애플리케이션 및 IT인프라 보안 기업 엔시큐어㈜(대표 문성준)가 국내 카드사 두 곳에 금융앱 보안 솔루션 공급 계약을 맺었다. 

수주한 솔루션은 악산 테크놀로지사(Arxan Technology)의 가드잇(GuardIT)과 인슈어잇(EnsureIT)으로 데스크톱, 서버, 모바일, 임베디드에 배포된 모바일 앱, 디지털저작권관리(DRM), 게임, 스트리밍 서비스 등 다양한 애플리케이션의 리버스엔지니어링 즉, 프로그램의 변조 및 보안 우회를 원천적으로 차단하는 솔루션이다. 

모바일 환경에서 금융 서비스를 제공하는 국내외 금융앱은 전자금융 보안성 확보를 위해 난독화, 암호화, 무결성 검증, 탈옥·루팅폰 통제 등의 보안솔루션을 도입하여 운용 하고 있다. 그러나 해커의 공격에 대비하여 보안성이 낮은 솔루션의 적용으로 인해 해커가 코드를 쉽게 파악하여 보안을 침해할 수 있기 때문에 사실상 소프트웨어 불법 복제 및 조작을 방지하기 위한 방법으로는 턱없이 부족한 상황이다. 

가드잇과 인슈어잇은 ‘침해에 대한 방어 > ‘공격에 대한 탐지 > 공격에 대한 경보 및 반응’ 세 단계로 구성되어, 각각 난독화, 암호화, 체크섬, 안티디버그, 원복, 경보 등의 기능을 통해 애플리케이션의 무결성을 보호하고 있다. 

애플리케이션 바이너리의 강화를 통해 해킹폰 탐지 코드, 리소스 보호 코드 등 적용된 보안 코드 우회에 대해 원천 방지 및 차단하고 C/C++, Objective-C, JAVA로 작성된 애플 iOS 및 Android 기반에서 작동되는 애플리케이션에 대한 침해 리버싱 시도에 대해 탐지 및 방어한다. 또한 바이너리는 릴리즈 시 마다 다른 바이너리를 생성하여 이전 버전의 분석 정보를 무력화 시킨다. 

특히 Android, Apple iOS, WIndows Phone, Tizen, Linux, Power PC, Windows, Mac OSX의 다양한 기반에서 작동하는 애플리케이션에 대한 보호를 지원하며, 국내에서 iOS플랫폼에 대한 보호를 지원하는 유일한 솔루션이다. 

손장군 엔시큐어 이사는 “이번에 수주한 두 카드사의 경우, 기존에 적용했던 운영체제 변조 및 위변조 탐지, 난독화 등 다양한 애플리케이션 보호 솔루션을 통합하여 대체했다는 것과 더불어 보안성 또한 세계적 수준으로 대폭 상향시켜 적용했다는 데에 큰 의미가 있다”고 말했다. 

한편 엔시큐어는 애플리케이션 무결성 방어 솔루션 이외에도 시큐어 코딩, 보안 성숙도 측정 솔루션 및 컨설팅 서비스를 제공하고 있으며, 국내 주요 금융사, 제조사, 게임사, 공공기관 등 300여 고객을 확보하고 있다.