Arxan(악산) 고급 API 보호

 

고급 API 보호에 대해 알아보겠습니다.

 

API는 앱이 상호작용하기 위해 사용하는 명령어로써 앱 개발 방식과 비즈니스 방식을 변화시키고 있습니다.

API 호출은 많은 공통, 공유 모듈을 통합합니다.

개발자들은 동종 최고의 소프트웨어를 이용하여, 시장 출시 시간을 단축할 수 있어서 API의 사용은 빠른 속도로 증가하고 있습니다.

 

그러나 API는 해커의 새로운 공격 타깃입니다.

API가 제대로 보안되지 않으면, 백엔드 서버에 데이터가 노출될 수 있습니다.

 

어떻게 이런 일이 일어날 수 있을까요?

API로 백엔드 서버에 접근하는 모바일 앱을 보겠습니다.

대부분의 API 관리 솔루션은 모바일 앱을 실행할 때, 실제 사용자임을 증명하는 인증이 사용됩니다.

 

일반적으로 응답 교환 방식을 사용하는데 RSA, ECC와 같은 비대칭 암호화 키가 사용자에게 있다는 것을 전제합니다.

그러나 해커는 기존 앱을 디컴파일하여 암호화 키를 찾을 수 있습니다.

 

동일한 키를 앱에 넣으면 응답 교환 테스트를 통과하기 때문에, 인증만으로는 충분하지 않습니다.

앱의 기능이 변경되거나 악의적인 목적으로 API 서버에 접근하려 할 수 있습니다.

 

이를 어떻게 방지할 수 있을까요?

바로 화이트박스 암호화 솔루션을 사용하면 됩니다.

원본 키는 화이트 박스 암호화 소프트웨어에서만 사용할 수 있는 새로운 키 형식으로 변환됩니다.

그러나 해커는 원본 앱을 디컴파일하고, 화이트박스 소프트웨어 패키지를 의심하도록 ​​앱을 수정합니다.

 

코드 리프팅 기술은 화이트박스 소프트웨어가 안전한 앱이나 새로운 환경에서 실행되는지 감지합니다.

 

어떻게 하면 화이트박스 코드 리프팅이나 앱수정을 어렵게 만들까요?

화이트박스 암호화 및 변조탐지는 서버, 앱 및 자산의 보안을 유지합니다.

그리고 앱이 무단으로 수정되고 있음을 알립니다.

 

 

 

악산 국내 총판: 엔시큐어 https://www.ensecure.co.kr
이메일 문의: mktg@ensecure.co.kr