국내외 다수의 금융기관은 여전히 후킹이 쉬운 시스템 API에 의존하여 애플리케이션 보안을 유지하고 있다. 그러나 이러한 시스템 API는 사실상 개발자라면 누구나 쉽게 접근 가능한 공개 함수이며, 이를 우회하기 위해 제작된 리버스 엔지니어링 도구(Frida)와 같은 후킹 툴을 활용하면 보안모듈을 분석하지 않고도 손쉽게 보안 장치를 무력화할 수 있어, 해킹 실력이 낮은 초급 공격자조차 시도할 수 있는 수준이다. 이 때문에 단순한 OS 기반의 보호 방식만으로는 악성 앱 위·변조나 메모리 기반 공격을 효과적으로 막기 어렵다는 지적이 제기된다.
특히 요즘은 악성앱을 사용자 단말에 설치해 기기를 장악한 뒤, 사회공학적 기법을 이용해 금융사고를 일으키는 피싱 범죄가 빈번하다. 만약 시스템 기본 함수만을 이용하는 금융앱이 해커의 후킹 툴에 의해 우회되고, 앱 내부에 악성 송금 로직이 삽입되어 유포된다면, 사용자가 송금하려던 대상이 아니라 해커의 계좌에 송금될 것이기에 지금의 피싱 범죄는 더욱 손쉽게 대규모 피해를 일으킬 수 있다.
에버스핀은 이러한 보안 한계를 극복하기 위해 MTD(Moving Target Defense) 기반 보안 솔루션 ‘에버세이프(Eversafe)’를 공급하고 있다. 에버세이프는 후킹이 쉬운 시스템 API를 사용하지 않아 일반적인 후킹 공격으로는 접근 자체가 어렵다. 또한, 시스템 API 가 아닌 시스콜(Syscall)기반의 보안 코드 역시 주기적으로 변형되는 구조를 적용하여, 업계 최상위 수준의 기술력을 보유한 해커를 제외하고는 쉽게 도전할 수 없는 수준의 보안성을 제공한다.
만약 최상위급 해커들이 MTD 보안조차 우회한다 하더라도 에버스핀은 또 다른 방어선인 RTAS(Real Time Threat Alarm Service)를 제공한다. RTAS는 사용자 기기에 설치된 금융 앱들이 서로를 보호해 주는 서비스로 해커가 이를 무력화하려면 사용자 기기에 설치된 모든 금융 앱을 동시에 변조해서 사용자기기에 설치를 해야 한다. 사실상 이는 현실적으로 불가능에 가까운 시도다.
에버스핀이 RTAS를 구현할 수 있는 이유는, 자사의 또 다른 솔루션인 페이크파인더(FakeFinder)라는 악성앱 탐지 기술이 이미 국내 주요 금융사 60곳에서 제공하는 앱에 탑재되어 누적 4,300만 기기를 보호하고 있기 때문이다. 즉, 페이크파인더(FakeFinder)가 탑재되어 있는 금융앱이 서로를 지켜주며 보호할 수 있는 체계를 갖추고 있고, 이를 RTAS라는 서비스명으로 제공하고 있는 금융 공동 안전망 체계를 갖추고 있음을 의미한다.
차세대 모바일 보안 표준으로 주목받고 있는 MTD 보안은 해외에서도 활발히 연구되는 분야다. 에버스핀의 조사에 의하면 대규모 투자를 받은 미국 실리콘밸리 스타트업 위주로 연구가 진행되고 있으며, 약 12곳의 기업이 다년간 연구를 이어가고 있다.
에버스핀은 전 세계 유일하게 미국, 일본, 유럽, 중국, 한국 등 12개국에서 36건의 특허를 등록해 독보적인 기술적·법적 경쟁 우위를 확보했다. 주목받는 기술인 만큼 고객사에 안전하게 기술을 제공하기 위해서는 글로벌 특허권 확보가 필수적이며, 미국 등의 선진국 특허청으로부터 보호를 받아야만 사업의 지속성과 안전성이 보장된다. 단순히 국내 특허에만 머문다면, 한국의 많은 기업들이 겪었듯 해외 선행 특허에 의해 사업 영속성이 위협받을 수 있다는 점에서, 에버스핀의 글로벌 특허 전략은 큰 신뢰를 고객사들에게 제공한다.
현재 이미 국내 주요 은행과 증권사들이 에버세이프를 도입해 모바일 금융 서비스 보안을 한층 강화하고 있으며, 도입 기관은 점차 확대되는 추세다. 글로벌 금융권에서도 MTD 기반 접근 방식은 ‘차세대 모바일 보안 표준’으로 주목받고 있으며, 에버스핀은 이미 한국과 근접한 일본과 동남아의 주요 대형 금융사 다수에 채택되어 레퍼런스를 확대해 나아가고 있다.
에버스핀의 윤성욱 CTO는 “MTD 보안뿐만 아니라, RTAS를 활용한 다층 보안 체계를 갖추는 것은 단순히 위험을 막는 차원을 넘어, 당사의 기술을 도입한 고객사들이 그들의 앱 이용자들에게 안심하고 앱을 이용할 수 있는 환경을 제공하는 핵심 차별점”이라며 “앞으로도 차세대 보안 표준을 선도하고자 하는 국내외 고객사들과 협력해 국제적 수준의 보안 표준을 제시하고, 모바일 생태계를 더욱 안전하게 만들겠다”고 밝혔다.
