OWASP MAS로 방탄 모바일 앱 구축 | 촉매제 블로그

AI로 구동되는 강력한 비디오 요약 – 혁신 전도

[ad_1]

NowSecure의 최고 이동성 책임자 Brian Reed 작성

모바일 앱 드라이브 인터넷 트래픽의 70% 그리고 소비 전체 모바일 시간의 88%, 수익 증대, 고객과의 연결, 제품 및 서비스 개선을 위한 통찰력 확보를 원하는 조직에 필수적입니다. 동시에 모바일 앱 트래픽의 증가는 보안을 우선시하지 못하는 조직의 위험을 증가시킵니다. 이로 인해 모바일 앱 개발자는 혁신을 주도하고 비즈니스 요구 사항을 충족하는 고품질의 안전한 모바일 앱을 신속하게 개발하고 제공해야 합니다.

모바일 위협 환경의 위험을 관리하기 위해 개방형 웹 애플리케이션 보안 프로젝트(OWASP) 개발 MAS(모바일 애플리케이션 보안) 모바일 앱 보안 요구 사항에 대한 공통 기반을 구축하기 위한 주력 프로젝트입니다. 업계 표준을 제공하는 것 외에도 OWASP MAS는 모바일 앱 개발자, 설계자, 보안 분석가 및 보안 엔지니어에게 전체 개발 수명 주기와 생산 운영을 통해 모바일 앱의 보안을 보장하는 데 필요한 필수 도구, 기술 및 방법론을 교육합니다.

모바일 앱 개발자는 OWASP MAS 프로젝트의 주요 원칙과 가장 일반적인 모바일 앱 보안 문제를 이해해야 보안을 염두에 두고 모바일 앱을 일관되게 설계, 구축, 개발 및 테스트할 수 있습니다. OWASP MAS 표준을 사용하는 개발자는 위험을 줄이면서 더 높은 성능, 효율성 및 릴리스 예측 가능성을 자주 보고합니다.

OWASP MAS의 핵심 구성 요소

모바일 앱을 보호하려는 모바일 앱 개발자는 OWASP MAS 프로젝트의 세 가지 주요 구성 요소를 적용해야 합니다.

MASVS(모바일 애플리케이션 보안 검증 표준): OWASP는 Android 및 iOS 모바일 앱이 적절한 수준의 보안을 유지하도록 보장하기 위해 모바일 앱 개발자가 사용할 수 있는 포괄적인 요구 사항 목록을 제공하기 위해 MASVS를 만들었습니다. 요구 사항은 세 가지 주요 목표를 충족합니다.
- 지침으로 사용 – 모바일 앱 개발 및 테스트의 모든 단계에서 보안 지침을 제공합니다.
- 메트릭으로 사용 – 개발자와 애플리케이션 소유자가 모바일 앱을 비교할 수 있는 보안 표준을 제공합니다.
- 조달 중 사용 – 모바일 앱 보안 검증을 위한 기준을 제공합니다.
MASTG(모바일 애플리케이션 보안 테스트 가이드): 이 매뉴얼은 모바일 앱 개발자에게 안전하게 구축하는 데 필요한 필수 정보를 제공하고 보안 코딩 관행, 위협 모델링, 취약성 평가, 침투 테스트, 위험 관리. 개발자는 위협 모델링, 펜 테스트 및 위험 평가를 포함한 적절한 테스트 기술에 대해서도 배울 수 있습니다.
MAS(모바일 애플리케이션 보안) 체크리스트: 모바일 앱 개발자는 MAS 체크리스트에 액세스하여 모바일 앱이 MASVS에서 지정한 모든 카테고리에서 테스트되었는지 확인할 수 있습니다. 이러한 범주에는 아키텍처, 설계 및 위협 모델링, 데이터 저장소 및 개인 정보 보호, 암호화, 인증 및 세션 관리, 네트워크 통신, 플랫폼 상호 작용, 코드 품질, 빌드 설정 및 복원력이 포함됩니다.

알아야 할 모바일 AppSec 문제

가장 효과적인 표준 기반 모바일 AppSec 전략을 수립하려면 개발자는 안전하지 않은 모바일 앱에서 발견되는 가장 일반적인 문제에 익숙해져야 합니다.

