사용하기 전에

Q. App Security Checker는 무엇인가요?

  • App Security Checker는 고객의 모바일 앱을 대상으로 자동으로 앱 취약점을 진단하여 고객에게 리포팅하는 상품입니다.
  • 마켓 스토어 등록 결격 사유, 잘못된 프레임워크 사용, 개인 정보 유출 취약점에 대한 다양한 진단을 수행하며, 검사가 완료되면 이메일 및 SMS를 통해 결과를 전달받을 수 있습니다.
  • 취약점 대응 방안이 담긴 상세 리포트를 제공하며 공격 시나리오, 수정해야 하는 코드의 위치 및 수정 방법에 대한 자세한 설명을 확인할 수 있습니다.

Q. App Security Checker 사용 절차는 어떻게 되나요?

검사 요청: 진단이 필요한 APK 파일을 업로드합니다.

취약점 리포팅: APK 파일의 취약점 및 대응 방안을 리포팅합니다.

취약점에 대한 대응이 완료된 App 배포: App Security Checker 취약점 리포트를 통해 취약점 대응 후 Market에 배포합니다.

Q. App Security Checker로 진단된 결과는 어떻게 확인할 수 있나요?

  • Security > Security Checker > App Security Checker 메뉴에서 완료된 진단에 한해 Web과 PDF로 진단 리포트를 제공합니다.

Q. App Security Checker는 어떤 취약점을 진단하나요?

  • '앱 취약점'이란 모바일 앱을 이용할 때 발생될 수 있는 모바일 앱의 소스코드와 동작 방식 등에 존재하는 보안상 약점을 말합니다.

  • 현재 App Security Checker는 아래 취약점 목록을 기준으로 진단하고 있으며, 계속해서 업데이트될 예정입니다.

취약점 이름 설명 위험성
안전하지 않은 Component 구현 Android에서 제공하는 Component의 잘못된 구현으로 발생할 수 있는 보안상 이슈들에 대해 검사합니다. 의도하지 않은 타 Application에서 민감한 정보를 컨트롤하는 Component를 호출하여 기능을 악용할 수 있으며, intent를 가로채는 spoofing 공격 또는 정상 Component로 위장한 악성 Component를 노출하는 phishing 공격에 이용될 수 있습니다.
민감한 정보의 유출 위험 약관에 표시가 필요한 민감한 정보 사용 또는 악성 Application의 공격 대상이 될 수 있는 민감한 정보 유출에 대해 위험성을 검사합니다. 민감한 정보를 고객의 동의 없이 수집할 경우 법적인 분쟁 또는 벌금을 통한 금전전 손실을 입을 수 있습니다. 또는 악성 Application을 통한 민감한 정보의 유출이 발생할 위험이 있습니다.
안전하지 않은 Build 설정 보안적으로 위험할 수 있는 버전의 SDK 사용 또는 공격 대상이 될 수 있는 Application의 Build 설정을 검사합니다. 취약한 버전의 SDK를 사용할 경우 알려진 취약점을 통한 공격이 가능합니다. 또한 잘못된 Build 설정을 통해 Application의 Logic을 분석하고 변조할 수 있는 취약점이 발생 가능합니다
안전하지 않은 SSL 구현 마켓 등록 결격 사유가 되거나 정보 유출의 원인이 될 수 있는 안전하지 않은 SSL 구현에 대해 검사합니다. 마켓에 등록을 거절당할 수 있으며, 중간자 공격을 통해 요청 및 응답 변조를 통한 정보 탈취 및 변조 Data 전송의 위험이 있습니다.
안전하지 않은 암호화 사용 보안적으로 권고하지 않는 안전하지 않은 암호화 사용에 대해 검사합니다. 사전 공격 또는 재전송 공격을 통해 평문이 유출되거나 변조된 암호문 전송의 위험이 있습니다.
Null Point 역참조 변수에 대해 NULL 값 체크가 미비한 코드를 검사합니다. NullPointException이 발생하는 코드는 악성 Application의 공격에 활용될 위험이 있습니다.

Q. App Security Checker는 누가 사용할 수 있나요?

  • 기존 모바일 앱의 취약점을 보완하여 서비스의 안정성을 높이고 싶은 고객
  • 신규 서비스 출시 전 별도의 보안 검수가 필요한 고객
  • 고가의 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객

App Security Checker 진단 결과

오탐과 미탐 가능성

App Security Checker는 잠재적인 취약점들까지 찾아내는 방식으로 설계/구현되어 탐지율을 최대로 높이고 미탐 가능성은 최소화하였습니다. 하지만 모든 취약점을 100% 완벽하게 찾아낸다고 보장하진 않습니다.

