"네이버와 라인이 제공하는 수많은 앱을 개발하면서 취약점 진단과 보호, 전체 앱 리스크 모니터 등을 위한 플랫폼이 필요했습니다. 이에 내부에서 단계별로 적용해 사용했습니다. 그러다가 다른 기업도 사용하고 싶다는 말을 듣고, 전세계 고객에게 서비스를 제공하면 어떨까 싶었습니다. 그래서 모바일 리스크 관리 플랫폼 'AIR(Active Incident Response Mobile Risk Management Platform)'를 SaaS(Software as a Service)로 선보이게 되었습니다."
라인플러스 전상훈 모바일 리스크 관리실 이사는 AIR 출시 배경을 이렇게 밝혔다. AIR 플랫폼은 'AIR ARMOR', 'AIR GO', 'AIR EYE' 등으로 진단, 보호, 모니터링을 제공하며, 관련 서비스를 일본 아마존재팬 인프라를 통해 제공할 계획이다. 영어, 일본어, 한국어를 우선 지원한다.
관련 서비스 개발 팀은 판교에 있다. 판교 라인플러스 사무실을 찾아 전 이사와 개발 담당자 정상민 리드, 정명주 리드를 만났다. 네이버 개발자 행사 '데뷰 2018' 현장에서 관련 서비스를 선보이며 SaaS로 탈바꿈시킬 거라고 밝힌 뒤, 약 8개월 만의 만남이었다.
전 이사는 애초부터 보안 분야에서 잔뼈가 굵은 인물이다. 두 정 리드도 보안 업체에서 시작한 엔지니어다. 이후 라인에 합류해 앱을 개발하다가 모바일 리스크 관리 이슈가 커지면서 팀에 합류했다. "엄한 이사님 만나서 차출되셨군요?"라는 질문에 다들 웃었다.
네이버와 라인은 모바일 환경으로 급변하는 시장 흐름에 빠르게 대응하기 위해 200여 개 넘는 다양한 앱과 서비스를 선보였다. 가장 우선한 것은 빠른 시장 대응이었지만, 보안 취약점이나 암호화 이슈, 오픈소스 라이선스 위반 등에 개발자와 팀이 개별적으로 대응하기는 어려웠다.
초기에는 게임 앱을 선보이며, 보안 문제에 대응했다. 게임 앱은 국내뿐만 아니라 해외 여러 지역에서 취약점을 찾기 위한 공격이 빈번하게 일어났다. 분석해보면 아이템 어뷰징이 많았고, 이는 수익과 직결되는 분야였다.
'AIR GO'는 모바일 앱과 웹 사이트를 분석해 난독화 유무, 취약성, 오픈소스 라이선스, 악성 URL 점검, 악성 코드 등을 탐지 진단하고 인증서와 권한, 파일 구조 등을 알아보는 기능을 제공한다. 또한, 구글 플레이 스토어 거절 사유도 진단해 앱 배포 전 취약성을 개선할 수 있도록 돕는다. 2017년부터는 전체 개발 라이프 사이클 안에 'AIR GO'를 포함시켰다. 개발 과정에서 무조건 이 프로세스를 거치도록 하면서 대응했다.
구글 플레이 스토어에 올리는 앱을 내려받아 보안 등급 진단도 해보고 있다. 구글 플레이 스토어 Top 100위 내 앱 보안 등급을 미국, 한국, 일본 등과 비교해 등록 거절 사유도 확인할 수 있도록 했다. 50만 개가 넘는 앱 숫자, 그리고 잦은 업데이트 등을 거쳐 스스로 서비스를 진화시키는 역할을 하고 있다.
오픈소스 라이선스의 경우, 이전에는 개발팀에서 법무팀에 사항들을 알리고 법무팀에서 담당 인력들이 관련 서비스나 제품을 도입해서 체크했다. 때문에 상대적으로 절차가 오래 걸렸다. 특히, 오픈소스 라이선스 체크는 생태계에 기여하는 부분이고, 만약 라이선스를 위반했을 경우 소송은 물론 비난까지 쏟아져 민감하다. 이에 대표적인 라이브러리를 모니터링하고, 이를 반영해서 체크할 수 있도록 돕고 있다.
관련 서비스를 만들면서 언리얼이나 유니티, 코코스 등 게임 엔진 업체들과 협업도 모색하는 중이다. 정명주 리드는 "이 분야 모바일 리스크 관리 플랫폼으로 성장시켜 나가기 위해 협력을 강화하고 있습니다"라며, "실제 서비스를 제공하는 회사 입장에서 체크해야 할 내용들을 넣다 보니, 자연스럽게 경쟁력도 올라가지 않을까 싶습니다"라고 말했다.
