모바일 애플리케이션 보안 전문기업 ‘락인컴퍼니(대표 최명규)’는 게임 개발사 ‘기어세컨드(대표 김민상)’와 ‘모바일 게임 환경에서의 보안 위협 대응 및 기술 협력을 위한 전략적 업무협약’을 체결했다고 밝혔다.

이번 전략적 제휴는 모바일 게임 앱에 특화된 ‘해킹, 메모리 조작, 리패키징, 치트 툴 삽입, 루팅 환경 실행 등 다양한 보안 위협에 대응하기 위한 체계적인 기술 협력’의 일환으로 추진되었으며, 락인컴퍼니의 통합 보안 서비스 ‘LIAPP(리앱)’을 통해 기어세컨드가 서비스 및 개발하는 게임의 운영 안정성과 사용자 신뢰성 확보를 강화하는 데 목적이 있다.

LIAPP(리앱)은 ‘게임 앱 실행 시점부터 런타임까지의 다양한 공격 벡터를 실시간으로 탐지 및 차단하는 고성능 보안 모듈’을 제공하며, 별도의 소스 수정 없이 바이너리 단위로 보안을 적용할 수 있는 No-Code 기반의 통합 보안 플랫폼이다. 주요 기능으로는 ▲앱 위·변조 및 디컴파일 탐지 ▲디버깅 방지 ▲루팅 탐지 ▲실시간 메모리 보호 ▲네트워크 구간 암호화 ▲개인정보 암호화 저장 등이 있으며, CI/CD 환경 내 자동화 적용 지원 등 게임 개발 및 운영의 보안 유지에 최적화되어 있다 . 또한 LIAPP(리앱)은 ‘앱 재배포 없이 보안 정책을 원격으로 수정할 수 있는 정책 제어 기능’을 제공해, 게임 운영 중 발생하는 보안 위협에 대한 민첩한 대응이 가능하다. 이는 대규모 유저 기반을 보유하거나 빠른 업데이트 주기를 요구하는 게임 서비스에 특히 유용하다.

이번 협약을 통해 기어세컨드는 현재 서비스 중인 게임을 포함하여, 개발 중인 신규 프로젝트에 LIAPP(리앱)을 순차적으로 적용할 예정이며, 이를 통해 게임 앱의 클라이언트 보안 내재화, 비인가 접근 차단, 게임 밸런스 보호, 공정한 플레이 환경 유지를 실현한다는 방침을 가지고 있다.

락인컴퍼니 최명규 대표는 “모바일 게임은 사용자 단말기 환경에 설치되기 때문에 클라이언트 보안의 취약성이 항상 존재한다”며, “LIAPP(리앱)은 복잡한 보안 설정 없이도 다양한 해킹 위협을 실시간으로 탐지·차단할 수 있는 구조로 설계되어 있어, 게임 보안에 있어 높은 ROI(투자 대비 효과)를 기대할 수 있다”고 설명했다.

기어세컨드 김민상 대표는 “글로벌 게임 시장에서 유저 신뢰 확보는 곧 게임의 생명력을 좌우하는 핵심 요소”라며, “락인컴퍼니와의 협력을 통해 보안을 코드 수준이 아닌 시스템 수준으로 끌어올림으로써, 서비스 품질과 운영 효율성을 동시에 향상시킬 수 있을 것”이라고 밝혔다.

양사는 향후 보안 위협 인텔리전스 공유, 게임 해킹 탐지 데이터 분석 협력, 글로벌 서비스에 최적화된 보안 정책 공동 설계 등 ‘지속 가능한 기술 협력 모델’을 함께 구축해 나갈 계획이다.

더 읽어보기

LISS(리스)로 스크린 캡처·녹화 차단 사례 소개 게임을 하다 보면, 결제 후에만 볼 수 있는 유료 스토리, 한정 일러스트, 전략 정보 등 프리미엄 콘텐츠가 종종 등장하죠. 개발사 입장에서는 이런 고급 콘텐츠가 게임의 수익 모델이자 브랜드 가치를 만들어내는 핵심 요소입니다.

요즘 모바일 앱을 통해 제공되는 프리미엄 콘텐츠는 점점 더 다양하고 정교해지고 있습니다. 특히 게임 앱에서는 유료 스토리, 고화질 일러스트, 고급 전략 정보 등 사용자의 결제 유도 요소로 활용되는 콘텐츠들이 많습니다. 하지만 이러한 콘텐츠가 스크린 캡처나 화면 녹화를 통해 무단 유출되는 사례도 꾸준히 발생하고 있어, 개발사 입장에서는 보안에 대한 고민이 깊어지고 있습니다.

오늘은 이러한 고민을 해결한 실제 ‘모바일 앱 보안 서비스 LISS(리스)’의 적용 사례를 소개드리려 합니다. LISS(리스)의 스크린 캡처 및 화면 레코딩 차단 기능을 통해 프리미엄 콘텐츠의 불법 유출을 효과적으로 차단한 사례입니다.

유료 콘텐츠의 무단 캡처 및 영상 유출 유료 콘텐츠를 유출하는 방식은 생각보다 간단합니다. 게임 화면을 스마트폰의 기본 캡처 기능이나 외부 앱을 이용한 화면 녹화로 저장하고, 이를 SNS, 커뮤니티, 영상 플랫폼 등에 공유하면 끝입니다.

문제는 여기서부터 시작됩니다. • 유료 스토리 유출: 결제를 하지 않아도 내용 열람 가능 → 수익 구조 훼손 • 일러스트 유출: 희귀성 상실 → 이용자 과금 유인 저하 • 전략 정보 유출: 경쟁 구조 붕괴 → 게임 밸런스 손상 • 디자인 도용 위험: 제3자가 캡처된 이미지나 영상으로 저작권 침해

즉, 단순한 스크린샷 한 장, 영상 하나가 게임 생태계를 무너뜨릴 수도 있는 것이죠.

LISS(리스)의 스크린 캡처·녹화 방지 기능 ‘LISS(리스)’는 모바일 애플리케이션 보안 전문 기업인 Lockin Company에서 개발한 강력한 앱 보안 서비스입니다. 게임을 포함한 다양한 앱의 보안 위협을 실시간으로 차단하며, 콘텐츠 무단 유출을 방지할 수 있도록 다양한 기능을 제공합니다.

그 중에서도 특히 주목할 기능이 바로 다음 두 가지입니다.

1) 스크린 캡처 차단 • 기본 캡처 기능(Fn+Power, 3손가락 캡처 등) 무력화 • 외부 캡처 앱(예: Screenshot Easy, AZ Screen Recorder 등) 차단 • 민감한 콘텐츠 노출 시 자동 블랙스크린 처리

2) 화면 녹화 방지 • 화면 레코딩 탐지 시 앱 자동 종료 또는 블랙아웃 처리 • 구글 플레이 게임 녹화, 디스코드 오버레이, 스트리밍 도구 감지 가능 • 사용자 및 해커가 화면 녹화 시도 시 경고 메시지 제공

이러한 기능들은 게임 클라이언트 내 민감 콘텐츠 영역에만 적용되도록 세분화된 설정이 가능하다는 점에서 더욱 실용적이었습니다.

실제 적용 사례: 유료 콘텐츠 보호를 위한 LISS(리스) 도입 국내 유명 RPG 게임 제작사는 최근, 자사 게임의 유료 스토리 및 고급 일러스트가 영상 플랫폼을 통해 대량 유출되는 사건을 겪었습니다. 유저 중 일부는 “결제 안 해도 영상 보면 된다”는 식으로 콘텐츠를 소비하고 있었고, 이는 매출 감소로 직결되었죠.

이에 개발사는 LISS(리스)을 도입하여 다음과 같은 조치를 취했습니다. • 스토리 재생 구간과 일러스트 뷰어 기능에 스크린 캡처·녹화 방지 설정 • 스크린 레코더 탐지 시 자동 강제 종료 기능 적용

그 결과, 유출 사례가 급감했으며 커뮤니티에서도 "캡처 안 돼요", "영상 녹화 막혔네?" 같은 반응이 나오며 실제 보안 효과를 체감하게 되었습니다.

유저 입장에선 불편하지 않을까? 일부 유저는 "왜 화면 캡처가 안 되냐", "공유하려고 했는데 안 된다"는 반응을 보이기도 합니다. 하지만 이러한 불편함은 게임 콘텐츠의 가치를 보호하고 모든 이용자에게 동일한 경험을 제공하기 위한 장치라는 점에서 납득할 수 있는 범위 내입니다.

보안 기능 적용 이후 약 1개월 간 • 주요 커뮤니티에서 유출 이미지·영상 업로드 건수가 90% 이상 감소 • 유저 피드백을 통한 인식 개선: “콘텐츠 보호가 철저해졌다는 느낌”, “게임에 대한 신뢰가 간다” • 내부적으로도 콘텐츠 마케팅 전략과 유료 상품 구성에 보안 기반의 자신감 확보

결과적으로, 보안 기능 적용은 단순한 '차단' 그 이상이었습니다. 프리미엄 콘텐츠의 가치를 지키고, 브랜드 신뢰도를 높이는 중요한 수단이 된 셈입니다. 무엇보다 캡처/녹화 차단 기능은 유료 콘텐츠 구간에 한정 적용되기 때문에, 일반적인 플레이에는 거의 영향을 주지 않습니다.

오히려 "정당하게 결제한 사람만이 콘텐츠를 즐길 수 있다"는 신뢰감과 만족도를 제공합니다.

게임 속 유료 콘텐츠는 단순한 그래픽이나 영상이 아닙니다. 그것은 수많은 개발자들의 노력과 창작의 결실이며, 유저와의 약속입니다. 이런 콘텐츠를 무단 유출로부터 지키는 일은 단지 법적 보호가 아닌, 기술적인 보호 조치가 함께할 때 더욱 완벽해집니다.

모바일 콘텐츠의 가치는 보안이 뒷받침될 때 제대로 보호받을 수 있습니다. 특히 프리미엄 콘텐츠를 수익화하려는 앱 서비스라면, 그만큼 더욱 철저한 대비가 필요합니다.

왜 LISS(리스)인가? LISS(리스)는 다음과 같은 이유로 많은 기업이 선택하고 있습니다. • 스크린 캡처/녹화 방지 등 모바일 콘텐츠 보안에 특화된 기능 제공 • 클라우드 기반 대시보드로 실시간 모니터링 가능 • Android, iOS 모두 지원하는 Cross-platform 호환성

LISS(리스)의 스크린 캡처 및 녹화 차단 기능은 단순한 기술적 기능이 아닌, 프리미엄 콘텐츠의 가치를 보호하는 전략적인 선택입니다. 동시에 모바일 게임사들이 콘텐츠 보안을 강화하고, 브랜드 가치를 지켜낼 수 있도록 돕는 현실적인 해결책입니다.

창작의 가치를 지키는 보안, 지금 바로 LISS(리스)으로 확인해보세요.

더 읽어보기

• 12년간 축적된 보안 기술력, 프리미엄 서비스 무료 체험의 기회
• LIAPP for Game, LIAPP Enterprise 30일간 무료로 이용

모바일 애플리케이션 보안 전문기업 ‘락인컴퍼니(대표 최명규)’는 오는 9월 16일 창립 12주년을 맞아 자사의 프리미엄 보안 서비스 ‘LIAPP(리앱)’을 30일간 무료로 체험할 수 있는 특별 이벤트를 진행한다고 밝혔다.

