모바일 뱅킹 앱 보안을 위한 새로운 접근 방식 (3)

 

 

앱 보안 도구 및 모범 사례

모바일 앱 보안을 위한 일반적인 방법은 아래와 같은 도구의 일부 또는 전체가 포함됩니다.

 

• 보안 코딩 지침 및 모범 사례⁴

앱 보안에 대한 부담은 대게 개발자에게 있습니다. 개발자는 앱의 기능과 속도에 집중합니다. 물론 보안도 중요하다고 생각하지만, 더 나은 기능을 더 빨리 제공해야 한다는 비즈니스 압박으로 인해 보안은 우선순위가 낮아지는 경우가 많습니다. 개발자 대부분은 보안 전문가는 아니지만, 모범 사례 목록을 반드시 구현해야 합니다.

 

• 정적 앱 보안 테스트(Static Application Security Testing)

개발자는 소스코드의 로직을 자동으로 검사하여 취약성을 찾아내는 SAST 도구를 사용합니다. 그러나 SAST는 포맷 스트링 공격을 가능하게 하는 버퍼 오버플로와 정수 오버플로와 같은 오류가 있습니다. SAST는 종종 유용하지 않거나 우선순위가 설정되지 않은 데이터를 포함하고 있을 수 있기 때문에 결과에 노이즈가 발생할 수 있습니다.

 

• 동적 앱 보안 테스트(Dynamic Application  Security Testing)

DAST는 운영 환경에서 모바일 뱅킹 앱을 자동으로 테스트합니다. 이 테스트는 OWASP Top 10 및 공통 취약점 등급 시스템(CVSS)과 같이 알려진 취약점을 찾아냅니다. 그러나 DAST는 알려지지 않은 취약점을 찾거나 모든 유스케이스를 해결할 수 없습니다. 논리적으로 취약점을 식별하기 위해 사람의 개입이 필요할 수 있습니다.

 

• 모바일 앱 보안 테스트(Mobile Application Security Testing)

MAST는 비표준 형식에서 취약점을 찾기 위한 부분적으로 자동화된 테스트 도구이며, 탈옥 된 운영체제 및 모바일 장치에 유용하게 사용할 수 있습니다. 그러나 MAST는 테스트 구성의 잦은 변형과 수동 조정이 필요하기 때문에 비실용적일 수 있습니다.

 

• 인터렉티브 앱 보안 테스트(Interactive Application Security Testing)

IAST는 실시간으로 보안 위협 데이터를 활성화하기 위해 앱 내부의 에이전트 또는 코드를 사용합니다. IAST는 RASP(Runtime App Self Protection)와 관련이 있습니다. IAST는 가상 애플리케이션의 보안 데이터와 하이브리드 환경 및 클라우드의 인스턴스를 포착하는 데 유용합니다.

 

• 앱 보안 침투 테스트(Penetration Testing)

모의해킹은 잠재적인 앱 취약성을 찾기 위한 수동 또는 자동화된 프로세스입니다. 포괄적이긴 하지만 모의해킹에도 문제점이 있습니다. 수동 테스트는 속도가 느리고 비용이 많이 들기 때문에 일반적으로 컴플라이언스 감사와 함께 1년에 한 번 수행됩니다. 또한 모의해킹 결과는 그 당시 상황만 반영하므로 신속한 개발 프로세스에서 끊임없이 변화하며 잠재적으로 내재된 새로운 취약성을 해결하지 못합니다.

 

 

뱅킹 앱 보안을 위한 FFIEC 지침

금융 기관의 감사관들은 미연방 금융 기관 검사 위원회(FFIEC)에서 보안 기술 제어 및 규정 준수를 평가하는 지침을 찾습니다. FFIEC의 Information Security IT Examination Handbook, 부록 E: Mobile Financial Services는 모바일 뱅킹 앱 및 결제 시스템의 위험을 줄이는 방법에 대해 설명합니다. 위험을 완화하기 위한 12가지 기술 권장 사항은 아래와 같으며, Digital.ai Application Protection이 도움을 줄 수 있는 부분은 별표(*)로 표시하였습니다.

 

• 정책 시행 및 장치 지문 인증*
• 보안 테스트 및 보안 코딩 사례 수행*
• 루팅/탈옥 감지 조치*
• 모바일 앱에 멀웨어 방지 기능 설계*
• 모바일 금융 서비스 앱 및 고객 데이터가 포함된 백엔드 서버를 보호하여 승인되지 않은 사용자가 데이터에 접근하지 못하도록 방지*
• 신뢰할 수 있는 플랫폼 모듈
• 보안을 위한 SSL/TLS
• 커뮤니케이션
• 데이터 보안의 토큰화*
• 모든 사용자와 앱의 인증 제어*

 

 

Digital.ai Application Protection은 모바일 위협을 차단합니다.

Digital.ai Application Protection은 광범위한 모바일 앱 위협과 악용 행위를 방지합니다. Digital.ai Application Protection은 자동으로 위협을 차단하고 공격 시도에 대한 실시간 데이터를 중앙에서 수집합니다. 컴파일 직전에 최종 소스 코드에 애플리케이션 보호 기능을 적용하면 향후 코드가 변경되어도 자동으로 보안이 적용됩니다. Digital.ai는 진정한 의미의 앱 강화를 보장하며 새로운 위협에 대한 상태를 개선하고 규정 위반을 방지할 수 있도록 지원합니다.

 

• 난독화
  - 앱 코드, 구조 및 중요한 데이터 값을 난독화하여 공격자가 앱 코드를 리버스 엔지니어링 또는 변조하는 행위를 차단합니다.
  
  
• 런타임 보호
  - 에뮬레이션 환경을 탐지하고, 소프트웨어를 디버깅하여 앱을 모니터링하려는 시도 중인 공격을 탐지하고 경고합니다.
  
  
• 복구/손상
  - 시도 중인 공격에 대해 경고하고 공격으로 인해 변경된 코드를 복구합니다. 상호 연결된 가드 네트워크를 통해 다른 부분도 보호할 수 있습니다.
  
  
• 루트/탈옥 탐지
  - 손상된 장치에서 앱이 실행 중일 때의 상황을 식별하고 경고합니다.
  
  
• 화이트 박스 암호화
  - 메모리에 있는 키와 데이터를 앱 수준에서 암호화하여 일반 텍스트로 된 암호화 키가 런타임 메모리에 존재하지 않도록 합니다.

 

모바일 뱅킹 앱을 보호하기 위한 방법에 대해 더 많은 정보가 필요하시면 Digital.ai와 함께하는 eNsecure와 상의하세요 :)

 

 

 

 

출처

⁴ For example, see Jaykishan Panchal,“Top 10 Mobile App Security BestPractices for Developers,

https://www.tripwire.com/state-of-se-curity/security-awareness/top-mobile-app-security-best-practic- es-developers/