[컴퓨터월드] 올 여름은 국가정보원의 국민사찰 논란으로 인해 한층 더 뜨거웠다. 이탈리아 ‘해킹팀(Hacking Team)’의 자료가 유출되면서 국정원이 해킹팀의 고객이었고, 해킹팀으로부터 구입한 해킹툴을 이용해 ‘카카오톡’을 비롯한 국내 주요 애플리케이션(이하 앱)들을 해킹했다는 의혹이 커졌기 때문이다. 이 때문에 정국은 국가기관의 민간사찰이라는 논란으로 어수선해졌으며, 시민단체에서는 국정원이 사용한 것으로 추정되는 해킹툴을 탐지해내는 전용 프로그램까지 제작·배포에 나서기도 했다.

스마트폰 사용자가 점차 늘어나는 모바일 시대로 접어들면서, 이처럼 스마트폰 보안에 대한 이슈가 확대되고 있다. 가장 기본적인 스마트폰 백신부터 시작해서 좀 더 고차원적인 보안 및 관리를 요구하는 MDM(Mobile Device Management)에 이르기까지 다양한 방안들이 등장하고 있다. 그러나 보다 근본적으로는 스마트폰 이용의 핵심인 앱을 원천적으로 보호할 수 있어야 한다는 주장들이 제기되고 있다. 안전한 모바일 보안을 위한 첫 걸음인 ‘앱 보안’에 대해 알아보도록 한다.

스마트 기기의 보급과 확산되는 모바일 환경
지난 2008년 처음으로 세상에 스마트폰이 등장한 이후, 우리의 생활환경은 급속도로 모바일화(化)되기 시작했다. 초기에는 단지 인터넷을 이용할 수 있는 휴대전화였던 것에서 벗어나, 이제는 게임, 쇼핑, SNS, 심지어 업무에까지 이용되며 그 활용성을 높여나가고 있다. 전문 지식 없이도 단순히 화면에 있는 아이콘만 터치하면 누구나 사용할 수 있는 쉬운 조작성, 작은 크기로 인한 휴대가 용이한 이동성 등의 이점을 무기로 스마트폰을 비롯한 스마트 기기는 이제 남녀노소 누구나 사용하는 생활용품이 되다시피 했다.

이에 스마트 기기는 점차 많은 것을 대체해가고 있는 추세다. 스마트폰의 보급은 길거리에서는 공중전화가 사라지게 하고 있으며, 인터넷을 이용하기 위해 필요했던 PC도 스마트 기기의 보급 확대에 따라 이용률이 줄어들고 있는 것으로 나타났다.

이 밖에도 음악을 듣기 위한 MP3, 사진을 찍기 위한 카메라, 주요 인터뷰 등을 녹음하기 위한 녹음기 등 다양한 멀티미디어 기능이 스마트 기기에 흡수되고 있으며, 출근길 직장인에게 필수였던 무가지 신문 등도 스마트 기기에 밀려나 점차 사라지고 있다.

이처럼 스마트 기기의 보급은 우리 생활을 점차적으로 변화시키고 있다. 좀 더 빠른 정보, 좀 더 다양한 콘텐츠 이용을 원하는 사람들의 욕구를 충족시키면서 우리 사회가 급속도로 모바일 환경에 진입할 수 있도록 부채질하고 있다.

앱의 부재로 인한 활용 한계
2010년 애플이 아이패드를 출시한 이래 스마트폰과 더불어 태블릿 역시 꾸준히 성장해왔다. 처음에는 누구도 태블릿의 성공을 예상하지 못했다. 노트북이 출시된 이래로 PDA, UMPC, 넷북 등 다양한 기기들이 등장했었지만 잠깐 반짝하고 사라지거나 극히 일부에서만 사용됐기 때문이다.