이번 이벤트는 “12년 보안의 기술, 프리미엄 체험의 기회”를 슬로건으로 마련되었으며, LIAPP을 처음 접하는 신규 고객은 물론 기존에 Onsite 또는 Business 서비스를 경험한 고객도 참여 가능하다. 신청자는 LIAPP 프리미엄 서비스 중 하나를 선택하여 ‘30일간 무료 체험’할 수 있다. 제공 서비스에는 ‘국내외 글로벌 게임사가 채택한 게임 특화 보안 서비스’와 ‘대기업 및 금융기관이 사용하는 엔터프라이즈 보안 서비스’가 포함된다.

락인컴퍼니의 최명규 대표는 “이번 이벤트는 지난 12년간 축적해 온 LIAPP의 보안 기술력을 고객이 직접 체험하실 수 있도록 마련한 자리”라며, “특히 LIAPP 프리미엄 PLAN의 강력한 보안 기능을 경험하고 싶었지만 기회가 없었던 고객분들께도 이번 이벤트가 소중한 체험의 기회가 되길 바란다”고 말했다. 이어 “락인컴퍼니는 앞으로도 고객의 서비스 안정성과 성장을 지원하는 든든한 파트너로서 최선을 다하겠다”고 밝혔다.

다수의 글로벌 특허와 글로벌 보안 수상의 이력을 가지고 있는 락인컴퍼니는 모바일 애플리케이션 보안 분야의 기술을 선도하는 전문 기업으로, 글로벌 시장에서 다양한 산업군의 고객에게 안정적이고 검증된 보안 솔루션을 제공하고 있다. 대표 서비스 ‘LIAPP(리앱)’은 앱 보호, ‘LISS(리스)’는 화면 보안, ‘LIKEY(라이키)’는 키 보안에 특화되어 있으며, 게임·금융·이커머스·콘텐츠 서비스 등 폭넓은 분야에서 활용되고 있다.

더 읽어보기

전자민원 앱, 보안이 생명입니다 – LIAPP(리앱)으로 더 강력해진 사용자 인증 전자민원 서비스를 이용해보신 적 있으신가요?

정부24, 국민신문고, 민원24 등 다양한 공공기관 앱들은 이제 국민들의 일상 속에서 없어서는 안 될 필수 서비스가 되었습니다. 하지만 민감한 개인정보와 행정 정보를 다루는 만큼 강력한 보안이 생명입니다. 최근에는 이러한 전자민원 앱의 사용자 인증 강화를 위해 ‘모바일 보안 서비스 LIAPP(리앱)을 적용하는 공공기관이 늘고 있는데요. 특히, 보안 키패드를 통한 로그인 과정까지 보호해주는 LIAPP의 역할이 주목받고 있습니다.

오늘은 그 적용 사례와 함께 LIAPP이 어떻게 우리의 정보를 지켜주는지 자세히 알아보겠습니다.

왜 전자민원 앱 보안이 중요한가요? 전자민원 앱은 단순한 정보 조회를 넘어 주민등록등본 발급, 세금 납부, 민원 신청 등 중요한 행정 서비스를 제공합니다. 이 과정에서 개인정보 유출, 인증 위조와 같은 보안 위협에 노출되기 쉬운 구조를 가지고 있죠.

특히 스마트폰을 기반으로 한 앱 서비스 특성상 다음과 같은 위협이 존재합니다. • 루팅/탈옥된 기기에서의 접근 • 악성 앱을 통한 메모리 해킹 • 스크린 캡처를 통한 정보 탈취 • 보안 키패드의 입력값 탈취

이런 위협에 대응하기 위해 필요한 것이 바로 모바일 앱 보안입니다.

LIAPP(리앱)이란? LIAPP(리앱)은 모바일 애플리케이션 보안 전문 기업인 Lockin Company에서 개발한 모바일 보안 글로벌 서비스입니다. LIAPP은 앱 실행 시 보안 위협을 실시간으로 탐지하고, 악성 행위로부터 앱을 보호하며, 인증 정보를 안전하게 처리할 수 있도록 설계되어 있습니다.

주요 보안 기능은 다음과 같습니다. • 앱 위·변조 방지 • 루팅/탈옥 탐지 • 메모리 해킹 방지 • 보안 키패드 보호 • 스크린 캡처 차단 • 디버깅 탐지 및 방지 • 실시간 보안 정책 적용

공공기관에 적용된 LIAPP 사례 최근 여러 중앙부처 및 지방자치단체에서 운영하는 전자민원 앱에 LIAPP이 도입되었습니다. 이들은 특히 사용자의 로그인 화면과 보안 키패드 입력 구간에 LIAPP을 집중 적용하여, 사용자 인증의 핵심 구간을 안전하게 보호하고 있습니다.

민원 앱 로그인 보안 강화 한 공공기관에서는 민원 앱 내 로그인 시 보안 키패드를 사용하여 사용자 ID 및 패스워드를 입력받는 구조를 운영하고 있었습니다. 하지만 이 입력 과정이 화면 캡처나 키 입력 해킹에 취약하다는 문제가 있었죠.

이에 락인컴퍼니의 보안 3총사 LIAPP과 LIKEY, LISS을 적용하여 다음과 같은 보안 효과를 얻었습니다: • 스크린 캡처 및 화면 미러링 차단 • 디버깅 및 리버스 엔지니어링 탐지 차단 • 루팅된 기기에서의 앱 실행 차단

결과적으로 민원인의 정보 유출 가능성이 현저히 낮아지고, 서비스 신뢰도는 훨씬 높아졌습니다.

사용자 입장에서 느끼는 보안의 변화 LIAPP과 LIKEY, LISS가 적용된 앱은 사용자 입장에서도 눈에 띄는 안정감을 제공합니다. 보안 키패드가 일반 키패드보다 조금 다르게 작동하고, 화면 캡처가 차단되어 일부 불편함이 느껴질 수 있지만, 이는 사용자의 개인정보를 지키기 위한 필수적인 보호 장치입니다. 무엇보다 사용자는 앱을 안심하고 사용할 수 있게 되었고, 공공기관도 보안 사고로 인한 리스크를 크게 줄이는 효과를 보고 있습니다.

혹시 여러분이 사용하는 민원 앱은 얼마나 안전한가요? 디지털 시대, 민원 서비스도 스마트폰으로 손쉽게 이용할 수 있는 시대가 되었습니다. 하지만 편리함 뒤에는 반드시 철저한 보안이 뒷받침되어야만 합니다. 모바일 보안 서비스 ‘LIAPP(리앱)’은 전자민원 앱이 안심하고 이용될 수 있도록 해주는 든든한 파수꾼입니다. 앞으로도 더 많은 공공기관이 이러한 보안 기술을 도입하여, 국민 모두가 신뢰할 수 있는 디지털 행정 서비스를 경험할 수 있기를 기대해봅니다. 공공서비스 앱에 보안이 강화되어 있는지 관심을 가져보는 것도 디지털 시민으로서의 중요한 자세입니다.

더 읽어보기

모바일 애플리케이션 보안 전문 서비스 LIAPP(리앱)은 구글이 Android 15부터 도입하는 새로운 ‘16KB 페이지 사이즈 지원 정책’에 대해 모든 기술적 대응을 완료하였다고 밝혔다. 이번 대응을 통해 LIAPP(리앱)은 글로벌 플랫폼 변화에 신속히 부합하며, 고객사와 파트너사가 향후 Google Play의 새로운 요구사항을 충족하는 데 있어 어떠한 추가적인 부담도 없이 서비스를 안정적으로 운영할 수 있도록 지원한다.

구글은 Android 15부터 기존의 4KB 페이지 사이즈와 함께 16KB 페이지 사이즈를 공식 지원하며, 2025년 11월 1일부터 Google Play에 신규 등록되거나 업데이트되는 Android 15 이상 대상 앱에 대해 ‘16KB 페이지 사이즈 호환성 확보를 필수 요건’으로 제시했다. 이는 앱 실행 속도 향상, 배터리 효율 개선, 시스템 안정성 강화 등 사용자 경험을 개선하기 위한 조치로 평가된다.

LIAPP(리앱)은 이번 정책 변화에 선제적으로 대응하기 위해 보안 모듈 전반에 대한 기술 검증과 안정성 테스트를 진행했으며, 그 결과 모든 보안 기능이 16KB 페이지 환경에서도 문제없이 동작한다는 사실을 확인했다. 이에 따라 LIAPP(리앱)을 도입한 개발사와 서비스 제공 기업은 별도의 수정 작업 없이도 새로운 구글 정책을 충족할 수 있으며, 보안 기능과 성능 간 균형을 유지한 최적의 서비스를 제공할 수 있다.

아울러, 락인컴퍼니가 함께 서비스하고 있는 ‘LISS(리스)’와 ‘LIKEY(라이키)’ 또한 구글의 16KB 페이지 사이즈 정책에 대한 대응을 완료하였다. ‘LIAPP은 앱 보호’, ‘LISS는 화면 보안’, ‘LIKEY는 키 보안’에 특화된 보안 서비스로, 세 서비스 모두 보안 모듈 및 핵심 기능이 16KB 페이지 환경에서 안정적으로 동작하도록 준비를 마쳤다. 이를 통해 락인컴퍼니는 다양한 산업군의 고객사가 플랫폼 변화 속에서도 안정적이고 안전한 서비스를 지속적으로 운영할 수 있도록 지원한다.

락인컴퍼니의 최명규 대표는 “플랫폼 환경은 끊임없이 변화하고 있으며, 보안 역시 이러한 변화를 선도적으로 반영하기 위해 끊임없이 노력하고 있다”며 “이번 Android 15의 16KB 페이지 사이즈 지원에 대한 대응 완료는 LIAPP, LISS, LIKEY가 고객사의 안정적인 서비스 운영을 지원하기 위해 락인컴퍼니가 철저히 준비하고 있다는 것을 보여주는 신뢰의 모습”이라고 말했다. 이어 “앞으로도 락인컴퍼니는 글로벌 보안 규제와 플랫폼 정책 변화에 신속하게 대응하며, 고객에게 최상의 보안 환경을 제공하기 위해 최선을 다할 것”이라고 밝혔다.

락인컴퍼니가 서비스하는 LIAPP, LISS, LIKEY는 글로벌 게임사, 금융 서비스, 이커머스, 콘텐츠 서비스 등 폭넓은 산업군에서 활용되고 있으며, 이번 구글 정책 대응 완료를 통해 ‘글로벌 플랫폼 변화에 빠르고 능동적으로 대응하는 신뢰할 수 있는 보안 서비스 파트너’로서 국내외 서비스 및 개발업체의 글로벌 경쟁력을 함께 성장시킬 계획이다.

더 읽어보기

공정한 게임을 위한 선택 모바일 게임을 개발하거나 운영해본 경험이 있는 분들이라면 누구나 한 번쯤 ‘치팅’(cheating) 문제로 고민해본 적이 있을 것입니다. 게임 밸런스를 깨고, 다른 사용자에게 불공정한 이점을 주며, 결국에는 전체 게임 커뮤니티의 신뢰를 무너뜨리는 치팅 행위.

그중 가장 대표적인 방법이 바로 루팅(Rooting)된 기기를 이용한 시스템 해킹입니다.

오늘은 이러한 문제를 해결하기 위해 ‘모바일 보안 서비스 LIAPP(리앱)’을 도입하고, 루팅 탐지 및 실행 제한 기능을 적용하여 치팅을 효과적으로 차단한 실제 사례를 소개합니다.

