EU 디지털 마켓플레이스법의 잠재적 보안 영향

유럽에서 디지털 마켓법(DMA)이 제정되기 전, 애플의 "월드 가든 모델(Walled Garden Model)" 앱 스토어는 다른 모든 앱 스토어와 마찬가지로 보안 취약점이 없지는 않았습니다. 하지만 "사이드 로딩(Side-loading)" 금지는 구글 플레이처럼 보다 관대한 마켓플레이스에 비해 보안성이 확실히 향상되었습니다. 그러나 최근 유럽 연합에서 제정된 디지털 마켓법에 따라, 애플과 같은 소위 "게이트키퍼(gatekeeper)" 기업들의 경우 이러한 금지 조치가 유지될 가능성이 낮아졌으며, 이는 전체 모바일 애플리케이션 생태계의 보안을 약화시킬 것으로 예상됩니다.

디지털 시장법은 2022년 11월 1일에 공식 발효되었으며, 대부분의 조항은 2023년 5월에 적용되었습니다. 그러나 2023년 9월 6일, 유럽 위원회는 Apple과 Google의 모회사인 Alphabet을 포함한 6개의 "게이트키퍼" 기업을 지정했습니다. 각 게이트키퍼는 지정된 후 6개월 이내에 여러 규정 준수 이정표를 충족해야 합니다. 따라서 2024년 3월 6일부터 Apple은 앱 스토어 사용자가 모바일 애플리케이션이나 기타 제품 또는 서비스를 최종 사용자에게 직접 또는 타사 서비스를 통해 제공하는 것을 더 이상 막을 수 없습니다. DMA는 수십 년간 디지털 "보안"과 자유 사이의 갈등이 최근에 나타난 것입니다. 엄격한 앱 스토어 통제와 동의어인 Apple에게 DMA는 특정 유형의 보안을 제공하는 데 타격을 줍니다. 소비자에게 DMA는 더 많은 선택의 자유와 더 큰 잠재적 위험이라는 복합적인 문제를 제공합니다. 이 글에서는 최종 소비자를 위한 앱을 개발하는 기업의 관점에서 앱 스토어 경쟁과 소비자 선택에 대한 DMA의 의미를 자세히 살펴보고, DMA가 의무화한 새로운 앱 스토어 생태계에서 애플리케이션을 보호하고자 하는 기업에 조언을 제공합니다.

DMA 이전의 풍경

DMA가 도입되기 전, 모바일 애플리케이션 마켓플레이스의 보안 환경은 역사적으로 양분되어 있었습니다. iOS 기기용 앱 스토어는 안드로이드 기기용 앱 스토어보다 우수한 보안 수준을 자랑했습니다. 2023년 위협 보고서에 따르면, 안드로이드 앱은safe 루팅된 휴대폰이나 에뮬레이터에서 실행되는 휴대폰과 같은 환경에서 실행되었습니다. 구체적으로, Android 앱의 76%가safe iPhone 앱의 51%와 비교했을 때, Android 앱은 수정된 코드로 실행될 가능성이 iPhone 앱보다 4배 이상 높았습니다.

이러한 차이는 다양한 요인에서 비롯될 수 있는데, 여기에는 Android가 타사 라이선스를 통해 이용 가능하다는 점, 타사 제조업체의 확산, 모든 기능을 갖춘 무료 에뮬레이터의 이용 가능성, 앱을 사이드로딩하기 쉽다는 점 등이 있습니다. 이는 Apple의 통제된 하드웨어 생태계와 대조되며, 가장 중요한 점은 폐쇄적인 디지털 앱 마켓플레이스입니다.

변화를 위한 촉매제

유럽 ​​연합의 DMA(매개변수 사용 제한) 시행 동기는 보안 문제와 직접적인 관련이 있는 것으로 여겨지지 않고, 기술 기업들이 세운 장벽을 허물고 앱 시장 내 경쟁을 촉진하는 데 목적을 두고 있습니다. 앱 스토어 정책 및 수수료를 둘러싼 애플과 에픽게임즈, 스포티파이 등의 기업 간의 분쟁은 규제 개입의 필요성을 더욱 부각시켰습니다. 애플은 더 안전한 생태계를 제공했지만, 앱 소유주들에게 앱 내 구매를 포함한 매출에 대해 수수료를 지불하도록 강요하는 결과를 낳았습니다. 수수료는 때로는 구매 가격의 최대 30%에 달하기도 했습니다. 따라서 DMA는 소비자 선택권 확대와 시장 경쟁 촉진의 토대를 마련할 뿐만 아니라, 애플과 같은 기업들이 수익성 있는 매출원을 활용하는 것을 제한합니다.

