System Security Vulnerability
  • 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세가이드
    • Unix 시스템 취약점 진단 분석 평가 방법
    • Windows 시스템 취약점 진단 분석 평가 방법
    • IPS/IDS/VPN/Anti-DDoS/WEB-FW 취약점 진단 분석 평가 방법
    • 네트워크장비 취약점 진단 분석 평가 방법
    • 제어시스템 취약점 진단 분석 평가 방법
    • PC 취약점 진단 분석 평가 방법
    • DBMS 취약점 진단 분석 평가 방법
    • WEB(웹) 취약점 진단 분석 평가 방법
    • 이동통신(Telecommunication) 시스템 취약점 진단 분석 평가 방법
    • 클라우드(Cloud) 시스템 취약점 진단 분석 평가 방법
    • 주요정보통신기반시설 취약점 분석·평가 기준
    • [요약본] SW 공급망 보안 가이드라인
    • [KISA] 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법 상세가이드 (Download)
    • [KISA] 중소기업 네트워크 장비 보안점검 안내서.pdf (Download)
    • NAS 보안 가이드
    • AI-NAS 오류코드 분석기
  • [KISA] 내PC돌보미 - PC 보안 가이드 [취약점 관리(Windows/Mac)]
    • [KISA] 내PC돌보미 다운로드[취약점 관리 툴(Windows)]
    • [KISA] PC 보안 조치 안내서-가이드_v2[취약점 관리(Windows)]
    • [KISA] 내PC돌보미 - PC 보안 가이드 [취약점 관리(Windows)]
    • [KISA] 내PC돌보미 - PC 보안 가이드 [취약점 관리(Mac)]
    • [KISA] 인터넷 브라우저를 더 안전하게!
  • [KISA] 내PC돌보미 - Mobile 보안 가이드 [취약점 관리]
    • [KISA] 모바일 보안 조치 안내서-가이드_v2[취약점 관리(Android)
    • [KISA] 모바일 보안 안내서 다운로드
  • 클라우드 취약점 점검 가이드
    • Linux 시스템 취약점 점검 가이드
    • Windows 시스템 취약점 점검 가이드
    • Windows PC 시스템 취약점 점검 가이드
    • [DB] Cubrid 시스템 취약점 점검 가이드
    • [DB] MongoDB 시스템 취약점 점검 가이드
    • [DB] MS-SQL 시스템 취약점 점검 가이드
    • [DB] MY-SQL 시스템 취약점 점검 가이드
    • [DB] Postgres-SQL 시스템 취약점 점검 가이드
    • [DB] Redis 시스템 취약점 점검 가이드
    • Tomcat 시스템 취약점 점검 가이드
    • Apache 시스템 취약점 점검 가이드
    • IIS 시스템 취약점 점검 가이드
    • NginX 시스템 취약점 점검 가이드
    • Docker 시스템 취약점 점검 가이드
    • OpenStack 시스템 취약점 점검 가이드
    • Hadoop 시스템 취약점 점검 가이드
    • Elasticsearch 시스템 취약점 점검 가이드
    • 네트워크장비(Network) 시스템 취약점 점검 가이드
    • 정보보호시스템(Information Security System) 시스템 취약점 점검 가이드
    • [KISA] 클라우드 취약점 점검 가이드 (Download)
  • SK쉴더스 보안 가이드
    • [SK쉴더스] 클라우드 보안 가이드
      • [SK쉴더스] [보안 가이드] 2023 클라우드 보안 가이드 - AWS
      • [SK쉴더스][보안 가이드] 2023 클라우드 보안 가이드 - Azure
      • [SK쉴더스][보안 가이드] 2023 클라우드 보안 가이드 - GCP
  • [KISA] 제로트러스트가이드라인
    • 제로트러스트가이드라인(요약서)
  • [KISA] 사이버 보안 취약점 정보 포털
    • [KISA] 사이버 보안 취약점 정보 포털(Security BugBounty)
  • 시큐어코딩 가이드
    • [과학기술정보통신부/한국인터넷진흥원][보안 가이드] Python 시큐어코딩 가이드
    • [과학기술정보통신부/한국인터넷진흥원][보안 가이드] JavaScript 시큐어코딩 가이드
  • OWASP Top 10
    • OWASP Top 10 Vulnerabilities 2023
    • OWASP Top 10 API security risks 2023
  • 보안 가이드
    • [KISA] 보이스피싱 대응 방법
    • [KISA] Secure by design guide Korea Final.pdf
    • 카카오엔터테인먼트 불법유통대응 3차백서
    • [KISA] 정보보호_최고책임자_지정신고제도_운영(겸직금지)_가이드라인.pdf
    • [ETRI] [지식공유플랫폼] OSS 활용 고려사항과 검증 방법
    • [ETRI] [논문] 패스트 데이터 기반 실시간 비정상 행위 탐지 시스템
    • [ETRI] [논문] 5G NAS COUNT 취약점을 이용한 보안 위협분석
    • [KISA] 중소기업 서비스 개발·운영 환경 주요 보안 취약 사례별 대응방안
    • [KISA] 2024 사이버 보안 위협 분석과 전망
    • [KISA] 랜섬웨어 대응 가이드라인('23년 개정본)
    • [이글루코퍼레이션/코스닥협회] Beginner를 위한 램섬웨어 예방 및 대응 가이드
    • [KISA] DDoS공격 대응 가이드
    • [금융보안원] 금융회사 재택근무 보안 안내서
    • [개인정보보호위원회][한국인터넷진흥원] 개인정보의 암호화 조치 안내서
    • [과학기술정보통신부][한국인터넷진흥원] 정보보호 공시 가이드라인