루팅 디바이스란? 왜 위험한가요? 루팅은 일반적으로 제조사나 통신사에서 제한해 놓은 안드로이드 운영체제(OS)의 시스템 권한을 사용자(혹은 해커)가 직접 획득하는 행위를 말합니다. 루팅을 하게 되면 아래와 같은 위험 요소들이 발생합니다. • 시스템 파일 변경 및 보안 정책 우회 가능 • 치팅 도구나 메모리 해킹 앱 실행이 자유로움 • 게임 앱의 내부 데이터를 조작하거나 암호화 우회 • 해킹툴을 이용해 인앱 결제 우회, 무제한 자원 생성 등

즉, 루팅된 기기에서는 어떤 보안 장치도 뚫릴 수 있다는 말이 과언이 아닐 정도입니다.

실제 사례: 루팅 환경에서의 치팅 확산 로그를 추적한 결과, 공통점이 드러났습니다. • 루팅된 디바이스에서 실행 • 메모리 조작 툴 사용 • 내부 스크립트 및 자산 데이터 위변조

결국 이들은 루팅된 환경에서 게임 리소스를 무단으로 조작하여 빠른 성장과 높은 순위를 확보, 정상 유저와의 격차를 벌리는 치팅을 자행하고 있었던 것입니다.

LIAPP 도입으로 치팅 차단에 성공 해당 게임사는 사태의 심각성을 인지하고, 신속하게 모바일 앱 보안 솔루션인 LIAPP(리앱)을 도입했습니다. LIAPP은 모바일 게임에 최적화된 다양한 보안 기능을 제공하며, 특히 루팅 탐지와 실행 제한 기능에 강점을 가지고 있습니다.

적용된 보안 기능

1) 루팅 탐지 및 앱 실행 차단 • 루팅된 디바이스에서 앱을 실행할 경우 자동 차단 • su 바이너리, BusyBox, Magisk 등 루팅 흔적을 정밀 탐지 • 루팅 우회 시도까지 감지하여 완전 차단

2) 치팅 툴 및 해킹 앱 탐지 • GameGuardian, CheatEngine, Lucky Patcher 등 인기 치팅 도구 탐지 • 앱 실행 중 해킹 툴 감지 시 즉시 앱 종료 또는 경고 표시 • 치팅 시도 이력 서버에 기록 → 유저 제재 근거로 활용

3) 비정상 환경에 대한 사용자 대응 로직 추가 • 루팅 탐지 시 사용자에게 사유 안내 및 복구 유도 • 앱 무력화가 아닌 유연한 보안 UX 구성으로 반발 최소화

개발사 인터뷰 “예전에는 치터 한 명이 전체 서버를 흔들 수 있었습니다. 지금은 LIAPP 도입 이후, 그 위험이 거의 사라졌고 운영팀이 본래 역할에 집중할 수 있게 되었죠.”

보안 적용 이후 달라진 점 보안 적용 후 약 한 달간, 다음과 같은 긍정적인 변화가 있었습니다. • 루팅 기기 기반의 치팅 시도 100% 차단 • 해킹 유저 제재로 정상 유저의 만족도 상승 • 게임 평점 회복, 구글 플레이스토어에서의 신뢰도 향상 • 커뮤니티 및 SNS상에서 “공정성 확보”에 대한 호평 다수

무엇보다, 정상 유저들이 이탈하지 않고 더 오래 머물게 되는 기반을 마련했다는 점이 가장 큰 수확이었습니다.

보안은 공정함을 위한 첫 걸음 모바일 게임에서 ‘재미’와 ‘경쟁’은 뗄 수 없는 요소입니다. 그러나 경쟁의 기반이 불공정하다면, 그 게임은 결코 오래갈 수 없습니다. 특히 루팅과 치팅 행위는 기업의 매출 손실은 물론, 정상 유저 이탈과 브랜드 이미지 실추로 이어질 수 있는 매우 위험한 요소입니다.

LIAPP은 복잡한 개발 없이도 빠르게 적용 가능하며, 다양한 보안 기능을 조합하여 게임의 보안 생태계를 구축할 수 있는 스마트한 선택입니다.

치팅 유저 한 명을 막는 것보다, 치팅 환경 전체를 차단하는 것이 진짜 보안입니다. 오늘 소개한 사례처럼, 루팅 탐지와 실행 제한 기능만으로도 게임의 공정성과 유저 경험은 크게 향상될 수 있습니다. 모바일 게임 운영자라면, 지금 바로 ‘LIAPP(리앱)’’을 통해 보안을 한 단계 끌어올려 보세요.

더 읽어보기

LIAPP(리앱)을 통한 온라인 카지노 위협 대응 사례 최근 온라인 카지노 산업이 빠르게 성장하면서 전 세계 수많은 사용자들이 스마트폰으로 간편하게 게임을 즐기고 있습니다. 하지만 편리함 뒤에는 금전과 직결되는 보안 위협이 상존합니다. 특히 게임 내 현금화 가능한 토큰이나 포인트는 해커들의 주요 공격 대상입니다.

오늘은 실제 온라인 카지노 앱에서 발생한 토큰 탈취 사고를 소개하고, 이후 ‘모바일 보안 서비스 LIAPP(리앱)’을 적용하여 어떻게 보안을 강화했는지 그 구체적인 대응 과정을 공유합니다.

사건 개요: 토큰 탈취 및 협박 모 유명 온라인 카지노 앱에서 심각한 보안 사고가 발생했습니다. 해커는 앱의 취약한 보안 구조를 이용해 내부 로직을 분석하고 조작함으로써, 게임 토큰 수백만 개를 무단으로 생성해냈습니다. 이 토큰은 플랫폼 내에서 현금으로 전환 가능한 자산이었고, 결과적으로 수천만 원 상당의 피해가 발생했습니다. 사건 이후, 해커는 이를 근거로 운영사에 협박 메시지를 보냈고, 이로 인해 기업은 한동안 서비스 중단과 법적 대응, 사용자 신뢰 하락이라는 3중고를 겪었습니다.

보안 미흡의 원인 당시 앱은 다음과 같은 보안적 허점을 안고 있었습니다. • 클라이언트 내 게임 로직 노출 (디컴파일 시 쉽게 분석 가능) • 토큰 처리 로직이 메모리상 노출, 실시간 값 조작 가능 • 앱에 대한 위변조/리패키징 탐지 기능 부재 • 루팅된 기기에서도 앱 실행 가능, 해킹 툴 탐지 미흡

이러한 약점은 해커에게 완벽한 공격 환경을 제공했고, 실제로 메모리 값을 조작해 토큰을 무제한 생성하는 방식으로 악용되었습니다.

LIAPP(리앱) 적용을 통한 대응 사고 이후, 해당 기업은 빠르게 보안 대응에 나섰고, ‘모바일 앱 보안 전문 서비스인 LIAPP(리앱)을 도입하게 됩니다. LIAPP은 클라이언트 단에서 다양한 보안 기능을 실시간으로 수행하여 토큰 탈취와 같은 자산 공격을 원천 차단합니다.

주요 보안 기능 적용

1) 위변조 방지 및 무결성 검증 • 앱이 변조되거나 재패키징되었을 경우 실행 차단 • 앱 코드의 무결성을 체크하여 외부 삽입 코드 감지 • 서명 위조나 악성 모듈 주입 등 공격 시도 무력화

2) 실시간 메모리 보호 • 게임 토큰처럼 실시간으로 조작 가능한 값에 대한 보호 기능 • 메모리 해킹 도구 (GameGuardian, CheatEngine 등) 탐지 및 종료 • 내부 변수에 대한 실시간 보호로 해커의 메모리 변경 시도 차단

3) 루팅 및 해킹 툴 탐지 • 루팅된 기기, 디버깅 툴, 리버싱 툴 감지 후 앱 실행 제한 • 해킹 툴 실행 환경에서는 앱 자동 종료로 공격 무력화

4) 클라이언트 로직 난독화 및 코드 암호화 • 핵심 게임 로직 분석 불가하게 보호 • 디컴파일 방지로 리버스 엔지니어링 차단

보안 적용 이후 효과 보안 적용 이후, 해당 카지노 앱은 다음과 같은 눈에 띄는 변화를 경험했습니다: • 토큰 조작 시도 100% 차단 • 해킹 툴 탐지 로그 확보 → 대응 강화 • 앱 분석/변조 시도 실시간 차단 → 비인가 사용자 차단 • 사용자들의 신뢰 회복 및 이용률 정상화 • 해외 운영 규제 대응 및 보안 감사에 유리한 기반 확보

무엇보다, "현금화 가능한 자산은 반드시 보호해야 한다"는 인식이 명확해졌고, 이를 실현할 수 있는 실질적인 보안 조치를 마련했다는 점에서 큰 의미가 있습니다.

온라인 카지노 앱은 단순한 게임을 넘어 실제 자산이 오가는 디지털 금융 플랫폼입니다. 그러므로 보안은 '선택 사항'이 아니라, 사업 지속을 위한 생존 조건입니다. 이번 사례처럼 한 번의 보안 사고는 수년간 쌓은 신뢰를 무너뜨릴 수 있습니다. 하지만 올바른 보안 전략과 솔루션을 적용하면, 다시 신뢰를 회복하고 더 강한 서비스로 거듭날 수 있습니다.

LIAPP(리앱)은 온라인 카지노, 게임, 핀테크 등 자산이 오가는 앱 환경에서 반드시 필요한 보안 서비스입니다.

지금 이 순간에도 해커는 당신의 앱을 노리고 있을 수 있습니다. 사전 예방, 지금 시작하세요.

더 읽어보기

LIAPP을 통한 개인정보 보호 사례 소개 요즘 도시 곳곳에서 쉽게 이용할 수 있는 공공 자전거 서비스. 누구나 모바일 앱 하나로 근처 자전거를 대여하고, 간편하게 이동할 수 있어 많은 분들이 애용하고 있습니다. 하지만 이런 편리함 이면에는 사용자 개인정보 유출이라는 보안 위협이 도사리고 있다는 사실, 알고 계셨나요?

오늘은 공공 자전거 앱의 개인정보 보호를 위해 모바일 APP 보안 서비스 LIAPP(리앱)을 도입하고, 저장 데이터 암호화 및 위변조 탐지 보안을 적용한 실제 사례를 소개해 드리겠습니다.

개인정보 유출, 남의 일이 아닙니다 공공 자전거 앱은 단순한 대여 기능 외에도 다양한 정보를 수집하고 처리합니다. • 이름, 전화번호 등 사용자 기본 정보 • 결제 수단 정보 (카드 등록, 간편결제 등) • GPS 기반의 이용 위치 및 이동 경로 • 대여/반납 이력 및 시간대 분석 정보

이러한 데이터는 대부분 앱 내 저장소나 서버와의 통신을 통해 처리되며, 보안이 제대로 적용되지 않은 경우 해커의 손에 넘어갈 위험이 큽니다. 특히 단말기에 저장된 데이터는 디바이스를 탈취하거나 루팅된 기기에서 쉽게 접근될 수 있기 때문에, 철저한 보호가 필요합니다.

LIAPP(리앱)을 통해 적용된 보안 기능 해당 공공 자전거 운영사는 사용자들의 개인정보를 보다 안전하게 보호하기 위해, 모바일 앱 보안 서비스 LIAPP(리앱)을 도입했습니다. LIAPP은 앱 내부에 쉽게 통합 가능한 보안 SDK로, 앱 실행 시 다양한 위협 요소를 탐지하고 자동 대응할 수 있습니다.