그러나 태블릿은 달랐다. 노트북보다 가벼운 휴대성과 더 오랜 시간 사용할 수 있는 배터리를 갖췄을 뿐더러, 스마트폰보다 큰 디스플레이를 가졌기 때문에 노트북과 스마트폰 사이에 있던 간극을 메워주기에 충분했다. 특히 무거운 노트북을 들고 다니며 인터넷 검색을 하던 사람들, 또는 작은 스마트폰 화면으로 동영상을 감상하던 사람들에게 태블릿은 좋은 대체 기기로 인식되며 빠르게 확산될 수 있었다.

태블릿은 처음 등장했을 때 전형적인 콘텐츠 소비 기기로 여겨졌다. 그 휴대성과 크기가 동영상 감상, 인터넷 검색, e-북 읽기 등에 최적화돼 있기 때문이다. 콘텐츠 생산 목적을 위해 업무용으로 일부 사용되기도 했지만, 메일 작성 및 문서 열람 등 그 활용 범위는 제한적이었다. 영업직군 쪽에서 전용 앱을 통해 업무를 처리하는 경우도 있지만 그것은 그 업무 하나에만 해당하는 것일 뿐, 보편적인 업무를 수행하기에는 어려움이 있었다.

이에 마이크로소프트(MS) 창업자인 빌 게이츠는 아이패드에 대해 “문서 하나 만들 수 없는 제품”이라며 발언한 적이 있다. 비록 당시 MS에서 출시한 서피스를 지원하기 위한 발언이라고는 하지만, 그 안에는 중요한 의미가 담겨 있다. 빌 게이츠의 아이패드 비하 발언은 꼭 아이패드만이 아닌 태블릿 제품들이 가진 한계성을 잘 나타냈기 때문이다.

태블릿이 업무용으로 활용되지 못하는 이유는 몇 가지가 있겠으나, 가장 큰 이유로 입력도구의 한계 및 업무용 앱의 부재를 들 수 있다.

일반적으로 콘텐츠의 생산이라 부를 수 있는 작업들은 PC 환경 하에서 이뤄져 왔다. 키보드와 마우스를 통해 자료의 입력과 수정이 이뤄지며, 오랜 시간동안 지속된 이러한 방식에 사람들은 익숙해져있다.

그러나 태블릿은 디스플레이 터치를 통해 입력한다. 키패드 터치로 문자 입력을 하지만 경우에 따라 정확한 타이핑이 어려운 경우도 있고, 특수 문자 등을 입력해야 하는 경우 한 번에 나타나지 않아 번거로움이 있다.

또한 기업 업무에 사용되는 애플리케이션들은 대부분 윈도우 OS 기반이라는 점도 태블릿의 업무 도입을 막는 요소로 작용했다. 그 동안 태블릿은 구글의 안드로이드와 애플의 iOS 운영체제가 전부라고 할 수 있을 정도였다. 그렇기에 윈도우 OS 기반에서 돌아가는 앱들을 사용할 수 없었고, 활용하려 해도 해당 OS에서 구동되는 전용 앱이 있어야만 했다. 그렇기에 많은 사람들은 전용 앱을 기다리기보다는 노트북 등 기존 PC환경에서 작업하는 것을 더 선호할 수밖에 없었다. 이로 인해 태블릿은 콘텐츠 소비 기기, 노트북은 콘텐츠 생산기기라는 구분이 생겼다.

앱의 등장…업무 영역까지 자리 잡다
그러나 지금에 와서는 이와 같은 구분이 사실상 필요 없게 됐다. 이제 태블릿을 비롯한 스마트 기기가 업무 영역에 차츰 자리 잡아 가고 있기 때문이다.

이를 가능하게 한 것은 업무용 앱들이 등장했기 때문이다. 이들은 스마트 기기의 특성을 고려, 장문의 텍스트를 입력할 필요 없이 간단하게 화면만 터치하면 되도록 함으로써 키보드나 마우스 등 입력도구의 부재에서 오는 문제점들을 해결했다. 이 때문에 외부 업무가 잦은 직원들은 노트북이나 별도 추가적인 문서를 휴대할 필요가 줄어들었다.

