Last Updated on 6월 5th, 2023, By
 In 앱실링 블로그, AppSealing News
0

개인이 소유한 스마트 기기를 직장에 가져와 업무에 활용하는 정책(BYOD : bring-your-own-device)이 점차 산업계에서 진화함에 따라, 기업망과 민감한 데이터가 사용자 단말기 내에서 손상받는 일을 방지하고자 하는 중대한 필요성이 대두되고 있습니다. 사용자는 필연적으로 해당 단말기에서 다른 앱을 사용하기 때문에, 기업은 이러한 타 앱이 기업 앱을 통해 제공되는 데이터와 서비스를 침해할 수 있는 여지가 있는지 관심을 보여야 합니다. 이에 따라 모바일 애플리케이션 관리(MAM) 접근법을 통해 모바일 앱 보안을 유지하는 것은 기업 보안 구조에서 핵심적인 요소가 되었습니다. 기업용 및 개인용 모바일 단말기에서 매일 처리하는 대규모 데이터(개인 및 기업)를 보호하는 데 이러한 접근법은 필수불가결한 요소가 되었습니다.

앱 보안을 위한 MAM

본질적으로 MAM를 통한 모바일 애플리케이션 보안은 소프트웨어 개발 키트(SDKs) 혹은 앱 래핑 도구를 사용하는 두 가지 방식이 있습니다. 두 방식 모두 데이터 암호화 및 회사 VPN 강제 사용 등 방식으로 앱 및 데이터를 정교하게 통제하여, 단말기 사용자를 포함하여 인증받지 않은 당사자의 데이터 접근을 막아 데이터 무결성을 유지합니다. 이들 방식은 또한 시스템 관리자가 원격으로 앱에 접근하여 사용자 단말기 내 앱을 통제하고 필요 시 콘텐츠를 삭제할 수 있게 합니다.

그러므로 올바른 MAM 방식을 선택할 시 “두 방식 중 어느 것이 더 나은가?”를 고려하는 것이 적절합니다. 이 질문에 대한 해답은 사용 맥락 혹은 시나리오, 요구되는 데이터 보안 수준 및 보호되는 콘텐츠 종류 등(해당 질문에만 국한되진 않습니다만)에 따라 다릅니다. 이러한 변수들을 총체적으로 고려해 평가하여야 여러분의 비즈니스에 가장 적합한 올바른 앱 보안 접근법을 선택할 수 있습니다.

SDK 방식

SDK 방식을 사용 시 앱 개발자들은 MAM 공급자가 제공한 SDK를 앱 소스 코드에 통합해야 합니다. 이 접근법을 시행하기 위한 선행조건은 앱 소스코드 접근권한입니다. 이런 이유로 개발자들은 MAM 공급자가 제공하는 소프트웨어 라이브러리를 활용하여 앱 커스텀 컴포넌트와 데이터를 컨테이너화하고 앱의 보안을 지키기 위한 메소드를 개발합니다. 이로 인해 개발자들은 앱이 개발되는 도중에 SDK 메소드를 시행하여야 하는데, 이는 앱 래핑 방식과 정반대입니다. SDK 방식은 개발자들이 비즈니스 앱과 관련 데이터를 사용자의 모바일 단말기 내 분리된 암호화 지점에 보관할 수 있게 해주어 사용자가 이를 앱 바깥에서 쓸 수 없게 합니다. 그러므로 이 방식은 개발자들이 기업 데이터를 개인 데이터에서 분리할 수 있게 해주며 사용자는 개인 데이터를 계속 원하는 대로 활용할 수 있습니다.

해당 접근법은 기업이 MAM 솔루션 제공사 제품에 얽매이게 합니다. 이는 또한 기업 모바일 생태계가 지원하는 앱의 가짓수를 제한합니다.

서드 파티 앱을 위한 앱 래핑

반면 앱 래핑은 잘게 세분화된 보안 정책으로 개별 애플리케이션을 보호합니다. 해당 방식을 앱에 적용할 시에는 코드 베이스 접근이 필요하지 않으므로, 서드파티 앱에도 적용될 수 있습니다. 이 접근법은 앱을 몇 겹으로 보호합니다. 이러한 샌드박싱은 기업이 앱을 컴파일한 후에도 기업 데이터에 보안 조치를 취할 수 있게 해주므로 기업이 데이터를 더 잘 통제할 수 있게 해줍니다. 고로 이 방식은 사용자 모바일 단말기 내 회사 자원에 접근할 수 있는 권한을 가진 다른 앱들을 (SDK로 보호되는 앱 또한 보유하고 있을 지도 모르는) 기업이 관리할 수 있게 해줍니다. 해당 방식은 보안 이슈가 있는 사용자가 보안 문제를 일으키는 것을 제한합니다. 개발 스킬이 없는 관리자라도 래핑 방식을 사용하면 MAM 제공사 솔루션을 통해 애플리케이션에 보안 기능을 임베드할 수 있으며, 이후 래핑된 APK를 기업 앱 플랫폼에 배포할 수 있습니다. 이러한 방식은 앱이 시장에 출시되는 데 걸리는 시간을 상당히 단축해줍니다.

그러나 앱 래핑 기술은 고급 보안 기능을 시행하여야 하는 경우에는 쓸 수 없습니다. 이런 경우에는 SDK 방식이 더 적절합니다. 비록 비침습적이나, 앱 래핑은 애플리케이션의 저작권과 이용약관을 위배할 가능성도 있습니다. 게다가 앱이나 모바일 운영시스템 업데이트 시 매번 앱을 새로 래핑을 해야 합니다.

최선책

요약하자면 SDK 접근법은 인하우스 앱 개발 시, 그리고 앱 래핑은 서드파티 앱에 사용할 시에 더 선호됩니다. 모바일 앱 보안은 지속적으로 해야 하는 작업이므로, SDK와 앱 래핑 두 방식 모두로 구성된 통합적인 솔루션은 단말기 특성을 고려한 보안 필요성을 철저히 고려하여야 합니다. 개발자들은 필요한 보안 프로토콜과 모바일 애플리케이션의 변화하는 보안 필요성을 무엇보다 중요한 기업 보안 프레임워크 고안 시 고려하여 해당 필요성에 맞춰 MAM를 시행하여야 합니다.

앱실링은 기업에게 강력한 보안 환경을 제공, 코딩이 필요 없으며 설치가 쉬운 방식을 통하여 복잡한 보안 위협을 다룰 수 있게 합니다. 앱실링을 사용하여 기업은 모바일 앱의 보안 필요성에 따라 손쉽게 보안 솔루션의 규모를 설정하고 맞춤화할 수 있습니다. 이러한 주도적 접근 방식은 나날이 변화하는 보안 위협을 정면으로 해결하는 데 있어 필수불가결하며, 기업의 모바일 앱 보안 필요성을 담당할 강력하고 역동적인 위협 분석 프레임워크를 구축하는 데 지대한 기여를 합니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.
Hashing Algorithms
해싱 알고리즘AppSealing News, 앱실링 블로그
안드로이드 앱을 지원하는 앱실링 데이터 암호화 솔루션 론칭AppSealing News, 앱실링 블로그