1. 코드 난독화, 암호화 앱 내에 저장되는 사용자 정보 (예: 로그인 정보, 최근 대여 이력 등)를 모두 암호화 처리하여, 다음과 같은 보안을 실현합니다. • 루팅 기기나 디컴파일 도구를 통한 접근 차단

2. 앱 위변조 및 무결성 탐지 • 앱이 변조되거나 리패키징되어 악성 코드가 삽입된 경우 자동 탐지 및 실행 차단 • 해킹툴, 디버깅 도구, 루팅 탐지 등을 통해 해커의 분석을 방지 • 무단 배포된 악성 버전을 통한 개인정보 탈취를 원천 차단

적용 이후 효과 해당 운영사에서는 LIAPP 보안 적용 이후 다음과 같은 개선 결과를 얻었습니다. • 해킹 도구를 활용한 정보 접근 시도 100% 탐지 및 차단 • 루팅 기기 및 비정상 환경에서의 앱 실행 자동 종료 • 사용자 신뢰도 향상으로 앱 평점 및 이용률 증가 • 공공기관으로부터의 보안 인증 대응도 수월해짐

특히 최근 개인정보보호법 강화 및 행정기관 보안 감사 강화 흐름에 맞춰, 기술적 보호 조치를 선제적으로 취한 사례로 주목받고 있습니다.

개인정보 보호, 이제는 선택이 아닌 필수 모바일 앱의 보안 위협은 점점 더 지능화되고 있습니다. 특히 공공 서비스나 사회 인프라와 연결된 앱이라면, 사회적 책임과 신뢰 확보를 위해 보안은 반드시 선행되어야 할 과제입니다. LIAPP(리앱)은 복잡한 개발 없이도 빠르게 적용 가능한 클라우드 기반 보안 솔루션으로, 수많은 공공기관, 금융, 유틸리티 앱에서 이미 사용되고 있습니다.

마무리하며 공공 자전거 앱처럼 시민들이 일상적으로 사용하는 서비스일수록 보안에 대한 신뢰는 곧 서비스의 생명입니다. 사용자에게 편리함을 제공하는 것 이상으로, 안전한 데이터 환경을 제공하는 것이 진정한 디지털 전환의 핵심이 아닐까요?

LIAPP은 여러분의 앱을 해킹 위협으로부터 보호하고, 사용자 개인정보를 지키는 든든한 파트너가 되어줄 것입니다.

더 읽어보기

모바일 앱 보안 서비스 LIAPP(리앱)을 서비스하는 ㈜락인컴퍼니(대표 최명규)와 게임 서버 플랫폼 뒤끝(BACKND)을 운영하는 ㈜에이에프아이(대표 권오현)는 오는 2025년 8월 15일 저녁, 부산 해운대 인근에서 인디 게임 개발자를 위한 네트워킹 파티 ‘뒤끝있는 리앱과 끝까지 달리는 만남’을 공동 개최한다고 밝혔다.

이번 행사는 「BIC 2025」의 공식 일정 종료 직후 열리는 비공식 부대 행사로, 게임 개발 이후 실질적인 운영 환경에서 마주치는 다양한 기술 과제에 대해 보안과 서버 운영을 중심으로 현업 개발자들이 경험을 공유하고 서로의 인사이트를 나누는 자리로 기획되었다.

행사에는 인디 게임 개발자 및 업계 관계자를 중심으로 ▲미니 기술 토크 ▲보안·서버 운영 Q&A ▲자유 네트워킹 ▲저녁식사 등이 마련되어 있으며, 딱딱한 세미나 형식이 아닌 편안하고 캐주얼한 분위기에서 실질적인 기술 교류가 이뤄질 예정이다.

이번 파티를 주최하는 ㈜락인컴퍼니는 모바일 앱 보안 서비스션 LIAPP(리앱)을 통해 앱 위변조 방지, 행위기반 해킹 탐지, 실시간 보안 정책 적용 등 고도화된 기술을 제공하는 전문 기업으로, 13년간 금융, 게임, 커머스, 공공 앱 등 다양한 산업군에 걸쳐 보안 서비스를 공급하고 있다. 글로벌 보안 인증을 다수 보유하고 있으며, 앱 성능 저하 없이 강력한 무결성을 구현하는 기술력으로 국내외 시장에서 인정받고 있다.

또한 공동 주최사인 ㈜에이에프아이는 게임 백엔드 플랫폼 뒤끝(BACKND)을 통해 로그인, 데이터 저장, 랭킹, 매칭, 푸시 알림 등 게임 서버의 핵심 기능을 통합 제공하고 있으며, 특히 인디 개발자들이 복잡한 인프라 구축 없이도 손쉽게 온라인 게임을 출시할 수 있도록 지원하고 있다. 현재 6,000개 이상의 고객사가 뒤끝을 활용중이며, 8년간의 실제 운영 사례를 통해 검증된 안정성과 효율성을 인정받고 있다.

락인컴퍼니와 에이에프아이는 “이번 만남은 현장 중심의 실무 경험과 개발자 간 연결의 가치를 확장하는 시간”이라며 “게임 개발의 끝까지 함께 달릴 수 있는 기술 파트너로서, 앞으로도 다양한 방식으로 개발 생태계를 지원해 나갈 계획”이라고 전했다.

모바일 게임 개발사라면 누구나 참여할 수 있는 이번 네트워킹 파티의 참가를 원하는 기업은 LIAPP(리앱)의 홈페이지와 뒤끝(BACKND)의 홈페이지에서 간단하게 신청할 수 있다.

모바일 게임 시장은 매년 성장세를 이어가며 전 세계적으로 막대한 수익을 창출하고 있습니다. 그러나 이러한 성장을 가로막는 치명적인 문제가 있으니, 바로 크랙된 APK의 불법 유포입니다. 많은 게임 개발사들이 이로 인해 인앱결제 수익을 심각하게 침해당하고 있으며, 심지어 게임의 생존까지 위협받는 상황에 이르기도 합니다.

오늘은 이러한 문제를 해결하기 위해 ‘모바일 보안 서비스인 LIAPP(리앱)’을 적용한 사례를 중심으로, 게임 앱의 수익 보호에 성공한 이야기를 공유하고자 합니다.

크랙된 APK란? 크랙된 APK는 원래의 앱을 해커가 디컴파일 후 리패키징하거나, 보안을 무력화한 상태로 재배포한 앱을 의미합니다.

이들 앱은 대부분 다음과 같은 목적을 가지고 불법적으로 유포됩니다. • 인앱결제 우회 • 광고 제거 • 게임 내 자원 무제한 제공 (예: 골드, 다이아, 아이템 등) • 악성 코드 삽입

결국, 정상적인 사용자는 손해를 보게 되고, 개발사는 수익을 잃게 되는 구조입니다.

인앱결제 우회로 인한 실질적 손실 모바일 게임의 수익모델 중 가장 핵심은 바로 ‘인앱결제(IAP)’입니다. 사용자는 게임을 즐기면서 원하는 아이템을 구매하거나, 빠른 성장을 위해 과금을 하게 됩니다. 그러나 크랙된 APK를 사용하는 유저는 정상적인 결제 과정 없이 이 모든 혜택을 누릴 수 있습니다.

실제로, 한 중소 게임사의 경우 크랙 APK 유포 후 한 달 동안 전체 매출의 30% 이상이 감소했고, 커뮤니티에서 무분별하게 공유된 크랙 파일로 인해 정상 유저 이탈까지 발생하는 상황에 직면했습니다.

LIAPP(리앱)으로 위변조 및 리패키징 방지 이러한 상황에서 해당 게임사는 ‘모바일 앱 보안 전문 서비스인 LIAPP(리앱)’을 도입하였습니다. LIAPP은 실시간 위변조 탐지 및 리패키징 방지 기능을 제공함으로써, 다음과 같은 보안 효과를 실현했습니다.

적용된 주요 보안 기능

1. APK 위변조 탐지 • 파일 무결성을 실시간으로 확인해, 변조된 앱 실행을 차단

2. 리패키징 방지 • 앱 서명 무결성 검증으로 비정상적인 패키징 여부 식별

3. 디버깅 방지 및 루팅 탐지 • 해커가 앱을 분석하거나 조작하지 못하도록 사전 차단

4. 앱 분석 도구 탐지 • Frida, Xposed, Lucky Patcher 등 대표적인 해킹 툴을 탐지해 자동 종료

보안 적용 후 효과 보안을 강화한 이후 게임사는 눈에 띄는 성과 개선을 경험했습니다. • 크랙 APK 사용 시 앱이 자동 종료되도록 설정하여 불법 사용자 차단 • 유포되던 크랙 파일이 무용지물이 되면서 커뮤니티 내 공유 급감 • 정상 유저의 결제율 증가 및 재방문율 상승 • 보안 강화 사실을 공지함으로써 신뢰도 향상

무엇보다도, 매출 회복과 사용자 기반 안정화라는 두 마리 토끼를 동시에 잡을 수 있었습니다.

게임 보안, LIAPP과 함께하세요! 게임 개발에 공을 들인 만큼, 그 결과물인 앱을 안전하게 보호하는 것도 매우 중요합니다. 특히, 인앱결제를 핵심 수익원으로 삼는 모바일 게임이라면 보안은 선택이 아닌 필수입니다.

‘LIAPP(리앱)’은 복잡한 개발 지식 없이도 간단한 적용만으로도 강력한 보안 기능을 제공하는 글로벌 서비스입니다.

크랙된 APK 유포로 고민하고 계신 게임 개발자 분들께, 꼭 한 번 검토해 보시길 권장드립니다. 함께 만든 게임, 함께 지켜나갑시다.

더 읽어보기

모바일 앱 보안 솔루션 LIAPP(리앱)을 서비스하는 ㈜락인컴퍼니(대표 최명규)가 모바일 전문 개발사 ㈜미르넷(대표 최군길)과 전략적 제휴를 체결했다고 17일 밝혔다.

이번 제휴는 보안성과 안정성이 핵심 경쟁력으로 요구되는 글로벌 모바일 서비스 시장에서, 양사의 기술력과 전문성을 결합해 고도화된 서비스를 공동으로 제공하기 위한 전략적 결정이다. 특히 ‘모바일 앱의 개발부터 보안 적용까지 전 주기를 함께 대응’함으로써, 고객사에게 더 빠르고 안정적인 솔루션을 제공할 수 있게 됐다.

‘락인컴퍼니’는 앱 위·변조 방지, 행위 기반 해킹 탐지, 실시간 보안 정책 적용이 가능한 LIAPP(리앱)을 기반으로, 국내외 금융·게임·교육·공공 분야에 폭넓은 보안 서비스를 제공하고 있다. 해외 특허를 보유하며 글로벌 진출 기업들의 신뢰를 얻고 있다.

‘미르넷’은 다년간 축적된 모바일 앱 개발 노하우를 바탕으로, 금융, 유틸리티, 엔터테인먼트. O2O 등 다양한 분야의 앱을 성공적으로 개발·운영해 온 전문 개발사이다. 빠른 개발력과 안정적인 운영 역량을 기반으로, 국내외 클라이언트로부터 높은 만족도를 얻고 있다.

락인컴퍼니 최명규 대표는 “앱의 생애주기 전반에 걸쳐 보안이 중요한 시대인 만큼, 검증된 개발 파트너와의 협력이 필수”라며 “미르넷과의 협업을 통해 고객사에게 더 높은 수준의 보안성과 개발 생산성을 동시에 제공할 수 있을 것”이라고 말했다.

미르넷 최군길 대표는 “기능 중심의 개발을 넘어, 이제는 보안 중심의 개발이 기업의 생존과 직결되는 시대”라며 “락인컴퍼니와의 제휴는 미르넷 고객에게도 강력한 가치를 제공할 수 있는 기회가 될 것”이라고 전했다.