이의 대표적인 사례는 보험청약이다. 지난 2012년 보험업계는 전자청약시스템을 전격 도입, 시행에 들어갔다. 이에 보험 영업 담당자들은 보험 가입에 필요한 무거운 서류들을 들고 다닐 필요 없이 스마트 기기 하나만 휴대하면 됐다. 선택이 필요한 것은 화면을 터치하는 것만으로 가능했으며, 서명 역시 전자서명을 활용해 증거력을 남길 수 있게 됐다.

또한 본지가 소개한 한국승강기안전관리원 모바일 스마트워크 시스템(컴퓨터월드 2015년 8월호 참조) 역시 업무용 앱 개발 이후 스마트 기기를 활용하게 된 좋은 사례다. 많은 종이를 휴대해 점검 내역을 기록하고, 기록된 내용을 바탕으로 사무실에 복귀해 전산시스템에 데이터를 입력해야 하는 번거로움이 스마트 기기를 활용함으로써 완전히 사라졌다. 그 결과 업무 효율성을 더욱 높일 수 있었다는 평가다.

이처럼 스마트 기기의 활용성을 더욱 높여주는 것은 앱이다. 꼭 업무용 앱이 아니더라도 단순히 일상생활에서 사용하는 메신저나 인터넷도 전부 앱이 있기에 쓸 수 있는 것이다. 그 동안 앱들이 콘텐츠 소비에 맞춰져있었기에 그렇게 활용됐을 뿐, 업무용 앱들이 등장하면서 점차 업무 영역으로까지 활용도가 높아져 가고 있다.

모바일 보안, “중요하지만 어디까지 어떻게?”
스마트 기기의 활용성이 점차 넓어지면서 모바일 시대로 접어든 만큼, 이에 대한 보안 역시 중요해지고 있다. 스마트 기기가 단순히 전화와 문자메시지, 인터넷 등만 하는 것을 넘어서서 개인적으로는 쇼핑이나 SNS 등을 이용하며 발생하는 금융 정보 및 개인정보, 기업적으로는 업무 시스템의 접속을 통한 기업 내부 정보 등이 스마트 기기를 통해 오가고 저장되기도 하기 때문이다. 이러한 것들을 전문적으로 노리는 사이버 범죄의 출현 빈도도 많아지고 있다.

그렇다면 모바일 보안의 의미는 무엇이며, 또 모바일 보안으로 발생하는 이슈는 무엇인가? 이에 대해 아직까지 명확하게 이거다 하는 정의는 없는 것처럼 보인다. 이스트소프트 보안SW사업본부 보안대응팀 김윤근 팀장은 “모바일 보안에 대한 정의를 한 마디로 내리긴 어렵다. 광의적 정의로는 최근 사물인터넷(IoT)으로 대표되는 네트워크에 접속이 가능한 모든 디바이스들이 동작을 하는 과정에서 발생할 수 있는 보안 위협에 대해 사전 및 사후 대응을 진행하는 일련의 행위라고 할 수 있다. 이와 같은 보안 위협은 데이터 유출, 인증 회피, 네트워크 공격, 데이터 무결성 파괴 등이 있다”고 설명했다.

또한, 국가별로 모바일 보안에 대해 대응하는 것 역시 다르다는 설명도 있다. 지란지교시큐리티 모바일보안사업본부 강정구 부장은 “외국에서 업무용으로 스마트 기기를 이용하는 것을 보면 주로 법인 소유의 기기가 배포된다. 그렇기에 처음부터 관리 목적으로 강력한 보안성이 적용됐다. 하지만 우리나라는 개인용 기기를 업무에 이용하는 BYOD(Bring Your Own Device)가 성행했기 때문에 외국처럼 관리 목적으로 스마트 기기에 강력한 보안성을 적용할 순 없었다. 외국이 처음부터 모바일 기기 관리(MDM)가 발전한 것과 달리, 우리나라는 관(官) 주도의 앱 관리(Mobile Application Management)가 먼저 시행됐다”고 강조했다.

