알림
뒤로

모바일 애플리케이션 보안

Mobile Application Security

| zSCAN |
모바일 애플리케이션 보안 테스트

zScan은 앱이 배포되기 전에 개발 프로세스에서 개인정보 보호 및 보안, 컴플라이언스 위험을 자동으로 식별합니다. 기존의 코드 분석 툴은 전반적인 소스코드의 품질을 평가하지만 zScan의 바이너리 분석은 공격자가 앱에서 악용할 수 있는 위험을 식별합니다.

| zSHIELD |
애플리케이션 보호

zShield는 리버스 엔지니어링 및 코드 조작과 같은 잠재적인 공격으로부터 고급 난독화 및 변조 방지 기능을 통해 앱을 강화하고 보호하여 애플리케이션의 소스코드 및 지적 재산(IP), 데이터를 보호합니다.

| zDefend |
임베디드 런타임 앱 자체 보호

zDefend(zIAP)는 온디바이스 머신러닝 기반 z9 엔진을 모바일 앱에 SDK로 내장하여 모바일 디바이스 및 네트워크 피싱과 멀웨어 공격을 감지하고 방어하는 런타임 보호 기능을 제공합니다.

| zKEYBOX |
암호화 키 보안

zKeyBox는 화이트박스 암호화를 활용하여 모바일 앱 내의 키와 민감정보를 보호합니다. 암호화 알고리즘을 변환하여 키가 겉으로 표시되지 않고 실행 로직을 추적할 수 없도록 합니다. 디바이스 자체가 손상된 경우에도 키를 추출할 수 없습니다.

기대효과

| 보안 및 개인정보 취약점 식별
| 암호화 키 및 민감정보 보호
| 런타임 위협 가시성 확보
| 내/외부 컴플라이언스 준수
| 소스코드 및 기밀정보 보호
| 데이터 탈취 및 부정행위 대응

Zimperium의 MAPS(Mobile Application Protection Suite)는 포괄적인 애플리케이션 내 보호 기능과 중앙 집중식 위협 가시성을 결합한 통합 플랫폼입니다. 앱의 개발부터 런타임까지 중앙 집중식 위협 가시성과 포괄적인 앱 내 보호 기능을 제공합니다. 내외부 보안 접근 방식을 결합하여 규정을 준수하고 안전하며 탄력적인 모바일 앱을 구축할 수 있도록 지원합니다.


zSCAN : 모바일 애플리케이션 보안 테스트(MAST)

zScan은 모바일 앱의 개인정보보호와 보안 및 규정 준수 문제를 해결할 수 있습니다. 개발 및 출시 전 테스트 중에 지속적인 보안 검색이 가능합니다. 강력한 앱 분석 엔진인 APPVisualizer® 를 기반으로 구축되어 모바일 앱 위험 식별합니다. 단지 악용 가능한 취약점을 찾아내는 것이 아니라 모범 사례를 만들고 대응책을 권장하여 더 나은 결정을 내리는 데 도움이 되는 통찰력을 제공합니다.


  • 바이너리에 대한 정적 및 동적 분석을 수행하고 우선 순위가 지정된 결과 목록 제공
  • NIAP, PCI, GDPR, OWASP, MASVS, HIPAA 등과 관련된 규정 준수 및 위반 평가
  • 앱의 SBOM을 평가하여 타사 구성 요소 내의 위험을 식별하여 공급망 위험 완화
  • 플러그인, API, GitHub 작업을 통해 DevSecOps 전반에 걸쳐 원활한 통합 가능
  • JSON, SARIF, PDF 형식애플리케이션 평가 보고서 제공
스캔 시 간과하는 문제점