양사는 이번 제휴를 통해 ▲보안 내재화된 모바일 서비스 공동 구축 ▲해외 시장 대상 기술 협력 확대 등 실질적인 사업 확장을 위한 다양한 협업을 이어갈 계획이며, 이번 협력은 빠르게 변화하는 글로벌 모바일 시장에서 기술과 보안의 융합을 통해 새로운 기준을 제시하는 계기가 될 것으로 기대된다.

더 읽어보기

요즘 아이들의 스마트폰 화면을 들여다보면, 게임 다음으로 많이 보이는 것이 바로 교육용 앱입니다. 특히 영어, 한자, 국어 등 어휘력을 길러주는 디지털 사전 기반의 학습 앱은 유아부터 중고생까지 폭넓게 사용되고 있죠. 그런데 이런 교육용 앱을 만드는 입장에서는 한 가지 걱정이 큽니다. 바로 앱 안에 담긴 사전 콘텐츠, 즉 수년간 개발하고 다듬어온 지식 데이터베이스(DB)가 무단으로 유출되거나 복제되는 것입니다. 이건 단순한 저작권 침해를 넘어서 비즈니스 존폐와 직결되는 문제이기 때문에 더욱 중요합니다. 그렇다면 이런 중요 데이터를 어떻게 안전하게 보호할 수 있을까요? 오늘은 그 해답 중 하나인 '모바일 앱 보안 서비스 LIAPP(리앱)'을 중심으로 이야기를 풀어보려 합니다.

실제 사례로 보는 교육용 앱의 보안 위협 최근, 국내의 한 교육 스타트업 A사는 오랜 시간 공들여 만든 영어 단어 학습 앱을 론칭했습니다. 이 앱의 핵심은 수만 개의 단어와 예문이 담긴 자체 구축한 사전 DB였죠. 일반 포털이나 오픈 API를 사용하지 않고, 전문 교사와 언어학자들이 직접 구성한 프리미엄 콘텐츠였습니다. 출시 초반에는 입소문을 타며 순항했지만, 3개월쯤 지나서 기이한 현상이 벌어졌습니다. 한 포털의 검색광고를 통해 들어온 유입이 급격히 줄고, 앱 리뷰에서는 "비슷한 앱이 더 싸다"는 이야기가 등장하기 시작한 겁니다. 조사 결과, 앱 내부에서 사전 DB 파일이 추출되어 다른 앱에 도용된 것으로 드러났습니다. 심지어 해당 앱은 UI만 살짝 바꾸고, 똑같은 예문과 발음, 해설까지 그대로 사용하고 있었죠. A사에서는 충격을 받았고, 즉시 보안 전문 기업과 협력해 앱 전체를 다시 보완했습니다. 이때 도입한 솔루션이 바로 LIAPP(리앱)입니다.

LIAPP이 어떻게 교육용 앱을 보호해주는가?

1. 모바일 앱 위변조 방지 LIAPP은 앱 위변조 탐지 및 차단 기능을 통해, 해커가 앱을 마음대로 수정하거나 리패키징하지 못하게 막습니다. 위 사례처럼 사전 DB를 빼내기 위해 앱을 분해하고 조작하는 시도는 대부분 이 단계에서 탐지되어 앱 실행 자체를 차단하게 됩니다. 또한 LIAPP은 루팅된 기기에서의 실행 차단 기능도 제공합니다. 이는 일반적인 보안 앱들이 간과하기 쉬운 부분인데, 루팅된 환경에서는 앱이 보안 경계를 쉽게 넘기 때문에 무단 접근 가능성이 높아집니다.

2. 소스코드 난독화 및 암호화 보통의 앱 개발자들은 Java나 Kotlin 등의 언어로 앱을 만들고, 이를 APK 파일로 패키징합니다. 하지만 APK는 역공학(리버스 엔지니어링)을 통해 손쉽게 내부 코드나 리소스를 확인할 수 있죠. LIAPP은 앱의 소스코드를 난독화하여, 코드를 읽기 어렵게 만들어 분석을 방해하고 중요한 로직이나 데이터는 암호화하여 실제 정보가 노출되지 않도록 보호합니다. 예를 들어 A사의 사전 앱은 ‘단어 ID → 정의 → 예문’ 구조의 DB를 앱 내부에 포함시켰는데, 이 DB 자체를 LIAPP을 통해 암호화 저장하고, 설령 APK가 해킹되어도 DB 자체는 해석할 수 없게 만들었습니다.

교육 콘텐츠 보호, 더 이상 '선택'이 아닌 '필수' 많은 교육용 앱 개발자들이 초반에는 기능 구현에 집중하다 보니, 보안은 뒤로 미루는 경향이 있습니다. 하지만 콘텐츠가 쌓이고 사용자 수가 늘어날수록, 그 콘텐츠는 타깃이 됩니다.

• 자체 개발한 콘텐츠 • 음성 및 발음 데이터 • 원어민 해설 영상 • 단어 분류 알고리즘

이 모든 것이 경쟁력이며, 동시에 보호 대상입니다.

LIAPP은 보안을 위한 기술적 장벽을 제공해 줄 뿐 아니라, 개발자가 별도로 복잡한 보안 코드를 작성하지 않아도 간편하게 앱을 보호할 수 있는 자동화된 서비스를 제공합니다. 덕분에 교육 스타트업이나 중소기업에서도 부담 없이 활용할 수 있습니다.

LIAPP이 주는 더 큰 가치 – '신뢰' 무엇보다 중요한 건 보안이 사용자 신뢰로 이어진다는 것입니다. 부모님들이 자녀 교육 앱을 고를 때는 단순한 UI나 가격 외에도, "이 앱이 믿을 만한가?", "개인정보나 콘텐츠가 안전한가?"를 따지게 됩니다. 실제로 LIAPP을 적용한 이후 A사의 앱은 앱스토어에서 보안 인증 배지를 획득하고, 학교 및 교육기관과의 제휴에서 신뢰성을 입증하는 근거로 활용되었습니다.

교육용 앱, ‘콘텐츠 보안’에서 시작 디지털 시대의 교육은 '콘텐츠 전쟁’입니다. 좋은 콘텐츠를 만드는 것만큼이나, 그 콘텐츠를 지켜내는 것이 중요합니다. 사전 기반의 교육 앱, 어휘력 강화 도구, 단어 게임, 외국어 학습 앱 등 콘텐츠 중심의 교육 서비스를 운영하고 있다면, 오늘이라도 LIAPP과 같은 모바일 보안 솔루션을 도입하는 것을 고려해보세요. 보안은 비용이 아니라 콘텐츠의 생존 보험입니다.

더 읽어보기 https://liapp.lockincomp.com/ko/blog/49-tech-educontents-dictionary?utm_source=velog&utm_medium=community_viral&utm_campaign=series&utm_content=series_20250714

오늘은 보안용어 7가지에 대해서 소개하고자 합니다.

이제는 "언택트" 시대라 하여 우리의 앱 서비스는 이제까지 없었던 혁신성과 편의성을 사용자에게 제공하며, 더욱 편리한 세상을 만들고 있습니다.

하지만 경쟁적으로 서비스의 편의성 제공에만 몰두한 결과 '앱 내 머니 무단인출', '신용카드 앱 도용', '고객정보 유출 사건' 등의 사건으로 인해 혁신적인 서비스가 한번에 무너지는 매우 안타까운 상황도 종종 볼 수 있습니다.

이번 포스트에서는 성공적인 모바일 서비스를 위해 필수적으로 알아 두어야 할 7가지 보안용어를 꼽아 보았습니다. 이를 통해서 기술에 익숙하지 않거나 보안에 생소한 분들도 성공하는 앱 서비스가 갖춰야 할 필수적인 요소에 대하여 인지하고 대비할 수 있습니다.

*1. Tampering (위변조) * Tampering은 해커가 우리의 앱을 무단으로 변경하는 행위를 말하고, 이를 방어하는 기술을 '위변조 방지' 또는 'anti-tampering'이라 합니다.

Tampering을 통해 결제 시스템을 피해 유료 콘텐츠를 무료로 사용하는 등의 서비스를 악의적으로 사용하거나, 서비스의 기밀 정보부터 고객의 개인 정보까지 탈취하기도 합니다. 이뿐만 아니라 Tampering이 더욱 심각한 이유는 해커들이 tampering(수정) 된 앱을 공개된 웹사이트를 통해 불특정 다수에게 배포하는 경우가 많아 서비스에 치명적인 2차 피해가 발생합니다. ​ *2. Decompile (디컴파일) * 모바일 앱은 어떻게 만들어질까요?

먼저 개발자가 코딩을 하여 소스코드를 작성하고, 이 소스코드를 기계가 인식하는 언어(기계어)로 변형시키면 모바일에 설치가 가능한 앱이 되어집니다.

이렇게 만들어진 앱 (사람이 이해하기 어려운 기계어로 이루어진)을 사람이 쉽게 이해할 수 있는 소스코드(우리의 개발자가 만들었던)로 다시 변환하는 것을 Decompile 기법이라고 합니다. 이렇게 변환된 소스코드는 서비스 내 매우 중요한 정보를 담고 있기 때문에 악의적인 해커들은 내 서비스의 취약점을 찾아내고, 중요한 정보를 탈취하기 위한 수단으로 Decompiling 기법을 이용합니다.

*3. Rooting (루팅) * 우리가 사용하는 스마트폰은 사용자가 마음대로 시스템을 조작하여 망가지지 않도록 루트(최고 관리자) 계정 권한이 제한되어 있습니다. 따라서, ​'루팅한다' 라고 하면 관리자 권한을 해킹하여 스마트폰 내 모든 것을 접근 할 수 있는 Super User​가 될 수 있습니다.

해커들은 앱 해킹을 하기 위해 관리자 권한 취득이 필요하다고 판단하면 모바일 디바이스를 루팅하기 때문에, 서비스를 보호하기 위해서는 앱이 실행 될 때 모바일의 Rooting 여부를 탐지하는 것이 중요합니다. ​ *4. Virtual Machine (가상머신) * Virtual machine(가상머신)은 PC에서 가상의 스마트폰 환경을 제공하는 소프트웨어의 일종 입니다. 본래의 PC에서 스마트폰의 어플을 즐길 수 있게 하기 위해서 개발되어 졌으나, 해커들이 이를 악용하여 해킹 수단으로 사용하고 있습니다.

NOX, Bluestacks 등이 대표으로 알려진 가상머신 툴입니다. ​ *5. Debugging (디버깅) * 일반적인 디버깅(Debugging)이란 프로그램 개발 최종 단계에서 프로그램의 오류와 원인을 찾고 문제를 해결하는 테스트 과정을 말하합니다. 하지만 이러한 디버깅은 해커, 혹은 악의적 사용자에게 내 앱의 동작원리와 보안적으로 취약한 부분을 분석하는 도구로 악용되어 지고 있습니다.

*6. Code Obfuscation (난독화) * Code Obfuscation (난독화)란, 앱의 기능은 기존 그대로 보존하되 소스 코드를 이해하기 어렵도록 분해하고 변경하여 중요한 정보가 탈취되는 것을 방어하기 위한 기술입니다.

소스 코드에 쓰여있는 Class, method, field 등에 붙쳐진 의미있는 이름을 쉽게 유추 할 수 없는 이름으로 변경하는 것도 Code Obfuscation (난독화) 기법의 일종입니다. Ex) 'Buy_Item' -> 'a' 로 이름을 변경 하지만 이러한 난독화는 소스코드의 분석 및 유추의 시간을 늦추는 역할을 하는것이지 앱의 악의적인 변경 또는 메모리의 변경등의 공격을 막는 것이 아님으로 이점을 주의 하셔야 합니다.

