모바일 앱은 오늘날 금융, 게임, 커머스 등 다양한 산업에서 핵심적인 비즈니스 채널로 자리 잡고 있습니다. 하지만 수많은 앱이 출시되는 만큼 모든 앱이 충분한 보안 조치를 갖춘 것은 아닙니다. 해커들은 이러한 허점을 노려 리버스 엔지니어링(reverse engineering)을 통해 앱의 내부 로직을 분석하고, 지적 재산권을 침해하거나 불법적인 수익을 얻습니다. 특히 모바일 게임과 같은 RMG(Real Money Game) 분야에서는 리버스 엔지니어링이 직접적인 매출 손실로 이어질 수 있습니다. 따라서 개발자와 보안 담당자는 이를 예방할 전략을 반드시 갖춰야 합니다.
리버스 엔지니어링이란?
리버스 엔지니어링은 APK 파일을 분해한 후 컴파일된 바이너리로부터 원본 소스 코드를 얻어내는 프로세스입니다. 안드로이드 런타임에서 해석되는 DEX 파일은 디컴파일 도구를 통해서 JAR 파일로 변환되고, 이후 또 다른 도구를 사용하여 Java 소스 코드로 변환될 수 있습니다. 이러한 프로세스는 해커뿐만 아니라 사업적인 경쟁 위치에 있는 개발자나 회사가 경쟁사의 앱을 분석하거나 일부 기능을 복사하여 차용하는데 사용될 수도 있습니다. 해커는 이 기술을 사용하여 인증 프로세스를 우회하여 앱의 프리미엄 기능에 액세스할 수 있습니다. 특히 모바일 게임의 경우 이러한 기술을 통하여 게임 내의 경쟁상대보다 우월하게 불공정한 이득을 얻는데 활용되기도 합니다.
SoftIce 및 OllyDbg와 같은 디버거는 프로그램의 흐름을 추적하는 데 사용되며, 이를 통해 해커는 앱의 전체 비즈니스 로직을 파악하여 이를 다른 모바일 앱에 적용할 수 있습니다. 또한 파악된 로직을 조작하여 악성코드를 삽입하고 배포하는 행위를 하기도 합니다. 만약 일반 사용자가 이러한 앱을 다운로드해 설치하였을 경우에는 개인 정보의 심각한 침해를 당할 수도 있습니다.
리버스 엔지니어링 다루기
앱 보안은 제품을 사용하는 소비자를 보호하기 위한 가장 기본적인 조치이며, 이를 통해서 사용자의 신뢰를 얻을 수 있습니다. 따라서 앱 개발자는 강력한 공격 방법인 리버스 엔지니어링으로부터 앱을 보호하는 다양한 방안을 채택하는 것이 필수입니다. 아래는 이를 위해 참고해야 하는 실천 사례입니다.
- 프로그래밍 언어에 따라서 리버스 엔지니어링 공격의 난이도가 달라집니다. C/C++는 상대적으로 리버스 엔지니어링을 통해서 공격하기 어렵습니다. 따라서 앱의 비즈니스 로직이나 주요한 알고리즘을 코딩하는데는 C/C++를 사용해야 합니다. Java의 경우 상대적으로 매우 쉽게 리버스 엔지니어링이 가능합니다. 따라서 안드로이드에서 제공하는 NDK를 사용하여 앱의 주요한 로직은 모두 SO 형태로 만들어야 합니다.
- 암호화 기술을 사용하여 일부 코드를 서버에 저장하고 이를 적절한 시점에 다운로드 받아 사용하도록 하는 방식은 리버스 엔지니어링을 방어하는 하나의 방법입니다. 단, 이를 위해서는 서버와 앱간에 적절한 커뮤니케이션 방식을 정의하고 인증 절차가 준비되어야 합니다.
- 중요한 비즈니스 로직을 리소스화하고 이를 암호화하는 방식을 사용하는 것은 리버스 엔지니어링 공격으로부터 방어하는 또다른 효과적인 방안입니다. 암호화된 로직을 복호화하여 사용하는 코드는 강력한 난독화를 적용하여 해커가 해석하기 어렵게 만들어야 합니다.
- 암호화된 바이너리의 위변조 여부를 확인하는 해시 알고리즘을 사용할 때는 반드시 키를 유추할 수 없도록 PBKDF2나 bcrypt와 같은 키 생성 함수를 사용해야 합니다. 이를 통해서 해시 함수의 공격을 효과적으로 방어할 수 있습니다.
- 사용자 자격 증명은 반드시 암호화된 형식으로 서버에 저장하여 보호를 해야 합니다. 특히 이러한 정보는 디바이스/외부저장 장치/앱내 저장소 등에는 가급적 저장하지 않는 것이 좋습니다. 만약 이러한 정보가 암호화되지 않고 공격자가 접근가능한 위치에 저장된다면, 공격자에 의해 해당 정보는 매우 쉽게 변조되어 악용될 수 있습니다.
- 데이터베이스에 저장되는 데이타는 AES-256과 같은 강력한 암호화 알고리즘이 적용되어 저장되어야 합니다.
