Android 앱 보안 가이드

Android DoveRunner Mobile App Security는 다양한 보안 조치를 제공합니다. 그 중에서도 앱의 메모리와 코드를 해킹 및 도용으로부터 보호할 수 있는 특허 기술을 보유하고 있습니다. 실링(sealing)은 앱에 보안 모듈을 추가합니다. 그런 다음 실링된 앱의 보안 모듈이 게임과 함께 실행되어 이를 보호합니다.

Android DoveRunner Mobile App Security (콘솔) 사용 방법:

1. https://console.doverunner.com에서 DoveRunner 콘솔을 엽니다
2. appsealing 계정 자격 증명으로 로그인합니다
3. 탐색 창에서 ‘Android DoveRunner Mobile App Security’를 선택합니다

목차

• DoveRunner Mobile App Security 적용
  • 앱 실링
  • 측정 항목
  • 보안 가이드
• 기록 정보
  • 실링된 애플리케이션 다운로드
• 앱 구성
• KeyStore 관리

DoveRunner Mobile App Security 적용

DoveRunner Mobile App Security는 코딩 없이 코드 보호, 무결성 보호, 루팅 탐지, 치트 도구 및 에뮬레이터 탐지와 같은 자체 보호 기능을 제공합니다.

DoveRunner Mobile App Security를 시작하기 전에 알아야 할 사항:

• 플랫폼 - 애플리케이션이 구축된 앱 플랫폼으로 iOS 또는 Android가 될 수 있습니다
• 프레임워크 - 앱을 빌드하는 데 사용된 프레임워크. React와 같은 하이브리드 프레임워크의 경우 개발에 사용된 React 버전을 알아야 합니다
• KeyStore 정보 - 앱이 실링되고 플레이스토어에 출시할 준비가 되면 실링된 앱에 직접 서명하거나 DoveRunner Mobile App Security를 사용하여 서명할 수 있으며, 이를 위해서는 키스토어 정보가 필요합니다

앱 실링

DoveRunner Mobile App Security 적용은 3단계만으로 완료됩니다:

1. ADC 또는 CLI 도구에서 실링 옵션을 구성합니다. 기능에 따라 실링 옵션은 필수 필드, 일반 기능 및 고급 기능과 같은 여러 섹션으로 나뉩니다
2. 앱을 업로드하고 DoveRunner Mobile App Security를 적용합니다. apk 파일 또는 aab 파일로 안드로이드 앱을 업로드할 수 있습니다. DoveRunner Mobile App Security는 React Framework용 JS 파일을 보호하는 기능도 제공하며, zip 파일을 업로드할 수 있습니다.
3. 키스토어 구성으로 서명된 앱을 다운로드하거나 apksigner를 통해 서명되지 않은 앱을 다운로드합니다

실링 옵션은 앱을 실링하는 동안 적용 가능한 보안에 대한 사용자 정의를 제공하며 다음과 같이 분류됩니다:

• 필수 필드는 앱 프레임워크, 카테고리, 프레임워크 버전 등과 같은 애플리케이션 관련 필드 집합으로 구성됩니다. 자세한 내용은 측정 항목 필수 필드 섹션에서 확인할 수 있습니다.
• 일반 기능에는 요구 사항에 따라 활성화하거나 비활성화할 수 있는 보안 옵션이 포함되어 있습니다. 완전한 보안을 보장하려면 모든 기능을 차단하여 취약점을 제한하십시오. 옵션에 대한 자세한 내용은 측정 항목 일반 기능에서 제공됩니다.
• DoveRunner Mobile App Security는 애플리케이션뿐만 아니라 Data Sealing 또는 Custom Blacklist와 같은 앱에서 사용하는 데이터도 보호할 수 있는 고급 기능 세트를 제공합니다. 자세한 내용은 고급 기능을 참조하십시오.

실링 옵션에 따라 사용자는 오른쪽 상단 섹션에서 보안 수준을 볼 수 있습니다. 이는 DoveRunner Mobile App Security 버전 및 실링 옵션에 따라 업데이트됩니다. 실링 옵션이 구성되면 사용자는 드래그 앤 드롭 또는 업로드 버튼을 선택하여 애플리케이션을 업로드하고 “Apply DoveRunner Mobile App Security”를 클릭하여 실링을 시작할 수 있습니다. 실링은 애플리케이션 보안을 시작하고 창을 사용하여 다운로드를 안내하며, 기록 정보에서 실링된 앱을 나중에 다운로드할 수도 있습니다.