*7. Code Encryption (암호화) * 일반적으로 암호화는 중요한 정보를 알아 볼 수 없도록 보호하는 기법을 말합니다. Ex) 중요한 문서 파일 등..

LIAPP을 예로 들어 설명하면, 경우 일반 파일 뿐만 아니라 소스코드에도 암호화 기법을 적용하여 앱을 강력하게 보호함으로써 앱에게 안전한 실행환경을 제공합니다.

LIAPP은 오리지널 소스코드를 난독화 (obfuscation) 한 후, 암호화 (encryption)까지 된 상태로 보호하기 때문에 제 3자가 소스코드 분석을 할 수 없도록 해킹 공격을 강력히 차단 할 수 있습니다.

지금까지 앱 서비스에 필요한 필수 보안용어에 대하여 알아 보았습니다. 위 내용을 참고 하셔서 앱 서비스에 필수적인 보안요소를 준비하시어 성공적인 서비스가 되시길 바랍니다.

오늘은 문자열 암호화에 대해서 소개하고자 합니다. 우리는 앱을 개발할 때 서버가 없는 Stand-alone 방식 또는 시간의 부족, 어쩔 수 없는 여러 이유들로 인해 앱 동작에 필요한 중요한 정보들을 소스코드 내 String으로 작성하게 됩니다. ​ *Ex. 중요한 정보의 예 *

• 중요 정보를 요청하는 서버 쿼리

• 암호화 키

• 중요 데이터를 저장하는 preference key, data

• 서버 및 다른 앱과의 통신에 필요한 프로토콜 등 ​ 이렇게 노출된 String은 해당 method 또는 Class가 어떤 역할을 하는 것인지 파악할 수 있는 자료가 되고, 이를 악의적으로 이용하여 앱 서비스의 중대한 피해 사례가 지속적으로 증가하고 있죠.

• 경쟁사가 서비스에 필요한 신규 이벤트 DATA를 짧은 시간 안에 쿼리를 통하여 수집

• 앱 서비스 관리자 만이 접근할 수 있는 DATA를 Server에 요청하여 악의적인 DATA 수집

• 앱 서비스 사용자의 암호화된 중요 개인정보를 탈취

• 앱에서 취득한 재화 및 중요 정보의 저장 위치와 형식을 파악하여 해당 DATA 변경 및 악의적인 재화 및 정보 취득 ​ 그래서 LIAPP은 이러한 위협으로부터 보호하기 위해 소스코드 내 String에 대한 암호화 기능을 제공하고 있습니다. 위와 같이 LIAPP의 String Encryption 기능을 통하여 소스코드 내 String을 암호화함으로써 내 앱 서비스를 보다 안전하게 보호할 수 있습니다.

또한, 이러한 기능은 컴파일된 앱 파일(apk)을 기반으로 적용되기 때문에 개발 시 사용한 언어 및 프레임워크와 관계없이 apk 또는 aab 형태로 컴파일 된 상태라면 모두 적용이 가능합니다. ​ LIAPP, 최상의 서비스만을 제공하겠습니다.

*오늘은 유니티 엔진 보호 방법에 대해서 소개하고자 합니다. * 리앱은 모바일 앱의 다양한 해킹으로부터 보호하기 위해 강력하고 유용한 보안 기능을 제공하고 있는데요. 유니티(Unity)로 개발된 앱을 보호하기 위한 리앱의 Unity protection 기능에 대하여 사용 방법과 효과를 소개해 드리겠습니다.

리앱의 유니티 보호(Unity Protection) 기능은 ‘CODE 보호’ 탭에서 설정할 수 있고, 'Unity Protection'은 Unity 엔진을 이용하여 개발된 모바일 앱에 포함된 중요한 엔진 파일 보호를 목적으로 합니다.

Unity는 간편한 앱 제작과 멀티 플랫폼 지원기능으로 손쉬운 개발을 할 수 있도록 제공된 통합 개발 환경입니다.

Unity를 이용하여 게임 뿐만아니라 일반 앱도 제작이 가능하지만 현재 가장 많이 사용되는 곳은 모바일 게임 장르입니다. 이처럼 Unity는 명확한 장점으로 많은 개발자분들이 Unity 엔진을 이용하여 게임을 개발하게 되는 동기를 제공하고 있습니다.

하지만 Unity 엔진을 이용하면 개발이 손쉬운 만큼 다양한 취약점도 함께 존재하게 되는데, 취약점에 관해 설명하기에 앞서 Unity에서 제공하는 두 가지 빌드 방법에 대하여 설명드려 보겠습니다. Unity는 현재 위와 같이 두 가지의 빌드 방법을 제공하고 있는데요.

전통적으로 제공하였던 MONO mode가 64bit를 지원하기 어려운 문제점을 개선하기 위해 IL2CPP 모드를 개발하였고, 현재 Unity에서도 IL2CPP를 권장하고 있습니다.

이렇게 개발이 완료된 MONO mode와 IL2CPP mode 파일은 아래 그림과 같이 Decompile tool을 이용하여 디컴파일이 가능하며 이를 이용하여 게임 내 중요 로직을 쉽게 분석할 수 있는 취약점을 가지고 있습니다.

위의 화면처럼 노출된 게임 내 로직이 어떤 기능을 하는지 파악할 수 있는데요. 이를 악의적으로 이용하여 앱 내의 취득할 수 있는 재화(능력치, 경험치, Game money...)를 무단으로 취할 수 있어 서비스의 중대한 피해사례가 지속해서 증가하고 있습니다.

앱은 리앱의 Unity protection 통하여 서비스에서 가장 중요하게 보호되어야 할 특정 중요한 로직 (게임 내 능력치, 경험치 및 재화 취득, 결제 로직, Game money...)을 배포된 앱 파일을 통하여 유출되지 못하게 함으로써 앱 서비스 중 발생할 수 있는 치명적인 사고를 미연에 방지할 수 있습니다.

또한, 이러한 로직은 컴파일된 앱 파일(apk)를 기반으로 적용되기 때문에 개발 시 사용한 언어 및 프레임워크와 관계없이 apk 또는 aab 형태로 컴파일된 상태라면 모두 적용이 가능합니다.

*오늘은 클래스 보호 및 소스코드 암호화에 대해서 소개하고자 합니다. *​ LIAPP은 모바일 앱의 다양한 요소를 보호하기 위해 강력하고 유용한 기능들을 제공하고 있는데요.

이중 ‘Code 보호’ 탭에서 설정할 수 있는 'Class protection' 과 'Source code encryption'은 모바일 앱에 포함되어 있는 중요한 소스코드를 보호합니다.

이를 통하여 서비스에서 가장 중요하게 보호 되어야 할 앱의 동작 순서나 특정 중요한 로직 ( 로그인, 사용자 정보 접근 권한, 서비스 내 유저의 권한 및 재화 취득, 결제 로직 등 )을 배포된 앱 파일을 통하여 유출되지 못하게 함으로써 앱 서비스 중 발생할 수 있는 치명적인 사고를 미연에 방지 할수 있습니다. Class protection은 앱 개발자가 개발한 앱의 핵심 로직을 ( java로 만들어진 class ) 기존의 소스파일에서 분할하고 특정 영역에 안전하게 보관하여 보호하는 기능을 제공합니다.

리앱에서 Class protection을 설정하는 방법은, 만약 앱 내 중요한 소스코드가 com.lockincompany 하위에 작성해 두었다면 Class protection의 입력 칸에 com.lockincompany*이라고 입력합니다.

이와 같이 입력하면 리앱은 com.lockincompany로 시작하는 클래스 및 하위의 모든 클래스를 중요 클래스라 판단하고 해당 클래스를 기존 소스코드에서 분리하여 보호하게 됩니다. 이렇게 보호가 진행되면 리앱의 Source code encryption 기능을 통해 특정 영역에 분리되어 있던 중요 소스코드가 암호화되어 강력하게 보호되며, 앱의 소스코드 파일에는 중요하지 않은 (3rd party source와 같이 공개 되어도 관계 없는 또는 공개 될수 밖에 없는) 코드 들만 존재 하게 됩니다. 위와 같은 보호기술은 중요하지 않은 소스코드 까지 포함하여 모든 소스코드를 암호화 하는 방법보다 고도화 되고 세련된 기법이며, 이러한 방법으로 인해 보안성의 향상 뿐 아니라 앱의 실행 속도까지 최적화 할 수 있습니다.

또한 이러한 로직은 컴파일된 앱 파일(apk)를 기반으로 적용되기 때문에 개발 시 사용한 언어 및 프레임워크와 관계 없이 apk 또는 aab 형태로 컴파일 된 상태라면 모두 적용이 가능합니다.

안녕하세요 리앱팀입니다~ :) 내일부터 시작되는 추석연휴! 행복한 한가위 보내세요.

오늘은 React Native 보호에 대해서 소개하고자 합니다. ​ React Native는 Facebook에서 앱 개발을 위해 만든 프레임워크로 진화된 hybrid application (web적인 요소와 디바이스의 리소스에 접근할 수 있는 권한을 동시에 가진 형태)을 쉽게 개발할 수 있도록 지원하는 프레임워크입니다.

이번 포스트에서는 최근 많이 출시되고 있는 React Native로 개발된 모바일 앱의 보안성과 보호해야 할 요소에 대하여 설명합니다. ​ 이전까지의 mobile hybrid application은 webview를 이용하여 web을 표현할 수 있었지만, 서비스에 필요한 사용자의 모바일 디바이스 리소스 (기기 정보, 카메라, 저장소, 전화,…)에 접근하려면 다소 복잡한 단계를 거쳐야 하는 한계를 가지고 있었습니다.

이러한 이유로 초기 많이 출시되었던 hybrid application이 Native application으로 전환하게 되었습니다.

하지만 React Native가 출시되면서 web을 통한 표현뿐 아니라 Java script를 이용하여 디바이스 리소스의 사용 및 접근도 가능해짐으로써 서비스 운영사는 하나의 web 화면으로 앱(APP)적인 요소까지 동시에 쓸 수 있어 서비스 운영 측면과 빠른 앱 개발속도 면에서 각광을 받고 있습니다.

하지만 보안적인 측면에서 보자면 React Native는 서비스를 구현하고 운영하기에 용이한 장점을 가지고 있지만, 앱의 동작을 위한 핵심로직이 Script 언어인 Java script를 이용하여 앱을 구동시키기 때문에 일반 Native application보다 핵심로직 탈취와 소스 코드 해킹면에서 취약한 요소를 가지고 있습니다. ​ React Native로 제작된 앱(APP)은 Native application보다 핵심로직 탈취와 소스 코드 해킹에 취약한 요소를 가지고 있습니다 ​ 모바일 앱에서 주로 사용되는 언어별 보안성은 아래와 같습니다. (아래에서 표현된 보안성은 3가지 언어별 카테고리의 상대적인 등급이므로 절대적인 평가가 아님을 참고하여 주십시오.) ​ 1. Script Language · 종류: Java script, Python, Ruby,... · 구성: 컴파일 되어진 소스 코드의 형태가 아니라 개발자가 개발한 원시 소스 코드의 형태 · 설명: 스크립트 언어는 개발자가 개발한 원시 소스 코드의 형태로 노출되기 때문에 공격자는 어떠한 노력 없이 앱의 핵심로직을 쉽게 파악하고 수정이 가능 · 보안성: 하

2. BYTE CODE ·종류: Java ·구성: Multi OS에서 동작할 수 있도록 만들어진 언어로써 기계어와 소스 코드의 중간 형태로 컴파일 ·설명: Byte Code는 Java에서 하나의 소스 코드로 다양한 OS에서 사용할 수 있도록 고안된 형태의 결과물이므로 Decompiler를 통하여 소스 코드화가 가능 ·보안성: 중

3. BINARY CODE ·종류: C or C++과 같은 언어로 개발된 실행 파일 및 라이브러리 ·구성: 각 OS 및 CPU에 맞게 기계어로 변환된 실행 파일 ·설명: Binary code는 기계어로 구성된 실행 파일로 구성되며, 해당 코드를 이해하기 위해서는 reverse engineering에 대한 이해도가 필요 ·보안성: 상

※ 여기서 표현한 보안성은 위 3개의 카테고리 중 상대적인 평가이므로 Binary code로 제작된 앱(APP)은 해킹할 수 없다거나 보호를 하지 않아도 된다는 의미는 아닙니다.

