(2019.1.18) 점검/감사자 위치에서 준비

기존 앱에서 새로운 서비스를 위해 외부 공인기관을 통해 검증을 받아야 한다.

 

기관에서 배포한 자료에서 검증 항목을 보니 메모리덤프 를 통해 메모리 내에 평문으로 중요 정보를 남기고 있는지를 검증하는 것이 가장 영향도가 커서 통합 보안 솔루션을 구매해서 준비를 했다.

 

외부 공인기관은 보안 솔루션이 탑재된 앱에서 안티디버깅 루팅탐지 부분을 해제해서 달라 하는데 통합 보안 솔루션에서는 부분 부분을 떼어 구동할 수가 없다.

 

결국, 메모리 내에 평문으로 중요정보가 존재하는 것이 지적되었고, 계속 개발자들을 독려, 다독이며 했지만 검증기간 마지막날까지 발견되었다.

 

상대 기관에서 결과 통보를 지연한 실수가 있어 차주까지 연장하기로 시간은 벌었지만 몇가지 보완해야할 것들이 나왔다.

 

1. 상대 기관이 배포한 자료 구석에 안티디버깅, 루팅 탐지 제외된 버전을 달라 써 있는데, 이 문구와 검증 항목간 연관 분석 또는 시나리오를 생각하지 못했다.

 

2. 검증 항목에 대해 구체적으로 어떻게 검증하는지 사업 초기에 알아보지 못한 실수가 있었다.

 

3. 검증 항목에 대해 직접 자체 확인하는 노력이 없었다.

 

4. 앱 개발 시 중요정보 입력, 송신, 수신, 이용 시 중요정보의 암호화 가이드 및 확인 누락

 

모바일 개발 환경을 만들어서 점검 업무를 더 해야겠다. 관령 기준, 가이드, 공문에 따라 자체 기준도 만들어야겠다.

 

아프지만 많이 배웠다.