영국의 금융 IT 서비스 Starling Bank의 기술 세미나 참여 후기 (ft. Londroid) - 모바일 앱 보안 방법에 대하여

1. (tmi입니다.. 어떻게 가게 되었는지...)

런던에 도착해서 호스텔에서 플랏으로 이사 전날 오랜만에 메일을 뒤져보니 Meetup에서 보낸 메일이 있었다.

Londroid에서 온 메일이었는데, Starling Bank 라는 회사에서 기술 세미나를 연다는 내용이었다.

그렇지만 이미... 며칠이 지난 메일이었고, 또... limited ticket이라고 명시되어 있었고, 이미 RSVP는 다 끝난 상황이었다.

그렇지만 발표하는 두 세션이 모두 흥미 있는 내용이었다. (심장이 아팠다...)

 

프래그먼트 테스트 방법과 보안! (프래그먼트 테스트 방법은 이해가 부족해서 후기에서 제외했다.)

 

그래서 뉴비 버프를 받아보고자 메일로

'내가 저번 주에 런던에 도착했는데... 바빠서 메일을 못 봤구...😿너무 가고 싶은데... 남는 티켓 없니...? 있으면 나 주라... 😿'

라고 보냈고...

 

비바람을 맞으며 여행을 하던 중에 메일이 도착했다!

 

'안녕, 내가 Londroid list에 너 올렸어. 와서 너 ㅇㅇ리스트에 올라있다고 말하면 돼.

나 등록할 때 있을 거니까 그때 보자! 런던에 온 걸 환영해!'

 

Yay!

 

 

---

2. 세션 -  Mobile App Security at Starling Bank

모바일 앱에 대한 위협과 대응 방법에 대한 기술을 다뤘다.

 

• 위협에는 저장된 데이터를 가로채가는 것, Man-in-the-middle, Reverse engineering, Application re-packing, Runtime behaviour changes, Untrusted execution environment이 있음.
•  저장된 데이터를 훔쳐가는 것 → malware를 통해 데이터를 수집하는 것, 디바이스를 훔쳐서 분석하는 것이 있음.
  • 저장된 데이터를 암호화 해야 함. (AndroidX에서 지원하는 암호화나 서드파티 라이브러리를 이용함)
• Man-in-the-middle은 Dodgy device manufactures나 Corporate network, Free WiFi access points 등에서 나타날 수 있음.
  • Certificate를 주기적으로 업데이트 해서 안정성을 높임.
• Reverse Engineering을 통해서도 보안이 위협될 수 있는데 직접 Decompile을 해서 어떤 정보가 노출 되고 있고, 어떤 정보를 빼야 하는지 등을 점검하는 것이 좋음.
  • Proguard/R8, 로직을 Native code로 이동시키는 방법, 심화된 난독화, 클래스 및 스트링 암호화를 통해 해결하고 주기적으로 난독화가 제대로 되고 있는지 확인하는 것이 좋음.
• 보안 솔루션으로는 Google SafetyNet API, DexGuard, DexProtector, Arxan, Promon, whiteCryption이 있음.
• Root Detection 필요, 사용자가 Debugger를 사용하고 있는지, 사용한 적이 있는지도 체크해서 보안에 반영해야 함.

그 외 나왔던 내용 중에 기억에 남는 내용들은 

 

• 절대 앱 보안에 안주하지 말 것.
• 할 수 있는 모든 프로텍션들을 다 할 것.
• 보안에 있어서는 반복 작업을 나쁘다고 생각하지 말 것.
• 클라이언트에는 최소한의 로직만 가지고 있을 것.

마지막이 인상 깊었던 이유는 저 많은 Protection을 다 하고도 강조한 게 '보안을 위해서는 클라이언트에서는 minimal logic을 가지고 있어라'였다는 점이었다.

 

그 외, Starling bank에서는 의심되는 플로우에서는 단돈 1파운드를 결제하더라도 강화된 보안으로 패스워드 입력을 요구하고 있고, 개인정보를 절대 저장하지 않으며 기기 자체에 저장하는 간단한 값 조차도 모두 암호화 하고 있다고 강조했다.

(이건 슬라이드에 없고 듣기만 한 거라 다를 수도 있습니다...)

---

3. 후기 및 컬쳐쇼크

세션 시작 전에 네트워킹 자리가 있었다.

나는 당연히 공부를 하러 간 거여서 인사 좀 나누고 자리에 앉아서

열심히 들을 준비(한국에서는 보통 다들 태블릿이나 노트북으로 받아적으니까...)를 할 시간인 줄 알았는데...

다들 손에 와인잔이랑 맥주가... 술 마시고 공부를 한다고...?  대한민국에서 온 유교걸로서 좀 충격이었다.

재미있었던 건 만국 공통으로 기술 컨퍼런스 선물은 텀블러나 리유저블 컵이라는 걸 알았다. (잘 쓰고 있다...)

 

그리고... 한국보다 참석자 성비가 극악이었다. 개발자로서 참석한 여성이 나를 제외하고 한 두 명이었다.

선진국이라서 여성 개발자가 한국보다 더 많지 않을까 하는 기대가 조금은 있었는데 아쉬웠다.

 

프래그먼트 테스트 방법은 내가 테스트 자동화에 익숙하지 않아서 흥미가 많은 주제였지만 많이 알아듣지 못해서 아쉬웠다.

한국보다 살짝 더 AAC에 대한 관심이나 이해도가 높은 것 같았다. (기가 죽어서 그런 거일 수도 있음)

 

런던에서 첫 기술 세미나 참석이었는데 배울 점도 많고 재미있었다.