App Security Checker 개념

Classic/VPC 환경에서 이용 가능합니다.

App Security Checker를 쉽게 이해하고 활용할 수 있도록 진단 방식과 진단 리포트 등의 개념에 대해 설명합니다.

앱 취약점

모바일 앱을 이용할 때 발생할 수 있는 소스 코드와 동작 방식 등에 존재하는 보안상 약점을 말합니다.
App Security Checker는 현재 아래 6가지 항목을 기준으로 취약점을 진단합니다.

• 안전하지 않은 컴포넌트 구현
• 민감한 정보의 유출 위험
• 안전하지 않은 Build 설정
• 안전하지 않은 SSL 구현
• 안전하지 않은 암호화 사용
• Null Point 역참조

취약점 진단 기준은 계속해서 업데이트될 예정입니다. 취약점 진단 기준에 대한 자세한 내용은 네이버 클라우드 플랫폼 포털의 서비스 > Security > App Security Checker를 참조해 주십시오.

OWASP 취약점

App Security Checker를 사용하면 Open Web Application Security Project(OWASP)에서 선정한 모바일 앱 취약점 10가지 중 9가지 취약점의 존재 여부를 진단 리포트에서 확인할 수 있습니다.

• 확인할 수 있는 취약점: M1, M2, M3, M4, M5, M6, M8, M9, M10

각 취약점에 대한 자세한 설명은 OWASP Mobile Top 10을 참조해 주십시오.

진단 방식

App Security Checker의 진단은 다음과 같이 진행됩니다.

• 진단에 필요한 apk 또는 aab 형식의 안드로이드용 앱 패키지를 업로드하면 진단이 시작됩니다.
• 업로드 된 앱 패키지를 대상으로 Analyzer에 진단을 요청합니다.
• Analyzer에서 앱 패키지를 분석해 취약점을 탐지합니다.
• 탐지된 취약점에 대한 적절한 대응 방안을 제시합니다.

진단 리포트

취약점 진단을 마치면 진단 결과를 집약한 리포트를 받을 수 있습니다. 리포트는 진단 대상, 진단 시간 등 진단 작업에 대한 정보와 함께 발견된 취약점의 종류, 위험도, 개수 등을 포함합니다. 또한, 발견된 취약점들에 대한 상세 설명과 발견된 위치와 함께 상세 대응 방안도 기술되어 있습니다.
진단 완료 여부는 알림 설정을 한 경우 이메일 또는 휴대폰 SMS로 확인할 수 있으며, 진단 리포트를 콘솔에 접속하여 확인할 수 있습니다.