모바일 뱅킹 앱 보안을 위한 새로운 접근 방식 (2)

모바일 뱅킹 애플리케이션은 LOB(Line of Business), 개발 및 앱 보안 관리자에게 중요한 보안 문제를 제시합니다. 그러나 애플리케이션 보안은 모바일 앱 개발 관리자의 핵심 역량은 아닙니다. 여기에서 바이너리 및 소스 코드 수준에서 통합된 모바일 뱅킹 애플리케이션 보안에 대한 새로운 접근 방식을 살펴보도록 하겠습니다.

 

 

개요

대부분의 애플리케이션 보안 솔루션은 네트워크 및 장치 보안과 더불어 모바일 뱅킹 앱을 앱 스토어에서 배포할 때의 실시간 위협 데이터 수집, 모니터링 또는 분석 기능을 포함하지 않습니다. 모바일 중심 시대에서 모바일 앱은 앱 스토어를 통해 배포되고 사용자가 인지하는 제로 트러스트 환경으로 다운로드됩니다. 모바일 장치에 앱이 설치된 이후 피드백이 없다면 적시에 공격에 대응할 수 없습니다. 이러한 환경에서 공격자는 앱을 쉽게 악용할 수 있으며 대부분의 경우 제대로 방어할 수 없습니다.

 

금융기관이 위협적인 환경에 적응하고 새로운 애플리케이션 위협이 광범위한 공격으로 번지는 것을 방지하기 위해서 가시성이 매우 중요합니다.

 

아래에서 모바일 및 웹 뱅킹 앱의 보안을 위한 세 가지 혁신적인 이점이 있는 접근 방식을 설명합니다.

 

첫 번째는 코드 완성 후 리버스 엔지니어링 및 앱 변조를 방지하는 보안 시스템으로 앱을 강화하는 것입니다.

두 번째는 API 손상, 지적 재산 도난 및 개인 식별 정보의 탈취를 차단하기 위해 화이트 박스 암호화를 사용하는 포괄적인 데이터 및 키 암호화입니다.

세 번째 이점은 보호된 각 앱이 위협 상황 및 분석 데이터를 실시간으로 통보하는 것입니다.

 

이렇게 수집된 데이터를 통해 보안 조직은 위협과 취약성에 대비할 수 있습니다. Digital.ai 보호 기능이 앱과 통합되면 소스코드가 바뀌어도 자동으로 적용되기 때문에 앱을 업데이트할 때마다 해야 하는 작업량이 크게 줄어듭니다. Digital.ai은 앱 강화, 데이터 및 키 보호, 업계 유일의 실시간 위협 데이터 및 분석을 통해 모바일 뱅킹 및 금융 앱을 보호합니다. 이러한 기능을 구현하면 보안 상태, 고객 신뢰 및 브랜드 평판을 향상시킬 수 있습니다.

 

 

모바일 앱 보안에 대한 재고

Digital.ai Application Protection은 모바일 뱅킹 앱의 보안을 위한 세 가지 혁신적 이점을 포함한 새로운 접근 방식을 제공합니다. 첫 번째는 정책의 위반 및 비준수를 방지하는 자동 보호 시스템으로 코드를 완성한 후 앱을 강화하는 것입니다. 두 번째는 화이트 박스 암호화를 이용한 포괄적인 데이터 및 키 암호화입니다. 세 번째 이점은 실시간 가시성 및 위협 분석으로, 각각 보호된 앱이 중요한 보안 데이터를 중앙으로 전송하여 잠재적인 위협에 대비하는 것입니다.

 

 

단 한 번으로 모바일 앱 강화

Digital.ai의 접근 방식은 코드가 완성 후 단 한 번만 보안 기능을 설정하고 모바일 앱 코드를 강화하는 것입니다. 애플리케이션을 실행하는 모든 장치의 내외부 모두를 “제로 트러스트”라고 인식합니다. 또한 개발자는 보안 전문가가 아니라고 가정합니다.

 

Digital.ai Application Protection은 앱이 공격받을 때 분석을 위해 높은 수준의 보안 인식, 탐지, 보호 및 보안 이벤트 데이터 수집을 제공하는 코드 세그먼트인 “가드”를 제공합니다. 가드 네트워크가 생성되면 앱이 새롭게 배포될 때마다 Digital.ai의 앱 강화 및 보호 기능을 자동으로 설정하기 때문에 개발자는 번거로움을 줄일 수 있습니다.

 

가드는 코드가 완성된 후 한 번 주입되며, 배포 때마다 자동으로 적용됩니다. 가드가 적용된 모든 앱은 업데이트와 관계없이 지속적인 보호를 받을 수 있습니다. Digital.ai의 간소화된 접근 방식은 대형 금융 기관의 모바일 뱅킹 앱 보호에 큰 도움을 줄 수 있습니다.

 

모바일 앱에는 기존의 솔루션으로 해결할 수 없는 고유한 취약점이 많습니다. Digital.ai Application Protection Guards를 사용하면 금융 기관은 수많은 취약점을 기술적으로 안전하게 해결하여 위반을 방지하고 규정을 준수할 수 있습니다. 가드는 다음과 같은 고유한 앱 보안 기능을 제공합니다.