    • [행정안전부·한국인터넷진흥원] 모바일 대민서비스 보안취약 점 점검 가이드
    • [개인정보보호위원회] 가명정보 처리 가이드라인(2022.4.)
  • KISA Academy [KISA 사이버보안인재센터] 교육 정보
    • [KISA IoT 보안테스트베드] 시큐어코딩
    • [과학기술정보통신부] 온라인 일방향 침해사고 대응 훈련(중급, 스피어 피싱 대응 - 기본과정)
    • [고용노동부] K-Shield 모의해킹 훈련
    • [고용노동부] K-Shield 1차 교육훈련(화요일반/악성코드 분석 심화과정 연계)
    • [고용노동부] K-Shield 1차 교육훈련(수요일반/디지털포렌식 심화과정 연계)
    • [고용노동부] K-Shield 1차 교육훈련(목요일반/모의해킹 심화과정 연계)
  • Best-Practices
    • 조직 및 운영 보안(OPS)
    • 시스템 보안 권장사항(SYSTEM)
    • 앱 보안 권장사항(APP)
    • 네트워크 보안 권장사항(NETWORK)
    • 하드웨어 보안 권장사항(HARDWARE)
    • 개인정보 보호/보안 권장사항(PRIVAY)
  • 기타자료
    • [NCSC] 챗GPT 등 생성형 AI 활용 보안 가이드라인
    • [KISA Insight 2023 Vol.03] ChatGPT(챗GPT) 보안 위협과 시사점
    • [금융감독원/DAXA] 가상자산 연계 투자사기 사례 7선
    • [KISA] DNS 신규취약점 조치 권고.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 일반 분야.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 생성 AI 기반 서비스 분야.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 스마트 치안 분야.pdf
    • [TTA] 2024 신뢰할 수 있는 인공지능 개발안내서 - 채용 분야.pdf
    • [NoMoreRANSOM] 랜섬웨어 복구 프로그램 및 지원 사이트
    • [KISA] 랜섬웨어 복구도구 모음
    • Bitdefender Releases Decryptor for MortalKombat Ransomware [복구툴]
    • 베라크립트(VeraCrypt) 을 이용하여 암호화된 가상 디스크 만들기
    • [KISA] 공동주택 홈네트워크 시스템 보안관리 안내서
    • [PioLink] PIO-IR_Report_지금도 놓치고 있는 웹 취약점#1
    • [PioLink] PIO-IR_Report_지금도 놓치고 있는 웹 취약점#2
  • Naver Cloud Infomation
    • [nCloud] Ubuntu 20.04 불필요한 계정 삭제 방법
  • Blue Screen Error Code
    • Windows Blue Screen Error Code
    • CPU usage exceeds 100% in Task Manager and Performance Monitor if Intel Turbo Boost is active
    • Windows Task Manager shows incorrect CPU speed when Hyper-V is enabled
  • Privacy_Data-Files
    • [개인정보보호위원회] 지침‧가이드라인
      • 2022.12 보건의료데이터 활용 가이드라인
      • 2022 개인정보 주요 이슈 법령해석 사례 30선
      • 2022 개인정보 보호법 표준 해석례
      • 가명정보 활용 우수사례집
      • 보건의료데이터 활용 가이드라인 (2022.12.)
      • 2022 개인정보 보호법 표준 해석례_공공분야 중심
      • 개인정보의_기술적_관리적_보호조치_기준(제2021-3호)_해설서(2022.10.)
      • 보건의료 데이터 활용 가이드라인('21.1월)
      • 개인정보의_기술적_관리적_보호조치_기준(제2021-3호)_해설서(2022.8.)
      • 아동청소년 개인정보 보호 가이드라인(최종)
      • 가명정보 처리 가이드라인(2022.04.29.)
      • 알기쉬운 개인정보 처리 동의 안내서(2022.3.)(수정)
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 일반형
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 의료
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 학원
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 여행
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 개인정보_처리방침 공공기관
      • 개인정보 처리방침 작성지침(2022.3월 개정) - 주요 개인정보 처리 표시(라벨링) 설명
    • [개인정보보호포탈] 개인정보보호 세미나 발표자료
      • [2022년도 이전] 개인정보보호 세미나 발표자료
        • 2022년 가명정보 활용지원사업 온라인 설명회 발표자료(2/2)
        • 2022년 가명정보 활용지원사업 온라인 설명회 발표자료(1/2)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(4/4)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(3/4)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(2/4)
        • 2021년 하반기 가명정보 활용 동향 온라인 세미나(1/4)
