NowSecure의 최고 모빌리티 책임자인 Brian Reed가 작성 

모바일 앱이 운전을 넘어갑니다 인터넷 트래픽의 70% 그리고 소비하다 모든 모바일 시간의 88%따라서 매출 증대, 고객과의 소통, 제품 및 서비스 개선을 위한 인사이트 확보를 원하는 조직에 필수적입니다. 동시에, 모바일 앱 트래픽 증가는 보안을 우선시하지 않는 조직의 위험을 증가시킵니다. 이로 인해 모바일 앱 개발자들은 혁신을 주도하고 비즈니스 요구를 충족하는 고품질의 안전한 모바일 앱을 신속하게 개발하고 제공해야 하는 부담을 안게 됩니다.

모바일 위협 환경의 위험을 관리하려면 웹 열기 Application Security 프로젝트(OWASP) 개발하다 모바일 Application Security (MAS) 모바일 앱 보안 요구 사항의 공통 기반을 구축하기 위한 주요 프로젝트입니다. OWASP MAS는 업계 표준을 제공할 뿐만 아니라, 모바일 앱 개발자, 설계자, 보안 분석가, 보안 엔지니어에게 개발 라이프사이클 전체와 운영 전반에 걸쳐 모바일 앱의 보안을 보장하는 데 필요한 도구, 기술 및 방법론을 교육합니다.

모바일 앱 개발자는 OWASP MAS 프로젝트의 주요 원칙과 가장 일반적인 원칙을 이해해야 합니다. 모바일 앱 보안 보안을 염두에 두고 모바일 앱을 지속적으로 설계, 구축, 개발 및 테스트할 수 있도록 문제를 해결합니다. OWASP MAS 표준을 사용하는 개발자들은 위험을 줄이는 동시에 더 높은 성능, 효율성 및 출시 예측성을 보고하는 경우가 많습니다.

OWASP MAS의 핵심 구성 요소

모바일 앱을 보호하려는 모바일 앱 개발자는 OWASP MAS 프로젝트의 세 가지 주요 구성 요소를 적용해야 합니다.

• 모바일 Application Security 검증 표준(MASVS): OWASP는 모바일 앱 개발자가 Android 및 iOS 모바일 앱의 보안 수준을 적정 수준으로 유지하기 위해 사용할 수 있는 포괄적인 요구 사항 목록을 제공하기 위해 MASVS를 개발했습니다. 이 요구 사항은 다음 세 가지 핵심 목표를 충족합니다.
  • 지침으로 활용 – 모바일 앱 개발 및 테스트의 모든 단계에서 보안 지침을 제공합니다.
  • 지표로 사용 – 개발자와 애플리케이션 소유자가 모바일 앱을 비교할 수 있는 보안 표준을 제공합니다.
  • 조달 중 활용 – 모바일 앱 보안 검증을 위한 기준을 제공합니다.
• 모바일 Application Security 테스트 가이드(MASTG): 이 매뉴얼은 모바일 앱 개발자에게 보안을 구축하는 데 필요한 필수 정보를 제공하고 보안 코딩 관행, 위협 모델링, 취약성 평가에 대한 기술적 조언을 제공합니다. 침투 테스트및 위험 관리. 개발자는 위협 모델링, 침투 테스트, 위험 평가 등 적절한 테스트 기법에 대해서도 배울 수 있습니다.
• 모바일 Application Security (MAS) 체크리스트: 모바일 앱 개발자는 MAS 체크리스트를 활용하여 모바일 앱이 MASVS에서 지정한 모든 범주에서 테스트되었는지 확인할 수 있습니다. 이러한 범주에는 아키텍처, 설계 및 위협 모델링, 데이터 저장 및 개인정보 보호, 암호화, 인증 및 세션 관리, 네트워크 통신, 플랫폼 상호작용, 코드 품질, 빌드 설정 및 복원력 등이 포함됩니다.

알아야 할 모바일 앱 보안 문제

가장 효과적인 표준 기반 모바일 앱 보안 전략을 수립하려면 개발자는 안전하지 않은 모바일 앱에서 가장 일반적으로 발견되는 문제에 대해 익숙해져야 합니다.

