보안 취약점 대응의 중요성
모바일 게임의 수명이 PC 게임에 비해 짧기 때문에 빠르게 개발-출시 프로세스로 움직여야 합니다. 그러다 보니 보안은 후순위가 되어 버립니다. 보안을 적용하지 않아도 게임 출시 자체는 가능하니까요. 여기에 한정된 예산 문제로 보안 적용은 게임 출시 전이나 수익 발생 후에 고려하게 됩니다.
하지만 게임에서 발생하는 보안 취약점을 대응하지 못하면, 게임 시스템의 붕괴는 물론 유저 개인정보 유출까지 피해의 범위가 큽니다. 게임 해킹 유형은 더욱 고도화되고 있는 만큼 보안 취약점은 반드시 모니터링하고 대응할 수 있어야 합니다. 이번 포스팅에서는 가성비 있게 보안 취약점에 대응할 수 있는 방법에 대해 이야기하니, 확인해 업무에 참고해 보세요!
완전 무료 보안 취약점 점검 툴 소개
모바일 게임 보안 취약성에 대처하는 가장 중요하면서 첫 단계가 바로 취약점을 찾아내는 겁니다. 무료로 보안 취약점을 체크할 수 있는 5가지 툴을 소개합니다.
1. MobSF(Mobile Security Framework)
모바일 애플리케이션의 보안 취약점을 분석하고 검사하기 위한 오픈 소스 보안 도구입니다. 앱 보안 분석을 자동화하고 다양한 보안 취약점을 빠르게 식별할 수 있습니다. 바이너리 파일 분석, 소스 코드 리뷰, API 테스팅 등을 통해 모바일 앱의 보안 상태를 체크할 수 있습니다. 특히 APK 혹은 IPA 파일을 업로드하면 자동으로 분석하는 등 사용의 편리성을 제공합니다.
다만 효과적으로 사용하기 위해서는 적절한 환경 설정이 필수입니다. 동적 분석을 수행하기 위해 설정이 필요한 에뮬레이터나 특정 장치가 필요할 수 있어 초보자에게는 어려울 수 있어요.
2. Drozer
안드로이드 앱의 보안 취약점을 식별하고 평가하는 오픈 소스 보안 도구입니다. Drozer를 통해 개발자가 테스트하려는 디바이스에서 안드로이드 공개용 악성 공격자를 구현해 자신의 앱이 보안 공격에 어떻게 반응하는지 평가할 수 있습니다. 다만 사용과 설정이 다소 복잡해 초보자가 이용하기에는 조금의 어려움이 있고, 최신 안드로이드 버전과의 호환성 문제가 있어요.
3. Quick Android Review Kit(QARK)
안드로이드 앱의 보안 취약점을 탐지하는 오픈 소스 도구입니다. 소스 코드 및 컴파일된 APK 파일 모두를 분석해 취약성을 확인할 수 있습니다. 에뮬레이터나 실제 디바이스를 테스트하기 위해 ADB 명령을 실행할 수 있는 것이 강점입니다.
또한 실시간 디버깅 및 로깅이 가능해 테스트 중 발생하는 문제 감지 및 분석을 실시간으로 할 수 있습니다. QARK는 안드로이드 환경에만 초점이 맞춰져 있으며, 오픈 소스 특성상 사용할 때 보안 전문 지식이 요구될 수 있습니다.
▶ Quick Android Review Kit 사이트 방문하기
4. Zed Attack Proxy(ZAP)
OWASP(Open Web Application Security Project)에서 개발한 웹 애플리케이션 보안 취약점을 체크하기 위해 설계된 오픈 소스 도구입니다. 모바일의 앱이 백엔드 서버와 통신할 때 웹 기반의 API를 사용하기에 앱 보안 분석에도 간접적으로 활용 가능합니다. ZAP을 활용해 공격을 시뮬레이션하고 백엔드 서버의 취약점을 테스트해 볼 수 있습니다. SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 취약점을 확인합니다.
ZAP은 주로 웹 애플리케이션 보안 취약점을 찾기 위해 설계돼 모바일 애플리케이션 측면에서 활용하기 위해서는 다른 툴과 함께 활용할 수 있어야 합니다.
5. Android Debug Bridge(ADB)
Android SDK Platform-Tools 패키지의 일부로 안드로이드 개발과 디버깅에 사용되는 도구이면서, 보안 담당자에게는 안드로이드 디바이스의 취약점을 파악하고 시스템 보안 상태를 확인하는 툴로 활용할 수 있습니다. 클라이언트, 데몬, 서버 등으로 구성되어 있고 각각 안드로이드 디바이스와 통신하는 데 활용됩니다.