위와 같이 Java script는 모바일 앱을 제작하는 언어 중 소스 코드 보호 면에서 가장 낮은 보안성을 가지고 있음을 알 수 있으며 Java script로 개발된 앱의 핵심 코드 (사용자 로그인, 상품 구매,...)는 React Native로 제작된 앱(APP) Package(.apk or aab) 내 Bundle 파일로 존재하게 되므로 해당 파일은 쉽게 해킹의 타켓이 될 수 있습니다.

React Native로 앱이 제작될 경우 핵심 로직이 위와 같은 Bundle 파일로 존재하기 때문에 해당 Bundle file의 소스코드가 노출되지 않도록 보호하는 것이 가장 중요합니다.

또한, 해당 파일이 변경되거나 앱의 다른 관련 파일이 변경되어 서비스에 피해를 주는 것을 방지하기 위해서는 앱의 불법적인 위변조를 방지할 수 있는 위변조 방지에 대한 기능도 필요합니다.

만약 여러분의 앱이 결제 기능 및 사용자의 민감한 정보를 처리할 수 있는 앱이라면 Bundle file의 보호 및 위변조 방지에 대한 대비가 반드시 선행되어야 안전한 서비스가 가능하여질 것입니다.

*오늘은 apksigner를 이용한 서명과 APK Signature scheme v2에 대해서 소개 드리고자 합니다. * jarsigner를 통해 apk에 서명을 할 수 있는데 왜 apksigner를 이용한 서명 방법을 알아야 할까요? ​ Android가 7.0으로 업데이트 될 때, APK 파일을 더욱 강력하게 보호해 주는 APK Signature Scheme v2가 도입되었습니다. 이후 Android 9에 APK Signature Scheme v3가 도입되었고 Android 11에서는 APK Signature Scheme v4가 도입되었습니다.

APK Signature Scheme v2 이전에는 Signed JAR에 기반한 서명 체계로 jarsigner를 사용하였으며, v2 부터 apksigner를 이용한 서명 체계를 사용하게 되었습니다. ​ 그럼 어떤 경우에 apksigner를 이용하여 서명을 해야 할까요? ​ 1) 앱 빌드 시 Signature Versions v2 옵션이 선택된 경우(APK Signature Scheme v2)

2) 앱 빌드 시 targetSdkVersion을 30 이상으로 설정한 경우

위와 같은 경우에는 반드시 apksigner를 이용해 서명을 해야 합니다.

jarsigner로 서명을 해도 설치하고 실행하는데는 큰 문제가 없지만 Google Play Console 에 업로드 시 에러가 발생할 수 있습니다.

앱의 Signature Scheme 버전 확인 방법

1.Android studio 에서 확인

'Generate Signed Bundle or APK'에 'V2 (Full APK Signature)'가 체크되어 있으면 V2 버전

2. Command에서 확인

java -jar [apksigner.jar Path] verify -v --print-certs [LIAPP 적용하기 전 Apk의 Path] Ex) C:>java -jar D:\android\sdk\build-tools\28.0.0\lib\apksigner.jar verify -v --print-certs C:\app-release.apk ​ 만약, Verified using v2 scheme (APK Signature Scheme v2): true = V2 버전, false = V1 버전 ​ zipalign

apksigner로 서명할 때 주의할 점은 zipalign을 먼저 진행한 후 signing을 해야하는 점입니다. apksigner를 사용하여 APK에 서명한 후 APK 파일에 변경사항이 생기면 서명이 무효화됩니다. 따라서 APK에 서명을 하기 전에 zipalign을 진행해야 합니다.

zipalign -f -v 4 "zipalign이 필요한 apk 파일 Path" "zipalign 후 저장될 apk 파일 Path"

*Signing with apksigner * zipalign이 완료된 파일에 apksigner를 이용하여 서명하는 간단한 방법은 아래와 같습니다.

[Windows]

java-jar [APKSIGNER_PATH] sign -v--out [SAVED_APK_PATH] --ks [KEYSORE_PATH] --ks-key-alias [ALIAS_NAME][APK_FILE_PATH]

[MAC]

[APKSIGNER_PATH] sign -v --out [SAVED_APK_PATH] --ks [KEYSTORE_PATH] --ks-key-alias [ALIAS_NAME][APK_FILE_PATH] ​ [APKSIGNER_PATH]는 apksigner 파일이 위치한 경로를 입력합니다. apksigner는 버전 24.0.3 이상의 Android SDK Build Tools에서 제공하는 도구로 아래와 같이 확인이 가능합니다. ​ *1) Android Studio에서 SDK 경로 확인 * Tools 메뉴 => SDK Manager => Android SDK Location 경로 확인

*2) SDK 디렉토리에서 apksigner 파일 확인 * SDK 디렉토리 => build-tools 디렉토리 => buildToolsVersion 디렉토리 => lib 디렉토리 => apksigner.jar 파일 확인 ​ *MAC의 경우 buildToolsVersion 디렉토리에서 apksigner 파일 확인 명력을 실행하면 키스토어의 암호를 입력하라는 메시지가 표시됩니다.

Keystore password for signer #1:

키스토어 암호를 입력 시 키보드로 입력하는 문자가 화면에 표시되지는 않지만 실제로는 입력됩니다. 올바른 키스토어 암호가 입력되면 다음 단계로 진행합니다. 이때 키스토어 암호와 키 암호가 같으면 바로 서명이 진행됩니다. 만약 키스토어 암호와 키 암호가 다르면 키 암호를 입력하라는 메시지가 표시됩니다 ​ Key "KEY_NAME" password for signer #1:

올바른 키 암호가 입력되면 서명이 진행되고 서명이 완료되면 "Signed"가 표시됩니다. command line에서 --ks-pass pass:와 --key-pass pass: 옵션을 이용하면 암호를 미리 지정하여 실행할 수 도 있습니다. 해당 옵션을 사용하면 암호를 입력하라는 메시지가 표시되지 않고 자동으로 입력됩니다. ​ [Windows]

java -jar [APKSIGNER_PATH] sign -v --out [SAVED_APK_PATH] --ks [KEYSTORE_PATH] --ks-pass pass:"키스토어암호" --key-pass pass:"키암호" --ks-key-alias [ALIAS_NAME][APP_FILE_PATH]

[MAC]

[APKSIGNER_PATH] sign -v --out [SAVED_APK_PATH] --ks [KEYSTORE_PATH] --ks-pass pass:"키스토어암호" --key-pass pass:"키암호" --ks-key-alias [ALIAS_NAME][APP_FILE_PATH] ​ 정상적으로 서명이 되었다면, 아래 그림과 같이 "Verified using v2 scheme (APK Signature Scheme v2): true" 를 확인할 수 있습니다.

*zipalign & Signing with script file * 지금까지 apksigner를 이용한 서명 방법을 알아보았습니다. 이 과정을 조금 더 쉽게 진행할 수 있도록 스크립트 파일 공유해드립니다.

[ Windows 사용자 용 bat 파일] ​ [ MAC 사용자 용 sh 파일] ​ 다운받은 파일을 메모장이나 텍스트 편집기로 열고 아래의 내용을 수정한 후 저장합니다. ​ KeyStorePath="키스토어 경로" ALIAS_NAME="alias 이름" STORE_PASS="키스토어 암호" KEY_PASS="키 암호" ZIP_ALIGN="zipalign 파일의 경로" APKSIGNER_PATH="apksigner 파일의 경로" ​ zipalign 파일과 apksigner 파일은 Android SDK가 설치된 경로의 build-tools에 위치하고 있습니다. 만약 암호를 저장하지 않고 직접 입력하기를 원하시는 경우 --ks-pass와 --key-pass 관련 옵션을 제거하면 됩니다. ​ Windows 사용자는 서명할 앱 파일을 LIAPP_apksign_windows.bat 파일에 drag하면 바로 실행됩니다. MAC 사용자는 터미널 프로그램을 실행한 후 스크립트 파일과 앱 파일을 차례로 drag 하거나 아래와 같이 경로를 입력하고 실행합니다.

예 : /Users/username/Downloads/LIAPP_apksign_mac.sh /Users/username/AndroidStudioProjects/MyApplication/app/release/app-release.apk ​ MAC에서 실행 시 "Permission denied"라는 메시지가 표시되는 경우 아래와 같이 실행권한을 부여한 후 실행합니다. ​ 예 : chmod +x /Users/username/Downloads/LIAPP_apksign_mac.sh ​ 정상적으로 실행되면 zipalign이 먼저 실행되고 서명이 진행됩니다. 서명 과정에서 문제가 발생하지 않고 "Signed" 메시지가 확인되었다면 아무 키나 눌러서 서명 인증을 진행합니다. 모든 작업이 완료된 파일은 파일명 뒤에 _signed가 추가되어 저장됩니다.

apksigner를 이용한 서명과 APK Signature Scheme에 관한 보다 자세한 내용은 아래 URL을 참고하시기 바랍니다. ​ apksigner : https://developer.android.com/studio/command-line/apksigner app-signing : https://developer.android.com/studio/publish/app-signing APK Signature Scheme : https://source.android.com/security/apksigning

*안녕하세요 리앱팀입니다~ :) 무더운 여름이 지나가고 선선한 가을같은 오늘입니다. * 오늘은 ANDROID APP BUNDLE(AAB)의 장점과 TEST 방안에 대해서 소개하고자 합니다.