        • 개인정보 보호·활용 기술 R&D 발전방향 공개토론회 자료집
        • 2021년 공공분야 가명정보 제공 실무안내 온라인 설명회(6.18) 질의응답집 및 발표자료(3/3)
        • 2021년 공공분야 가명정보 제공 실무안내 온라인 설명회(6.18) 질의응답집 및 발표자료(2/3)
        • 2021년 공공분야 가명정보 제공 실무안내 온라인 설명회(6.18) 질의응답집 및 발표자료(1/3)
        • 신뢰 기반 디지털 사회 구현을 위한 「개인정보 보호법」 개정안 발표자료(2021.2.)
        • 가명정보 활용 세미나 발표자료(4/4)
        • 가명정보 활용 세미나 발표자료(3/4)
        • 가명정보 활용 세미나 발표자료(2/4)
        • 가명정보 활용 세미나 발표자료(1/4)
    • [개인정보보호 포털] 개인정보보호 수준별 교육자료
      • [2022년도 이전] 개인정보보호 수준별 교육자료
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(3/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(2/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(1/3)
        • (22년) 개인정보보호 수준별 교육_ 신기술분야 보호조치 과정(2/2)
        • (22년) 개인정보보호 수준별 교육_ 신기술분야 보호조치 과정(1/2)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(3/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(2/3)
        • (22년) 개인정보보호 수준별 교육_ 중소기업·스타트업 필수조치 과정(1/3)
        • (21년) 신기술(AI)과 개인정보보호 특화교육(2/2)
        • (21년) 신기술(AI)과 개인정보보호 특화교육(1/2)
        • (21년) 중소영세사업자 과정 개인정보보호 교육 교재(2/2)
        • (21년) 중소영세사업자 과정 개인정보보호 교육 교재(1/2)
        • (21년) 개인정보보호 교육 교재(영문)
        • (21년) 중급과정 개인정보보호 교육 교재(3/3)
        • (21년) 중급과정 개인정보보호 교육 교재(2/3)
        • (21년) 중급과정 개인정보보호 교육 교재(1/3)
        • (21년) 초급과정 개인정보보호 교육 교재(3/3)
        • (21년) 초급과정 개인정보보호 교육 교재(2/3)
        • (21년) 초급과정 개인정보보호 교육 교재(1/3)
        • (21년) 세대별 개인정보 보호 실천수칙 카드뉴스(3/3)
        • (21년) 세대별 개인정보 보호 실천수칙 카드뉴스(2/3)
        • (21년) 세대별 개인정보 보호 실천수칙 카드뉴스(1/3)
        • (21년) 고급과정(1차, CPO) 개인정보보호 교육 교재(2/2)
        • (21년) 고급과정(1차, CPO) 개인정보보호 교육 교재(1/2)
        • 2020년 제 10차 사업자 대상 개인정보보호 교육 교재(2/2)
        • 2020년 제 10차 사업자 대상 개인정보보호 교육 교재(1/2)
        • 2020년 제9차 사업자 대상 개인정보보호 교육 교재(2/2)
        • 2020년 제9차 사업자 대상 개인정보보호 교육 교재(1/2)
        • 2020년 개인정보 보호 순회교육(소상공인 대상)
  • Security WebToons/Movies
    • [NCSC] WebToons/Movies
      • 자료공개 협박메일과 가상화폐 요구
      • 비대면 시대의 해커
      • 해외 랜섬웨어 사례로 보는 사이버안보의 중요성
      • 공급망 공격
      • 최근 랜섬웨어 트렌드
      • 청소년을 위한 사이버보안 드라마
      • 국정원 보안정책 이해하기
      • 신입이 알려주는 보편적인 해킹 유형 3가지!
      • 간단하게 정보를 보호하는 방법
      • 파일 다운로드도 신중하게!
      • 국가 사이버위협 정보공유의 이해
      • 클라우드 보안의 이해
      • 사이버 환경의 위협요인과 우리가 해야할 일
      • 비대면 시대 사이버보안
      • 꼼짝마라, 사이버 해커들!
      • 꼭꼭 숨어도! 도망가도! 다 찾는다!
      • 악성코드 넌 우리 손바닥 안이야!
      • 피해를 최소화하는 방법!
      • 사이버 안보는 내가 지킨다
      • 사이버안보백서 -워터링홀 편
      • 사이버안보백서 -악성파일편
      • 사이버안보백서 - 정보보안 생활수칙 편
      • 사이버안보백서 -우리 생활 속 해커 편
      • 사이버안보백서 -정보보안 생활수칙 정보보안담당자 편
      • 점점 지능화 되어가고 있는 SNS상 정보 절취
      • 아무도 모르게 침입하는 악성코드
      • 우리를 교묘히 속이는 피싱메일
      • 사이버안보 홍보영상/지켜보면 지켜집니다
  • 신고센터 정보
    • 신고센터
      • 한국인터넷진흥원 개인정보침해 신고센터
      • 경찰청 사이버안전국
      • 한국소비자원
      • 한국공정거래조정원
      • 금융감독원
      • 대한법률구조공단
  • KISA National Cybersecurity White Paper(국가정보보호백서)
    • 2023 국가정보보호백서(KOR)
    • 2022 국가정보보호백서(KOR)
    • 2022 국가정보보호백서(ENG)