- API 검증에 사용되는 키는 안전하게 숨겨지거나 시큐어 채널을 통해서 전달되어야 합니다. 이러한 정보가 하드코딩되어 있거나 리소스 폴더등에 저장될 경우 검증용 키를 쉽게 유추하여 임의로 API를 호출하는 등의 피해를 입힐 수가 있습니다.
Proguard:
이 Java로 작성된 오픈 소스 크로스 플랫폼 도구는 라이선스가 부여된 서버를 사용하여 모바일 애플리케이션의 보안을 지원하므로 코드를 되돌리기가 어렵습니다. 완벽한 보안을 보장하기 위해 다음과 같은 4가지 주요 메소드가 사용됩니다.
- 축소: 사용되지 않는 클래스, 필드, 메소드를 구체적으로 식별하고 제거합니다.
- 최적화: 메소드의 바이트코드를 분석하고 최적화하여 크기를 줄이고 더 빠르게 만듭니다.
- 난독화: 클래스, 필드, 메소드의 이름을 의미 없고 들어본 적 없고 알기 어려운 이름으로 변경합니다.
- 사전 검증: JME, Java 6 이상 버전에 필요한 클래스에 사전 검증 정보를 추가합니다.
디버거 탐지 기술:
이러한 기술은 디버거를 능동적으로 찾는 데 사용될 수 있습니다. 몇 가지 기술은 다음과 같습니다.
- CheckRemoteDebuggerPresent() Windows API: 지정한 프로세스가 디버깅되고 있는지 확인합니다.
- NtGlobalFlag 디버거 탐지: 디버거를 탐지하는 데 사용되는 간단한 리버스 방지 방법입니다.
- IsDebuggerPresent() Windows API: 사용자 모드 디버거를 통해 호출 프로세스가 디버깅되고 있는지 확인합니다.
다른 호스트의 기술에는 다음과 같은 것들이 있습니다.
- OllyDbg INT3 예외 탐지
- OllyDbg OutputDebugString() 형식 문자열 취약성
- OllyDbg PE 헤더 구문 분석 DoS 취약성
- PEB ProcessHeap 플래그 디버거 탐지
모바일에서 저장하는 경우 값 난독화:
애플리케이션에 존재하는 데이터는 수많은 정보를 갖고 있습니다. 하지만 애플리케이션에 데이터가 없다면 어떻게 될까요? 이때 난독화가 데이터 보호 작업을 더욱 스마트하게 진행하는 데 도움이 됩니다. 암호화, 토큰화 또는 데이터 마스킹을 수행하여 데이터가 다른 형식이나 구조로 변환되고 안전하게 저장되도록 할 수 있습니다. 일부 알고리즘이나 복잡한 구조의 형태로 데이터를 저장하는 데 중점을 둡니다. 원본 데이터 저장을 피할 수 있습니다.
SSL 구현 시 각별한 주의 필요:
SSL 인증서는 리소스의 ID와 암호화를 인증하는 데 도움이 되는 디지털 인증서입니다. 당연히 모바일 앱 개발자들은 더 나은 코드 보안을 위해 SSL 인증서를 구현합니다. 이것은 SSLSocketFactory 인터페이스(Android의 경우)를 구현하는 클래스에 여러 메소드를 정의하는 방식을 통해 수행됩니다. 그러나 이러한 메소드는 여러 종류의 인증서를 허용하기 때문에 중간자 공격이 발생할 가능성이 높습니다. 데이터 패킷이 이러한 인증서를 통과할 때 전문 해커가 자체 서명된 인증서를 통해 연결을 위반할 수 있으므로 데이터 패킷의 기밀성도 위험에 처할 수 있습니다. 따라서 SSL을 사용할 때는 주의가 필요합니다.
도브러너의 역할
리버스 엔지니어링을 비롯한 다양한 모바일 보안 위협에 대응하기 위해서는 런타임 애플리케이션 자가 보호(RASP)가 필요합니다. 도브러너는 다음과 같은 기능을 제공합니다.
- DEX, SO, DLL 파일 암호화를 통한 디컴파일·역공학 차단
- 앱 실행 중 무결성 검증 및 위변조 탐지
- 루팅·탈옥 및 에뮬레이터 환경 탐지 후 실행 차단
- 디버깅, 디컴파일, 메모리 조작 방어
- 성능 저하 없이 적용 가능한 클라우드 기반 보안
개발자는 단순히 앱을 업로드하는 것만으로 수 분 안에 보안이 적용된 빌드를 받을 수 있으며, 추가적인 코드 수정은 필요하지 않습니다.
결론
리버스 엔지니어링은 단순한 기술적 문제가 아니라, 기업의 매출, 브랜드 가치, 사용자 신뢰를 직접 위협하는 요소입니다. 이를 막기 위해서는 난독화, 암호화, 디버거 탐지 등 다층적인 방어 전략과 함께 런타임 보안을 갖춘 솔루션을 도입해야 합니다. 도브러너는 코드 수정 없는 신속한 적용과 강력한 방어력을 제공하여, 기업이 빠른 개발 속도와 강력한 보안을 동시에 달성할 수 있도록 지원합니다.
