금융보안원 핀테크 서비스 취약점 점검 가이드
안녕하세요 LIAPP TEAM입니다.
핀테크 서비스는 필수적으로 전자금융거래가 발생하기 때문에 전자금융거래법상의 전자금융 감독 규정을 준수해야만 합니다. 이에 금융 당국에서도 관련 가이드라인을 배포하는 등 기술적인 보안 위험을 차단하기 위해 노력하고 있습니다. 특히, 2015년 출범한 국내 유일의 금융보안 전문기관인 금융보안원은 핀테크 기업의 적절한 보안 관리체계 마련과 점검을 위해 ‘핀테크 서비스 취약점 점검’을 실시하여 안전한 앱 운영과 이용을 지원하고 있습니다.
LIAPP은 금융보안원의 ‘핀테크서비스 취약점 점검’ 가이드라인 중 ‘모바일 앱(안드로이드/iOS)의 17개 취약점 점검 항목’의 중요정보보호와 클라이언트 보안 기준에 합당한 보안 기능을 제공해 모바일 핀테크 서비스가 금융보안원의 기준을 충족할 수 있도록 적극적으로 지원하고 있습니다.
이번 포스트에서는 LIAPP을 이용해 금융보안원 심사를 준비하는 방법에 대하여 설명합니다.
핀테크 서비스는 필수적으로 전자금융거래가 발생하기 때문에 전자금융거래법상의 전자금융 감독 규정을 준수해야만 합니다. 이에 금융 당국에서도 관련 가이드라인을 배포하는 등 기술적인 보안 위험을 차단하기 위해 노력하고 있습니다. 특히, 2015년 출범한 국내 유일의 금융보안 전문기관인 금융보안원은 핀테크 기업의 적절한 보안 관리체계 마련과 점검을 위해 ‘핀테크 서비스 취약점 점검’을 실시하여 안전한 앱 운영과 이용을 지원하고 있습니다.
LIAPP은 금융보안원의 ‘핀테크서비스 취약점 점검’ 가이드라인 중 ‘모바일 앱(안드로이드/iOS)의 17개 취약점 점검 항목’의 중요정보보호와 클라이언트 보안 기준에 합당한 보안 기능을 제공해 모바일 핀테크 서비스가 금융보안원의 기준을 충족할 수 있도록 적극적으로 지원하고 있습니다.
이번 포스트에서는 LIAPP을 이용해 금융보안원 심사를 준비하는 방법에 대하여 설명합니다.
1. 핀테크 서비스 취약점 점검 개요
핀테크 서비스 제공 기업은 점검도구를 이용하여 원격으로 진행되는 테스트를 거치게 되며, 점검수행 및 결과정리는 약 2주의 시간이 소요됩니다. 금융보안원에서 개발한 취약점 점검 항목은 웹 4개분야 12개 항목 40개 세부항목과 모바일 5개 분야 17개 항목 48개 세부항목으로 나뉩니다.
2. 모바일앱 (안드로이드/iOS) 점검 항목 및 리앱 적용
금융/핀테크 서비스를 제공하는 모바일 앱은 중요정보 보호, 거래정보 위변조, 클라이언트 보안, 서버 보안, 인증 등 5개 분야의 점검 항목을 심사받습니다. 금융/핀테크 서비스 기업은 보안 점검항목을 기준으로 개발에 참고해야 하며, 웹과 모바일 두 영역의 항목을 기준으로 개발 보안 요건을 도출해야 합니다.
이 중 LIAPP은 모바일 환경에 맞게 설계된 App Protector로써 클라이언트 보안, 중요정보 보안 등 엔드포인트 시큐리티(End point security) 영역을 보안합니다. 지금까지 많은 조직이 보안 강화를 위한 행동을 네트워크에만 초점을 맞췄지만, 무선 및 모바일 디바이스들의 활성화로 인해 이제는 조직의 인터넷 파라미터를 통하지 않고서도 인터넷에 접근하거나 보안이 취약한 내부 네트워크에 접근하여 커다란 문제를 야기할 수 있습니다.
<금융보안원 모바일 앱 취약점 진단 체크 리스트 중 LIAPP 적용 항목>
* 메모리 내 노출 방지
메모리에는 앱 실행 코드 및 사용자 계정, 사용 함수 등이 복호화되어 평문으로 저장되기 때문에 앱 내부의 민감한 정보가 노출될 수 있습니다. 메모리 노출 취약점은 소스코드 상에서 중요정보를 저장할 때 암호화하지 않고 저장해 메모리에 평문으로 노출될 때 발생합니다. 이를 해결하기 위해 중요 정보를 저장하는 모든 변수에 암호화를 진행해야하며, LIAPP은 메모리 값을 암호화할 수 있는 별도의 암호화 모듈을 통해 이용자의 중요정보의 메모리 내 평문 노출을 차단합니다
* 디버그 로그 내 노출 방지
개발자는 앱 개발 시 디버깅을 위해 디버깅 코드(Log Class)를 사용합니다. 이후 개발이 완료된 시점에서 디버깅 코드로 사용한 Log Class의 삭제 없이 컴파일 및 배포가 된다면 단말기 내부에는 해당 앱의 디버깅 코드가 실행되게 됩니다. 이때 디버깅 코드에 개인정보와 같은 중요정보 및 서버 인증 정보, 앱 로직 상의 중요정보 등이 포함되어 있다면 악성 앱에 의해 손쉽게 외부로 유출 가능합니다. 이 취약점을 해결하기 위해 LIAPP은 디버그 로그 내 중요 정보를 삭제해 디버그 로그 노출을 방지합니다.