악성코드 및 URL 존재 여부

숨겨진 제 3자 행동

안전하지 않은
데이터 저장 및 유출

안전하지 않은

통신 및 잘못된 구성

약한 또는 보이지 않는

코드 및 런타임 보호

하드 코딩된 자격 증명 및 키

특징
| 짧은 스캔 시간
  • SaaS 기반 10-20분 내에 스캔을 완료하여 사용자 설정이 필요하지 않음
| 포괄적 검색
  • 제1자 및 제3자 구성 요소를 포함한 전체 앱에 대한 정적 및 동적 평가
| 컴플라이언스 보장
  • OWASP Mobile Top 10, MASVS, NIAP, PCI, GDPR 등 준수
| SBOM 평가
  • SBOM을 업로드하고 취약하고 오래된 구성 요소 식별
| 우선순위 분류
  • CVE, CVSS, CWE 등이 제공되어 중요한 결과를 수정하는 데 집중 가능
| CI/CD 통합
  • 플러그인, API, GitHub를 사용하여 보안 도구를 통해 검색 및 작업 자동화
| 공격자의 사고방식 적용
  • 현실적인 위협 시뮬레이션을 위해 적대적인 해킹 기술 적용
| 심층 검사
  • 잠재적인 문제를 발견하기 위해 머신러닝 및 규칙 활용
| 맞춤형 스캔
  • 특정한 관심 영역에 초점을 맞춘 스캔 정책 설정
| 보호 결과 확인
  • 부적절한 코드, 키, 런타임 보호 상황을 제공
지원 플랫폼
  • iOS용 IPA
  • Android용 APK & AAB

zSHIELD : 애플리케이션 보호

zShield는 모바일 애플리케이션에 대한 강력한 앱 내 보호 기능을 제공하도록 설계된 고급 애플리케이션 보호 솔루션입니다. 앱을 앱 스토어에서 다운받아 사용자의 장치에서 사용될 때 잠재적인 위험으로부터 애플리케이션을 보호합니다. 이중 보호 계층은 배포부터 사용까지 모든 단계에서 모바일 애플리케이션의 무결성과 보안을 보장합니다.


  • 리버스 엔지니어링 방지: 코드가 리버스 엔지니어링되지 않도록 보호
  • 위변조 방지: 무단 액세스 및 수정, 오용 방지
  • 런타임 보호: 최종 사용자 장치에서 실행 시 악용 방지
  • 로우코드 및 노코드 옵션 제공
    • 로우코드 옵션: 앱 개발팀이 보호 기능을 제공하기 위해 일부 구성의 변경을 처리할 수 있는 조직에게 추천
    • 노코드 옵션: 코드가 없는 제품은 신속한 출시가 필요하거나 개발 리소스가 제한되어 있어 필수적인 보호만 필요한 조직에게 추천
공격자가 앱을 악용하는 방법

에뮬레이터에서 앱 실행

발견된 취약점으로
악성코드 생성

장치를 손상시키기 위해

악성코드로 앱을 재패키지

독점적인 코드를 도용

결제를 우회하여
프리미엄 콘텐츠에 접근

민감한 데이터를 훔치기 위해
도청망 배포

특징
| 규제 만족
  • PCI CPoC, SPoC, EMVCo 등의 규정에 대한 승인 및 테스트 일정 최소화
  • 개인정보보호 및 애플리케이션 보안 요구사항 충족
| CI/CD 통합
  • API를 통해 앱에 보호 기능을 적용하는 프로세스의 통합 및 자동화


| 보호 수준 조정
  • 코드 보호 수준을 조정하여 최적의 애플리케이션 성능 및 사용자 환경 보장


| 코드 불법 복제 방지
  • 독점 알고리즘이나 혁신적인 기능과 같은 지적 재산 보호


| 앱 분석 방지
  • 악의적인 행위자가 앱 작동을 이해하고 취약점을 찾기 위해 앱을 검사할 수 없도록 차단
| 무단 수정 중지
  • 악의적인 행위나 리버스 엔지니어링 프로그램을 사용하지 못하도록 제한


| 실시간 위협 파악
  • 악의적인 행위자가 애플리케이션을 조작하려고 할 때 실시간 경고


| 자격 증명 및 중요 데이터 보호
  • 악성 프로그램, 피싱, 손상된 장치로부터 중요한 데이터 보호


지원 플랫폼
| 플랫폼
  • Android
  • iOS
  • iPad OS
  • mac OS
  • tvOS
  • watchOS
  • Linux
  • Windows
| 언어
  • Java
  • C
  • C++
  • Objective-C
  • Swift
  • Kotlin

zDefend : 임베디드 런타임 앱 자체 보호(RASP)

zDefend는 모바일 앱 내 보호에 대한 외부 접근 방식을 제공합니다. 호스트 애플리케이션이 네트워크 연결 없이도 최종 사용자의 장치에 조치를 취하여 스스로 위험을 감지하고 사전에 보호할 수 있도록 하는 SDK입니다. SDK는 Zimperium의 특허 받은 머신러닝 기반 위협 탐지 엔진인 z9을 활용합니다. 장치 내 모바일 RASP 기능을 사용하면 모바일 DevSecOps 내에서 지속적인 모니터링 및 보호, 효과적인 위협 모델을 구축할 수 있습니다.