클라이언트에서 명령을 보내 개발 시스템 혹은 모바일 디바이스에서 실행하고 터미널을 통해 호출될 수 있습니다. 데몬은 백그라운드 프로세스로 클라이언트로부터 명령을 받아 처리해 디바이스 측에서 실행합니다. 서버는 개발 시스템에서 실행돼 클라이언트의 통신을 관리합니다.
이러한 ADB 요소를 활용해 USB, Wi-Fi, Bluetooth, 기타 네트워킹 프로토콜을 통해 디바이스 시스템 이벤트를 실시간으로 모니터링할 수 있습니다. 하지만 네트워크를 통해 ADB 연결이 이루어질 때 암호화되지 않은 통신으로 인해 중간자 공격(MITM)에 취약합니다. 또한 ADB를 통한 데이터 전송은 암호화되지 않기 때문에 각별히 유의해야 해요.
▶ Android Debug Bridge 사이트 방문하기
보안 취약점 조치 방안
위의 툴로 보안 취약점을 식별했다면, 우선순위를 정해 취약점을 해결해야 합니다. 코드 수정, 보안 패치 적용 등 액션이 필요합니다. 하지만 이를 위해서는 내부에 보안과 관련해 지식이 있는 인력이 배치되어야 합니다. 그렇지 못한 경우에는 전문적인 모바일 게임 앱 보안 서비스를 활용하는 것이 효율적입니다. 취약점 분석, 보안 검사, 패치까지 보안 취약점에 대응을 보안 서비스 하나로 해결할 수 있어요!
▶ 국내 보안 서비스 기능 및 가격 비교 분석 확인하기
합리적으로 보안 서비스를 이용하는 방법
비용이 발생하는 만큼 합리적으로 활용할 수 있는 채널을 알아두는 것이 좋습니다.
1. 무료 체험 기간 활용
특히 모바일 보안 서비스를 도입하는 단계에서는 무료 체험 기간을 반드시 활용해야 합니다. SaaS(Software as a Service) 형태로 보안 서비스를 제공하는 업체에서는 대부분 무료 체험 기간을 제공합니다. 우리 게임 앱의 보안 취약점을 제대로 대처하는지 확인해 볼 수 있어요.
▶ 모바일 게임 보안 서비스 ‘앱실링’ 30일 무료 사용해 보기
2. 클라우드 서비스 마켓플레이스 프로모션 활용
AWS, 네이버클라우드 등 CSP(Cloud Service Provider)에서는 마켓플레이스를 운영합니다. 사용자 입장에서는 클라우드 인프라 환경에서 쉽게 연동되는 다양한 서비스를 편리하게 구입할 수 있습니다. 더불어 클라우드 제공 업체와 서비스 제공 업체가 협의해 프로모션을 진행하는 경우가 꽤 있습니다. 현재 이용하고 있는 클라우드 서비스 마켓플레이스를 통해 진행하고 있는 프로모션으로 비용 부담을 줄일 수 있어요.
앱실링-네이버클라우드 프로모션 진행 중!신규 이용 신청 고객 대상 월 30만 크레딧을 3개월간, 총 90만 크레딧을 제공합니다. |
3. 지원 사업 활용
‘게임더하기’는 한국콘텐츠진흥원이 국내 중소 게임사를 대상으로 지원하는 사업입니다. 해당 사업에서 운영하는 온라인 플랫폼에서 컨설팅, 마케팅, 인프라, 게임 서비스 등 전문 서비스를 자율적으로 선택해 이용할 수 있습니다. 2024년에는 지원 규모를 확대해 기업 당 1억~2억 5천 만 포인트를 지원해 게임 개발에 필요한 서비스를 제공할 예정이라고 하네요. 모바일 게임 보안 서비스도 ‘인프라’ 카테고리에서 이용할 수 있어요.
보안 취약점에 대응하는 합리적인 방법
당장 눈앞에 피해로 보이지 않는다고 우리 게임 앱 보안 취약점을 외면해서는 안 됩니다. 보안 취약점은 어딘가에 존재하고, 이 취약점을 악용하는 케이스는 언제든 발생합니다. 이를 게임사가 발견하지 못하고 방치한다면, 정당하게 게임에 참여하는 플레이어에게는 좋지 않은 경험을 선사할 수 있고 이는 곧 실패로 이어지게 됩니다.
그렇기에 효율적인 비용과 시간으로 보안 취약점을 탐지하고 대처할 수 있는 툴과 보안 서비스를 적극 활용할 수 있어야 합니다. 보안 전문가와의 무료 상담으로 그 해답을 찾아 보세요. 여러분의 모바일 게임 앱을 지키는 첫걸음이 될 수 있습니다!
채용중
