개요
모바일 애플리케이션 보안 테스트는 iOS 및 Android 앱의 코드, 데이터 저장, 통신, 플랫폼 통합에서 취약점을 평가합니다. 바이너리에 대한 역공학 및 정적 분석과 계측된 기기에서의 동적 테스트를 결합하며, OWASP MASVS 표준을 기준으로 측정합니다. 모바일 앱은 민감한 사용자 및 비즈니스 데이터를 저장하며, 안전하지 않은 저장소, API 오용, 코드 변조, 역공학과 같은 위협의 빈번한 표적이 됩니다. 보안 테스트는 공격자가 악용하기 전에 이러한 약점을 식별합니다.
방법론 및 표준
OWASP MASVS(L1, L2, MASVS-R), OWASP MASTG 및 MAS 체크리스트를 따르며, OWASP API Top 10 기반의 백엔드 테스트를 포함합니다. 도구로는 MobSF, Frida, Objection, Burp Suite, Drozer, JADX, Ghidra를 사용합니다.
포함 내용
제공 산출물
자주 묻는 질문
네. 코드, 저장소, 플랫폼 API가 다르기 때문에 각 플랫폼을 별도로 테스트하고, 앱이 통신하는 백엔드 API를 평가한 뒤 플랫폼별 결과와 공통 결과를 보고합니다.
네. 컴파일된 앱을 역공학하여 블랙박스 및 그레이박스 테스트를 수행합니다. 소스 코드와 테스트 빌드는 깊이와 속도를 향상시키지만 필수는 아닙니다.
L1은 모든 앱을 위한 기준선입니다. L2는 민감 데이터를 다루는 앱을 위한 심층 방어를 추가하며, MASVS-R은 역공학 및 변조에 대한 복원력을 추가합니다. 당사는 위험에 맞는 적정 레벨을 설정합니다.
모바일 애플리케이션은 종종 민감한 사용자 및 비즈니스 데이터를 처리합니다. 보안 테스트는 안전하지 않은 저장소, API 취약점, 코드 변조와 같은 약점을 악용되기 전에 식별하는 데 도움이 됩니다.