    • 2021 국가정보보호백서(KOR)
    • 2021 국가정보보호백서(ENG)
    • 2020 국가정보보호백서(KOR)
  • 취업/채용/공고 정보 사이트
    • [NHN Recruitings] NHN 채용/취업/공고 사이트
    • [Naver Cloud Recruitings] nCloud 채용/취업/공고 사이트
    • [KISIA :: 한국정보보호산업협회] 정보보호 전문강사 모집
  • Killing-Time
    • [클래스101] 23년 무료 취미테스트
    • 해커스잡 NCS&인적성 무료레벨테스트
    • 해커스토플 무료레벨테스트
    • 해커스중국어 무료레벨테스트
    • 탑툰-선생님의 노력[19금]
    • 탑툰-보스의 딸[19금]
    • 탑툰-마니또[19금]
    • 무툰 도시정벌9부
    • 무툰 열혈강호
    • 탑툰 취화점
    • 무툰 요구르트 아줌마[19금]
    • 탑툰-엄마야 누나야[19금]
    • 탑툰-치킨클럽[19금]
    • 탑툰-나의 일러레님[19금]
    • 탑툰-내 맘대로 장모님[19금]
    • 탑툰-뺏는 남자[19금]
    • 무툰 그 남자의 공부법[19금]
    • 무툰 모비딕[19금]
    • 무툰 건물주 누나[19금]
    • 탑툰-여동생이랑 비밀 레슨[19금]
    • 무툰 치한중독[19금]
    • 무툰 구멍가게 구멍열었습니다[19금]
  • TIPS
    • 소상공인지식배움터(Feat. 교보문고 무료 대여 )
    • 노트북 AS 기간 확인 하기
      • HP Check Warranty
      • MAC Check Warranty
      • ASUS Check Warranty
      • Lenovo Check Warranty
      • Dell Check Warranty
    • AI Support Tools
    • AI ChatGPT Prompt Study
  • Hacking IP 공유
    • 해킹 IP 주소 공유
      • [ipconfig] MY IP Check
      • [NAVER] 내 공인 IP 확인
      • 1.X.X.X IP Address
        • hacking ip 1.9.78.242
        • hacking ip 1.15.172.243
      • 8.X.X.X IP Address
        • hacking ip 8.137.55.67
        • hacking ip 8.134.209.247
      • 14.X.X.X IP Address
        • hacking ip 14.51.236.218
      • 36.X.X.X IP Address
        • hacking ip 36.40.79.122
      • 37.X.X.X IP Address
        • hacking ip 36.40.79.122
      • 39.X.X.X IP Address
        • hacking ip 37.139.5.66
      • 43.X.X.X IP Address
        • hacking ip 43.129.219.189
        • hacking ip 43.131.248.141
        • hacking ip 43.153.22.76
        • hacking ip 43.153.22.117
        • hacking ip 43.153.22.141
        • hacking ip 43.153.22.165
        • hacking ip 43.153.22.166
        • hacking ip 43.153.22.198
        • hacking ip 43.153.22.206
        • hacking ip 43.163.228.134
      • 45.X.X.X IP Address
        • hacking ip 45.55.35.178
        • hacking ip 45.125.66.18
        • hacking ip 45.125.66.34
        • hacking ip 45.142.182.76
      • 49.X.X.X IP Address
        • hacking ip 49.235.105.204
      • 62.X.X.X IP Address
        • hacking ip 62.204.41.102
      • 65.X.X.X IP Address
        • hacking ip 65.108.128.54
      • 68.X.X.X IP Address
        • hacking ip 68.170.165.36
      • 79.X.X.X IP Address
        • hacking ip 79.124.60.194
      • 80.X.X.X IP Address
        • hacking ip 80.75.212.75
      • 87.X.X.X IP Address
        • hacking ip 87.236.176.236
      • 92.X.X.X IP Address
        • hacking ip 92.118.39.120
      • 103.X.X.X IP Address
        • hacking ip 103.75.189.252
      • 104.X.X.X IP Address
        • hacking ip 104.250.34.19
      • 106.X.X.X IP Address
        • hacking ip 106.75.22.189
      • 112.X.X.X IP Address
        • hacking ip 112.235.45.70
      • 114.X.X.X IP Address
        • hacking ip 114.155.199.35
