Last Updated on 9월 7th, 2021, By
 In AppSealing News, 앱실링 블로그

개인이 소유한 스마트 기기를 직장에 가져와 업무에 활용하는 정책(BYOD : bring-your-own-device)이 점차 산업계에서 진화함에 따라, 기업망과 민감한 데이터가 사용자 단말기 내에서 손상받는 일을 방지하고자 하는 중대한 필요성이 대두되고 있습니다. 사용자는 필연적으로 해당 단말기에서 다른 앱을 사용하기 때문에, 기업은 이러한 타 앱이 기업 앱을 통해 제공되는 데이터와 서비스를 침해할 수 있는 여지가 있는지 관심을 보여야 합니다. 이에 따라 모바일 애플리케이션 관리(MAM) 접근법을 통해 모바일 앱 보안을 유지하는 것은 기업 보안 구조에서 핵심적인 요소가 되었습니다. 기업용 및 개인용 모바일 단말기에서 매일 처리하는 대규모 데이터(개인 및 기업)를 보호하는 데 이러한 접근법은 필수불가결한 요소가 되었습니다.

앱 보안을 위한 MAM

본질적으로 MAM를 통한 모바일 애플리케이션 보안은 소프트웨어 개발 키트(SDKs) 혹은 앱 래핑 도구를 사용하는 두 가지 방식이 있습니다. 두 방식 모두 데이터 암호화 및 회사 VPN 강제 사용 등 방식으로 앱 및 데이터를 정교하게 통제하여, 단말기 사용자를 포함하여 인증받지 않은 당사자의 데이터 접근을 막아 데이터 무결성을 유지합니다. 이들 방식은 또한 시스템 관리자가 원격으로 앱에 접근하여 사용자 단말기 내 앱을 통제하고 필요 시 콘텐츠를 삭제할 수 있게 합니다.

그러므로 올바른 MAM 방식을 선택할 시 “두 방식 중 어느 것이 더 나은가?”를 고려하는 것이 적절합니다. 이 질문에 대한 해답은 사용 맥락 혹은 시나리오, 요구되는 데이터 보안 수준 및 보호되는 콘텐츠 종류 등(해당 질문에만 국한되진 않습니다만)에 따라 다릅니다. 이러한 변수들을 총체적으로 고려해 평가하여야 여러분의 비즈니스에 가장 적합한 올바른 앱 보안 접근법을 선택할 수 있습니다.

SDK 방식

SDK 방식을 사용 시 앱 개발자들은 MAM 공급자가 제공한 SDK를 앱 소스 코드에 통합해야 합니다. 이 접근법을 시행하기 위한 선행조건은 앱 소스코드 접근권한입니다. 이런 이유로 개발자들은 MAM 공급자가 제공하는 소프트웨어 라이브러리를 활용하여 앱 커스텀 컴포넌트와 데이터를 컨테이너화하고 앱의 보안을 지키기 위한 메소드를 개발합니다. 이로 인해 개발자들은 앱이 개발되는 도중에 SDK 메소드를 시행하여야 하는데, 이는 앱 래핑 방식과 정반대입니다. SDK 방식은 개발자들이 비즈니스 앱과 관련 데이터를 사용자의 모바일 단말기 내 분리된 암호화 지점에 보관할 수 있게 해주어 사용자가 이를 앱 바깥에서 쓸 수 없게 합니다. 그러므로 이 방식은 개발자들이 기업 데이터를 개인 데이터에서 분리할 수 있게 해주며 사용자는 개인 데이터를 계속 원하는 대로 활용할 수 있습니다.

해당 접근법은 기업이 MAM 솔루션 제공사 제품에 얽매이게 합니다. 이는 또한 기업 모바일 생태계가 지원하는 앱의 가짓수를 제한합니다.

서드 파티 앱을 위한 앱 래핑

반면 앱 래핑은 잘게 세분화된 보안 정책으로 개별 애플리케이션을 보호합니다. 해당 방식을 앱에 적용할 시에는 코드 베이스 접근이 필요하지 않으므로, 서드파티 앱에도 적용될 수 있습니다. 이 접근법은 앱을 몇 겹으로 보호합니다. 이러한 샌드박싱은 기업이 앱을 컴파일한 후에도 기업 데이터에 보안 조치를 취할 수 있게 해주므로 기업이 데이터를 더 잘 통제할 수 있게 해줍니다. 고로 이 방식은 사용자 모바일 단말기 내 회사 자원에 접근할 수 있는 권한을 가진 다른 앱들을 (SDK로 보호되는 앱 또한 보유하고 있을 지도 모르는) 기업이 관리할 수 있게 해줍니다. 해당 방식은 보안 이슈가 있는 사용자가 보안 문제를 일으키는 것을 제한합니다. 개발 스킬이 없는 관리자라도 래핑 방식을 사용하면 MAM 제공사 솔루션을 통해 애플리케이션에 보안 기능을 임베드할 수 있으며, 이후 래핑된 APK를 기업 앱 플랫폼에 배포할 수 있습니다. 이러한 방식은 앱이 시장에 출시되는 데 걸리는 시간을 상당히 단축해줍니다.

그러나 앱 래핑 기술은 고급 보안 기능을 시행하여야 하는 경우에는 쓸 수 없습니다. 이런 경우에는 SDK 방식이 더 적절합니다. 비록 비침습적이나, 앱 래핑은 애플리케이션의 저작권과 이용약관을 위배할 가능성도 있습니다. 게다가 앱이나 모바일 운영시스템 업데이트 시 매번 앱을 새로 래핑을 해야 합니다.

최선책

요약하자면 SDK 접근법은 인하우스 앱 개발 시, 그리고 앱 래핑은 서드파티 앱에 사용할 시에 더 선호됩니다. 모바일 앱 보안은 지속적으로 해야 하는 작업이므로, SDK와 앱 래핑 두 방식 모두로 구성된 통합적인 솔루션은 단말기 특성을 고려한 보안 필요성을 철저히 고려하여야 합니다. 개발자들은 필요한 보안 프로토콜과 모바일 애플리케이션의 변화하는 보안 필요성을 무엇보다 중요한 기업 보안 프레임워크 고안 시 고려하여 해당 필요성에 맞춰 MAM를 시행하여야 합니다.

앱실링은 기업에게 강력한 보안 환경을 제공, 코딩이 필요 없으며 설치가 쉬운 방식을 통하여 복잡한 보안 위협을 다룰 수 있게 합니다. 앱실링을 사용하여 기업은 모바일 앱의 보안 필요성에 따라 손쉽게 보안 솔루션의 규모를 설정하고 맞춤화할 수 있습니다. 이러한 주도적 접근 방식은 나날이 변화하는 보안 위협을 정면으로 해결하는 데 있어 필수불가결하며, 기업의 모바일 앱 보안 필요성을 담당할 강력하고 역동적인 위협 분석 프레임워크를 구축하는 데 지대한 기여를 합니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.

Leave a Comment