헬스케어 앱 보안을 위한 대응 방안은?

헬스케어 앱 클라이언트에는 건강 정보 등 유저의 개인정보가 입력됩니다. 그렇기에 철저한 보안 적용이 필요하며, 아래와 같은 사항은 반드시 고려해야 합니다.

1. 강력한 인증 및 권한 관리

기본적으로 헬스케어 앱은 인증된 사용자만이 관련 데이터를 남길 수 있습니다. 그렇기에 인증 절차를 2단계 인증, 강력한 비밀번호 정책 등을 적용할 수 있어야 합니다. 또한 최소 권한 원칙을 바탕으로 서비스를 이용하기 위한 최소한의 사용자와 앱 권한을 부여합니다.

2. 데이터 입력 관리

사용자가 입력하는 데이터에 대한 엄격한 검증이 필요합니다. 사용자가 입력한 데이터의 형식과 내용을 클라이언트에서 검증하고, 서버에서도 데이터를 검증해 위변조된 데이터를 걸러낼 수 있어야 합니다. 특히 특수 문자나 스크립트 태그를 필터링해 SQL 인젝션, XSS 등 모바일 환경에 특화된 공격을 방지하도록 합니다.

3. 데이터 암호화

앱 클라이언트 단에 반드시 저장되어야 하는 데이터가 있다면 강력한 암호화 알고리즘(AES-256 등)을 사용하여 암호화해야 합니다. 또한 데이터가 서버 DB로 전송될 때 네트워크 계층은 안전하지 않고 스니핑에 취약하다고 가정하고 반드시 SSL/TLS를 사용해 암호화된 통신 채널을 이용할 수 있도록 합니다.

4. 소스 코드 암호화 및 앱 무결성 검증

앱 위변조는 앱의 소스 코드에 접근하고 분석하는 것에서 시작됩니다. 그렇기에 소스 코드 암호화는 필수입니다. 암호화된 코드는 정적 및 동적 분석 도구로 분석하기 어려워 리버스 엔지니어링(역공학)을 방지할 수 있습니다. AES 또는 ECC, 화이트박스 암호화 등 널리 인정되고 안전한 암호화 알고리즘을 구현하고, 암호화 표준을 최신 상태로 유지해야 합니다. 또한 앱이 실행될 때 무결성을 검증해 코드가 변조되지 않았음을 확인해야 합니다.

5. 실시간 모니터링

사용자의 활동 로그를 저장하고 분석하고, 보안 사고를 실시간으로 모니터링해 신속하게 대응할 수 있는 체계를 구축합니다. 실시간 모니터링은 직관적인 대시보드로 제공되어야 위협 요소를 파악하는 것에 편리합니다.

원문👇