Fairplay DRM에 대한 질문 드립니다.!!(난독화 관련)

Question

안녕하세요. 좋은 강의로 인해 도움을 많이 받고 있는 수강생입니다. 1. Fairplay DRM(1) 강의 보면 - 앱 스토어에서 다운로드한 앱은 FairPlay DRM을 이용해 암호화 되어 보호됨 이라고 적어주셨는데 해당 사항이 모든 앱에 해당되는 부분인가요?? 혹시 해당 내용에 대한 공식문서나 URL이 있으면 공유 부탁드립니다 ㅠㅠ(실제로 앱스토어에 등록되어 있는 은행앱을 분석한 결과 난독화 되어 있지 않아서 질문드립니다.일부 앱에서만 적용되는지 궁금합니다.) 2. IOS 난독화 관련 Android 는 난독화를 많이 적용하여 배포하는데 IOS는 난독화를 하지 않은 이유가 있을까요?? 찾아보니깐 난독화 솔루션도 있고, 오픈소스도 있는거 같은데 커뮤니티에 보면 난독화하면 앱스토어에서 reject 할 수 있다는 얘기도 있네요.. 강사님의 의견이 궁금합니다. 이상 2가지 질문에 대해 답변 부탁드립니다.!!

김태영 · Answer

안녕하세요. 보안프로젝트 김태영입니다.   도움이 많이 되셨다니 다행입니다. 감사합니다. 질문에 대한 답변드리겠습니다.   1.   개발자가 제작한 앱을 앱스토어에 올리게되면 모든 앱들은 FairPlay DRM을 이용해 암호화가 되어 보호됩니다. 해당 내용에 대한 URL 링크는 아래와 같습니다.   참고1) https://en.wikipedia.org/wiki/FairPlay 요약) 페어플레이(FairPlay)는 애플이 소유하고 있는 디지털 권리 관리 (DRM) 기술 요약) 페어플레이는 애플 아이폰, 아이팟, 아이튠즈, 아이튠즈 스토어, 앱 스토어 등에 쓰인다.   참고 2) https://github.com/OWASP/owasp-mstg/blob/master/Document/0x06a-Platform-Overview.md#encryption-and-data-protection 요약) FairPlay 코드 암호화는 App Store에서 다운로드한 앱에 적용   참고 3) https://developer.apple.com/support/downloads/terms/apple-developer-program/Apple-Developer-Program-License-Agreement-20200622-Korean.pdf 요약) &ldquo;보안 솔루션&rdquo;이란 Fairplay 로 거래되는 Apple 의 독점 콘텐츠 보호 시스템(proprietary Apple content protection system)을 의미하며, 라이선스받은 애플리케이션에 대한 Apple 의 표준 사용 규정을 집행할 목적으로 App Store 에 배포된 라이선스받은 애플리케이션에 적용됩니다(이러한 시스템과 규정은 Apple 이 수시로 변경할 수 있습니다).     2.  - Android는 난독화할 수 있는 도구가 광범위하지만, iOS는 거의 없기 때문에 많이 대중적이지 않은 것 같습니다. 금융권에서는 솔루션을 적용해서 난독화 문제를 해결하고 있습니다. - 앱 승인과 관련해서는 애플에서 별도 공개한 명확한 정보가 없기 때문에, 오픈소스를 사용한 경우 Reject할 수 있다는 이야기는 정확한 확인이 어렵습니다. 애플 앱 승인과 관련된 정책에 맞지 않는 경우는 Reject될 것 같습니다.   답변이 도움이 되셨으면 좋겠습니다. 감사합니다.