[아이티데일리] 모바일 앱 보안 솔루션 ‘앱솔리드’를 제공하는 에스이웍스(대표 홍민표)는 앱 개발자가 대비해야 할 주요 해킹 유형 4가지를 30일 발표했다.

앱을 이용한 해킹 공격이 빠르게 증가하고 있다. 이용자의 비밀번호 추측이나 오픈 네트워크 접근의 어뷰징(abusing) 등 비교적 간단한 해킹 공격을 비롯해 이메일 피싱, 멀웨어(malware), 서버 스캔을 통한 취약점 분석 등 심화된 기술을 이용하는 해킹 공격도 자주 행해지고 있다. 최근 모 숙박 앱 해킹으로 99만 건에 달하는 개인정보가 유출되면서 앱 해킹의 심각성이 재조명 받았다. 해당 숙박 앱은 3억 원이 넘는 과징금을 부과 받았으며, 개인정보가 유출된 회원들은 집단소송을 준비하고 있다.

에스이웍스가 발표한 해킹 유형 4가지로 ▲암호화 되지 않은 코드에 대한 공격 ▲노출된 앱을 통한 해커들의 위협 ▲‘멀웨어’를 이용한 공격 ▲리버스 엔지니어링(Reverse Engineering)을 이용한 위조·변조 등을 꼽았다.

앱의 코드를 암호화하는 것은 당연한 이야기로 들릴 수 있겠지만 아직 수많은 개발자들이 코드를 암호화하지 않고 있다. 코드를 암호화 하지 않은 앱은 해커들의 쉬운 공격 대상이 된다. 암호화는 해커를 막는 첫번째 수단으로, 강력한 암호화 프레임워크를 보안 전략의 기반으로 사용해야 한다.

백엔드 커뮤니케이션을 위해 앱 통신을 오픈해 놓는 것은 당장은 편리하게 느껴질 수 있지만, 해커들의 위협에 노출될 가능성이 높다. 앱 통신과 같은 중요한 접근은 특정 인원 및 위치, 시간, 행동에만 허용하는 것이 좋다. 이러한 보안 조치들은 악성 유저의 위조 및 변조 공격을 막는데 큰 도움을 줄 수 있다.

멀웨어는 해커들이 가장 자주 사용하는 툴 중에 하나로, 팝업창이나 게임, 혹은 암호화된 메시지 등 다양한 형태로 배포된다. 앱이 이에 대응할 수 있는 적절한 보안 조치를 가지고 있지 않다면 멀웨어의 희생양이 되기 쉽다.

역공학법으로도 불리는 리버스 엔지니어링은 해킹 방법 중의 하나로 해커가 앱의 소스코드에 접근해 앱을 조작하고 그 외 앱과 연관된 디바이스들까지 제어하는 등 다양한 피해를 가져올 수 있다. 리버스 엔지니어링을 통해 해커는 개발자로 위장해 위변조된 앱을 원본 앱으로 속이는 경우도 많다.

에스이웍스는 이 같은 다양한 유형의 해킹 공격을 미연에 방지하기 위한 보안 솔루션 ‘앱솔리드’를 국내 총판인 다우데이타를 통해 제공하고 있다.