      • 118.X.X.X IP Address
        • hacking ip 118.145.151.235
      • 124.X.X.X IP Address
        • hacking ip 124.156.211.115
      • 128.X.X.X IP Address
        • hacking ip 128.199.183.223
      • 130.X.X.X IP Address
        • hacking ip 130.0.177.161
      • 138.X.X.X IP Address
        • hacking ip 138.68.67.5
      • 139.X.X.X IP Address
        • hacking ip 139.59.15.81
        • hacking ip 139.198.127.41
      • 141.X.X.X IP Address
        • hacking ip 141.98.11.96
      • 154.X.X.X IP Address
        • hacking ip 154.82.84.7
      • 156.X.X.X IP Address
        • hacking ip 156.146.155.187
      • 157.X.X.X IP Address
        • hacking ip 157.245.69.32
      • 164.X.X.X IP Address
        • hacking ip 164.52.0.93
      • 167.X.X.X IP Address
        • hacking ip 167.94.145.60
      • 172.X.X.X IP Address
        • hacking ip 172.104.131.24
      • 175.X.X.X IP Address
        • hacking ip 175.178.194.190
      • 177.X.X.X IP Address
        • hacking ip 177.70.16.130
      • 179.X.X.X IP Address
        • hacking ip 179.43.190.218
      • 185.X.X.X IP Address
        • hacking ip 185.150.26.240
        • hacking ip 185.233.19.177
      • 192.X.X.X IP Address
        • hacking ip 192.241.212.33
      • 193.X.X.X IP Address
        • hacking ip 193.202.110.28
      • 194.X.X.X IP Address
        • hacking ip 194.48.251.17
        • hacking ip 194.163.179.245
      • 198.X.X.X IP Address
        • hacking ip 198.235.24.251
      • 206.X.X.X IP Address
        • hacking ip 206.168.34.52
        • hacking ip 206.168.34.172
      • 210.X.X.X IP Address
        • hacking ip 210.18.182.28
      • 211.X.X.X IP Address
        • hacking ip 211.57.143.147
      • 218.X.X.X IP Address
        • hacking ip 218.92.0.115
  • BOOKS
    • [CUPANG] 웹 보안 담당자를 위한 취약점 진단 스타트 가이드
    • [CUPANG] 해킹 패턴과 웹 취약점 진단
    • [CUPANG] 해킹 패턴과 시스템 취약점 진단
    • [CUPANG] 침투 테스트의 전 과정을 알려주는 모의 해킹 완벽 가이드
    • [CUPANG] Nmap NSE를 활용한 보안 취약점 진단:엔맵 스크립트 엔진으로 하는 네트워크와 웹서비스 보안 분석
    • [CUPANG] 초보해커를 위한 해킹 입문 세트 2/E
    • [CUPANG] 해킹 맛보기:화이트햇 해커를 꿈꾸는 이들을 위한 해킹 입문서
    • [CUPANG] 화이트 해커를 위한 암호와 해킹(White Hat Python)
    • [CUPANG] 칼리 리눅스로 파헤치는 도커 해킹:도커 환경 모의 해킹 가이드
  • Hobby
    • [Youtube] Succulent
      • [Youtube] 다육이 키우는 중. #1
      • [Youtube] 다육이 키우는 중. #2
      • [Youtube] 다육이 키우는 중. #3
      • [Youtube] 다육이 키우는 중. #4
      • [Youtube] 다육이 키우는 중. #5
      • [Youtube] 다육이 키우는 중. #6
      • [Youtube] 다육이 키우는 중. #7
      • [Youtube] 다육이 키우는 중. #8
      • [Youtube] 다육이 키우는 중. #9
      • [Youtube] 다육이 키우는 중. #10
      • [Youtube] 다육이 키우는 중. #11
  • Enjoy News
    • News
  • World_IP_addr
    • 2024 Year IP Addr List
    • 2023 Year IP Addr List
  • Startup Infomation
    • Startup 정보 공유
Powered by GitBook
On this page
  • 앱 보안 권장사항
  • 소스 코드 검토
  • 자동화된 테스트
  • 잠재적으로 위험한 애플리케이션
  • 앱 설치 및 권한
  • 앱 서명
  • 앱 및 프로세스 분리
  • 루트 프로세스 분리
  • 시스템 앱 분리
  • 프로세스 분리

