[디지털데일리 이민형기자] 금융회사들이 모바일 애플리케이션 보안 강화에 나섰다. 단순히 위변조 방지에 그치지 않고, 암호화, 난독화 등 더 강력한 방법을 적용한다는 계획이다.
또 금융감독원이 지난 4월 금융회사를 대상으로 스마트금융(뱅킹, 주식 등) 안전대책을 강구하라는 지침과 함께 실태조사 진행이 예정돼 관련 업계의 움직임이 더욱 빨라지고 있다.
24일 보안업계에 따르면 주요 은행들이 스마트뱅킹 등 모바일 앱 보안 강화에 나서고 있다.
손장군 엔시큐어 이사는 “과거 앱 위변조에만 초점을 잡았던 금융회사들이 이제는 전반적인 보안을 고민하고 있다”고 운을 뗐다.
그는 이어 “금융회사들은 위변조 대응을 넘어 루팅, 탈옥 등 시스템 변경, 커널·운영체제(OS) 변조, 역공학(Reverse Engineering) 등 서비스에 영향을 끼칠 수 있는 모든 영역에 대한 보호를 원한다”며 “최근 금감원에서 내려온 지침 역시 포괄적인 보안을 담고 있다”고 설명했다.
금감원의 스마트금융 안전대책에는 금융회사들이 스마트금융 서비스를 위해 구현해야할 약 20개의 항목이 존재한다. 항목에는 ▲백신 적용 ▲모듈 보호 ▲소스 암호화·난독화 ▲앱 위변조 방지 ▲멀티로그인 차단 등이다.
이에 대해 손 이사는 “모바일 보안의 영역이 PC만큼 광범위하기 때문에 많은 부분을 고려해야하는 것이 사실”이라며 “위변조 대응만으로는 보안과 컴플라이언스 모두를 해결할 수 없다”고 설명했다.
현재 앱 위변조 방지 솔루션은 대부분의 금융권에 도입이 완료된 상황이다. 하지만 기기 무결성 점검 등에 대한 부분이 빠져있어 당분간은 고도화 작업이 진행될 것으로 예상된다.
솔루션 업체들도 앱 보안과 관련된 기술 개발, 특허 취득 등에 주력하고 있다.
소프트포럼은 당초 위변조 방지 솔루션으로 출발해 현재는 역공학 방지, 커널·운영체제 변조 탐지 등의 기능을 개발·탑재했다.
전창연 소프트포럼 과장은 “모바일 보안을 위해서는 기기의 무결성 검증이 확실하게 진행돼야 하기 때문에 현재 관련 기술 개발에 총력을 다하고 있다”고 전했다.
에스이웍스는 SaaS 형태로 앱 보안 서비스(메두사헤어)를 제공하고 있으며, 안랩도 조만간 관련된 솔루션을 출시할 계획이다.
엔시큐어(악산)의 경우 일종의 패키지 상품으로 솔루션을 제공하고 있다. 손 이사는 “악산은 모바일 기기 무결성 점검을 비롯해 앱 위변조 방지, 난독화, 암호화, 역공학 방지 등 모바일 보안에 필요한 대부분의 요소를 하나의 솔루션으로 제공하는 전략을 활용하고 있다”며 “모바일단말관리(MDM), 모바일 백신과 함께 구축될 경우 시너지를 기대할 수 있다”고 강조했다.
앱 보안 시장은 향후 금융권을 넘어 모바일 비즈니스 전역으로 확산될 것으로 예상되지만, 확산 속도는 다소 더딜 것으로 보인다.
손 이사는 “금융권을 비롯해 제조, 서비스 등 다양한 산업군에서 관심을 보이고 있다. 하지만 비용적인 이슈로 인해 폭발적인 성장을 기대하긴 힘들다”며 “구축 사례가 많아지면 시장이 커질 것으로 기대하고 있다”고 전했다.