[캡스톤 디자인] 안드로이드 앱 취약점 분석

Gang_2 2022. 9. 27. 16:54

2022년 1학기에 캡스톤 디자인이라는 강의를 들었습니다.

3월 ~ 6월, 혼자 한 학기 동안 원하는 주제를 잡은 후 프로젝트를 진행하는 수업입니다.

그래서 저는 안드로이드 앱 취약점 분석을 주제로 잡았습니다.

취약점 분석을 진행하기 위해 KISA에서 2015년 12월에 발표한 모바일 대민서비스 보안취약점 점검 가이드를 이용하였습니다.

가장 최근으로는 2021년 12월에 개정되었습니다.

분석을 진행할 당시 받았던 가이드 라인으로 진행했기 때문에 2015년 버전으로 진행하였습니다.

다음 프로젝트를 진행할 땐 2021년 버전으로 분석할 계획입니다.

일단 2015년과 2021년 가이드의 내용은 진단 방법이 최신화가 되었을 뿐 전체적으로는 동일하기 때문에 큰 차이가 없을 것이라고 생각합니다.

2015년 버전 기준으로 보면, 크게 기능 보안취약점 진단 방법과 소스코드 보안약점 진단 방법을 확인할 수 있습니다.

저는 기능 보안취약점 진단에 비중을 두고 시간 관계상 소스코드 보안약점 진단은 자동화 툴을 이용하였습니다.

기능 보안 취약점 진단을 먼저 보겠습니다.

1. 설치 및 삭제

2. 동작

3. 플랫폼

4. 식별 · 인증 및 암호

5. 수집 · 활용 및 배포

이 다섯 가지 항목에 대해서 분석을 진행합니다.

이것만 보면 양이 적어보이지만 항목별로 세부적인 항목이 존재하기 때문에, 총 20가지의 점검 항목이 있습니다.

그리고 항목을 자세하게 보면, 취약점에 대한 설명과 보안대책에 대해서도 서술되어 있습니다.

뿐만 아니라 진단방법, 진단기준에 대한 설명도 있어서 처음 분석을 진행하는 사람들에게 추천해드립니다.

또, 안드로이드 버전과 IOS 버전 각각에 대한 진단방법이 있어서 분석하고자 하는 플랫폼에 맞게 진행하시면 됩니다.

다음 번엔 20가지의 항목에 대한 설명 & 소스코드 보안 취약점에 대해 업로드하겠습니다.

***** 제가 진행했던 앱에 대한 설명이나 분석 보고서의 경우는 혹시 모를 보안상의 이유로 올리지 않을 것입니다! *****