Was this helpful?

  1. Best-Practices

앱 보안 권장사항(APP)

Andorid 사이트 참고

Last updated 2 years ago

Was this helpful?

앱 보안 권장사항

이 섹션에는 Android 기기의 앱 보안을 보장하기 위한 권장사항이 포함되어 있습니다.

소스 코드 검토

소스 코드 검토를 통해 이 문서에 설명된 문제를 비롯한 광범위한 보안 문제를 알아낼 수 있습니다. Android에서는 수동 및 자동 소스 코드 검토를 모두 실행할 것을 적극 권장합니다.

  • 적용 범위 확인을 위한 검토를 실시할 경우 다음과 같은 포괄적인 보안 지침을 따릅니다. 관련 있는 내부 또는 외부 표준을 활용하여 일관되고 완전한 검토가 이루어지도록 합니다.

  • Android SDK를 사용 중인 모든 앱 코드에 와 같은 린터를 실행하고 모든 식별된 문제를 수정합니다.

  • 버퍼 오버플로 및 하나 차이 오류와 같은 메모리 관리 문제를 감지할 수 있는 자동화된 도구를 사용하여 네이티브 코드를 분석합니다.

  • Android 빌드 시스템은 및 등의 여러 LLVM 새니타이저를 지원합니다. 이러한 새니타이저는 메모리 관련 문제의 런타임 분석 용도로 사용할 수 있습니다. 를 통해 Android에서 지원되는 퍼징과 결합할 경우 새니타이저는 추가적인 조사가 필요한 독특한 극단적 사례를 드러낼 수 있습니다.

