모바일 보안 취약한 현실 극복 위해 창업

▲ CNB저널, CNBJOURNAL, 씨앤비저널

(CNB저널 = 이진우 기자) 모바일 시대에 매일 수많은 어플리케이션(앱)이 새롭게 탄생한다. 구글 앱 스토어에만 한 달 평균 10만여 개의 신규 앱이 선보이는 시대다. 국내에도 수많은 앱 개발 스타트업이 창조경제의 핵심 아이콘으로 자리 잡아 가고 있다. 반대급부로 앱에 대한 공격자(해커, 산업스파이 등)들도 서서히 정체를 드러내고 있다.

최명규 락인컴퍼니 대표는 “모바일 앱을 모든 위협으로부터 지키기 위해서는 소스코드 유출 예방이 최우선”이라며 “개인, 스타트업 등 상대적으로 보안에 취약한 개발사들이 클라우드를 이용해 원클릭으로 간편하게 우리 보안제품을 적용할 수 있어, 소스코드 안에 있는 기술과 지적재산권 등을 공격자들로부터 보호할 수 있도록 했다”고 소개했다. 이어 “이러한 기술력의 유출은 국가 경제의 손실로도 이어지므로 국가 차원의 관심과 지원이 필요하다”고 덧붙였다.

모바일은 PC보다 역사가 짧고 이에 대한 보안 체계가 미흡해 현재도 많은 문제를 안고 있다. 그간 PC에 집중했던 공격자들도 이제 대세로 자리 잡은 모바일 쪽으로 눈길을 돌리고 있다.

현재 기존의 보안업체에서 내놓는 모바일 보안제품은 대개 PC에서 사용하던 제품을 모바일용으로 컨버팅(변환)한 수준에 불과한 것이 많다. 그러나 모바일과 PC는 플랫폼뿐 아니라 디바이스도 다르기 때문에 처음부터 패러다임 자체를 변환해 개발된 보안제품의 필요성이 절실해지고 있다.


직장에서 보안업무 경험 토대로 창업

최 대표는 네오위즈에서 게임에 대한 해킹을 방어하고 대응하는 국내외 업무를 총괄했다. 모바일 게임 시장이 급성장하면서 다양한 콘텐츠가 많아졌지만, 보안적인 취약점 또한 더욱 늘어나게 마련이었다. 솔루션이 필요했다. 누군가는 반드시 해야 할 일이고, 이왕이면 자신이 하겠다는 생각과 자신감이 충분했으므로 과감히 창업을 결심했다.

모바일 앱은 이식성이 매우 중요하므로 디바이스에서 안정적으로 프로그램이 돌아가야 한다. 그래서 PC에서는 기계어로 나오는 반면, 모바일 앱에서는 사람이 이해할 수 있는 소스코드로 보인다. 그런 만큼 어느 부분을 해킹하면 되겠다는 분석을 쉽게 할 수 있다. 또 현재의 보안제품은 위-변조만 안 되도록 하며, 악성코드 정도만 잡도록 돼 있다. 하지만 모바일 앱의 보안에서 가장 중요한 것은 소스코드 자체가 보이지 않도록 하는 것이다.

“PC의 경우 프로그램을 기계어로 읽어내야 하기 때문에 공격자들 역시 상위 몇% 정도 수준에 이른 해커들 정도만 가능했다. 하지만 게임을 비롯한 거의 대부분의 모바일 앱은 소스코드를 중심으로 프로그램을 구현하는데, 소스코드가 너무 쉽게 노출되고 있어 전문 해커가 아니더라도 누구든지 시장에 나도는 툴만으로도 읽어내고 분석이 가능하다. 즉 소스코드 안에 있는 모든 기술과 노하우가 외부로 너무 쉽게 유출될 수 있다.”

최근 창조경제가 활성화되면서 앱 개발 스타트업 등이 하루가 다르게 늘어나고 있다. 이런 상황 속에서 개발 주체들은 오직 개발에만 몰두하면서 자기 개발제품의 보안에는 인식이 낮은 것도 현실이다. 자신들이 개발한 앱의 소스코드가 쉽게 외부에 노출된다는 사실을 모르며, 해킹을 당해도 모르는 경우가 의외로 많다는 게 최 대표의 설명이다.

