Security
Platform 2.0 전용
App Security Checker Update
모바일 앱의 정보 유출 위험을 비롯하여 잠재적인 보안 취약점에 대응할 수 있도록 점검합니다.
모바일 앱 서비스 보안에 위협을 줄 수 있는 요소를 세밀하게 진단
App Security Checker는 모바일 서비스의 잠재적인 취약점을 사전에 탐지하고 조치할 수 있도록 신속하고 상세한 검사를 진행합니다. 발견된 취약점에 대응할 수 있는 관련 리포트도 받아볼 수 있습니다.
- 네이버의 보안 검사 노하우가 담긴 진단 엔진
- 네이버는 다년간 모바일 앱의 보안 취약점에 대해 점검하며 많은 노하우를 축적해왔습니다. 이러한 운영 경험을 기반으로 개발된 진단 엔진을 통해 위험도가 높은 취약점 항목에 대해 상세하게 검사할 수 있습니다.
- 보안 이슈에 대한 신속한 대응 가능
- App Security Checker의 분석 엔진은 새롭게 발표되는 다양한 보안 이슈들을 빠르게 업데이트합니다. 이를 통해 최신 보안 이슈들에 대해서도 빠른 대응이 가능합니다.
- 모바일 서비스 보안 위협에 대응할 수 있는 리포트 제공
- 보안 전문가가 아니더라도 이해하기 쉬운 진단 결과 리포트를 제공합니다. 리포트는 탐지된 취약점의 위험성과 공격 시나리오에 대한 기반 지식을 포함하고 있으며, 수정이 필요한 위치를 상세하게 알려주어 보안 위협에 대한 효율적인 대응이 가능합니다.
상세기능
App Security Checker는 모바일 앱의 취약점을 자동으로 진단하는 상품입니다. 마켓 스토어 등록 결격 사유, 잘못된 프레임워크 사용, 개인 정보 유출 취약점에 대한 다양한 진단을 수행하며, 검사가 완료되면 이메일 및 SMS을 통해 결과를 전달 받을 수 있습니다. 취약점에 대응할 수 있는 방안이 담긴 리포트를 통해 공격 시나리오는 물론, 보완이 필요한 코드의 위치 및 수정 방법에 대한 자세한 설명을 확인할 수 있습니다.
서비스 이용 추천 고객
- 기존 모바일 앱의 취약점을 보완하여 서비스의 안정성을 높이고 싶은 고객
- 신규 서비스 출시 전 별도의 보안 검수가 필요한 고객
- 고가의 취약점 진단 도구나 보안 컨설팅 비용이 부담스러운 고객
주요 제공 기능
| 기능 | 설명 |
|---|---|
| 진단 상태 및 결과 확인 | 진단 이력을 웹 기반의 콘솔에서 편리하게 조회할 수 있습니다. 진단이 완료된 건에 대해서는 탐지된 취약점 개수와 결과 리포트를 확인 할 수 있으며, 진단 대기 중인 건에 대해서는 중도 취소도 가능합니다. |
| 알림 설정 | 진단 완료 시 사전에 선택한 방식(이메일, SMS)으로 결과 완료 알림이 전송됩니다. (사전 설정 필요) |
| 진단 리포트 제공 | 진단 결과를 정리하여 리포트로 제공합니다. 리포트는 발견된 취약점에 대한 상세 정보와 더불어 해당 취약점에 대응할 수 있는 방안도 함께 제공합니다. |
진단 항목
| 안전하지 않은 컴포넌트 구현 | 설명 | Android 에서 제공하는 Component의 잘못된 구현으로 발생할 수 있는 보안상 이슈들에 대해 검사합니다. |
|---|---|---|
| 위험성 | 의도하지 않은 타 애플리케이션에서 민감한 정보를 컨트롤하는 컴포넌트를 호출하여 기능을 악용 할수 있으며, Intent를 가로채는 스푸핑(spoofing) 공격 또는 정상 컴포넌트로 위장한 악성 컴포넌트를 노출하는 피싱(phishing) 공격에 이용될 수 있습니다. | |