측정 항목

필수 필드:

설명	옵션
앱 프레임워크	애플리케이션 프레임워크는 Android 애플리케이션을 개발하는 데 사용되는 플랫폼입니다. DoveRunner Mobile App Security는 네이티브 및 하이브리드 프레임워크를 지원합니다. 드롭다운에서 옵션을 선택하여 앱에 적합한 옵션을 선택하십시오
DoveRunner Mobile App Security 버전	애플리케이션에 적용할 실링 버전과 관련된 세부 정보입니다. 최신 버전을 사용하여 최신 보안 기능과 최신 프레임워크 버전에 액세스하십시오
앱 카테고리	Game App Security (기본값) - DoveRunner Mobile App Security는 Unity, Unreal 및 기타 엔진에 내장된 앱을 보호할 수 있습니다 Non Game App Security - 게임이 아닌 보안의 경우 에뮬레이터 차단 및 Dex 암호화 옵션이 자동으로 적용됩니다
실링 모드	Test (기본값) - 테스트 모드는 동일한 수준의 보안을 제공하지만 애플리케이션에 주기적으로 ‘Test mode’ 메시지가 표시됩니다 Release - 릴리스 모드는 ‘Test mode’의 주기적 메시지를 제거하고 실시간 스트리밍, APK 서명 등과 같은 추가 기능을 제공합니다.

일반 기능:

설명	옵션
Dex 암호화 : 여러 Dex 파일을 암호화하여 JAVA 코드를 변조로부터 보호합니다. 이 옵션을 활성화하면 앱의 초기 (설치 또는 업데이트 후) 로딩 시간이 약간 증가할 수 있습니다	Yes (기본값) - 모든 classes.dex 파일을 암호화하여 Java 및 Kotlin 소스 코드 분석 및 유출을 방지합니다 (권장) No - 암호화 없이 dex 파일(classes.dex)을 암호화하지 않으면 소스 코드가 쉽게 노출, 분석, 변조되어 유출될 수 있습니다 Selective - 전체 Dex 파일을 암호화한 후 성능 저하가 심한 경우 고려할 수 있습니다. dex 파일에서 보호해야 하는 특정 클래스 및 패키지를 선택할 수 있습니다
루팅 : 루팅된 스마트폰에서 앱을 실행할 수 있는지 여부를 결정합니다	Blocked (기본값) - 루팅된 장치를 감지하고 실링된 앱을 닫습니다 (권장) Allow - 실링된 앱이 루팅된 장치에서 실행됩니다. ‘Allow’ 옵션은 해커가 공격하기 쉽게 만듭니다
에뮬레이터 : Android 에뮬레이터에서 앱을 실행할 수 있는지 여부를 설정합니다. 에뮬레이터를 허용하도록 선택한 경우 추가 공지가 있을 때까지 DoveRunner Mobile App Security는 BlueStacks 및 Nox에 대한 보호만 보장합니다	Blocked (기본값) - 에뮬레이터 환경을 감지하고 실링된 앱을 닫습니다 (권장) Allow - 에뮬레이터 환경에서 앱을 실행할 수 있습니다 Optional - 허용할 특정 에뮬레이터를 선택할 수 있으며 기본적으로 다른 에뮬레이터는 허용되지 않습니다
Work Profile 및 Samsung Security Folder : Work Profile 환경에서는 DoveRunner Mobile App Security의 보안 기능이 비활성화될 수 있습니다. 또한 일부 치트 도구가 Work Profile을 사용하여 장치와 앱을 공격하는 것을 발견했습니다	Blocked (기본값) - Work Profile에서 실링된 앱이 실행되면 DoveRunner Mobile App Security가 이를 감지하고 실링된 앱을 닫습니다 (권장) Allow - ‘Work Profile’ 환경에서 실링된 앱이 실행됩니다 Optional - 허용할 특정 Work Profile을 선택할 수 있으며 기본적으로 다른 프로필은 허용되지 않습니다
매크로 도구 : 매크로 도구는 앱을 남용하는 것 이외의 목적으로 사용될 수 있습니다. 블랙리스트는 항상 최신 상태로 유지되어 매크로 도구를 차단합니다	Blocked (기본값) - 매크로 도구가 감지되면 실링된 앱이 닫힙니다 (권장) Allow - 매크로 도구가 설치된 장치에서 실링된 앱을 실행할 수 있습니다
패킷 공격 : 패킷 공격 도구는 네트워크를 통해 전송되는 데이터를 수집합니다	Blocked (기본값) - 장치에 설치된 패킷 공격 도구를 감지하고 데이터 유출 및 변조를 차단합니다. 패킷 공격 도구가 감지되면 실링된 앱이 닫힙니다 (권장) Allow - 패킷 공격 도구가 장치에 설치되어 있어도 실링된 앱이 실행됩니다
키로거 : 키로거는 장치에 숨어서 사용자의 터치 정보를 수집하는 모니터링 도구입니다	Blocked - DoveRunner Mobile App Security가 키로거 설치를 감지하면 앱을 중지합니다 (권장) Allow (기본값) - DoveRunner Mobile App Security가 키로거 설치를 감지해도 앱 실행을 허용합니다
미러링 앱 : 미러링 앱은 장치의 화면을 다른 장치와 공유할 수 있는 유틸리티 도구입니다	Blocked - DoveRunner Mobile App Security가 미러링 앱 설치를 감지하면 앱을 중지합니다 (권장) Allow (기본값) - DoveRunner Mobile App Security가 미러링 앱 설치를 감지해도 앱 실행을 허용합니다
원격 액세스 앱 : 원격 액세스 앱은 다른 장치가 장치에 액세스하여 원격으로 제어할 수 있도록 하는 유틸리티 도구입니다	Blocked - DoveRunner Mobile App Security가 원격 액세스 앱 설치를 감지하면 앱을 중지합니다 (권장) Allow (기본값) - DoveRunner Mobile App Security가 원격 액세스 앱 설치를 감지해도 앱 실행을 허용합니다
외부 앱에 의한 실행 : 해커가 해킹 도구에서 앱을 실행하여 앱을 분석하고 공격할 때 앱 실행을 차단할 수 있습니다. 앱에 런처 앱이 필요한 경우 ‘Allow’를 선택하십시오	Blocked - 다른 앱에서 실행되는 앱을 차단합니다 (권장) Allow (기본값) - 다른 앱에서 실행되는 앱을 허용합니다

고급 기능:

설명	옵션
Data Sealing : DataSealing은 추가 코딩 없이 바이너리 파일 데이터를 안전하게 암호화 및 저장하는 기능을 제공하며 암호화된 데이터를 직접 읽고 사용할 수 있습니다. 현재 Android Native C/C++ (NDK)에서만 지원됩니다	Yes (기본값) - 루팅된 장치를 감지하고 실링된 앱을 닫습니다 No - 실링된 앱이 루팅된 장치에서 실행됩니다. ‘Allow’ 옵션은 해커가 공격하기 쉽게 만듭니다. 사용하지 않는 경우 추가 비용이 발생하지 않도록 ‘앱 구성’ 탭에서 ‘Data Sealing’ 서비스를 끄십시오
Custom Blacklist : Custom Blacklist는 Android DoveRunner Mobile App Security의 Over-the-Air 업데이트 서비스의 첫 번째 기능입니다. 앱 관리자는 DoveRunner Mobile App Security의 기본 블랙리스트에서 차단되지 않은 의심스러운 앱을 차단할 수 있습니다	Yes - 설정한 Custom Blacklist가 DoveRunner Mobile App Security의 기본 블랙리스트와 함께 Over-the-Air로 업데이트됩니다 No (기본값) - Over-the-Air 업데이트에 대한 Custom Blacklist를 비활성화합니다. 사용하지 않는 경우 추가 비용이 발생하지 않도록 ‘앱 구성’ 탭에서 ‘Custom Blacklist’ 서비스를 끄십시오

보안 가이드

• DoveRunner Mobile App Security 적용 전

Firebase Crashlytics는 DoveRunner Mobile App Security에서 지원되도록 난독화 없이 원래 패키지 이름을 유지해야 합니다. React Native 버전을 확인하려면 다음 클래스를 난독화하지 않아야 합니다 com/facebook/react/modules/systeminfo/ReactNativeVersion.java.