“개발자가 1~2년간 심혈을 기울여 개발한 앱의 소스코드가 유출되면 그 안에 있는 모든 기술과 노하우 등이 고스란히 공격자들 손에 들어간다. 이렇게 되면 1주일에서 한 달 정도면 똑같은 제품이나 더 나은 제품을 경쟁자가 출시할 가능성이 높다. 특히 해외로 유출될 경우엔 국가 경제에 큰 손실이 발생하므로 정부 차원의 보호 정책이 필요하다.”

현실적으로 개발자들은 콘텐츠를 만드는 것만 해도 벅차기에 모바일 앱 보안제품은 일단 적용이 쉬워야 한다.


“소스코드 보호 기술을 해외로 확대 적용”

락인컴퍼니는 다년간의 경험을 쌓아온 보안 전문가 6명이 모여 의기투합했다. 악성코드 전문가인 손충원 개발이사는 “현재 모바일 관련 악성코드가 많이 나타나고 있지만 이와 관련한 언론 보도도 거의 없어 알려지지 않을 뿐이다. 아이폰의 경우 회사의 폐쇄적 정책 때문에 해외에서 이미 문제가 많아지고 있다”면서 “우리는 현재 안드로이드에 집중해 더욱 강력한 제품을 지속적으로 선보일 예정”이라고 말했다.

최 대표는 지난 2013년 9월 회사를 설립했다. 모바일 앱 소스코드 보호 기술력을 기반으로 각종 솔루션과 서비스를 출시한다는 게 목표다. 그는 “이미 소스코드 보호 기술에 대해 특허 등록이 완료됐으며, PC와 모바일 등 모든 기기들에서 사용되는 앱을 안전하게 보호하겠다는 목적으로 출발했다”면서 “현재 SaaS 기반 소스코드 보호 서비스인 ‘리앱(LIAPP)’을 출시해 서비스 중”이라고 밝혔다.

매우 기술집약적인 기술이어서 개발기간만 1년 가까이 걸렸다. 최 대표는 직장에 다닐 때 주변의 스타트업 하는 친구들이 말하는 “우리가 개발한 앱이 소스코드가 노출되는 게 매우 불안한데 이걸 막을 방법은 없냐?”고 걱정하는 모습을 보면서 기술 개발의 꿈을 키웠다.

지난해 초 제품개발을 완료했고, 중반에는 일부 메이저 금융사들이 제품 적용에 나섰다. 특별히 홍보하지 않았는데도 해외에서 문의가 많이 온다고 했다. 브라질 등 남미와 캐나다 등 북미 지역 업체들이 관심을 많이 보였다고 한다. 특히 중국에 진출한 한 스타트업 대표가 “그간 개발에 벅차 보안에 신경 쓸 겨를이 없었는데 락인컴퍼니 보안제품을 적용해보니 효과가 좋아 매우 만족스럽다”는 피드백을 보내 보람을 느꼈다고 최 대표는 귀띔했다.

락인컴퍼니는 지난해 말 리앱을 무료사용하는 프로슈머 이벤트를 진행하기도 했다. 리앱은 공격자가 안드로이드 앱 소스코드를 디컴파일, 디버깅, 앱 데이터값 실시간 변조 등으로 훔쳐보지 못하도록 보호 조치를 걸어주는 서비스다.

“기존의 앱 위-변조 방지 솔루션과 달리 서비스로 제공되기 때문에 고가의 솔루션을 구입하지 못하는 스타트업도 지적재산권을 보호받을 수 있다. 또한 앱 소스 코드를 보호하기 위해서 기존에 사용했던 난독화 솔루션(소스가 보이긴 하지만 알아보기 힘들게 만드는 것)과는 달리 리앱은 앱의 소스코드를 모두 암호화해 전혀 보이지 않게끔 하는 서비스로 높은 보안성이 특징이다.”

마지막으로 최 대표는 스타트업 창업에 대해 “직장의 각 업무 분야에서 10년 이상 일하면 전문가가 된다. 따라서 착실히 직장에서 경험을 쌓고 철저히 준비하는 게 많은 도움이 된다. 특히 B2B로 운영되는 아이템의 경우엔 조직 경험이 매우 강점이 된다”고 조언했다.