| 민감한 정보의 유출 위험 | 설명 | 약관에 표시가 필요한 민감한 정보 사용 또는 악성 애플리케이션의 공격 대상이 될 수 있는 민감한 정보 유출에 대한 위험성을 검사합니다. |
| 위험성 | 민감한 정보를 고객의 동의 없이 수집 할 경우 법적인 분쟁 또는 벌금을 통한 금전적 손실을 입을 수 있습니다. 또한 악성 애플리케이션을 통해 민감한 정보가 유출될 수 있는 위험이 있습니다. | |
| 안전하지 않은 Build 설정 | 설명 | 보안적으로 위험 할 수 있는 버전의SDK 사용 또는 공격 대상이 될 수 있는 애플리케이션의 Build 설정을 검사합니다. |
| 위험성 | 취약한 버전의 SDK를 사용할 경우 알려진 취약점을 통한 공격이 가능합니다. 또한 잘못된 Build 설정을 통해 애플리케이션의 로직을 분석하고 변조할 수 있는 취약점이 발생 가능 합니다. | |
| 안전하지 않은 SSL 구현 | 설명 | 마켓 등록 결격 사유가 되거나 정보 유출의 원인이 될 수 있는 안전하지 않은 SSL 구현에 대해 검사합니다. |
| 위험성 | 마켓에 등록을 거절 당할 수 있으며, 중간자 공격으로부터 요청 및 응답 변조를 통한 정보 탈취 및 변조 데이터 전송의 위험이 있습니다. | |
| 안전하지 않은 암호화 사용 | 설명 | 보안적으로 권고하지 않는 안전하지 않은 암호화 사용에 대해 검사합니다. |
| 위험성 | 사전 공격 또는 재전송 공격을 통해 평문이 유출되거나 변조된 암호문 전송의 위험이 있습니다. | |
| Null Point 역참조 | 설명 | 변수에 대한 NULL 값 체크가 미비한 코드를 검사합니다. |
| 위험성 | NullPointerException 이 발생하는 코드는 악성 애플리케이션의 공격에 활용될 위험이 있습니다. |
리포트 항목
| 항목 | 설명 |
|---|---|
| 기본 정보 | 진단을 요청한 사용자와 애플리케이션에 대한 기본 정보 및 검사 시작 종료시간에 대한 정보를 제공합니다. |
| 요약 | 탐지된 보안 이슈에 대한 요약 정보를 리스크 레벨별, 보안 이슈별로 제공합니다. |
| 상세 정보 | 탐지된 보안 이슈의 상세 정보를 제공합니다. 공격 시나리오와 수정이 필요한 구체적인 코드 위치, 그리고 수정 방법에 대한 간략한 정보를 제공합니다. |
| 수정 방법 | 수정 방법에 대한 상세한 설명과 전문적인 보안 지식이 없는 고객의 이해를 돕기위한 백그라운드 정보를 제공합니다. |
리포트 샘플
요금안내
서비스 이용량에 따른 유연한 요금제를 제공합니다.
App Security Checker는 진단 횟수에 따라 이용요금이 부과됩니다.
| 과금 기준 (건) | 이용 요금 (원) |
|---|---|
| 진단 횟수 당 | 200,000원 |
* 최초 진단 후 60일 내 동일한 대상을 다시 진단하는 경우, 추가 2회까지는 별도의 비용이 발생되지 않습니다.
- 동일한 대상이라 함은 최초 진단한 모바일 앱과 패키지 명이 동일한 앱을 의미합니다.
- 재진단 가능 기간이나 횟수를 초과한 경우, 신규 진단 기준으로 요금이 발생됩니다.
* 아래의 경우는 과금되지 않으며 취약점 진단 리포트도 제공되지 않습니다.
- App Security Checker 시스템 상의 문제로 진단이 실패한 경우 이용 요금이 과금되지 않습니다.
- 진단대기 중 진단을 취소한 경우 과금되지 않습니다.
- 진단 중 고객 요청으로 고객지원에서 진단을 중지한 경우 과금되지 않습니다.
이 외에는 정상적으로 과금이 되니, 진단 전에 확인이 필요한 사항들에 대해서 체크해주시기 바랍니다.