Last Updated on 2월 12th, 2020, By
 In AppSealing News
0

별도의 보안 조치를 취하지 않으면 모바일 앱은 대부분이 해킹됩니다.

모바일 게임

100여종이 넘는 모바일 게임 치트툴이 존재하는 사실만으로도 모바일 게임 분야는 해킹이 일반화되어 있다고 할 수 있습니다.

일반 사용자도 치트툴을 이용하여 결제를 우회하거나 게임의 데이타를 쉽게 조작할 수 있습니다.

전문적인 해커들은 게임 밸런스가 변형된 모드를 만들어 배포하거나, 디버깅 및 디컴파일을 통해서 획득한 소스 코드를 분석하여 불법 서버나 카피캣을 만들고 있습니다.

핀테크

전통적인 금융 서비스와는 다르게 핀테크의 경우 혁신적인 서비스를 위한 다양한 신기술을 융합하고 보다 간소화된 인증 절차를 지향합니다.

이러한 과정에서 발생하는 보안의 간극을 공격하기 위해서 데이터가 오고 가는 다양한 네트워크 구간을 공격하여 결제 정보를 탈취하거나 부정 결제를 시도합니다.

암호화 화폐의 경우 거래소를 해킹하여 대량의 암호화 화폐를 탈취하거나 암호화 화폐 저장용 디지털 지갑을 공격하는 시도가 이루어지고 있습니다.

O2O

오프라인과 온라인을 연계하는 서비스 특성상 사용자의 민감한 개인 정보를 다루는 경우가 많으며, 이러한 정보는 앱내에서 관리되는 경향이 있습니다.

해커는 앱의 코드를 분석하여 앱에서 다루는 주요한 개인정보를 탈취하거나, 악성코드를 임의로 삽입하여 사용자 동의없이 정보를 유출하도록 만듭니다.

또한 O2O 서비스 관리자용 앱을 해킹하여 소비자와 서비스 제공자를 매칭하는 알고리즘을 조작한 후 이를 별도의 앱으로 만들어 유통하여 시장을 혼란시키기도 합니다.

Case Study

보안의 필요성

 

A사는 택시와 승객을 실시간으로 연결하는 콜 서비스를 제공합니다. 승객이 원하는 목적지를 선택한 후 택시를 호출하면, A사의 알고리즘에 따라서 근처의 택시에게 승객의 요청 전달하고, 이를 수락하면 해당 택시와 고객이 연결되는 방식입니다.이때 택시 기사가 특정한 앱을 사용하게 되면 승객의 요청을 자동으로 필터링하여 장거리 승객만을 선택하거나, 택시 기사가 선호하는 특정 지역만을 골라서 운행할 수가 있습니다. 이러한 불법앱은 기존 앱을 해킹하여 콜이 전달되는 프로토콜을 획득한 뒤, 콜의 내용을 분석 및 필터링하고 콜을 수락하는 패턴을 만들어 조건이 충족되면 자동으로 기사의 승인이 전송되는 매크로 방식의 해킹을 시도한 사례라고 할 수 있습니다.

이러한 불법앱은 사실상 승차거부 행위를 하도록 유도하는 것이며, 정당한 경쟁을 하지 않아도 수익을 확보할 수 있다는 심리를 조장함으로써 콜 시장의 활성화에 악역향을 준다고 할 수 있습니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.

Leave a Comment

GDC 2018
AppSealing이 샌프란시스코에서 열리는 2018 GDC에 참가합니다.Meet with us
AppSealing이 2018 싱가포르 핀테크 페스티벌에 참가합니다.Meet with us