모바일 앱 취약점 진단은 모바일 환경에서의 기밀성, 무결성, 가용성 및 안정성에 영향을 미칠 수 있는
다양한 보안 위협들을 클라이언트/API 진단을 통해 제거합니다. 또한 보안전문가가 실제 해커처럼
해킹 툴을 활용해 동적 분석 및 정적 분석을 혼합하여 진단하며 다양한 각도에서 취약점을
탐지하고 분석합니다.
개요
모바일 앱 취약점 진단은 보안 전문가가 앱, 네이티브 앱, 하이브리드 앱의 소스 코드를 분석하여 코드 품질과 보안 취약점을 확인하는 정적 분석 기법과 앱 구동 후 메뉴 확인 및 실제 동적 확인을 통한 동적 분석 기법을 통해 외부 위협을 진단합니다.
모바일 앱 취약점 진단은 자동화된 취약점 스캐닝 도구와 수동 테스트 기법을 조합하여 모바일 앱을 종합적으로 평가하고, 다양한 유형의 취약점을 발견하고, 해당 취약점이 자산에 미치는 영향을 평가하여 적절한 보안조치를 수립합니다.
그 외에 개발 과정에서 작성된 서비스 관련 문서를 활용하여 분석을 수행합니다.
이는 연동 규격서, 서버 규약서, UI 문서, 아키텍처 및 플로우 문서 등을 포함합니다. 또한 메모리 분석 및 Intent, URL Schema 분석을 통해 고급 수준의 진단을 실시하여 취약점을 감지하고 보완합니다.
점검 기준
주요정보통신기반시설 취약점 분석 평가 기준
전자금융기반시설 취약점 분석 평가 기준
OWASP Top 10
점검 항목
구분
항목
입력 값 검증 및 예외처리
입력 값 검증
예외처리
사용자 인증
적절한 인증절차 및 세션관리
패스워드 복잡도 검증
사용자 식별 정보 관리
정보의 기밀성 및 무결성
단말기 중요정보 저장 금지
역분석 방지
중요정보 화면 미표시
메모리 보호
입력정보 보호
송수신 정보 보호
악성코드 및 프로그램 위변조 대응
악성코드 방지
OS변조 탐지
프로그램 무결성 검증
기타
디버깅 정보 노출 방지
포함되지 않은 기타 취약점
*모바일 전자정부 대민서비스 개발자를 위한 [모바일 대민서비스 보안취약점 점검 가이드]에 따른 점검 수행
기대 효과
- 앱 어플리케이션에서의 취약점 대응 조치를 통해 해킹으로 인한 잠재적 위협 사전 탐지
- 자동화된 취약점 진단 기술과 보안 전문가에 의한 수동 진단을 병행하여 시스템 영향도 최소화
- 자체적으로 개발한 보안 평가 기준을 추가 도입함으로써, 앱 어플리케이션 취약점 탐지의 효율 극대화
- 모바일 앱 보안 강화를 통한 안전한 운영은 기업 또는 조직의 신뢰성을 강화하고, 이용자들에게 안정성과 신뢰성을 제공하여 긍정적인 사용자 경험을 유도