'AIR ARMOR'는 정상민 리드 담당이다. AIR GO가 탐지 쪽에 방점을 두고 있다면, AIR ARMOR는 모바일 환경에서 악의적인 공격으로부터 보호하고 대응할 수 있는 보안 체계를 공급한다. 비정상적인 행위를 감지하고, 제어할 수 있도록 알려주는 '어뷰저 탐지', 리버스 엔지니어링 행위를 통한 조작과 변경을 어렵게 해 앱을 보호하는 '난독화', 위협에 대한 지속적인 관리를 적시에 할 수 있록 제공하는 '감시(AIR EYE)' 등이 있다.
게임 핵은 더 강력하고, 다양한 형태로 결합해 진화하고 있다. 난독화 기술은 앱의 위변조를 어렵게 해 새로운 게임 핵 출현 시간을 더디게 한다. 개발자들이 소스 코드를 수정하고 빌드하는 과정에서 난독화 처리를 깜빡 잊는 경우가 있는데, 빌드 머신에서 무조건 자동으로 난독화할 수 있도록 제공해 이런 위험을 미연에 방지한다. 이와 함께 다양한 코드를 보호하고 루팅/탈옥, 치팅 도구, 에뮬레이터, 모듈 변조 등도 탐지한다.
정상민 리드는 "이 과정을 전체 개발 프로세스 안에 무조건 넣어야 합니다. 코드서명 검증과 탐지 기능부터 라이브러리 난독화 기능까지 수행합니다. 개발 과정에서 빌드는 하루에도 수십 번씩 일어나는데, 보안이 걸림돌로 작용하지 않도록 대응했습니다. 게임 앱에 적용한 후, 다양한 다른 앱 개발 과정까지 확대했습니다"라고 말했다.
보안 모듈 적용 과정은 파일 업로드, 강화, 다운로드 등 3단계만으로 간편하게 완료했다. AIR ARMOR를 적용한 앱을 배포하면, 모니터링 기능도 자동으로 동작해 비정상적인 행위를 감지하고 제어할 수 있다. 이전에는 외부에서 유사한 앱이 돌아다닌다고 연락을 줘야 알았던 경우가 심심찮게 발생했지만, 이제는 이 기능을 통해서 배포한 앱들에 대해 바로바로 모니터링하고 대응할 수 있다.
해당 기능은 'AIR EYE'다. AIR EYE는 위험 클라이언트에 대한 사용자, 기기, 앱별 다각도 추천 시스템을 제공한다. 고유 식별값을 이용해 공격 행위를 일으킨 사용자와 기기를 추적하고, 특정 기간에 발생한 공격 행위를 조회할 수 있다. 또한, 앱별 파일 변조, 메모리 변조, 보안 우회 시도, 디버깅, 애플레이터 활용 등 다각도 추적 시스템을 이용해 악의적인 공격을 체계적으로 관리할 수 있다.
정상민 리드는 "앱이 변조되면 결제가 떨어집니다. 빨리 이를 파악해서 패치해야 수익 저하를 막을 수 있습니다. 특히, 금융 앱이나 돈을 주고받는 거래 앱 등이 그렇습니다"라고 전했다.
변조된 앱이 유통되면 사용자 피해가 발생하고, 기업 신뢰도는 떨어진다. 때문에 이를 탐지하고, 현상을 파악해 위험을 관리할 수 있어야 한다. 게임 앱, 금융 앱, 거래 앱 등이 상대적으로 민감한 정보를 다루지만, 앱에서 발생할 수 있는 리스크에 대한 현황 체크는 거의 없다.
앱 로직이 파악되거나 수정된 변조 앱이 유통되는 것을 파악하고 관리할 수 있어야 한다. 심지어 인앱 결제를 시도하고, 환불을 반복하는 어뷰징도 있다. 앱에서 탐지된 여러 정보들을 이용, 앱에서 발생할 수 있는 모든 리스크를 체계적으로 관리해야 하는 이유다. AIR는 소프트웨어 개발 주기의 모든 과정에서 리스크를 관리하고 있다.
AIR 서비스 런칭을 위해 AWS코리아와 AWS재팬을 만나고 다양한 사항을 검토한 끝에 AWS재팬 위에 서비스를 우선 얹었다. 미국이나 유럽 시장 공략은 순차적으로 오픈할 계획이다. 공공 시장의 경우, 특정 클라우드 서비스를 아직 사용하지 못하겠지만 개발사들이 이걸 사용하도록 하고 대시보를 통해 모니터링을 하는 형태도 있는 만큼 가능한 방법을 찾아볼 예정이다.
전상훈 이사는 "이 서비스는 하루 아침에 만든 것이 아닙니다. 게임 보안을 위해 빅데이터 플랫폼을 구축하면서 시작했습니다. 4~5년 동안 쌓인 데이터를 바탕으로 개발한 서비스입니다"라며, "이제 서비스를 오픈하면서 모바일 리스크 관리 플랫폼을 보유하지 못한 기업이나 거대한 앱 스토어를 운영하는 곳들과 협력하고 싶습니다. AWS가 써도 참 좋을 거 같습니다"라고 웃었다.
글 / 테크수다 도안구 IT 칼럼니스트 동아닷컴 IT전문 권명관 기자 tornadosn@itdonga.com
댓글 0