보안업체 에스큐브아이가 금융권 모바일 앱 취약점 진단 시장 공략에 나선다. 회사는 보안 솔루션 사업 영역을 기존 네트워크 보안 중심에서 모바일 앱 보안 시장으로 한 걸음 더 내딛기로 했다.
에스큐브아이(대표 오영철)는 안드로이드 모바일 앱 진단도구 '자이로이드(Zyroid) SE'를 4일 전경련회관에서 열리는 '제9회 스마트금융콘퍼런스'에 첫 소개하고 금융권을 대상으로 본격적인 마케팅 활동에 들어간다. 회사는 지난 4월 '자이로이드 SE' 개발기업 라온시큐리티와 총판 계약을 체결한 바 있다.
회사는 올해 금융권을 중심으로 안드로이드 모바일 앱 진단 도구 시장이 본격 형성될 것으로 기대하고 있다. KB국민은행·우리은행·KEB하나은행·KB손해보험 등 금융기관이 '자이로이드 SE'를 잇따라 도입, 운영하고 있다.
이는 난독화 앱 분석 어려움과 앱 점검을 위한 전문 인력 부족 등 금융권이 안고 있는 고민을 해결하는 대책으로 자이로이드 SE가 주목받기 때문이다. 기술과 컴플라이언스 측면에서 향상된 보안 점검 환경을 제공한다.
'자이로이드 SE' 주요 기능 구성은 정적 코드 분석과 동적 분석 그리고 두 기능을 합친 자동분석기능으로 이뤄졌다. 이를 통해 안드로이드 모바일 앱 점검 수준을 높일 수 있다. 금융·제조·전자상거래 등 대부분 산업 분야에서 개발되는 안드로이드 기반 앱을 대상으로 보안취약성 등을 점검한다.
특히 '자이로이드 SE'는 비전문가도 안드로이드 주요 취약점을 자동으로 분석할 수 있도록 자동 점검 기능을 제공한다. 전문가에게는 심도 있는 분석을 수행할 수 있도록 실시간 점검 기능을 제공하는 게 특징이다.
'자이로이드 SE'는 가상 에뮬레이터가 아닌 실제 단말기에서 앱을 분석하고 점검한다. 스마트폰과 PC를 동기화한 후 PC 모니터에서 키보드와 마우스로 스마트폰을 조작, 데이터 입력 시간을 단축한다. 점검자 PC에서 입력 데이터를 가로챈 뒤 실시간 데이터 분석·조작이 가능하고 개인정보보호법·정보통신망법·전자금융거래법 등 컴플라이언스를 충족한다.
또 '자이로이드 SE'는 악성앱 점검 기능을 갖고 있다. 앱 기능을 목록화해 앱 고유 기능을 확인하고 외부 유출·파일 수정 등 행위 분석 결과를 확인해 악성앱 여부를 판단한다. 난독화 적용 앱에 대한 분석·해제 기능을 제공, 신규 위협 패턴을 도출한다.
'자이로이드 SE는 취약점을 11개로 분류해 42개 취약점 항목을 점검한다. 취약점 점검 기준은 OWASP 모바일 톱 10 항목, 금융위 금융앱 점검 항목, 라온시큐리티 취약점 점검 노하우 등을 토대로 취약점 점검 항목을 만들었다. 에스큐브아이 관계자는 “기존 복잡한 점검 환경 구성과 업무가 자이로이드 SE를 통해 간단한 정보 입력만으로 안드로이드 앱을 빠르게 자동 진단하고 상세 진단까지 구현할 수 있게 됐다”고 말했다. 회사 관계자는 “공공·국방 등 시장에서 오랜 기간 다져온 노하우를 토대로 금융권 모바일 보안 시장개척에 나선다”고 덧붙였다.
안수민기자 smahn@etnews.com