• DoveRunner Mobile App Security 적용 후

  • APK
    apk의 인증서가 비활성화되므로 장치에 설치하려면 apksigner로 apk에 다시 서명해야 합니다

  • AppBundle (.aab)
    PlayStore에 appbundle을 업로드하려면 appbundle이 jarsigner로 서명되어야 합니다.
    1.1.0.0 버전은 다음과 같은 React Native 버전을 지원할 수 있습니다:
    

    • JavaScriptCore: 0.60+
      
    • Hermes engine: 0.61+

기록 정보

기록 정보 탭에는 지난 30일 동안의 실링 기록 세부 정보가 포함되어 있습니다. 이 정보를 사용하여 사용자는 자신뿐만 아니라 팀 구성원의 실링된 앱 구성을 볼 수 있습니다. 실링 상태에 따라 사용자는 성공적으로 실링된 앱을 다운로드하거나 실패한 앱의 오류를 볼 수 있습니다.

테이블 데이터는 1분 간격으로 자동으로 가져오지만 사용자는 새로 고침 아이콘을 사용하여 데이터를 다시 로드할 수도 있습니다. 검색 창을 사용하여 필터를 지정하여 결과 집합을 드릴다운할 수 있습니다. 이 결과 집합에는 다음과 같은 유용한 정보가 포함되어 있습니다:

• 위협이 보고된 시간
• 애플리케이션 유형 (Native / Hybrid)
• Android 패키지 이름
• 애플리케이션을 실링한 사용자 이름
• 앱 카테고리 (Game / Non-Game)
• DoveRunner Mobile App Security 버전
• DoveRunner Mobile App Security 상태(진행 중 / 완료됨 / 실패함)
• 작업
  • Download - 사용자가 성공적으로 실링된 앱을 다운로드할 수 있습니다 (자세한 내용)
  • View Errors - 사용자가 앱을 실링하는 동안 발생한 오류를 볼 수 있습니다

각 레코드는 앱을 실링하는 동안 설정된 모든 구성을 제공합니다. 이 세부 정보를 보려면 레코드를 선택하고 첫 번째 열의 ’+’ 아이콘을 클릭하십시오

실링된 애플리케이션 다운로드

Android 앱이 성공적으로 실링되면 다운로드하라는 안내 메시지가 표시됩니다. 이 작업은 기록 정보에서 실링된 앱을 다운로드하는 것과 정확히 동일합니다. 실링된 앱은 다음과 같은 방법으로 다운로드할 수 있습니다:

1. 서명 없이 다운로드

DoveRunner Mobile App Security를 적용하면 apk의 서명이 비활성화됩니다. 서명되지 않은 apk 파일을 다운로드할 수 있습니다. 서명되지 않은 apk 파일은 스마트폰에 설치되지 않습니다. 테스트 및 릴리스를 위해 앱을 설치하고 실행하려면 키로 apk 파일에 서명해야 합니다

2. DoveRunner Mobile App Security 키로 서명된 앱 다운로드

DoveRunner Mobile App Security의 키로 서명된 apk 파일을 다운로드하여 스마트폰에서 테스트를 설치하고 실행할 수 있습니다. 다른 키로 앱에 서명하면 Google 로그인과 같은 인증 관련 기능이 비활성화됩니다

3. 사용자 키로 서명된 앱 다운로드

자신의 키를 등록하고 실링 및 서명된 apk를 다운로드할 수 있습니다. 키스토어 및 키 정보는 암호화되며 앱 서명에만 사용됩니다

앱 구성

앱 구성은 애플리케이션 서비스를 관리하는 데 도움이 됩니다. Android 앱의 경우 서비스를 전환하고, dex-list를 관리하고, Data Sealing 및 Custom Blacklist와 같은 고급 기능을 전환할 수 있습니다.

