[Case Study] 우체국 `위·변조 방조솔루션` 구축

예금, 보험, 카드 등 금융 업무를 하고 있는 우체국은 전자금융감독 규정의 시행에 맞춰 모바일 앱의 악성코드에 의한 사용자의 정보유출방지 및 스마트폰 사용 고객의 안정성 확보를 위해 지난 5월 아이티홀릭의 모바일 앱 위〃변조 방지 및 무결성 검증 솔루션 `에이에이플러스(AAPLUS)`를 도입했다.

Photo Image
아이티홀릭 위변조 방지 솔루션 `에이에이플러스` 관리화면.

에이에이플러스는 우체국 금융의 전 분야인 예금, 보험, 신용카드, 보험FC 등에 적용됐다.

이 솔루션이 구축되면 금융거래를 할 때 해킹폰이라 하더라도 위〃변조된 앱에 대해서는 실행을 차단시킨다. 또 관리자는 모니터링 관제시스템을 통해 해킹이 시도된 스마트폰의 감시 및 제어가 가능해 스마트폰이 가진 보안의 취약점을 극복할 수 있다는 장점이 있다.

또 스마트폰에 대한 버전별 관리가 가능, 특정 스마트폰에 대한 사용 중지는 물론이고 제어도 할 수 있다. 해킹이 시도된 경우 위치 정보를 관제시스템에 보낼 수 있어 어떤 위치에서 해킹시도가 있었는지를 파악할 수 있으며 해킹 시도 유형별 모니터링도 가능하다.

우체국 보안담당자는 “아이티홀릭의 에이에이플러스는 모바일은 물론이고 웹이나 PC 환경에 대한 커스터마이징이 가능한 만큼 다양한 검증방식을 적용해 보안의 안정성을 높인 것이 강점”이라며 “곧 국가정보원의 보안성 검토도 받을 것”이라고 말했다.

에이에이플러스는 아이폰 및 안드로이드 등의 스마트폰은 물론이고 웹과 PC에서도 위·변조 공격 차단이 가능한 솔루션이다. 다양한 OS 및 응용프로그램에 대한 OS변조 탐지, 코드 난독화, 코드 암호화, 코드 가상화, 앱 해시(Hash), 메모리 해시, 디버깅 방지기능, 에뮬레이터(Emulator) 실행 감지, 인증 위·변조 탐지 등의 보안기술을 적용해 리버스 엔지니어링 등 위·변조를 방지함으로써 중요정보 탈취, 무단 사용, 임의 변조 등의 공격을 원천적으로 차단한다. 특히 에이에이플러스는 위〃변조 검증에 있어서 해시값 외에도 파라미터, 명령어 처리 순서 등을 동적으로 구현하는 다양한 검증방식을 적용해 위〃변조에 대한 보안성을 강화했다.

향후 우체국은 에이에이플러스가 가진 확장성의 특징을 살려, 웹의 위〃변조 대응을 위해서는 기존 모바일 위〃변조 서버를 사용하고 웹 위〃변조 클라이언트만 확장해 위〃변조 방지 대책을 한층 강화할 예정이다.

김민규 아이티홀릭 영업 총괄 부사장은 “우체국과 같이 예금, 보험, 카드 등의 분야에 앱과 OS를 한번에 적용한 것은 국내에서 처음 있는 일”이라며 “실질적인 솔루션 구축 경험과 기술력을 살려 금융권 영업에 집중할 예정”이라고 강조했다.


장윤정기자 linda@etnews.com


브랜드 뉴스룸