부적절한 데이터 저장: NowSecure 연구에 따르면 MASVS에 대해 테스트된 모바일 앱의 50percent가 개인 식별 정보(PII)를 부적절하게 저장합니다. 이 문제는 보안 위반이 심각한 결과를 초래할 수 있는 금융 및 의료와 같이 규제가 엄격한 산업을 위해 개발된 모바일 앱에 심각한 영향을 미칩니다. 개발자는 MASVS 데이터 저장 기술에 따라 암호, 암호화 키 및 기타 자격 증명을 확인해야 합니다. 또한 민감한 데이터 입력은 캐시되거나 애플리케이션 로그에 표시되어서는 안 되며 개발자는 저장을 위해 기본 운영 체제 구성을 사용해야 합니다.
약한 암호화: 개발자는 종종 파이프라인의 여러 단계에서 디버깅 목적으로 방대한 양의 민감한 데이터를 기록합니다. 그러나 위협 행위자는 고급 도구에 액세스하여 취약한 알고리즘을 리버스 엔지니어링하여 PII를 쉽게 훔칠 수 있는 기회를 만들 수 있습니다. 개발자는 약하거나 오래된 자사 및 타사 암호화 알고리즘을 피하여 리버스 엔지니어링 도구로부터 보호하고 의사 난수 생성기를 배포하고 화이트박스 암호화 최대한의 보호를 위해.
취약한 인증 및 세션 관리: 활동이 없거나 무효화된 세션으로 인해 공격자가 모바일 앱을 쉽게 침해할 수 있습니다. 개발자는 비활성 세션이 너무 오래 실행되는 것을 방지하고 사용자가 모바일 앱을 백그라운드로 푸시할 때 데이터가 숨겨진 상태로 유지되도록 해야 합니다. 또한 위협 행위자가 세션 관리 메커니즘을 발견하고 자격 증명을 생성할 수 있으므로 클라이언트 측에서 권한 및 인증을 피해야 합니다.
안전하지 않은 네트워크 통신: 안전하지 않은 네트워크 활동으로 인해 위협 행위자는 모바일 앱과 원격 서비스 엔드포인트 간의 통신에 암호화가 없을 때 PII를 가로챌 수 있습니다. 부적절한 데이터 저장 문제와 마찬가지로 안전하지 않은 모바일 앱 네트워크 연결은 규제가 심한 산업의 모바일 앱에 특히 문제가 될 수 있습니다. 인증서 고정은 개발자가 통신이 의도한 서버에 연결된 상태로 유지되도록 하여 중요한 데이터가 잘못된 손에 들어가지 않도록 하는 데 도움이 될 수 있습니다. 또한 개발자는 추가 보호를 위해 Android 및 iOS 관련 보안 API와 화이트박스 암호화를 사용해야 합니다.
열악한 코드 품질 및 빌드 설정: NowSecure 벤치마크 테스트에 따르면 모바일 앱의 47percent에 코드 품질 문제가 있으며 이를 확인하지 않으면 심각한 보안 위반이 발생할 수 있습니다. 이러한 문제는 코드에 남아 있는 디버그 기호부터 확인되지 않은 타사 라이브러리에서 발견된 버그까지 다양합니다. 개발자는 자체 코드의 결함을 방지하고 타사 라이브러리를 지속적으로 검토 및 업데이트하기 위해 보안 코딩 기술을 배워야 합니다.
리버스 엔지니어링에 대한 탄력성 부족: 의료 앱, 금융 서비스 앱 및 게임 앱은 세계에서 가장 숙련되고 끈질긴 위협 행위자에 의해 광범위한 리버스 엔지니어링 시도의 대상이 됩니다. 앱 소유자와 빌드 엔지니어링은 오픈 소스 기술이나 타사 도구를 통해 코드를 난독화해야 합니다. 또한 앱 소유자와 빌드 엔지니어는 공개된 앱을 모니터링하는 기능을 추가하여 변조로부터 보호해야 합니다. 마지막으로 앱 소유자는 손상된 앱의 기능을 종료하거나 적어도 더 이상 사용하지 않는 기능을 추가해야 합니다.

조직은 다양한 도구와 기술을 사용하여 개발자가 파이프라인 전체에서 MASVS 원칙을 적절하게 구현. 통합 자동화 테스트 도구 수정 팁이 내장되어 있어 개발자가 보안 버그를 빠르고 효율적으로 해결할 수 있습니다. 가이드 테스트 인간 보안 분석가가 인간의 손길이 필요한 복잡한 보안 기능을 테스트하기 위해 주기적으로 개입하는 동안 자동 테스트가 백그라운드에서 지속적으로 실행되도록 함으로써 수동 및 자동 보안 테스트의 이점을 결합합니다. 추가로 조작 방지 조치 배포 전에는 탈옥/루팅된 장치 또는 에뮬레이터와 같은 안전하지 않은 환경에 대한 리버스 엔지니어링 및 모니터링을 방지하여 추가 보호 계층을 제공합니다. 안 자동화된 정책 엔진 개발자가 사전 프로덕션에서 배포까지 MASVS를 기반으로 하는 보안 개발 원칙을 준수하도록 합니다.

OWASP MAS 프로젝트의 핵심 구성 요소를 따르면 자동화된 테스트 도구 활용, 보안 코딩 학습 관행, 이해 가장 일반적인 보안 결함 모바일 앱 내에서 탄력성 추가, 개발자는 방탄 모바일 앱을 구축하는 데 필요한 도구와 기술을 갖게 됩니다. 개발자는 NowSecure/Digital.ai 웨비나를 시청하여 OWASP MAS로 모바일 앱의 보안을 개선하는 방법에 대해 자세히 알아볼 수 있습니다. MASVS 팀 구성: Dev에서 Prod까지 방탄 모바일 보안 및 Digital.ai의 짧은 정보 비디오 안전한 소프트웨어를 구축하십시오.