본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

오픈소스로 성장한 안드로이드보안툴, 국내 본격 진출

OSS 게시글 작성 시각 2015-10-08 17:57:16 게시글 조회수 2604

2015년 10월 07일 (수)

ⓒ 지디넷코리아, 손경호 기자 (sontech@zdnet.co.kr)


가드스퀘어, 덱스가드로 기업용 앱 난독화 시장 공략


안드로이드 개발자들에게 오픈소스 기반 애플리케이션 난독화툴로 유명한 '프로가드(ProGuard)'를 개발, 공급해왔던 가드스퀘어가 보안기능을 강화한 기업용 제품인 '덱스가드(DexGuard)'로 국내 금융, 게임, 공공 등 개발자 공략에 나섰다.


2001년 설립된 가드스퀘어는 앱을 더 작은 용량으로 효율적으로 쓸 수 있게 최적화해주는 프로가드를 오픈소스프로젝트 형태로 개발해 2010년부터 안드로이드 소프트웨어개발키트(SDK)에서 기본 제공되고 있다. 이 툴은 현재 전 세계 100만명 이상 안드로이드 개발자들이 사용하고 있을 정도로 인지도가 높다.


가드스퀘어는 프로가드의 성공에 힘입어 안드로이드 개발자들이 더 안전하게 개발한 앱을 보호할 수 있도록 소스코드를 난독화를 적용, 공격자들이 쉽게 앱을 조작하지 못하게 보호하며, 앱을 통한 통신 구간에 대한 중간자공격(MiTM) 등을 방지하는 기능 등을 추가한 유료 솔루션인 덱스가드를 개발해 국내 기업용 시장을 공략한다.



7일 사업협력 차 방한한 가드스퀘어 최고기술책임자(CTO)이자 안드로이드 보안 개발자로 유명한 에릭 라포츈은 기자간담회를 통해 "덱스가드가 기본적인 앱 소스코드는 물론, 자바 라이브러리, 네이티브 라이브러리 등까지 자동으로 보호해 준다"고 설명했다.


국내외 보안전문가들에 따르면 안드로이드 앱에 대한 난독화는 기본적으로 소스코드를 보기 어렵게 만드는 것이기 때문에 시간이 지나면 결국 뚫리게 될 가능성이 높다고 지적한다.


덱스가드는 이러한 한계를 보완하기 위해 기본 소스코드에 대한 난독화와 함께 자바는 물론 C언어 등으로 개발된 네이티브 라이브러리까지 보호할 수 있도록 했다. 이전까지 안드로이드 앱 난독화 제품은 자바에 대한 보호기능만 갖추고 있어 C언어로 제작된 소스코드에 대해서는 제대로 보호하지 못한다는 지적이 있었다.


이에 대해 라포츈 CTO는 "오랫동안 자바의 보안성을 높이는 방법을 연구해 온 만큼 이 분야에서 강점을 갖고 있는 것은 맞지만 이외에도 여러 계층을 난독화 하며 C언어 등으로 이뤄진 네이티브코드에 대해서도 보호기능을 제공한다"고 밝혔다.


특히 안드로이드 개발자가 앱을 개발한 뒤에 덱스가드를 적용하면 소스코드를 암호화하고, 앱이 실행되는 과정에서 함수이름과 제어흐름을 변경해 공격자들이 쉽게 앱을 해킹하지 못하도록 한다. 안드로이드 앱 개발에 필요한 서명 유효성 확인(Signature Validation), 암호화 작업(Cryptographic Operation)에 사용되는 API를 공격자가 확인하지 못하도록 숨김기능을 제공한다.





또한 이 솔루션은 만약 공격자에게 앱이 뚫린다고 하더라도 다음 업데이트에서는 같은 수법을 쓰지 못하도록 서로 다른 보안 알고리즘을 사용한다.


라포츈 CTO는 이를 통해 "전체 앱 크기를 5%에서 최대 70%까지 줄이고, 10%~20% 가량 빠르게 구동할 수 있게 하면서도 앱 위변조나 네트워크를 통한 공격 등에 대응할 수 있다"고 설명했다.


안드로이드 개발자들에게 이미 널리 알려진 오픈소스툴인 프로가드가 이미 널리 사용되고 있는 만큼 덱스가드 역시 국내 안드로이드 앱 개발자들 사이에서도 많이 활용되고 있다. 국내 총판을 맡게 된 에스비씨케이 관계자에 따르면 전체 150개 고객사를 확보하고 있으며 이중 금융권 고객이 50개사에 달한다. 각 회사 내 앱 개발자가 이 난독화툴을 통해 앱을 개발하는 과정에서 필요없는 소스코드를 줄여 앱 용량을 낮추면서 필요한 난독화나 각종 보안 기능을 적용할 수 있다는 것이다.


덱스가드는 앱의 갯수와 개발자수에 따라 라이선스 비용을 받는 형태로 제공되며, 국내 에스비씨케이가 독점 총판계약을 체결했다.




※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지


[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20151007142951]

맨 위로
맨 위로