앱이 디바이스에서 악용되는 방식

자격 증명을 가로채기 위해
오버레이 공격 사용

중요한 데이터를 도청 및
리디렉션하는 중간자 공격

모든 키 입력을 기록하기 위해
앱 권한 남용

PII를 유출하기 위해
앱 간 통신의 남용

실제 사용자를 사칭하기 위한
가짜 장치 또는 에뮬레이터

손상된 장치를 사용하여
트래픽을 악의적인
목적으로전환

특징
| 사기 및 도난 방지
  • 계정 자격 증명 및 중요 데이터가 앱에서 도난 당하는 것을 방지


| 포괄적인 온-디바이스 보호
  • 디바이스, 네트워크, 피싱, 악성 프로그램 위협 방어
  • 온-디바이스 및 머신 러닝 기반 보호
| 런타임 위협 및 공격 가시화
  • 실시간 장치 위협 원격 측정 기능 제공


| 업데이트 없이 앱 내 보호 프로파일 업데이트
  • 새로운 앱 버전 없이도 온-디바이스 응답을 동적으로 업데이트 가능


| 간편한 구현
  • 앱 내부에 SDK로 내장되어 100% 보안 채택 가능


| 작고 효과적인 SDK
  • 최적의 SDK 크기로 앱의 크기와 성능 유지


| 유연한 구축 모델
  • SaaS 및 온프레미스로 구축 가능


지원 플랫폼
  • Android
  • iOS
  • iPad iOS

zKEYBOX : 암호화 키 보안

zKeyBox는 화이트박스 암호화를 활용하여 모바일 애플리케이션 내의 키와 기밀 데이터를 보호합니다. 범용 소프트웨어 구현에 사용되는 키를 숨기는 접근 방식입니다. 키가 겉으로 드러나지 않고 실행되는 논리를 추적할 수 없도록 암호화 알고리즘을 변환합니다. 장치 자체가 손상된 경우에도 키를 추출할 수 없습니다.

공격자가 키를 훔치는 방법

열악한 키 관리 관행의 악용

하드웨어 기반 보안 스토리지

앱이 제어하는
실행 환경에서 앱 검사

멀웨어를 사용하여
장치 메모리에서 키 갈취

소스코드에 포함된 키 추출

안전하지 않은 손상된
클라우드 스토리지

특징
| 모든 표준 및 사용자 정의 알고리즘 지원
  • AES, 3DES, RSA, ECC, HMAC 등과 같은 모든 암호화 알고리즘 지원
  • 사용자 정의 알고리즘 지원 가능
| 하드웨어 종속성 없음
  • 플랫폼에서 제공하는 하드웨어 기반 메커니즘에 종속되지 않음
  • Android의 키 스토리지, 보안 엔클레이브, TEE(신뢰할 수 있는 실행 환경) 등
| 저장 중, 전송 중, 사용 중 키 보호
  • 손상되거나 탈옥/루팅된 장치에서도 키를 안전하게 보호
  • 키는 메모리에 노출되지 않으며 인코딩된 키에서 알고리즘이 직접 작동
| 간단한 배포 및 통합
  • 표준 암호화 라이브러리에 대한 플러그 앤 플레이 교체로 간단하게 통합 가능


| 풍부한 암호화 전문 지식
  • 수백만 개의 앱에서 키를 보호하고 정기적으로 독립적인 보안 테스트 수행


| 규정 준수
  • PCI-DSS에서 지정한 DUKPT 키 관리, TR-31 키 블록, 결제 카드와 PIN 데이터 분리 지원
지원 플랫폼
  • Android
  • iOS
  • iPad iOS
  • mac iOS
  • tviOS
  • watchiOS
  • Linux(Glibc, uClibc, musl)
  • Windows
  • WAB ASSEMBLY
  • MinGW
  • Play Station
  • Xbox