비록 발생 형태나 전개 과정은 다르다고 해도, 궁극적으로 모바일 보안이 지향하는 바는 ‘안전한 스마트 기기 이용 환경 구축’이라는 사실은 분명하다. 스마트 기기에 힘을 불어넣어주는 것은 바로 스마트 기기를 활용하게끔 하는 앱인 만큼, 앱 보안이 곧 모바일 보안을 향한 첫 걸음이라고 볼 수 있겠다.

소스 코드 난독화로 정보 유출 및 외부 위협 차단
그렇다면 앱 보안은 무엇인가? 해당 업계 관계자들은 크게 두 가지로 설명한다. 하나는 앱이 해킹 등 외부 위협으로부터 안전하게 지켜져야 하는 것이며, 또 다른 하나는 앱의 소스 코드가 외부로 쉽게 유출되지 않도록 하는 것이다. 즉, 결론부터 말하자면 앱 보안은 앱 소스 코드를 보호하는 것과 같은 의미로 해석될 수 있다.

스마트 기기의 앱은 기존 PC에서 사용되던 응용프로그램들과 차이가 없다. 단지 동작 환경이 PC기반이냐, 스마트 기기 기반이냐에 따라 제작된 방식이 다를 뿐이다. 플랫폼이 어느 정도 평준화돼 있는 PC와 달리 스마트 기기는 단말별·운영체제(OS)별·지역별 편차가 심하기 때문에, 다양한 기기에서 실행될 수 있도록 호환성이 좋고 이식이 편리한 맞춘 자바(Java)로 모바일 앱이 개발되는 경우가 대부분이다.

락인컴퍼니 손충원 이사는 “PC기반에서도 소스 코드를 해킹할 수 있지만 기계어를 분석해야 하는 만큼 쉽지 않다. 그러나 자바로 개발된 소스 코드는 거의 노출돼있을 뿐만 아니라, 단어 치환 등 보안 장치를 해놨더라도 자바어에 대한 이해가 있는 사람이라면 쉽게 분석할 수 있어 소스 코드 유출이나 해킹 등을 실행하기 쉽다”고 밝혔다.

스마트 기기 이용의 기초가 앱인 만큼 앱을 보호하기 위한 방안으로 소스 코드를 분석하지 못하게 하는 것이 필요하다는 주장이 제기되고 있으며, 실제로 소스 코드 보안 서비스를 전문적으로 제공하는 기업들도 생겨나고 있다. 이들 중 락인컴퍼니와 에스이웍스는 각각 2013년과 2012년 설립돼 채 5년도 안 된 스타트업들이며, DRM 전문기업인 잉카엔트웍스도 기 보유한 기술력을 바탕으로 앱 보안 서비스를 제공하고 있다.

이들이 제공하는 소스 코드 보안 서비스는 업체마다 조금씩 차이는 있지만 공통적으로 소스 코드를 해독할 수 없도록 하는 서비스를 제공하고 있다. 일종의 난독화(難讀化) 개념으로, 개발자 본인 외에 소스 코드를 볼 수 없으며, 설령 열어본다 하더라도 자바어가 아닌 규칙이 없는 불특정문자로 치환돼 있어 해독할 수 없도록 한다. 즉, 앱의 무결성을 보장하는 것이다. 이를 통해 개발자가 힘들여 만든 결과물이 쉽게 외부로 유출될 수 없도록 하면서도, 한편으로는 앱에 악성코드 등이 삽입되는 것을 방지한다.

뿐만 아니라 위변조 방지, 암호화, 메모리 보호 등 부가적인 기능들도 함께 제공돼 개발자와 이용자 모두 안심하고 앱을 사용할 수 있도록 한다.