 

 

• 손상 및 수리:
  중요한 정적 데이터는 암호화되어 저장된 후, 유인용 버전으로 대체됩니다. 런타임 시 가드는 사용을 위해 원래 버전을 일시적으로 복원합니다. 그 후 선택적으로 유인용 버전을 다시 삽입하여 가능한 최소 시간 동안 임계 범위 내로 데이터의 노출을 최소화합니다.
  
  
• 가드 및 이미지 무작위화:
  각 가드에 실행 확률을 할당하여 공격자가 앱을 실행할 때마다 동작이 변경되므로 리버스 엔지니어링을 어렵게 합니다.
  
  
• 다중 난독화 모드:
  다중 난독화 모드는 단순히 메서드 이름만 바꾸는 것을 넘어, 제어 흐름 난독화, 리네이밍 및 반영 등 보안 기능을 수행합니다.
  
  
• 화이트 박스 암호화:
  화이트 박스 암호화를 완벽하게 맞춤화하고 매우 안전하게 구현합니다. 암호화 코드는 수학적으로 난독화되어 있으므로 앱 코드의 리버스 엔지니어링이 방지됩니다.

 

 

실시간 가시성 및 분석

가드는 보안 정책을 시행하는 것 이외에도 위협 상황을 모니터링하고 실시간 위협 데이터를 중앙으로 전송하며 마치 소프트웨어 에이전트처럼 작동합니다. Digital.ai Application Protection은 앱이 배포된 후 어떤 일이 발생하는지에 대한 귀중한 통찰력을 제공합니다. 이렇게 수집된 실행 가능한 데이터는 공격의 대상이 된 앱의 동작을 변경하는 데 사용할 수 있습니다. 이 데이터는 중요한 의사 결정을 위한 부정행위 탐지 플랫폼과 같은 타 시스템에 제공됩니다. 결과적으로 금융 기관은 일반적인 비즈니스 인텔리전스와 사용자 행동 분석 플랫폼을 통해 진정한 앱 보안을 위한 가시성을 확보할 수 있습니다.

 

가장 일반적인 공격 경로와 대상을 식별할 수 있는 능력으로 개발자와 비즈니스 이해 당사자는 앱의 보안을 적용하는 방법과 시기에 대해 더 나은 결정을 내릴 수 있습니다. 즉, 폐쇄 루프 방식의 지속적인 보안 개선 프로세스를 생성할 수 있습니다.

 

 

 

결론

모바일 뱅킹의 위험이 매우 증가하면서 보다 강력한 앱 보안이 시급합니다. 은행 및 기타 금융 기관은 구축된 앱의 보안 상태를 지속해서 모니터링하는 데 필요한 실시간 가시성을 확보하지 못하고 있습니다. 이러한 데이터 무효화는 모바일 뱅킹 앱을 보호하기 위한 기존의 방법으로는 해결되지 않는 엄청난 위험이 될 수 있습니다.

 

금융 기관은 취약성으로부터 모바일 뱅킹 앱을 강화하고, 데이터와 키를 암호화하며, 배포된 앱의 보안 상태를 실시간으로 파악해야 합니다.

 

Digital.ai의 접근 방식은 대규모 금융 기관의 앱 보안 요구사항을 지원합니다. 모바일 플랫폼, 하이브리드 애플리케이션 지원, 데스크톱 및 서버 플랫폼을 포함한 광범위한 플랫폼을 지원합니다. 이러한 플랫폼 전반에 거쳐 보안을 강화할 수 있도록 추상화 계층을 제공하여 개발자의 효율성을 높입니다. 이 전략은 딱 한 번 보안을 적용하고 모든 곳에 배포하는 것을 목표로 합니다. Digital.ai는 새로운 운영체제 출시 후 5일 이내에 소프트웨어 보안 업데이트를 제공합니다.

 

Digital.ai Application Protection은 금융 기관이 FFIEC의 권장 사항뿐만 아니라 표준 규정을 준수할 수 있도록 지원합니다. Digital.ai는 현재 ISO 13485(의료 기기 품질 경영 시스템)와 NIST FIPS 140-2(미국 정부의 강력한 암호 인증), GDPR(유럽 연합 일반 데이터 보호 규정) 및 다양한 개인 정보 보호 요구 사항과 같은 표준화된 규정을 충족하는 유일한 앱 보안 솔루션 제공 업체입니다.

 

 

 

모바일 뱅킹 및 금융 앱의 보안을 평가할 때 고려해야 할 몇 가지 질문은 아래와 같습니다.

 

1. 애플리케이션의 보안 상태를 실시간으로 파악할 수 있습니까?
2. 탈옥된 장치의 위험을 해결하기 위한 절차가 있습니까?
3. 고위험 사용자 및 잠재적인 앱 변조를 확인할 수 있는 프로세스가 있습니까?

 

위 질문에 대해 “아니오”라는 대답이 나온다면 새로운 보안 접근 방식을 채택해야 할 때입니다. Digital.ai Application Protection이 도움이 될 수 있습니다. digital.ai와 함께하는 eNsecure의 보안 전문가와 상의하세요 :)

 

 

 

 

출처

Digital.ai, A new approach to securingmobile banking apps.pdf