진단 결과의 열람

진단 완료 시 설정한 통보 방식에 따라 이메일과 휴대폰 SMS로 즉시 통보받을 수 있으며 앱 취약점 진단 결과 리포트도 바로 확인 가능합니다.

발견된 취약점 대응

App Security Checker 진단 완료 시 리포트를 제공합니다. 리포트에는 발견된 취약점에 대한 대응 방안이 포함되어 있으므로 가이드로 활용할 수 있습니다.

App Security Checker 진단 요청하기

Step 1. 콘솔 접속

① 콘솔 접속 후 Security > Security Checker > App Security Checker 메뉴에 접속합니다.

② App Security Checker에 처음 접속하면 다음과 같은 문구가 표시됩니다.

  • 현재 APP Security Checker를 이용하고 있지 않습니다. 이용 신청 버튼을 클릭하여 신청하세요.

Step 2. 이용약관 동의하기

① 서비스 이용약관을 확인하고 동의합니다. (체크 후 '확인' 버튼이 활성화됩니다.)

확인 버튼을 클릭하면 App Security Checker 서비스를 이용할 수 있습니다.

  • 이용약관 동의 여부는 최초 1회만 확인합니다.

Step 3. 진단 작업 생성

진단에 필요한 정보를 입력합니다.

* 모바일 앱에 보안 솔루션이 적용되어 있는 경우, 정확한 취약점 진단이 불가능합니다. 정확한 진단을 위해 보안 솔루션이 적용되지 않은 앱을 등록 해 주세요.

입력이 필요한 내용은 크게 3가지입니다.

  • APK 파일 업로드
  • 통보 대상 설정
  • 메모
① APK 파일 업로드하기
  • APK 파일은 선택하여 업로드할 수 있으며, 마우스로 파일을 끌어다 놓아 업로드할 수도 있습니다.

② 통보 대상 설정하기
  • 통보 대상 관리 목록에 미리 설정한 대상에게 App Security Checker 진단 결과를 전달할 수 있습니다.
  • App Security Checker 진단 1건당 통보 대상자를 설정할 수 있습니다.
  • 통보는 총 3가지 방식(이메일, SMS, 이메일 + SMS)으로 할 수 있습니다.

③ 메모 입력

진단에 필요한 메모 내용을 입력하고 설정 완료를 클릭합니다.

App Security Checker는 최초 진단 후 동일 패키지에 대해 60일간 2건의 무료 진단을 제공합니다.

최초 진단 시 아래 팝업이 노출되며, 확인을 클릭하면 과금이 발생합니다.

무료 진단을 모두 사용한 후에도 아래 팝업이 노출되며, 확인을 클릭하면 과금이 발생합니다.

(확인을 클릭하지 않고 팝업창을 닫을 시 과금이 발생하지 않습니다.)

App Security Checker에서 제공하는 무료 진단 횟수가 남아 있으면, 아래 팝업처럼 남아 있는 무료 진단 횟수를 확인할 수 있습니다.

아래 팝업 화면에서 확인을 클릭하면, 무료 진단 2회 중 1회를 사용하게되며 남은 무료 진단 횟수는 1회입니다.

60일 이내 동일 패키지를 재진단하면, 무료 진단 2회 중 2회를 모두 사용하게 됩니다.

60일 이내 동일 패키지를 재진단하면, 무료 진단 횟수를 모두 사용하셨으므로 추가 과금이 발생합니다.

위 팝업창에서 확인을 클릭하면 App Security Checker 진단이 시작됩니다.

만약 먼저 요청된 진단이 많다면 "진단 대기 중" 상태가 유지될 수 있으며, 대기 후 진단을 시작합니다.

Step 4. 진단 작업 생성 후 내용 확인

진단 작업 생성 후 상세 내용을 확인합니다.

상세 내용에는 아래의 내용이 표시되어 있습니다.(상태가 "진단 대기 중"인 경우에는 '파일명', '상태', '메모'만 노출되며, 진단이 진행되면서 나머지 내용이 채워집니다.)

