, 가상화, 내부 또는 클라우드 애플리케이션을 보호하고 주류 개발환경에 통합된다. 플렉세라 소프트웨어 자산관리 솔루션과 연동돼 무단복제를 막는다.
데스크톱 애플리케이션처럼 서버 애플리케이션도 불법복제되거나 신뢰할 수 없는 환경으로 배포될 수 있다. 서버용 애플리케이션 프로텍션은 서버에 설치된 애플리케이션을 보호한다. 역시 기존 소스코드를 변경하지 않고 윈도와 리눅스를 포함한 주요 서버 운영체제에서 닷넷을 포함한 주요 개발 언어로 개발 및 실행되는 데이터와 애플리케이션을 보호한다.
자바스크립트용 애플리케이션 프로텍션은 자바스크립트로 개발한 하이브리드 iOS 및 안드로이드 앱, 브라우저기반 웹앱을 보호한다. 자바스크립트는 오픈소스UI 및 게임 프레임워크, 서버, 터미널 기반 워크플로 도구, 애니메이션 라이브러리 등에 쓰인다. 자바스크립트 코드는 일반 텍스트 파일로 저장된다. 악의적인 코드 수정, 데이터 무단 변경, 컨트롤 우회, 맬웨어 삽입을 막아 역공학과 코드 위변조를 방지한다.
기자간담회 자리에서는 악산 본사의 러스티 카터 제품관리 부사장이 나서 기존 자바 언어 기반 앱 보안제품 '가드 포 자바'보다 안드로이드 플랫폼에 특화한 신제품 '악산 포 안드로이드'를 집중 소개했다. 그는 이전에도 안드로이드 앱은 악산의 '가드 포 자바'라는 제품으로 보호됐지만, 악산 포 안드로이드는 그보다 모바일 기기 특성에 맞는 주요 보안 기술을 더 많이 갖췄다는 설명을 보탰다.
악산 포 안드로이드는 안드로이드 기기에 설치되는 APK 형식의 앱 패키지 파일을 보호한다. 앱 개발자는 종전 방식대로 소스코드를 작성하고 최적화한 다음, 컴파일 단계에 보안엔지니어가 작성한 JSON 형식의 환경설정파일과 함께 악산 포 안드로이드에 입력하면 된다. 그 결과물로 보호된 APK 파일이 나온다. 이 APK 파일은 금전 및 정보 탈취 등 범죄 목적으로 앱을 위변조하는 시도로부터 내성을 띠게 된다.
악산 포 안드로이드로 보호된 APK 파일은 얼마나 안전할까. 현장 설명에 따르면 우선 앱 자체에 탑재된 무결성 확인 기능을 통해 구동되는 앱이 위변조를 당했는지 확인할 수 있다. 또 안드로이드 기기를 '루팅'하고 그에 따라 여러 보호장치가 무력화될 수 있는 상황에서도 APK 파일의 위변조 보호 기능은 유효하다.
애플리케이션 보안 기술 중요도는 증가 추세다. 시장조사업체 포네몬인스티튜트가 미국, 유럽연합, 아태지역 IT보안전문가 1천400명 대상으로 조사한 내용을 담은 '2018 애플리케이션 보안 글로벌 연구 보고서'에 따르면 애플리케이션 침해 사고가 계속 늘고 있다. 손상된 애플리케이션 때문에 지난해 사이버 공격과 데이터 유출을 경험했다는 응답 비중이 75%에 달하고, 올해 그 위협 심각성이 커질 것이라는 응답도 54%였다.
이미 한국엔 모바일 앱 보호 또는 통합보안 솔루션을 내놓은 사업자들이 여럿이다. 해당 업체로 에스이웍스, 스틸리언, 락인컴퍼니, 에버스핀, 라르고소프트, 웰비아닷컴, NSHC, 잉카엔트웍스 등이 알려져 있다. 다만 악산은 현존 사업자들의 경쟁을 의식하기보단 세계적으로 성장세인 모바일 앱 보안 분야 수요를 잡기 위해 투자를 늘리고 있다는 입장이다.
한국에선 6년간 파트너십을 갖고 함께 사업해 온 엔시큐어에 더해 인섹시큐리티와 손잡았는데, 일본을 비롯한 아시아 시장으로도 더 확장하고 있다는 설명이다.
관련기사
- 쿤텍, 모바일-IoT 기기용 앱보안-키은닉 솔루션 출시2018.06.29
- 엔시큐어, 악산 애플리케이션 위협 분석 서비스 출시2018.06.29
- 다우데이타, 앱솔리드 앱 보안기술 무료체험 제공2018.06.29
- 락인컴퍼니, SaaS형 앱보안 솔루션 iOS 지원 예고2018.06.29
인섹시큐리티는 국내 공인교육센터를 연간 상시 운영해 악산과 앱 위변조 방지 및 관리 전문가 양성에 나설 계획이다. 또 기술 지원 및 교육 컨설팅 인력을 보강해 악산 솔루션의 국내 보급을 촉진하겠다는 구상이다. 양사는 앱 위변조 방지 솔루션의 활용도를 높일 수 있는 비즈니스 모델을 개발하고 잠재 고객을 대상으로 각종 교육 세미나와 프로모션 등 마케팅 활동을 진행할 예정이다.
김종광 인섹시큐리티 대표는 "(앱 보안 목적의) 난독화 기술을 담은 제품을 판매할 때 고객의 이해도가 상당히 중요한데, 난독화나 암호화 제품을 왜 써야하는지 잘 모르는 고객들도 있다"면서 "앱의 소스코드가 드러나 위변조되면 해킹사고가 벌어질 수도 있다는 점, 난독화같은 기술을 알리고 적용하면 막을 수 있다는 점을 눈으로 보고 확인할 수 있게 하는 교육을 준비하고 있다"고 말했다.