앱 구성은 사용자 또는 팀 구성원이 실링한 애플리케이션 목록을 카드 레이아웃으로 표시합니다. 초기 로드 시 20개의 앱이 표시되며 “more details” 버튼을 클릭하여 추가 앱을 가져올 수 있습니다. 상단 섹션의 검색 창을 사용하여 앱 또는 패키지 이름을 기반으로 앱을 필터링하십시오. 각 애플리케이션에 대해 사용자가 사용할 수 있는 구성은 다음과 같습니다:

1. Service

활성화된 경우 DoveRunner Mobile App Security는 애플리케이션에 대한 모든 해킹 정보를 추적합니다. 이는 사용량 기준으로 요금이 부과되므로 앱을 사용하지 않거나 DoveRunner Mobile App Security 사용을 중지하려는 경우 여기에서 해당 앱의 서비스를 끄십시오

2. Data Sealing

Data Sealing은 애플리케이션 데이터 파일을 보호하는 데 사용됩니다. 현재 Professional 사용자는 추가 비용으로 사용할 수 있으며 Enterprise 사용자는 무료로 사용할 수 있습니다. 사용하지 않는 경우 추가 비용이 발생하지 않도록 ‘Data Sealing’ 서비스를 끄십시오. 자세한 내용은 Data Sealing 적용 방법을 참조하십시오

3. Custom Blacklist

Custom Blacklist는 Android DoveRunner Mobile App Security의 Over-the-Air 업데이트 서비스의 첫 번째 기능입니다. 앱 관리자는 DoveRunner Mobile App Security의 기본 블랙리스트에서 차단되지 않은 의심스러운 앱을 차단할 수 있습니다. 현재 OTA 업데이트 서비스는 Trial 또는 Professional 플랜에서 사용할 수 없으며 별도 상담 및 Enterprise 계약을 통해 활성화할 수 있습니다. DoveRunner Mobile App Security 비즈니스 팀 또는 헬프 센터에 문의하시면 자세한 내용을 제공해 드립니다. Custom Blacklist를 사용하려면 먼저 OTA 업데이트 서비스를 활성화해야 합니다. 자세한 내용은 Custom Blacklist 적용 방법을 참조하십시오

4. Manage Selection

Manage Selection을 사용하여 사용자는 선택적 dex를 업데이트할 수 있습니다. 선택적 Dex 암호화는 Java/Kotlin 코드로 빌드된 Android 앱의 특정 dex 파일을 암호화하고 보호하여 모든 dex 파일이 암호화될 때 일부 앱의 성능 저하를 완화하는 기능입니다. 앱이 장치에 설치되면 dex 파일은 시스템에 의해 장치에 최적화되지만 시스템은 앱 실링을 적용하여 암호화된 dex 파일을 최적화할 수 없습니다. 자세한 내용은 Manage Selection 적용 방법을 참조하십시오

5. Transfer Account

DoveRunner Mobile App Security와 연결된 모든 계정으로 실링된 애플리케이션을 전송할 수 있습니다. 이 기능은 POC용 테스트 계정을 사용하거나 조직 내 팀 구성원에게 앱을 전송하는 등의 경우에 유용합니다. 자세한 내용은 계정 전송 방법을 참조하십시오

KeyStore 관리

Android에서 개발된 앱 또는 실링된 앱은 키스토어 정보로 서명되지 않으면 모바일 장치에 설치할 수 없습니다. 이전에는 사용자가 실링된 apk를 다운로드한 다음 수동으로 서명해야 했습니다. ADC는 테스트를 위해 또는 외부 사용자에게 시작하기 위해 장치에 직접 설치할 수 있는 서명된 apk를 다운로드하는 기능을 제공합니다. 이를 위해 사용자는 Manage KeyStore 탭에서 키스토어 정보를 유지할 수 있습니다.

키스토어를 등록하려면 다음 사항이 필요합니다:

1. Alias
2. KeyStore Password
3. Alias Password
4. KeyStore File

위의 모든 정보를 입력하고 업데이트를 클릭하여 정보를 저장합니다. 저장되면 사용자는 실링된 apk를 다운로드하고 “Download signed app with your key” 옵션을 선택하여 저장된 키로 미리 서명된 앱을 다운로드할 수 있습니다. 나중에 필요하지 않은 경우 키를 삭제할 수도 있습니다.