우리의 앱 서비스를 성장 시키기 위해 가장 필요한 것 중 하나는 앱의 신규 다운로드 또는 신규 설치 수의 증가일 것입니다. ​ 이와 관련한 구글의 보고에 따르면 앱 다운로드는 앱 패키지의 사이즈가 매우 중요한 역할을 한다고 말하고 있으며, 이로 인해 우리는 앱 패키지의 사이즈를 줄이기 위해 많은 노력을 해왔습니다. 하지만 이러한 노력에도 불구하고 최근 구글 플레이에서의 64bit 지원정책으로 인해 패키지 사이즈의 증가에 대한 고민이 다시 화두가 되고 있습니다. ​ 이러한 앱 패키지 사이즈 증가를 해결할 수 있는 ANDROID APP BUNDLE (AAB)에 대해 이야기 하고 AAB로의 전환 시 손쉽게 동작 테스트를 할 수 있는 방안을 이야기 합니다. ​ google에서 발표한 자료에 따르면 2012년 3월부터 2018년 1월 까지 앱 패키지의 용량은 5배씩 증가 하고 있으며 앱 패키지의 용량은 앱 다운로드에 매우 중요한 역할을 한다고 보고 하고 있습니다. ​ 또한 앱 패키지의 사이즈가 6MB씩 증가할 때마다 심각한 전환율의 손실이 발생한다고 발표하고 있습니다. 기존 안드로이드 시스템에서는 32bit native library만 구비 하면 32비트 기기 뿐 아니라 64비트 기기에서도 32비트 모드로 동작이 가능 했으며 x86 기기에서도 Houdini system을 통하여 native library의 추가 없이 정상적으로 동작이 가능 하였습니다. ​ 하지만 이번 64비트 지원 정책으로 인해 64비트용 native library를 build하여 패키지에 추가 하여야 했기 때문에 앱 패키지의 용량은 불가피하게 증가할 수 밖에 없는 상황에 직면 하였습니다. 특히 UNITY 를 이용한 앱일 경우 64bit를 지원하기 위해서 IL2CPP 모드를 사용해야 하고 이를 32비트용 64비트용 모두 패키징하면 앱 패키지의 크기가 많이 늘어 남을 체감할 수 있습니다. ​이러한 앱 패키지의 용량 증가 이슈 때문에 이를 해결하기 위한 방안으로 AAB가 제시 되고 있습니다. ​ ANDROID APP BUNDLE(AAB) ** AAB는 IOS의 appthinning과 비슷한 목적을 가진 기능으로써 구글에서 패키지의 용량을 감소시켜 효율적인 앱 서비스 운영을 위해 제안하는 모델입니다. 구글에서 안내하는 AAB의 이점을 요약하면 아래와 같습니다. 여기서 AAB가 우리에게 줄 수 있는 이점 중 패키지의 용량에 관한 부분을 추려 보면, 각 사용자의 디바이스에 맞는 리소스와 구성품으로 구성된 APK를 만들어 배포함으로써 사용자에게 다운로드의 시간을 줄여 준다는 것입니다. ​ 사용자가 기존의 앱 패키지를 AAB로 손쉽게 전환하기 위해서 android studio 와 UNITY에서는 간편한 설정 변경만으로 적용할 수 있도록 지원하고 있습니다. 아래는 기존의 앱 패키지가 AAB로 전환되었을 때의 구조를 나타냅니다. **AAB TEST

이렇게 변환된 AAB는 실제 서비스에 업데이트 되기 전 호환성 검증을 위한 QA가 필요하며, 이를 위한 일반적인 AAB 테스트 방안은 크게 아래 두가지 중 하나를 선택하여 진행이 되어 집니다.

*1.GOOGLE PLAY BETA TEST에 등록 * *2.개발환경과 연결된 디바이스에 직접 설치 *

1번의 구글 플레이를 이용하는 방안은 BETA TEST에 테스터의 계정을 추가하여 테스트 진행할 수 있습니다. 많은 개발자 및 QA 인력들이 기존 APK를 테스트할 때 2번의 방법을 가장 많이 사용하였을 것입니다. ​ APK 파일 상태에서는 앱 QA를 위해 adb를 이용하여 apk파일을 직접 디바이스에 설치하여 테스트 하였지만 AAB 로 변환하게 되면 기존 adb를 이용한 디바이스 인스톨은 불가능해지며 bundletool이라는 툴을 이용하여 디바이스에 설치할 수 있습니다. ​ Bundletool을 이용하여 디바이스에 설치하기 위해서는 'aab' 파일을 'apks'로 변환하고 apks를 디바이스에 'Install'하는 순으로 진행이 되어야 합니다. Bundletool로 AAB파일을 APKs로 변환 시 옵션에 따라 크게 아래와 같이 2가지의 모드로 나눌 수 있습니다. ​ [ AAB INSTALL ] AAB -> APKs -> INSTALL

[ APKs Mode ] APKs ( dynamic feature modules ) APKs ( universal module )

APKs ( dynamic feature modules )는 AAB로 앱 서비스 시 GOOGLE PLAY를 통하여 배포되는 방식과 가장 유사하며, APKs 패키지 안에 각 디바이스에 맞는 많은 split apk들이 포함되어 있습니다. APKs ( universal module )는 단일의 apk로 구성되어 있으며, 하나의 apk를 통하여 모든 디바이스에 설치가 가능한 모드 입니다. 해당 모드는 AAB의 이점이 없는 기존 APK와 동일한 구성을 가지고 있으며, 이는 GOOGLE PLAY를 통한 배포가 아닌 다른 목적의 배포를 위해 사용될 수 있습니다.

각 모드로 변환 시키는 command는 아래와 같습니다.

*APKs (dynamic feature modules) *java -jar "bundletool-all-0.10.0.jar" build-apks --bundle="your.aab" --output="dynamic.apks" ​ *APKs (universal module) *java -jar "bundletool-all-0.10.0.jar" build-apks --mode=universal --bundle="your.aab" --output="universal.apks"

또한 APKs ( dynamic feature modules )모드로 변환 시 다소 많은 시간과 리소스가 사용됨으로 현재 연결되어 있는 디바이스에 맞는 APKs만을 추출하고 INSTALL하고 싶을 때는 '--connected-device'를 통해 시간과 리소스를 절약할 수 있습니다.

이렇게 위와 같이 추출된 APKs를 통해 디바이스에 설치할 수 있습니다.

[APKs ( dynamic feature modules ) '--connected-device'] java -jar "bundletool-all-0.10.0.jar" build-apks --connected-device --bundle="your.aab" --output="dynamic.apks"

[Bundletool install] java -jar "bundletool-all-0.10.0.jar" install-apks --apks="dynamic.apks"

지금 까지 AAB를 APKs로 변환하고 INSTALL할 수 있는 방법을 알아 보았습니다. 만약 build한 AAB에 LIAPP과 같은 앱 보안 서비스를 적용하여 앱 패키지가 변경되는 경우 jarsigner를 이용하여 앱 사이닝을 수동으로 진행 할 수 있습니다. AAB에 앱 사이닝을 하실 경우 signing algorithm을 SHA256 이상으로 진행 하여야 GOOGLE PLAY에 정상적으로 업데이트 됨으로 이를 유의 하셔야 합니다. ​ [AAB SIGNING] jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 -keystore [키스토어 파일 Path][사이닝 할 APP의 Path] [키 생성 시 만들었던 사용자의 alias_name]

ex. jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 -keystore /your.keystore /your.aab LOCKINCOMPANY

지금 까지 AAB의 구조와 장점 그리고 TEST방안에 대해서 이야기를 해 보았습니다. 이 글에서 쓴 예시는 가장 일반적이고 쉽게 이용할 수 있는 커맨드로 예를 들었음으로 추가 옵션을 통해서 더욱 많은 기능들을 사용할 수 있으니 함께 보시면 도움이 될 것이라 생각 됩니다.

*오늘은 React Native 보호에 대해서 소개하고자 합니다. *​ React Native는 Facebook에서 앱 개발을 위해 만든 프레임워크로 진화된 hybrid application (web적인 요소와 디바이스의 리소스에 접근할 수 있는 권한을 동시에 가진 형태)을 쉽게 개발할 수 있도록 지원하는 프레임워크입니다.

이번 포스트에서는 최근 많이 출시되고 있는 React Native로 개발된 모바일 앱의 보안성과 보호해야 할 요소에 대하여 설명합니다. ​ 이전까지의 mobile hybrid application은 webview를 이용하여 web을 표현할 수 있었지만, 서비스에 필요한 사용자의 모바일 디바이스 리소스 (기기 정보, 카메라, 저장소, 전화,…)에 접근하려면 다소 복잡한 단계를 거쳐야 하는 한계를 가지고 있었습니다.

이러한 이유로 초기 많이 출시되었던 hybrid application이 Native application으로 전환하게 되었습니다.

하지만 React Native가 출시되면서 web을 통한 표현뿐 아니라 Java script를 이용하여 디바이스 리소스의 사용 및 접근도 가능해짐으로써 서비스 운영사는 하나의 web 화면으로 앱(APP)적인 요소까지 동시에 쓸 수 있어 서비스 운영 측면과 빠른 앱 개발속도 면에서 각광을 받고 있습니다.

하지만 보안적인 측면에서 보자면 React Native는 서비스를 구현하고 운영하기에 용이한 장점을 가지고 있지만, 앱의 동작을 위한 핵심로직이 Script 언어인 Java script를 이용하여 앱을 구동시키기 때문에 일반 Native application보다 핵심로직 탈취와 소스 코드 해킹면에서 취약한 요소를 가지고 있습니다. ​ React Native로 제작된 앱(APP)은 Native application보다 핵심로직 탈취와 소스 코드 해킹에 취약한 요소를 가지고 있습니다 ​ 모바일 앱에서 주로 사용되는 언어별 보안성은 아래와 같습니다. (아래에서 표현된 보안성은 3가지 언어별 카테고리의 상대적인 등급이므로 절대적인 평가가 아님을 참고하여 주십시오.) ​ *1. Script Language *· 종류: Java script, Python, Ruby,... · 구성: 컴파일 되어진 소스 코드의 형태가 아니라 개발자가 개발한 원시 소스 코드의 형태 · 설명: 스크립트 언어는 개발자가 개발한 원시 소스 코드의 형태로 노출되기 때문에 공격자는 어떠한 노력 없이 앱의 핵심로직을 쉽게 파악하고 수정이 가능 · 보안성: 하

*2. BYTE CODE *·종류: Java ·구성: Multi OS에서 동작할 수 있도록 만들어진 언어로써 기계어와 소스 코드의 중간 형태로 컴파일 ·설명: Byte Code는 Java에서 하나의 소스 코드로 다양한 OS에서 사용할 수 있도록 고안된 형태의 결과물이므로 Decompiler를 통하여 소스 코드화가 가능 ·보안성: 중

*3. BINARY CODE *·종류: C or C++과 같은 언어로 개발된 실행 파일 및 라이브러리 ·구성: 각 OS 및 CPU에 맞게 기계어로 변환된 실행 파일 ·설명: Binary code는 기계어로 구성된 실행 파일로 구성되며, 해당 코드를 이해하기 위해서는 reverse engineering에 대한 이해도가 필요 ·보안성: 상

※ 여기서 표현한 보안성은 위 3개의 카테고리 중 상대적인 평가이므로 Binary code로 제작된 앱(APP)은 해킹할 수 없다거나 보호를 하지 않아도 된다는 의미는 아닙니다.

위와 같이 Java script는 모바일 앱을 제작하는 언어 중 소스 코드 보호 면에서 가장 낮은 보안성을 가지고 있음을 알 수 있으며 Java script로 개발된 앱의 핵심 코드 (사용자 로그인, 상품 구매,...)는 React Native로 제작된 앱(APP) Package(.apk or aab) 내 Bundle 파일로 존재하게 되므로 해당 파일은 쉽게 해킹의 타켓이 될 수 있습니다.

React Native로 앱이 제작될 경우 핵심 로직이 위와 같은 Bundle 파일로 존재하기 때문에 해당 Bundle file의 소스코드가 노출되지 않도록 보호하는 것이 가장 중요합니다.

또한, 해당 파일이 변경되거나 앱의 다른 관련 파일이 변경되어 서비스에 피해를 주는 것을 방지하기 위해서는 앱의 불법적인 위변조를 방지할 수 있는 위변조 방지에 대한 기능도 필요합니다.

만약 여러분의 앱이 결제 기능 및 사용자의 민감한 정보를 처리할 수 있는 앱이라면 Bundle file의 보호 및 위변조 방지에 대한 대비가 반드시 선행되어야 안전한 서비스가 가능하여질 것입니다.