TECH M
TECH M
‘시큐어 코딩’으로 모바일 앱 보안성 강화 필요
KISA 핀테크 기술지원센터 기술세미나
모바일 애플리케이션 보안 피해를 최소화하려면 코딩 단계부터 취약점을 잡는 '시큐어 코딩'이 필요하다는 지적이 나온다. 이미 서비스 되고 있는 상태에서는 수정하기 어려운데다, 피해를 복구하는 비용도 커지기 때문이다.
한국인터넷진흥원(KISA)은 13일 서울 가락동 핀테크 기술지원센터에서 ‘모바일 핀테크 서비스의 취약점과 대응 방안 기술세미나’를 개최하고, 모바일 앱 보안성을 강화하는 방안을 소개했다. 발표는 모바일 네트워크 보안업체 ‘아홉’의 조성원 부장이 맡았다.
조성원 부장은 “과거 모바일 생태계에서 앱 보안 문제는 사용자가 SMS나 이메일 링크를 클릭해서 앱을 설치한 뒤에야 문제가 발생했다. 하지만 최근에는 스테이지프라이트(Stagefright) 취약점을 이용해 메시지를 보기만 해도 자동으로 악성코드가 실행된다”면서 “자동화 툴(Tool)을 활용해 취약점을 파악하고, 대응하지 않으면 자동으로 공격하는 방식으로 바뀌었다”고 지적했다.
그는 “모바일은 PC와 달리 샌드박스 구조로 설계돼 격리된 공간 안에서만 접근할 수 있어, 다른 앱에는 접근하기 어려운 구조”라며 “따라서 해커들은 플랫폼보다는 앱 자체를 직접 공략하는 게 더 빠르고 쉽다. 앱 자체에서 보안성을 갖춰야 모바일을 안전하게 사용할 수 있다”고 분석했다.
조 부장은 “앱 개발 단계에서 취약점을 사전에 제거하는 ‘시큐어 코딩’의 필요성이 커진다”면서 “대부분 취약점은 코딩 단계에서 생기는데, 완성된 뒤에는 초기에 고치는 것보다 비용이 훨씬 많이 든다”고 말했다.
실제 보안프로젝트 OWASP에 따르면 앱 보안 취약점을 코딩 단계에서 수정하는데 드는 비용은 평균 25달러(약 3만5000원)가 소요된다. 반면 서비스를 론칭한 뒤 문제를 해결하려면 평균 1만6000달러(약 1950만원)가 투입돼야 하는 것으로 나타났다.
행정안전부에서 제공하는 시큐어 코딩 가이드라인에 따르면 코딩 단계에서 나타나는 주요 보안 문제로는 ▲SQL 삽입 ▲경로조작과 자원 삽입 ▲크로스사이트 스크립트 ▲운영체제 명령어 삽입 ▲오버플로우가 있다. 보안기능과 관련해서는 ▲취약한 암호화 알고리즘 ▲중요정보 평문 저장과 전송 ▲하드코드된 비밀번호 ▲충분치 않은 키(Key) 길이 사용 ▲적절치 않은 난수값 사용 ▲주석문안에 포함된 시스템 주요정보와 같은 취약점이 있을 수 있다.
조 부장은 “최근에는 앱을 대부분 사용자가 모바일에서 이용하기 때문에 과거에 생각하지 못했던 공격기법이 나타나거나 플랫폼의 잠재적 취약점을 공격하는 일이 많이 나타난다”면서 “기획자가 핀테크 서비스를 기획하거나 서비스 론칭을 준비한다면 시큐어 코딩 가이드라인을 활용해 자신의 앱이 안전하게 개발됐고, 사용되는지 검증할 필요가 있다”고 조언했다.
김태환 테크엠 기자 kimthin@techm.kr
-
중국 내 전기차 배터리 빗장 풀리나 …LGㆍSK도 동등 경쟁[앵커멘트]국내 배터리 업계가 중국 시장에서 현지 업체들과 동등하게 경쟁할 수 있게 됐습니다. 그동안 중국 정부는 자국 배터리 산업을 키우기 위해 해외 배터리를 장착한 전기차에는 보조금을 주지 않았는데요. 최근 보조금 지급 목록에 LG화학, SK이노베이션 배터리를 장착한 전기차도 포함된 것으로 알려졌습니다. 김주영 기자입니다.[기사내용]중국 정부가 한국을 비롯해 해외 배터리를 장착한 전기차에도 보조금을 지급할 것으로 알려졌습니다.배터리 업계에 따르면 중국 정부가 6일 발표한 '2019년 11차 친환경2019-12-10 09:23:52김주영 기자
-
'성능·안전' 모두 잡은 한국형 원자로, 수출 '첨병" 역할한다[앵커멘트]최근 우리 기술로 직접 개발해 미국과 유럽에서 안전성을 인정받은 원자로가 적용된 원전이 본격적인 가동에 들어갔습니다. 체코와 폴란드, 영국 등 원전건설을 예정한 국가에 수출할 수 있는 전략모델인데 해당국들도 큰 관심을 기울였습니다.문수련 기자입니다.[기사내용]설비 용량 1.4GW의 한국형 신형 원자로가 최초로 적용돼 가동을 시작한 신고리 3,4호기.7조5000억원을 투입해 순수 우리 기술로 개발한 신형원자로APR 1400은 통상 1GW 였던 설비용량을 1.4GW로 40% 끌어올렸고, 수명 또한 62019-12-10 09:17:00문수련 기자
-
모빌리티 선점 나선 '카카오·티맵'…존폐 기로 '타다'와 대조[앵커멘트]일명 '타다 금지법'으로 불리는 여객사업법 개정안이 국회 본회의 통과만을 앞두고 있는 가운데 타다는 말 그대로 존폐 기로에 서 있습니다. 반면 카카오모빌리티 등 다른 모빌리티 업체들은 연말 특수를 맞아 공격적인 마케팅에 나서며 대조를 이루는 모습입니다. 박수연 기자입니다.[기사내용]지난주 '타다금지법' 개정안이 국회 국토교통위원회 교통법안심사소위를 통과하자 업계 셈법도 복잡해지고 있습니다.렌터카를 기반으로 영업하는 '타다'를 비롯해 유사 서비스를 하는 &2019-12-10 09:12:33박수연 기자