[아이티비즈] 애플리케이션 및 IT인프라 보안 기업 엔시큐어(대표 문성준, ensecure.co.kr)가 국내 카드사 두 곳에 금융앱 보안 솔루션 공급 계약을 맺었다.
수주한 솔루션은 악산테크놀로지의 가드잇(GuardIT)과 인슈어잇(EnsureIT)으로 데스크톱, 서버, 모바일, 임베디드에 배포된 모바일 앱, 디지털저작권관리(DRM), 게임, 스트리밍 서비스 등 다양한 애플리케이션의 리버스엔지니어링 즉, 프로그램의 변조 및 보안 우회를 원천적으로 차단하는 솔루션이다.
모바일 환경에서 금융 서비스를 제공하는 국내외 금융앱은 전자금융 보안성 확보를 위해 난독화, 암호화, 무결성 검증, 탈옥ㆍ루팅폰 통제 등의 보안솔루션을 도입하여 운용 하고 있다. 그러나 해커의 공격에 대비하여 보안성이 낮은 솔루션의 적용으로 인해 해커가 코드를 쉽게 파악하여 보안을 침해할 수 있기 때문에 사실상 소프트웨어 불법 복제 및 조작을 방지하기 위한 방법으로는 턱없이 부족한 상황이다.
특히 신뢰할 수 없는 환경에서 배포되는 모바일 및 임베디드 애플리케이션은 일반적으로 코드기반 공격에 취약하며 해커들은 보통 애플리케이션 코드를 풀어 디버깅함으로써 핵심 알고리즘을 검색한 후 소프트웨어를 손상시키는 공격을 수행한다.
가드잇과 인슈어잇은 ‘침해에 대한 방어 > ‘공격에 대한 탐지 > 공격에 대한 경보 및 반응’ 세 단계로 구성되어, 각각 난독화, 암호화, 체크섬, 안티디버그, 원복, 경보 등의 기능을 통해 애플리케이션의 무결성을 보호하고 있다.
애플리케이션 바이너리의 강화를 통해 해킹폰 탐지 코드, 리소스 보호 코드 등 적용된 보안 코드 우회에 대해 원천 방지 및 차단하고 C/C++, Objective-C, JAVA로 작성된 애플 iOS 및 Android 기반에서 작동되는 애플리케이션에 대한 침해 리버싱 시도에 대해 탐지 및 방어한다. 또한 바이너리는 릴리즈 시 마다 다른 바이너리를 생성하여 이전 버전의 분석 정보를 무력화 시킨다.
특히 Android, Apple iOS, WIndows Phone, Tizen, Linux, Power PC, Windows, Mac OSX의 다양한 기반에서 작동하는 애플리케이션에 대한 보호를 지원하며, 국내에서 iOS플랫폼에 대한 보호를 지원하는 유일한 솔루션이다.
손장군 엔시큐어 이사는 “이번에 수주한 두 카드사의 경우, 기존에 적용했던 운영체제 변조 및 위변조 탐지, 난독화 등 다양한 애플리케이션 보호 솔루션을 통합하여 대체했다는 것과 더불어 보안성 또한 세계적 수준으로 대폭 상향시켜 적용했다는 데에 큰 의미가 있다” 며, “기존에 설치된 솔루션들이 각각 다른 회사의 제품이기에 상호 호환성 및 안정성 문제 등 서비스 품질 유지 및 관리에 어려움이 많았는데, 이번 계약을 통해 이러한 문제점을 단일 솔루션으로 해결하고 운용비용 또한 대폭 절약한 결과를 낳을 것”이라고 밝혔다.
