App Security Checker 사용 가이드

가입 절차

App Security Checker를 사용하려면 네이버 클라우드 플랫폼[Financial]에서 제공하는 콘솔 및 리소스 등을 이용하기 위해 네이버 클라우드 플랫폼의 계정이 필요합니다.

네이버 클라우드 플랫폼[Financial]에 가입하면 모든 서비스를 이용하실 수 있으며, 사용한 서비스에 대해서만 요금이 청구됩니다.
이미 계정이 있는 경우에는 해당 단계를 건너뛸 수 있습니다.

• 포털로 이동합니다.
• 오른쪽 상단에 [회원가입] 버튼을 클릭하여 회원가입 페이지로 이동합니다.
• 서비스 이용 약관 및 개인정보수집이용에 대한 안내 문구를 확인하고 동의합니다.
• 법인 및 담당자 정보를 입력합니다.
• 결제수단은 직접입금과 자동이체를 선택하실 수 있습니다.
• 가입한 ID/PW를 통해 로그인하고 결제수단 선택 및 등록을 완료합니다.
• 담당자의 가입정보 및 금융회원여부 검증 후 승인이 완료되면 SSL VPN 계정이 발급되어 메일로 전송됩니다.
• SSL VPN Client 접속 툴을 설치하고 실행하여, 발급된 SSL VPN 계정으로 로그인합니다.
• Financial 콘솔은 Financial 포털에 로그인하여 [Console] 버튼을 클릭하거나, 도메인(www.fin-ncloud.com)을 직접 입력하여 접속 후 사용가능합니다.

[포털](https://www.fin-ncloud.com)에서 가입한 계정으로 [콘솔](https://console.fin-ncloud.com/)에서도 동일하게 사용이 가능합니다.

네이버 클라우드 플랫폼[Financial] 서비스를 사용하기 위해서는 반드시 SSL VPN 접속을 통해 이용가능합니다.

App Security Checker 사용하기

콘솔 접속하기

• 콘솔 접속 후 Security > App Security Checker 메뉴에 접속합니다.

• App Security Checker에 처음 접속하면 다음과 같은 문구가 표시됩니다.

  • 현재 APP Security Checker를 이용하고 있지 않습니다. [이용 신청] 버튼을 클릭하여 신청하세요.

이용 약관 동의하기

• 서비스 이용 약관을 확인하고 동의합니다. (체크 후 [확인] 버튼이 활성화됩니다.)

• [확인] 버튼을 클릭하면 App Security Checker 서비스를 이용할 수 있습니다.

  • 이용 약관 동의 여부는 최초 1회만 확인합니다.

진단 작업 생성하기

진단에 필요한 정보를 입력합니다.
* 모바일 앱에 보안 솔루션이 적용되어 있는 경우, 정확한 취약점 진단이 불가능합니다.
정확한 진단을 위해 보안 솔루션이 적용되지 않은 앱을 등록 해 주세요.

• 입력이 필요한 내용은 크게 3가지입니다.
  • APK 파일 업로드
  • 통보 대상 설정
  • 메모

APK 파일 업로드하기

• APK 파일은 선택하여 업로드할 수 있으며, 마우스로 파일을 끌어다 놓아 업로드할 수도 있습니다.

통보 대상 설정하기

• 통보 대상 관리 목록에 미리 설정한 대상에게 App Security Checker 진단 결과를 전달할 수 있습니다.

• App Security Checker 진단 1건당 통보 대상자를 설정할 수 있습니다.

• 통보는 총 3가지 방식(이메일, SMS, 이메일 + SMS)으로 할 수 있습니다.

메모 입력하기

• 진단에 필요한 메모 내용을 입력하고 [설정 완료] 를 클릭합니다.

• App Security Checker는 최초 진단 후 동일 패키지에 대해 60일간 2건의 무료 진단을 제공합니다.

• 최초 진단 시 아래 팝업이 노출되며, [확인] 버튼을 클릭하면 과금이 발생합니다.

• 무료 진단을 모두 사용한 후에도 아래 팝업이 노출되며, [확인] 버튼을 클릭하면 과금이 발생합니다.

  • 확인을 클릭하지 않고 팝업창을 닫을 시 과금이 발생하지 않습니다.

• App Security Checker에서 제공하는 무료 진단 횟수가 남아 있으면, 아래 팝업처럼 남아 있는 무료 진단 횟수를 확인할 수 있습니다.

• 아래 팝업 화면에서 [확인] 버튼을 클릭하면, 무료 진단 2회 중 1회를 사용하게되며 남은 무료 진단 횟수는 1회입니다.

• 60일 이내 동일 패키지를 재진단하면, 무료 진단 2회 중 2회를 모두 사용하게 됩니다.

• 60일 이내 동일 패키지를 재진단하면, 무료 진단 횟수를 모두 사용하셨으므로 추가 과금이 발생합니다.

• 위 팝업창에서 [확인] 버튼을 클릭하면 App Security Checker 진단이 시작됩니다.

• 만약 먼저 요청된 진단이 많다면 "진단 대기 중" 상태가 유지될 수 있으며, 대기 후 진단을 시작합니다.

진단 작업 생성 후 내용 확인하기

진단 작업 생성 후 상세 내용을 확인합니다.