• 부적절한 데이터 저장: NowSecure 연구에 따르면 MASVS를 기반으로 테스트된 모바일 앱의 50%가 개인 식별 정보(PII)를 부적절하게 저장하는 것으로 나타났습니다. 이 문제는 금융 및 의료와 같이 보안 침해가 심각한 결과로 이어질 수 있는 규제가 엄격한 산업을 위해 개발된 모바일 앱에 심각한 영향을 미칩니다. 개발자는 MASVS 데이터 저장 기법을 준수하여 비밀번호, 암호화 키 및 기타 자격 증명을 확인해야 합니다. 또한, 민감한 데이터 입력은 캐시되거나 애플리케이션 로그에 기록되어서는 안 되며, 개발자는 저장을 위해 기본 운영 체제 구성을 사용해야 합니다.
• 취약한 암호화: 개발자는 종종 파이프라인의 여러 단계에서 디버깅 목적으로 방대한 양의 민감한 데이터를 기록합니다. 하지만 위협 행위자 고급 도구에 액세스할 수 있습니다 리버스 엔지니어링 취약한 알고리즘으로 인해 개인식별정보(PII)를 쉽게 훔칠 수 있는 기회가 생깁니다. 개발자는 리버스 엔지니어링 도구로부터 보호하기 위해 약하거나 오래된 자체 및 타사 암호화 알고리즘을 피하고, 의사난수 생성기를 사용하고, 화이트박스 암호화 최대한의 보호를 위해.
• 약한 인증 및 세션 관리: 비활성 또는 무효화된 세션은 공격자가 모바일 앱을 쉽게 침해할 수 있도록 합니다. 개발자는 비활성 세션이 너무 오래 지속되지 않도록 방지하고, 사용자가 모바일 앱을 백그라운드로 푸시할 때 데이터가 숨겨지도록 해야 합니다. 또한, 위협 행위자가 세션 관리 메커니즘을 알아내고 자격 증명을 생성할 수 있으므로 클라이언트 측의 권한 및 인증은 피해야 합니다.
• 안전하지 않은 네트워크 통신: 안전하지 않은 네트워크 활동은 모바일 앱과 원격 서비스 엔드포인트 간의 통신에 암호화가 없을 때 위협 행위자가 개인식별정보(PII)를 가로챌 수 있도록 합니다. 부적절한 데이터 저장 문제와 마찬가지로, 안전하지 않은 모바일 앱 네트워크 연결은 규제가 엄격한 산업의 모바일 앱에 특히 심각한 문제가 될 수 있습니다. 인증서 고정 개발자가 통신이 의도된 서버에 연결된 상태를 유지하여 민감한 데이터가 잘못된 사람에게 유출되지 않도록 보장하는 데 도움이 될 수 있습니다. 또한 개발자는 추가적인 보호를 위해 Android 및 iOS 전용 보안 API와 화이트박스 암호화를 사용해야 합니다.
• 코드 품질이 좋지 않고 빌드 설정이 좋지 않음: NowSecure 벤치마크 테스트 결과, 모바일 앱의 47%가 코드 품질 문제를 가지고 있으며, 이를 방치할 경우 심각한 보안 침해로 이어질 수 있습니다. 이러한 문제는 코드에 남아 있는 디버그 심볼부터 검증되지 않은 타사 라이브러리에서 발견되는 버그까지 다양합니다. 개발자는 자체 코드의 결함을 방지하기 위해 보안 코딩 기법을 익히고 타사 라이브러리를 지속적으로 검토하고 업데이트해야 합니다.
• 역엔지니어링에 대한 회복력 부족: 의료 앱, 금융 서비스 앱, 게임 앱은 세계에서 가장 숙련되고 끈질긴 위협 행위자들에 의해 광범위한 리버스 엔지니어링 시도의 대상이 됩니다. 앱 소유자와 빌드 엔지니어링 담당자는 난독 화하다 오픈소스 기술이나 타사 도구를 통해 코드를 보호해야 합니다. 또한, 앱 소유자와 빌드 엔지니어는 다음과 같은 기능을 추가하여 변조를 방지해야 합니다. 앱 모니터링 마지막으로, 앱 소유자는 감염된 앱의 기능을 종료하거나 최소한 사용을 중단할 수 있는 기능을 추가해야 합니다.

조직은 다양한 도구와 기술을 사용하여 개발자가 다음을 확인할 수 있습니다. 파이프라인 전체에 MASVS 원칙을 적절하게 구현합니다.. 통합 자동화 테스트 도구 내장된 수정 팁을 통해 개발자가 보안 버그를 빠르고 효율적으로 해결하는 데 도움이 됩니다. 가이드 테스트 수동 및 자동 보안 테스트의 이점을 결합하여 백그라운드에서 자동화된 테스트를 지속적으로 실행하는 동시에, 보안 분석가가 주기적으로 개입하여 사람의 손길이 필요한 복잡한 보안 기능을 테스트할 수 있도록 합니다. 또한, 변조 방지 배포 전 조치를 통해 역공학 및 모니터링을 방지하여 추가적인 보호 계층을 제공합니다.safe 탈옥/루팅된 기기나 에뮬레이터와 같은 환경. 자동화된 정책 엔진 MASVS 기반의 안전한 개발 원칙을 개발자가 사전 생산부터 배포까지 준수하도록 보장합니다.

OWASP MAS 프로젝트의 핵심 구성 요소를 따르면, 자동화된 테스트 도구 활용, 보안 코딩 배우기 관행, 이해 가장 흔한 보안 결함 모바일 앱 내에서 회복력 추가개발자는 완벽한 모바일 앱을 구축하는 데 필요한 도구와 기술을 갖추게 됩니다. 개발자는 NowSecure/Digital.ai 웹 세미나 MASVS 팀 구성: 개발부터 프로덕션까지 완벽한 모바일 보안 Digital.ai짧은 정보 영상 안전한 소프트웨어를 구축하세요.

저자 소개: NowSecure의 최고 모빌리티 책임자(CMO)인 브라이언 리드는 NowSecure, Good Technology, BlackBerry, ZeroFOX, BoxTone, MicroFocus, INTERSOLV 등 모바일, 앱, 보안, 개발 및 운영 관리 분야에서 수십 년간의 경험을 바탕으로 Fortune 2000대 글로벌 고객사, 모바일 혁신 기업, 정부 기관 등과 협력해 왔습니다. NowSecure에서 브라이언은 전반적인 시장 진출 전략, 솔루션 포트폴리오, 마케팅 프로그램 및 산업 생태계를 주도합니다. 25년 이상 혁신적인 제품을 개발하고 기업을 혁신해 온 브라이언은 다양한 기술 시장과 지역의 초기 및 중기 기업에서 검증된 경험을 보유하고 있습니다. 저명한 연설가이자 사상적 리더인 브라이언은 독창적인 통찰력과 글로벌 경험을 바탕으로 역동적인 연설가이자 매력적인 스토리텔러입니다. 브라이언은 듀크 대학교를 졸업했습니다.