최근 해킹 기술이 발달함에 따라 기업과 개인이 해킹 피해를 당하는 사례가 급격히 증가하고 있다.

홍진선 잉카엔트웍스 연구소장은 20일 경기도 성남시 판교테크노밸리에서 열린 넥스개발자컨퍼런스(NDC2015)에서 '모바일 게임앱 해킹 공격과 그 방어 전략'이란 주제로 강연을 펼쳤다.

그는 현재 잉카엔트웍스에서 연구소장과 CTO를 겸임하고 있으며 디지털 저작권 관리(DRM) 클라우드 서비스인 PallyCon과 앱보안 서비스인 AppSealing 개발에 참여하고 있다.

이날 강연에서 홍 소장은 해킹에 사용되는 툴과 방법을 설명하고 이 같은 공격을 막기 위한 대응책을 소개했다.

홍 연구소장은 " IAP(앱 내부 결제) 해킹으로 인한 금전적인 피해 사례가 보고 되고 있다"며 "별도의 보안 조치 없이 만든 모바일 앱은 모두 해킹의 위험에 노출되어 있다"고 말했다.

해킹은 설계자 및 운영자가 의도하지 않은 동작을 일으키거나 주어진 권한 이상으로 정보를 열람, 복제, 변경하는 행위를 일컫는다.

홍 소장은 "AppSealing 서비스 실데이터를 통한 분석 결과, 국가마다 차이가 있지만 앱 초기 실행 시도의 70%가 해킹을 목적으로 한다"며 "그만큼 해킹 시도가 빈번하다"고 강조했다.

모바일 앱 해킹 방법은 크게 '어뷰징 도구 이용과 '역공학하기' 등으로 나눌 수 있다. 특히 어뷰징 도구는 공격 기능과 구동되는 환경에 따라 다양하게 사용되고 있다. 90% 이상이 중국에서 만들어졌으며 지속적으로 발전·변형된 툴이 등장하고 있다.

그는 "프로그래밍 스킬이 없어도 해당 툴을 이용해 누구나 해킹을 시도할 수 있다"며 "새로운 툴이 지속적으로 출현하고 기능이 향상되고 있다"고 해킹의 위험성을 경고했다.

홍 소장은 어뷰징 도구에 대응하기 위해선 "리눅스 OS를 이해할 필요가 있다"면서 "허가 받지 않은 프로세스가 접근했는지 파악하고 메모리에 적재된 공용 객체를 주지하라"고 당부했다.

이어 "IAP 결제 결과는 반드시 서명을 검증하고 코드를 해석하기 어렵게 만드는 난독화를 통해 해킹에 대응할 수 있다"고 조언했다.

[최지웅 기자 csage82@chosun.com] [gamechosun.co.kr]