차세대 모바일 앱 보안 솔루션, 에버세이프

차세대 모바일 앱 보안 솔루션, 에버세이프

 

현재의 핀테크(fintech) 서비스는 간편결제, 간편송금, 간편인증 등을 시작으로 인터넷은행, 비대면 인증을 통한 계좌 개설까지 ‘간편’이라는 단어에 집중되는 경향이 있다. 그런데 간편함 속에 우리가 모르는 큰 헛점이 있다면, 어떻게 될까?

글 하영빈 에버스핀 대표

 

대부분의 핀테크 서비스들은 애플리케이션(앱) 기반이다. 앱 기반이라는 것은 앱 자체가 안전하지 않으면, 어떠한 추가적인 수단과 방법이 도입되더라도 해킹에 속수무책이 될 수밖에 없다는 것을 의미한다. 즉, 스마트폰 자체의 감염과 스마트폰에 사용자 모르게 다운로드 돼 있는 악성 앱에 대한 위협, 여기에 더해 앱의 위조 및 변조에서 벗어날 수 없는 태생적 한계를 가진다는 것이다. 이러한 악성 앱은 사용자 모르게 단문메시지서비스(SMS) 송수신 정보, 전화번호부, 인터넷 접속 기록 등의 개인 정보를 몰래 빼가기도 하고 모바일 뱅킹 등에 사용되는 공인인증서 등의 정보를 외부 서버로 유출시키는 등 다양한 공격을 시도하기도 한다. 앱의 보안 영역을 무력화시켜 보안 모듈이 없는 것과 동일하게 만들어내는 것은 숙련된 해커에게는 손쉬운 일이다.

 

모바일 앱, 보안사고 취약
미래창조과학부 모바일 보안 실태조사를 보면 사용자는 간편결제 서비스에서 편리성보다 보안성이 더 중요하다고 인식하고 있으며 모바일 앱 보안사고에

취약함을 알 수 있다.
이런 상황에서 현재 앱 보안의 수준과 그 제공 방식에 대해 살펴볼 필요가 있다. 금융권을 포함한 국내외 모든 앱을 보호하고 있는 보안 방식은 앱 내부에 보안 솔루션이 하드 코딩으로 탑재돼 배포되는 스태틱(static) 보안 방식이다. 스태틱 보안 솔루션은 모바일 앱이 탄생한 2008년부터 적용된 방식으로 내부에 보안 모듈이 고정된 소스로 저장돼 있다. 이 방식에서는 해커도 일반 사용자와 같이 앱을 다운받아 앱 내부에 있는 보안 모듈의 소스 코드를 분석해 보안 모듈의 해킹 탐지 로직을 얼마든지 분석할 수 있다. 즉, 고정된 소스 기반의 스태틱 보안으로는 해커의 공격을 무력화시키기에 역부족인 점이 있다.
그렇다면, 해킹 공격으로부터 안전해질 수 있는 방법은 없을까? 다이내믹(dynamic) 보안 기술이 그 해답이 될 수 있다.

 

다이내믹 보안 기술
다이내믹 보안 기술은 앱을 실행할 때마다 서버에서 한정된 생명주기를 가진 다이내믹 보안 모듈이 앱에 다운로드 돼 독립적으로 실행되며 실시간으로 앱의 보안 상태를 탐지하는 기술이다. 한정된 시간이 지나면 보안 모듈은 자동 폐기되고, 전혀 다른 소스 코드로 이루어진 새로운 보안 모듈이 내려와 동작되기 때문에 해커의 분석 자체가 무의미해진다. ㈜에버스핀은 5년간의 연구·개발 기간을 거쳐 지금까지의 스태틱 보안 사상을 뒤집고 다이내믹 보안 기술을 적용한 모바일 앱 보안 솔루션인 ‘에버세이프(Eversafe)’를 출시했다.
보안 모듈이 고정돼 있지 않은 편이 고정돼 있는 것보다 안전하다는 것은 보안에 대해 잘 알지 못하는 일반인도 상식적으로 생각할 수 있다.

 

스태틱 vs 다이내믹
에버스핀은 2015년 코스콤이 개최한 ‘핀테크 코리아’ 공모전에서 기술적 강점을 바탕으로 기술부문 대상을 수상했다. 코스콤은 수십 년간 자본시장 인프라를 구축·운영한 경험을 기반으로 2015년 7월부터 에버스핀과 공동 사업을 준비하면서 다이내믹 보안 기술을 더욱 향상시키고 대용량 서비스 처리를 위한 클라우드 인프라를 구축했다. 2016년 1월 코스콤과 에버스핀은 다이내믹 모바일 보안 솔루션을 서비스하는 공동 사업 계약을 맺게 됐고 금융권을 시작으로 서비스를 제공하는 데 박차를 가하고 있다.

 

 

코스콤, 에버스핀 공동 사업 계약 체결
현재 다이내믹 보안은 비대면 인증 앱의 보안을 위해 8개 증권사가 적용할 예정이고 6개 증권사의 MTS(Mobile Trading System)에 올해 7월까지 순차적으로 적용될 예정이다. 또한 메이저 은행들도 코스콤과 에버스핀이 제공하는 다이내믹 보안 플랫폼을 사용하고자 협의 중이며 핀테크 스타트업 인큐베이팅의 실질적 성공 사례로 인식되고 있다. 2015년 11월 보안업계 최초로 핀테크 유공자 선정 및 ‘금융위원회 위원장상(훈격: 장관상)’을 수상했고, 2016년 2월 일본에서 개최한 최대 규모의 ‘FIBC(Financial Innovation Business Conference)’ 글로벌 핀테크 공모전에서 한국 기업 최초로 수상해 명실상부한 1위 보안 기술로 인정받고 있다.
앞으로도 코스콤과 에버스핀은 최초의 다이내믹 보안 기술(제품명: 에버세이프)의 시장 확대를 통해 새로운 보안 지도를 그려 나가고자 한다.

 

 

 

코스콤과 에버스핀은 최초의 다이내믹 보안 기술(에버세이프)의 시장 확대를 통해 새로운 보안 지도를 그려 나가고자 한다.

 

 

 

 

* 저작권법에 의하여 해당 콘텐츠는 코스콤 홈페이지에 저작권이 있습니다.

* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.