스마트폰 애플리케이션의 종류가 다양해지고 사용 빈도가 높아지는 만큼 정보보안에 대한 중요성도 나날이 증가하고 있다. 최근 기업, 금융기관들은 스마트폰 애플리케이션 서비스에서 사용자와 서버 간 통신 시 송·수신되는 데이터의 도청, 변조 공격의 대비책으로 송·수신되는 데이터를 볼 수 없도록 하기 위해, SSL Pinning 기술을 사용하고 있다. 본 연구에서는 이를 우회할 수 있는 방법을 소개하고 시연하며, 이에 대한 대응방안을 제안한다. SSL Pinning은 모바일 애플리케이션 서버에서 사용되는 인증서를, 하드 코딩하는 것을 의미한다. 모바일 애플리케이션은 SSL 인증서 검증을 통해 신뢰할 수 있는 저장소를 무시하고, 자체적으로 모바일 애플리케이션 내부에 저장된 인증서로 SSL 연결을 맺는다. 그러나 Blackhat에서 발표한 POC 툴은 Android, iOS 환경에서 이런 SSL 인증서 검증을 비활성화 하여 송·수신되는 데이터를 도청하고 변조할 수 있음을 보였다.
본 논문에서는 Proxy, 웹 취약점, SSL Pinning에 대해서 소개하고 모바일 애플리케이션에서 SSL Pinning이 우회 가능함을 시연한 다음, 스마트폰 운영체제 순정 여부 검증 로직 구현을 대응방안으로 제안한다.