모바일뱅킹 애플리케이션(앱)이나 증권거래 앱을 안전하게 지켜주는 보안모듈이 등장했다.
에버스핀(대표 하영빈)은 앱을 실행할 때마다 새 보안모듈을 생성해 해커 소스 분석을 불가능하게 하는 ‘에버세이프’를 출시했다고 20일 밝혔다.
에버스핀은 해커가 앱을 내려 받아 분석한 다음 위·변조하거나 우회해서 인증수단을 무력화하는 데 착안해 앱 자체를 보호하는 보안 모듈인 에버세이프를 개발했다. 기존 보안 모듈은 앱과 서버가 특정 값을 주고받으며 해킹을 감시하는 ‘정적 방식(고정된 소스)’이다. 반면에 에버세이프는 앱을 실행할 때마다 보안모듈이 새로 설치되고 일정 시간이 지나면 새 보안모듈을 설치하는 ‘동적 기반(다이내믹 모듈기반)’ 보안 플랫폼이다.
하영빈 대표는 “해커가 앱을 공격해 보안 로직을 무효화하면 아무리 강력한 인증수단도 안전을 보장받지 못한다”며 “시중 앱 보안모듈은 필요할 때만 패치하거나 업데이트하는 방식이기에 해커가 쉽게 소스를 분석해 무력화할 수 있다”고 강조했다. 근거리무선통신(NFC)이나 OTP(One Time Password), QR, 지문 같은 인증방식은 수단에 불과할 뿐 근본적 앱 안정성을 보장하지 못한다는 설명이다.
에버세이프는 앱을 실행할 때마다 인증서버가 일정 시간만 유효한 앱 보호모듈을 실시간으로 할당하기에 해커 소스분석이 사실상 불가능하다. 앱에 위협을 끼칠 수 있는 요소를 탐지하는 보안 플랫폼인 에버세이프 디텍트(Detect)는 운용체계(OS)나 앱 위·변조 시도는 물론이고 악성코드도 탐지하고 인증서버는 모듈에서 전달받은 상태와 결과 값 정상 여부를 판단한다.
하 대표는 “에버세이프는 금융보안연구원(현 금융보안원) 금융보안적합성 시험을 통과해 앱 안정성을 보장받은 동적 기반 앱 원천 보호 플랫폼”이라며 “최근 국내 유력 증권사가 도입을 확정했고 타 금융기관과도 도입을 협의 중”이라고 밝혔다.
주문정기자 mjjoo@etnews.com
관련 통계자료 다운로드 에버세이프 구조도