간단한 적용방법, 강력한 기능
앱 보안 서비스는 고객 요청에 의해 온프레미스(On-Premise) 기반으로 설치될 때도 있지만, 서비스 제공업체들의 관리 편의성 및 기 배포된 앱에 대한 모니터링 등을 위해서 대부분 클라우드 서비스로 제공된다.

이용방법은 간단하다. 개발자가 앱을 설치 패키지(.apk) 파일 형태로 클라우드에 업로드하면 단 수초 이내 자동적으로 난독화 등의 앱 보안 기술이 적용되고, 이를 개발자가 다시 다운로드 받아 배포하면 끝이다. 말 그대로 한 번 담갔다가 빼면 되는 형식이다.

이렇게 앱 보안 서비스가 적용돼 배포된 앱에 대해서는 앱의 취약점은 어떤 것이 있는지, 앱이 공격을 받았는지의 여부 등을 확인할 수 있는 모니터링 서비스도 제공된다. 따라서 향후 어떠한 점을 보완해야 하는지, 아니면 추가적으로 앱 보안 서비스를 적용해야 하는지를 개발자가 판단할 수 있다.

또한, 앱이 해킹 등 공격을 받았을 경우 대처하기에도 쉽다. 한 번 더 클라우드에 앱을 올려 보안 처리를 하면 된다. 매번 동일한 보안 방식이 적용되는 것이 아닌 여러 보안 방식들이 랜덤하게 적용되기 때문에, 공격자의 입장에서도 한 번 성공한 방법으로 동일하게 공격해도 소용이 없다. 끈기가 없는 공격자라면 제풀에 나가떨어질 확률이 높다.

모바일 게임, 모바일 전자정부 등 수요 높아
현재 앱 보안 서비스를 가장 많이 이용하고 있는 곳은 모바일 게임업체들이다. 전 세계적으로 모바일 게임 시장이 커지고 있는 만큼 이에 뛰어드는 업체들도 늘어나고 있으며, 기존 업체들도 신작을 출시하면서 꾸준히 고객을 유치하고자 하고 있다.

모바일 게임 업체들이 앱 보안 서비스를 이용하는 이유는 크게 두 가지다. 유료 앱일 경우 블랙마켓 등에 무료로 배포되지 않도록 하기 위해, 인앱 결제 등 여타 앱일 경우 소스 코드를 이용한 모작의 발생이나 어뷰징을 통한 부정행위가 일어나지 않게 하기 위해서다.

일례로, 중국 시장에 유료게임을 출시한 A업체의 경우 출시 한 달 새 수천만 건의 다운로드 수를 기록했지만, 대부분이 해킹 등을 통한 블랙마켓 배포로 이뤄져 실제적으로 거둔 수익은 얼마 되지 않았다. 이에 이 업체는 바로 서비스를 중단했으며, 향후 앱 보안 서비스를 적용한 이후 재 출시했다. 그 결과 처음 출시 때와 달리 무단으로 배포되는 사례가 현저하게 줄어들었으며, 새롭게 앱 보안 서비스를 적용해 재배포하면서 서비스의 안정성을 유지할 수 있었다. 수익 구조도 안정화된 것은 물론이다.

모바일 전자정부 역시 앱 보안 서비스가 필요한 분야로 고려되고 있다. 대(對)국민 서비스로 제공되는 공공기관들의 온라인 서비스 플랫폼이 언제 어디서나 활용 가능한 모바일 앱 형태로 구축되면서 앱 보안 서비스에 대한 문의가 늘어나고 있기 때문이다. 이에 이미 몇몇 업체들은 모바일 전자정부 분야 시장을 적극적으로 공략하겠다는 의지를 표명하기도 했다.