* 중요정보 화면 보호 적용
LIAPP은 캡쳐 방지 기능을 통해 애플리케이션 화면의 중요 정보를 캡쳐 하지 못하도록 방지합니다. 단축키를 이용한 기본적인 화면 캡쳐 제어는 물론 애플리케이션을 이용한 화면 캡쳐, 외부기기를 연결한 화면 캡쳐, 에뮬레이터(Emulator) 환경을 이용한 화면 캡쳐 방지까지 모든 화면 캡쳐를 방지합니다. 또한, 화면 캡쳐 방지 기능이 적용되면 원격제어 시 해당 화면이 검게 표시됩니다.
* 입력정보 보호 적용
주민등록번호, 계좌번호, 공인인증서 비밀번호 등 개인의 중요한 입력정보는 LIAPP의 보안키패드(LIKEY) 기능을 통해 일회성 데이터로 변환해 서버에 전송합니다. 암호화 방식을 사용하는 기존 보안키패드 방식과 달리 LIAPP은 개인 정보를 입력하면 매번 다른 일회성 데이터가 출력되어 서버로 전송되며, 서버로 전송된 일회성 데이터는 복호화가 불가능하기 때문에 개인 정보가 안전하게 보호됩니다.
* 앱 위,변조 탐지 적용
앱의 위변조는 정상 앱을 변조된 앱으로 변경해 고객의 정보를 탈취하거나, 위변조한 유료 앱을 불법사이트를 통해 재배포하여 사용자의 이탈을 부추깁니다. LIAPP은 자체 검증 알고리즘을 통해 중요 핵심 파일이 변조되는 것을 탐지하고, 앱의 위변조 탐지 시 앱 실행 자체를 차단해 안전하게 보호합니다.
* 해킹OS 탐지 적용
LIAPP이 적용된 앱은 루팅/탈옥된 단말기에서 실행을 차단할 수 있으며, 루팅을 숨기기 위해 설치된 해킹툴까지 탐지하여 앱 실행을 차단합니다. 해당 기능은 관리자가 ON/OFF 옵션으로 변경하여 즉시 적용할 수 있습니다.
* 안티디버깅 적용
디버깅의 원래 목적은 실행코드에서 버그를 찾아내기 위함이나, 해커가 프로그램 동작 방식을 파악하거나 메모리를 변조해 앱을 공격하는 용도로 변질되어 사용합니다. 이에 LIAPP은 애플리케이션 프로세스에 접근하여 정적(Static) 혹은 동적(Dynamic)분석을 시도하는 디버깅을 차단합니다. LIAPP을 적용하면 디버깅 시 해당 디버거 프로그램을 종료 혹은 에러를 발생해 애플리케이션이 분석되는 것을 원천적으로 차단해 중요 정보를 보호합니다.
* 코드 난독화 적용
소스코드는 애플리케이션 전체의 중요한 정보를 담고 있기 때문에 LIAPP의 난독화 기능을 적용하여 소스코드를 볼 수 없게 보호해 지적 재산권을 보호합니다. 특히 LIAPP의 난독화는 소스코드를 재배열해 읽기 어렵게 만들 뿐만 아니라, 앱의 소스코드 자체를 전체 암호화하여 원본 소스를 원천적으로 보이지 않게 차단하는 기능을 제공합니다.
* 안티바이러스 적용
안티 바이러스는 디바이스 사용자를 보호하기 위한 기능으로, 앱 서비스의 사용자가 악성코드 등 보안 노출 위험이 있는 디바이스에서 LIAPP을 적용한 앱 실행 시 사용자의 정보가 유출되지 않도록 앱 실행 자체를 차단 합니다.
4. LIAPP을 통한 보안 적용 방안 제시
핀테크 앱은 이미 구현 완료된 상태에서 보안검증을 진행하기 때문에 보안 취약점이 존재할 경우 코드 수정을 하거나 설계 단계부터 다시 구현을 해야 합니다. 때문에 비용 및 시간적이 면에서 효율적이지 못한 것이 사실입니다. 이에 각 모바일 앱 구현 시 분석/설계 단계, 개발 단계, 테스트 단계마다 보안 검증 방안이 필요하게 됩니다. 기존 보안 솔루션은 적용에 약 1개월의 시간이 소요되지만, LIAPP은 클라우드 서버를 이용하여 한 번의 클릭으로 모든 보안 기능을 손쉽게 적용할 수 있습니다.
LIAPP TEAM은 LIAPP을 통한 핀테크 앱 서비스 기업의 개발 과정이나 보안 취약점 보완 시 보안 전문 컨설팅을 제공하며, 핀테크 서비스 앱의 취약점을 직접 진단하고 분석하여 보안 위협 요인을 파악하고 조치를 지원합니다. 핀테크 애플리케이션을 개발하고 배포하시기 위해 금융보안원 심사를 앞두신 분들은 저희 LIAPP TEAM으로 언제든지 편하게 연락주시면 보다 자세한 상담을 진행해드리겠습니다.
LIAPP, 최상의 서비스만을 제공합니다.
#위변조_차단 #위변조_방지 #fintech_security #핀테크_보안 #소스코드_보호 #source_code_protection #모바일_앱_보안 #모바일_게임_보안_솔루션 #앱_위변조_탐지 #Unity_보안 #Unreal_engine_보안 #cocos_보안 #리패키징_방지 #메모리_보안 #메모리_변조_탐지