  • 지식이 풍부한 보안 평가자가 암호법, 결제 처리 및 개인 식별 정보 처리처럼 위험이 높은 코드를 검토해야 합니다.

자동화된 테스트

자동화된 테스트는 광범위한 보안 문제를 감지하는 데 도움이 될 수 있으며 정기적으로 실행해야 합니다.

  • 개발 프로세스 전반에 걸쳐 최신 버전의 를 정기적으로 실행하여 조기에 문제를 감지하고 수정 시간을 단축합니다. Android에서는 하루에 여러 번 빌드되는 자동 빌드 프로세스에서 CTS를 지속적 통합의 일부로 사용합니다.

  • 잘못된 형식의 입력을 사용한 테스트(퍼징 테스트)를 비롯한 인터페이스 보안 테스트를 자동화합니다. Android의 빌드 시스템은 퍼징 테스트 작성을 위한 를 지원합니다.

취약점 스캔

취약점 스캔은 사전 설치된 앱에 알려진 보안 취약점이 없는지 확인하는 데 도움을 줄 수 있습니다. 고급 감지 기능은 이러한 취약점을 해결하고 사용자와 기기에 미칠 위험을 예방하는 데 필요한 시간과 비용을 줄여줍니다.

  • 업계에서 인정하는 앱 취약성 스캔 도구를 사용하여 사전 설치된 모든 앱을 스캔하고 감지된 취약점을 해결합니다.

잠재적으로 위험한 애플리케이션

앱 설치 및 권한

  • 불필요한 권한을 사전 설치된 앱에 부여하지 않습니다. 아주 민감한 권한이 포함될 수 있으므로 시스템 권한이 있는 앱을 꼼꼼히 검토합니다.

  • 요청된 모든 권한이 특정 앱의 기능에 관련되고 필요한 것인지 확인합니다.

  • INSTALL_PACKAGES 권한을 사용하는 모든 사전 설치된 앱의 사용자 공개 정보가 있는지 확인합니다.

  • 개발자에게 앱을 UID 0으로 설치하지 않아야 하는 계약적 의무가 있는지 확인합니다.

  • 개발자의 네트워크를 통해 설치될 모든 앱의 매니페스트에서 선언된 권한을 평가합니다.

앱 서명

앱 서명은 기기 보안에서 중요한 역할을 하며 권한을 확인하고 소프트웨어를 업데이트하기 위한 용도로 사용됩니다. 앱 서명에 사용할 키를 선택할 때는 앱이 단일 기기에만 사용할 수 있는지, 아니면 여러 기기에 걸쳐 공용으로 사용할 수 있는지를 고려하는 것이 중요합니다.

  • 앱이 AOSP 개발자 키와 같은 공개적으로 알려진 키로 서명되지 않았는지 확인합니다.

  • 앱 서명에 사용된 키가 민감한 키 취급을 위한 업계 표준 관행(감사 가능한 제한적인 액세스를 제공하는 HSM(하드웨어 보안 모듈) 포함)과 일치하는 방식으로 관리되는지 확인합니다.

  • 앱이 플랫폼 키로 서명되지 않았는지 확인합니다. 플랫폼 키로 서명할 경우 매우 강력하고 운영체제 구성요소만 사용하도록 되어있는 플랫폼 서명 권한에 앱이 액세스할 수 있습니다. 시스템 앱은 독점 권한을 사용해야 합니다.

  • 패키지 이름이 같은 앱이 다른 키로 서명되지 않았는지 확인합니다. 이는 다른 기기의 앱을 구축하는 경우, 특히 플랫폼 키를 사용할 때 자주 발생합니다. 앱이 기기 독립형인 경우 여러 기기에 동일한 키를 사용하세요. 앱이 기기 전용인 경우 기기 및 키별로 고유한 패키지 이름을 생성하세요.

앱 및 프로세스 분리

루트 프로세스 분리

루트 프로세스는 권한 에스컬레이션 공격의 가장 빈번한 표적이며 루트 프로세스 수를 줄이면 권한 에스컬레이션의 위험도 감소합니다.

  • 기기에서 최소로 필요한 코드를 루트로 실행하는지 확인합니다. 가능하다면 루트 프로세스가 아닌 일반 Android 프로세스를 사용하세요. 프로세스를 기기에서 루트로 실행해야 한다면 프로세스를 AOSP 기능 요청에 문서화하여 공개적으로 검토할 수 있습니다.