반대편: 보안 문제

그러나 DMA(미국 금융정보보호법)에 따라 의무화된 디지털 마켓플레이스 개방에는 보안상의 함정이 없지 않으며, 트로이 목마 애플리케이션이나 "트로이 목마"(다른 앱을 공격하는 악성코드가 포함된 앱)는 물론, "진짜"로 위장한 복제 앱 마켓플레이스가 생겨날 수 있는 길을 의도치 않게 열어줄 수 있습니다. 예를 들어, 뱅킹 트로이 목마 "아나차(anatsa)"는 다양한 안드로이드 앱 마켓플레이스에서 반복적으로 출현했으며, 전 세계 600개 이상의 모바일 뱅킹 애플리케이션에 대한 공격과 관련이 있는 것으로 밝혀졌습니다. 이러한 현상은 지금까지 안드로이드 기기에 대한 공격에만 국한되었습니다. 하지만 앞으로는 규제가 덜 엄격한 아이폰용 앱 생태계에서 이 트로이 목마가 활개를 칠 수 있습니다.

Apple의 대응 및 새로운 보안 메커니즘

애플의 DMA 반박은 사용자 보안에 대한 우려를 강조하며, 마켓플레이스 민주화에 대한 신중한 접근을 옹호합니다. 애플은 iOS 앱 공증, 마켓플레이스 개발자 의무 승인, 대체 결제 수단에 대한 투명한 정보 공개 등 일련의 새로운 보안 기능을 도입했습니다. 그러나 이러한 조치는 기껏해야 서드파티 앱 스토어가 초래하는 위험을 부분적으로만 완화하는 데 그치며, 동시에 애플이 앱 생태계에 대한 지배력이 약화됨에 따라 발생할 금전적 손실을 일부 만회할 수 있도록 보장하는 데 그칩니다.

고객을 위한 앱을 만드는 기업에 대한 의미

DMA는 앱을 개발하는 기업에 새로운 위험, 특히 트로이 목마와 앱 복제 위험 증가를 초래할 수 있습니다. 이에 대응하기 위해 기업은 보안을 통합하는 등 더욱 강력한 애플리케이션 기반 보안 전략을 채택해야 합니다. 앱 강화–소프트웨어 개발 라이프사이클로.

앱 강화에는 애플리케이션이 실행 중인지 여부를 감지하는 수단을 제공하는 것이 포함됩니다.safe 환경뿐만 아니라 예방 위협 행위자 변경된 애플리케이션을 수정하고 다시 게시하는 것을 방지합니다. 또한 서명 검증 및 코드 무결성 검사와 같은 보호 기능이 포함되어 있어, 수정된 애플리케이션이 타사 앱 스토어에서 우연히 발견된 최종 사용자를 노리는 데 사용되는 것을 방지할 수 있습니다. 또한, 기업은 앱에 모니터링 기능을 통합하여 배포 후 앱에 대한 위협을 감독할 수 있습니다. 마지막으로, 런타임 애플리케이션 자체 보호(RASP) 메커니즘을 통해 앱은 자율적으로 위협을 무력화할 수 있습니다.safe 환경이나 변경된 코드에서도 앱의 무결성을 유지할 수 있으므로 점점 복잡해지는 시장 환경에서도 앱의 무결성을 유지할 수 있습니다.

맺음말

DMA는 소비자 최종 사용자에게 혜택을 제공하기 위해 "폐쇄형 정원(walled garden)" 생태계를 구축하고자 합니다. 이러한 노력에는 위험이 수반되며, 이러한 위험은 디지털 시대에 자유와 보안 사이에 필요한 미묘한 균형을 구현합니다. 이 법이 앱 스토어와 더 넓은 디지털 시장의 미래를 재편함에 따라, iPhone용 앱을 개발하는 기업들은 앱 보안에 대해 더 큰 책임을 져야 할 것입니다. Apple의 대응형 보안 조치는 사용자 보안을 유지하기 위한 프레임워크를 제공하지만, safe감사합니다. 기업들도 이 새로운 시대를 성공적으로 헤쳐나가기 위해 포괄적인 보호 전략을 도입해야 합니다. 이러한 변화는 근본적으로 기업들이 보안을 위해 더 많은 시프트-레프트 전략을 채택하도록 요구할 것입니다. 포괄적인 애플리케이션 강화(애플리케이션 보안 강화 포함) 없이 이 새로운 환경에서 iOS 애플리케이션을 배포하는 것은 리버스 엔지니어링, 이제는 그 어느 때보다 더 위험해질 것입니다.