Positive Technologies — Information Security, Compliance Management, Consulting. MaxPatrol Compliance and Vulnerability Management System.

모바일 애플리케이션 보안 테스트

모바일 플랫폼을 위해 개발된 클라이언트 서버 애플리케이션의 빠른 성장은 사업 방식은 물론이고 기업의 고객들 간의 상호작용 방식을 변화시키고 있습니다. 그러나 이러한 애플리케이션의 개발은 주로 기능, 사용자 중심의 설계, 기업 브랜딩 등에 의해 주도되기 때문에 보안이 간과되는 경우가 많습니다. 보안이 고려된다 하더라도 모바일 애플리케이션은 여전히 취약점을 포함할 가능성이 크고, 업데이트가 실행될 때마다 새로운 애플리케이션은 도입되기 마련입니다.

따라서, 보안침해가 일어나면 기업에 막대한 재정적 손실과 기업 이미지에 피해를 초래할 수 있으므로 기업이 직면하고 있는 위험은 매우 큽니다. 또한, 은행과 같은 일부 업계는 모바일 e-뱅킹 애플리케이션이 엄격한 산업 규정에 부합해아 하므로 그 부담이 점점 증가하고 있습니다.

Positive Technologies의 전문가들이 실시하는 모바일 애플리케이션 보안 테스트는 기업 모바일 애플리케이션의 보안 수준을 독립적으로 평가합니다. Positive Technologies 전문가들은 모바일 애플리케이션 보안에 광범위한 경험을 구축했으며, 지난 10여 년 간 주요 은행, 글로벌 통신사, 기타 대기업의 네트워크를 보호해 오고 있습니다.

모바일 애플리케이션 보안 테스트 항목:

클라이언트 사이드 애플리케이션 보안 분석 – 자체 설계된 기술 및 툴은 물론이고 Web Application Security Consortium(WASC), Open Web Application Security Project(OWASP) 등 국제적인 기관의 방식들을 사용합니다. 진단 내용은 다음과 같습니다.

  • 모바일 애플리케이션의 자동 검사
  • Positive Technologies 전문가들이 실시하는 취약점 수동 검색
  • 식별된 취약점을 익스플로잇할 수 있는 공격 경로의 체계적인 검색
  • 사기 거래 가능성 판단을 위한 분석

서버 사이드 애플리케이션의 컴플라이언스 감사 – 산업 보안 표준과 업계 모범 사례와의 컴플라이언스 모니터링

서버와 클라이언트 사이드 애플리케이션에서 그레이박스 보안 진단(애플리케이션에 대한 사용자 접근권한을 가진 누군가가 실행하는 공격을 시뮬레이션하는 방식)과 화이트박스 보안 진단(애플리케이션의 소스코드와 아키텍처의 분석 포함)을 실행합니다. 화이트박스 테스트는 시간이 더 오래 소요되지만 취약점이 더 많이 탐지됩니다.

결과

테스트의 주요 결과물인 보고서에는 다음과 같은 사항이 기술됩니다.

  • 발견된 취약점 전체 목록(취약점이 없는 경우에는 그 결과를 입증할 수 있는 결론)
  • 식별된 취약점이 익스플로잇되는 방법을 보여주는 샘플 코드
  • 식별된 취약점 제거 및 취약점 노출 감소 방법 권장
  • 보안 제고를 위한 설정 및 장비 설정에 관한 조언
  • 주요 소프트웨어 업데이트 및 추가 보안 대책 제시