  • 가능한 경우 루트 코드는 신뢰할 수 없는 데이터로부터 분리해야 하며 IPC(프로세스 간 통신)를 통해 액세스해야 합니다. 예를 들어 루트 기능을 바인더를 통해 액세스 가능한 소규모 서비스로 축소하고 서명 권한이 있는 서비스를 권한이 낮거나 없는 앱에 노출시켜 네트워크 트래픽을 처리합니다.

  • 루트 프로세스는 네트워크 소켓에서 수신 대기하면 안 됩니다.

  • 루트 프로세스에는 자바 VM과 같은 범용 런타임을 포함하면 안 됩니다.

시스템 앱 분리

일반적으로 사전 설치된 앱은 공유된 시스템의 고유 식별자(UID)로 실행되면 안 됩니다. 앱에서 시스템의 공유된 UID나 다른 권한이 있는 서비스(예: 휴대전화)를 사용해야 하는 경우 앱은 사용자가 설치한 타사 앱에 의해 액세스 가능한 어떠한 서비스, broadcast receiver 또는 콘텐츠 제공업체도 내보내면 안 됩니다.

  • 기기에서 최소로 필요한 코드를 시스템으로 실행하도록 합니다. 가능하다면 시스템 UID를 재사용하기보다는 자체 UID가 있는 Android 프로세스를 사용하세요.

  • 가능하다면 신뢰할 수 없는 데이터에서 시스템 코드를 분리하고 다른 신뢰할 수 있는 프로세스에만 IPC를 노출해야 합니다.

  • 시스템 프로세스는 네트워크 소켓에서 수신 대기하면 안 됩니다. 이는 CTS 요구사항입니다.

프로세스 분리

Android 애플리케이션 샌드박스는 루트 프로세스 및 디버거를 비롯한 시스템의 다른 프로세스로부터 분리가 예상되는 앱을 제공합니다. 앱과 사용자가 디버깅을 특별히 사용 설정하지 않는 한 이러한 예상을 위반하는 앱이 없어야 합니다.

  • 문서화된 Android 디버깅 메서드를 사용하지 않는 한 루트 프로세스가 개별 앱 데이터 폴더 내의 데이터에 액세스하지 않도록 합니다.

  • 문서화된 Android 디버깅 메서드를 사용하지 않는 한 루트 프로세스가 앱의 메모리에 액세스하지 않도록 합니다.

  • 다른 앱이나 프로세스의 데이터나 메모리에 액세스하는 어떠한 앱도 기기에 포함되지 않도록 합니다.

기기에 사전 설치된 앱이 (PHA)이 아니어야 합니다. 기기에 포함된 모든 앱의 동작에 관한 책임은 본인에게 있습니다. 기기 실행 전에 사전 로드된 모든 앱의 취약점을 스캔해야 합니다.

PHA 및 Play 스토어에서 Google이 이러한 앱을 차단하는 방법에 관한 자세한 내용은 를 참조하세요.

사전 설치된 앱에 과도한 권한이 부여되면 보안 위험이 생길 수 있습니다. 사전 설치된 앱의 권한을 필요한 최소 수준으로 제한하고 불필요한 권한에 액세스하지 않는지 확인하세요. 앱 권한은 에 설명되어 있습니다.

앱을 기기에 게재하기 전에 개발자에게 를 사용하여 자동 업데이터 및 설치 프로그램 앱의 모든 다운로드된 URL을 스캔해야 할 계약적 의무가 있는지 확인합니다.

Android 은 제대로 사용할 경우 앱 및 프로세스와 관련된 추가적인 보안 기능을 제공합니다.

Android 스튜디오 린터
AddressSanitizer
UndefinedBehaviorSanitizer
libFuzzer
CTS
libFuzzer
잠재적으로 위험한 애플리케이션
Google Play 프로텍트 개발자 문서
AndroidManifest.xml
Google Safe Browsing API
샌드박스 모델
[NHN Cloud] 2022년 NHN Cloud 교육 정보 공유NHN Cloud
NHN Cloud 정보 사이트
Security Update ListSecurity Update List
보안 업데이트 정보 사이트
Logo
Logo