절대 강자 없는 춘추전국시대…시장 선점 노려
앱 보안 서비스가 모바일 보안을 위한 블루오션으로 떠오르고 있지만, 아직까지 이에 도전하고 있는 업체들은 많지 않은 것이 사실이다. 현재 글로벌 기업으로는 미국의 악산(Arxan), 중국의 방클(Bangcl) 등이 있지만, 이들이 마이크로소프트(MS)나 오라클(Oracle)처럼 거대한 시장 장악력을 갖고 있지는 않기 때문에 국내 기업들도 충분히 도전해볼 만한 시장으로 평가되고 있다.

현재 국내에는 락인컴퍼니, 에스이웍스, 웰비아닷컴, 잉카엔트웍스 등이 앱 보안 서비스를 제공하고 있다. 각 사별 주요 타깃은 차이가 있지만, 기본적으로 유사한 기능의 앱 보안 서비스를 제공하고 있다.

가장 치열할 곳으로 예상되는 곳은 역시 모바일 게임 분야다. 잉카엔트웍스의 ‘앱실링’ 서비스는 모바일 게임 전문 보안 서비스를 목표로 하고 있으며, 난독화와 더불어 DRM 기반의 암호화까지 강력한 보안 서비스를 제공하고 있다. 게임 특화 서비스인 만큼 게임 엔진 유니티(Unity)와 이클립스(Eclipse)를 플러그인 설치 형태로 지원한다. 최근 과금 형식을 선불제가 아닌 후불제로 전환, 서비스 초기 불확실성을 안고 가는 기업들의 부담을 줄여 고객을 넓히고 있다.

락인컴퍼니도 금융사와 게임사, 공공기관 등 다양한 고객들을 맞아들이며 세를 넓혀나가고 있다. 락인컴퍼니가 제공하는 ‘리앱’ 서비스는 소스 코드 전체 암호화를 통한 ‘불독화(不讀化)’의 콘셉트다. 또한, 위변조방지 및 가상머신 환경 탐지 등 다양한 기능들을 제공하며, 9월 중 백신과 MDM 등 새로운 솔루션을 출시해 시너지 효과를 노리고 있다.

에스이웍스의 ‘앱시큐어’ 서비스는 분석(Scan), 보호(Protection), 탐지 및 추적(Tracking)의 3단계로 앱을 보호하며, 바이너리 레벨에서의 난독화 기능을 제공한다. 회사 설립 초기부터 글로벌 시장 진출을 염두에 뒀기에 미국 샌프란시스코에 있는 실리콘밸리에 본사가 위치하고 있으며, 올 하반기 중 ‘앱시큐어’를 한층 업그레이드한 서비스를 출시해 글로벌 시장을 적극 두드린다는 계획이다.

루팅/탈옥 금지 등 기초 보안 수칙만 지켜도 안전
기업들이 안전한 모바일 보안 환경을 구축하기 위해 앱 보안 서비스 등 다양한 방안을 준비하고 있어도, 정작 이를 활용할 사용자가 보안 수칙을 소홀히 할 경우에는 아무런 소용이 없다는 것이 일반적인 평가다. 에스이웍스 조성 매니저는 “사용자들이 보안에 대해 많이 생각하지 않다보니 자기가 가진 기기에 대한 보호를 하지 않는 경우가 많다. 공격자들은 이러한 점을 노린다”며 일상생활에서 보안을 생각해야 할 것을 당부했고, 이스트소프트 김윤근 팀장 역시 “사용자들 스스로 보안의 중요성을 깨닫고 보안 수칙을 실천하는 것이 가장 중요하다”고 밝혔다.

그렇다면 사용자들이 지켜야 할 보안 수칙은 어떤 것들이 있을까? 지란지교시큐리티 강정구 부장은 “루팅이나 탈옥을 하지 않고 사용하는 것이 중요하다. 또한, 공식 앱 마켓을 이용하고 출처가 불분명한 곳에서 다운받은 앱을 설치하지 않아야 한다. 이 정도만 조심해도 개인정보 유출 등의 사고가 발생하지 않을 것”이라고 강조했다.