상세 내용에는 아래의 내용이 표시되어 있습니다.(상태가 "진단 대기 중"인 경우에는 '파일명', '상태', '메모'만 노출되며, 진단이 진행되면서 나머지 내용이 채워집니다.)

• 앱 이름: 업로드된 APK의 앱 이름입니다.

• 패키지명: 업로드된 APK의 패키지 이름입니다.

• 파일명: 업로드된 파일의 이름입니다.

• 앱 버전: 업로드된 APK의 앱 버전입니다.

• Analyzer 버전: 진단 시 사용되는 Analyzer 버전입니다.

• 시작 시각: 진단이 시작된 시각입니다.

• 종료 시각: 진단이 종료된 시각입니다.

• 상태: 총 5가지의 상태가 있습니다.

  • 진단 대기 중: 진단이 시작되지 않은 상태입니다. 현 상태에서만 진단을 취소할 수 있습니다.

  • 진단 중: 진단 진행 중입니다. 현 상태에서는 취소할 수 없습니다.

  • 진단 완료: 진단이 성공적으로 완료된 상태입니다.

  • 진단 실패: 진단이 실패한 상태입니다.

  • 진단 취소: 사용자 혹은 관리자가 진단을 취소한 상태입니다.

• 취약점 개수: 업로드된 APK에서 진단된 취약점 개수입니다.

• 메모: 진단 시 요청한 메모 내용입니다.

• 결과: 최종 진단 결과입니다. '진단 상태'에 따라 노출되는 내용이 다릅니다.

App Security Checker 진단 작업 취소하기

App Security Checker 서비스에서 생성된 진단 작업을 취소할 수 있습니다.

생성된 진단 작업의 최초 상태는 진단 대기 중입니다. 진단 작업 상태가 진단 대기 중인 경우에만 진단 작업 취소가 가능합니다.

• 일괄 취소: 진단 작업 상태가 진단 대기 중인 진단 작업이 모두 취소됩니다.

• 취소: 진단 작업 상태가 "진단 대기 중"인 1개의 진단 작업만 취소됩니다([취소] 버튼이 위치한 열(row)의 진단 작업이 취소).

App Security Checker 리포트 확인하기

진단이 완료되면 [리포트] 버튼이 노출되며, [리포트] 를 클릭하면 App Security Checker 리포트를 확인할 수 있습니다.

• 리포트를 실행하면 '메인 이미지'와 '리포트 안내 문구'를 볼 수 있습니다. '리포트 안내 문구'는 '진단 항목'과 '리포트 항목'에 대해 설명합니다.

• 그 아래에는 분석된 앱의 기본 정보, 권한 정보, 요약 정보가 표시됩니다.

• 기본 정보: 앱 이름, 패키지명, 앱 버전 등 App의 기본적인 정보를 보여줍니다.

• 권한 정보: App이 사용하고 있는 권한 정보들을 보여줍니다.

• 요약 정보: App-Security-Checker에서 진단한 항목들에 대한 요약 정보를 보여줍니다.

• 그 아래에서는 상세한 진단 내용을 볼 수 있습니다.

• 초록색 Box: 진단된 보안 이슈에 대해 알려주는 화면입니다. 현재 예제 화면은 "안전하지 않은 암호화 사용"이라는 보안 이슈(위험 레벨은 'High')가 총 2건 발생했다는 내용을 알려줍니다.

  • 이슈 #1 : 진단된 2개의 "안전하지 않은 암호화 사용" 보안 이슈 중 1개의 이슈 내용을 나타냅니다.

  • 이슈 #2 : 진단된 2개의 "안전하지 않은 암호화 사용" 보안 이슈 중 나머지 1개의 이슈 내용을 나타냅니다.

• 노란색 Box: 이슈 #1("진단된 2개의 "안전하지 않은 암호화 사용" 보안 이슈 중 1개의 이슈 내용")을 진단한 사용자 소스코드를 보여줍니다.

• 이슈 #2의 소스코드는 크게 2가지 영역으로 나뉘어 표시됩니다.

• 소스코드 중 취약한 부분이 호출된 영역을 나타냅니다.

• 소스코드 중 취약한 부분을 호출하는 영역을 나타냅니다.

• 취약한 영역을 확인한 뒤, 수정 가이드를 보며 소스코드의 취약점에 조치를 취할 수 있습니다. 수정 가이드의 링크를 클릭하면, 수정 방법 안내로 이동합니다.

• 진단된 이슈에 대한 수정 가이드를 확인할 수 있습니다.

App Security Checker 진단 결과

오탐과 미탐 가능성 최소화

App Security Checker는 잠재적인 취약점들까지 찾아내는 방식으로 설계/구현되어 탐지율을 최대로 높이고 미탐 가능성은 최소화하였습니다. 하지만 모든 취약점을 100% 완벽하게 찾아낸다고 보장하진 않습니다.

진단 결과의 열람

진단 완료 시 설정한 통보 방식에 따라 이메일과 휴대폰 SMS로 즉시 통보받을 수 있으며 앱 취약점 진단 결과 리포트도 바로 확인 가능합니다.

발견된 취약점 대응

App Security Checker 진단 완료 시 리포트를 제공합니다. 리포트에는 발견된 취약점에 대한 대응 방안이 포함되어 있으므로 가이드로 활용할 수 있습니다.