  • 앱 이름: 업로드된 APK의 앱 이름입니다.
  • 패키지명: 업로드된 APK의 패키지 이름입니다.
  • 파일명: 업로드된 파일의 이름입니다.
  • 앱 버전: 업로드된 APK의 앱 버전입니다.
  • Analyzer 버전: 진단 시 사용되는 Analyzer 버전입니다.
  • 시작 시각: 진단이 시작된 시각입니다.
  • 종료 시각: 진단이 종료된 시각입니다.
  • 상태: 총 5가지의 상태가 있습니다.
    • 진단 대기 중: 진단이 시작되지 않은 상태입니다. 현 상태에서만 진단을 취소할 수 있습니다.
    • 진단 중: 진단 진행 중입니다. 현 상태에서는 취소할 수 없습니다.
    • 진단 완료: 진단이 성공적으로 완료된 상태입니다.
    • 진단 실패: 진단이 실패한 상태입니다.
    • 진단 취소: 사용자 혹은 관리자가 진단을 취소한 상태입니다.
  • 취약점 개수: 업로드된 APK에서 진단된 취약점 개수입니다.
  • 메모: 진단 시 요청한 메모 내용입니다.
  • 결과: 최종 진단 결과입니다. '진단 상태'에 따라 노출되는 내용이 다릅니다.

App Security Checker 진단 작업 취소하기

App Security Checker 서비스에서 생성된 진단 작업을 취소할 수 있습니다.

생성된 진단 작업의 최초 상태는 진단 대기 중입니다. 진단 작업 상태가 진단 대기 중인 경우에만 진단 작업 취소가 가능합니다.

일괄 취소: 진단 작업 상태가 진단 대기 중인 진단 작업이 모두 취소됩니다.

취소: 진단 작업 상태가 "진단 대기 중"인 1개의 진단 작업만 취소됩니다(취소 버튼이 위치한 열(row)의 진단 작업이 취소).

App Security Checker 리포트 확인하기

진단이 완료되면 리포트 버튼이 노출되며, 리포트를 클릭하면 App Security Checker 리포트를 확인할 수 있습니다.

① 리포트를 실행하면 '메인 이미지'와 '리포트 안내 문구'를 볼 수 있습니다. '리포트 안내 문구'는 '진단 항목'과 '리포트 항목'에 대해 설명합니다.

② 그 아래에는 분석된 앱의 기본 정보, 권한 정보, 요약 정보가 표시됩니다.

  • 기본 정보: 앱 이름, 패키지명, 앱 버전 등 App의 기본적인 정보를 보여줍니다.
  • 권한 정보: App이 사용하고 있는 권한 정보들을 보여줍니다.
  • 요약 정보: App-Security-Checker에서 진단한 항목들에 대한 요약 정보를 보여줍니다.

③ 그 아래에서는 상세한 진단 내용을 볼 수 있습니다.

  1. 초록색 Box: 진단된 보안 이슈에 대해 알려주는 화면입니다. 현재 예제 화면은 "안전하지 않은 암호화 사용"이라는 보안 이슈(위험 레벨은 'High')가 총 2건 발생했다는 내용을 알려줍니다.
    1. 이슈 #1 : 진단된 2개의 "안전하지 않은 암호화 사용" 보안 이슈 중 1개의 이슈 내용을 나타냅니다.
    2. 이슈 #2 : 진단된 2개의 "안전하지 않은 암호화 사용" 보안 이슈 중 나머지 1개의 이슈 내용을 나타냅니다.
  1. 노란색 Box: 이슈 #1("진단된 2개의 "안전하지 않은 암호화 사용" 보안 이슈 중 1개의 이슈 내용")을 진단한 사용자 소스코드를 보여줍니다.

※ 실제 소스코드는 App Security Checker의 진단을 위해 자체적으로 사용하는 표현식을 따릅니다.

  • 이슈 #2의 소스코드는 크게 2가지 영역으로 나뉘어 표시됩니다.

    1. 소스코드 중 취약한 부분이 호출된 영역을 나타냅니다.
    2. 소스코드 중 취약한 부분을 호출하는 영역을 나타냅니다.
  • 취약한 영역을 확인한 뒤, 수정 가이드를 보며 소스코드의 취약점에 조치를 취할 수 있습니다. 수정 가이드의 링크를 클릭하면, 수정 방법 안내로 이동합니다.

④ 진단된 이슈에 대한 수정 가이드를 확인할 수 있습니다.

참고 사항

본 상품은 글로벌 리전 서비스로도 제공됩니다.

연관 정보 바로가기

아래 가이드에서 연관 정보를 확인할 수 있습니다.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...