1. /
  2. Application Security for Mobile Network Providers
  • 추가
Application Security for Mobile Network Providers

모바일 네트워크 제공업체를 위한 애플리케이션 보안

  • 더 많은 애플리케이션을 보다 신속하게 출시
  • 혁신의 추구
  • 네트워크 보안 유지

Symantec Code Signing 포털은 고객과 네트워크의 보안을 보장하면서 동시에 혁신을 추구하고 시장에 신속하게 대응할 수 있도록 도와줍니다.
모바일 네트워크 제공업체는 더 빠른 네트워크와 더 스마트한 장치, 인기있는 애플리케이션을 제공하여 가입자를 확보하고 수익을 늘리기 위해 치열하게 경쟁하고 있습니다. 모바일 네트워트 사업자는 고객이 자사의 모바일 장치를 구매하도록 유도하기 위해 전 세계적으로 점점 커지고 있는 개발자 커뮤니티와 협력 체제를 구축하고 있습니다. 하지만 버그나 악성 코드가 발생하면 사용자 서비스가 중단될 뿐 아니라 전체 네트워크가 위험해집니다.

모바일 네트워크 제공업체가 코드 서명을 하면 누릴 수 있는 이점

모바일 네트워크를 통해 다운로드하는 소프트웨어는 사용자가 알게 모르게 실질적인 위험을 가할 수 있습니다. 기존 형태의 소프트웨어 판매에서는 구매자가 패키지 검사를 통해 애플리케이션 소스와 무결성을 확인할 수 있었습니다. Symantec Code Signing은 일종의 디지털 "쉬링크랩(shrink-wrap)"을 생성하여 코드 소스를 표시하고 서명 이후 소스가 수정되지 않았음을 확인합니다. 모바일 네트워크 제공업체는 Symantec Code Signing 포털을 통해 코드가 자사의 네트워크에서 제공되기 전에 테스트 및 승인 프로세스를 거치도록 할 수 있습니다.

알려져 있고 검증된 소스의 애플리케이션에 액세스 허용

Symantec Code Signing 포털은 개발자에게 Publisher ID를 발급하기 전에 엄격한 검증 프로세스를 통과할 것을 요구합니다. 개발자는 Publisher ID를 사용하여 코드에 서명한 다음 코드를 Symantec Code Signing 포털에 업로드합니다. Symantec은 게시자 서명을 확인하고 게시자의 디지털 서명을 제거한 다음 새로운 키 쌍을 생성하고 컨텐트에 서명하여 게시자에게 되돌려 보냅니다. 이때 새로 생성된 고유한 Content ID를 함께 전송하여 게시자의 플랫폼에서 신뢰받을 수 있도록 해줍니다. 모바일 네트워크 사업자는 개발자에게 전용 포털에서 코드 서명을 수행하도록 요청함으로써 알려져 있고 검증된 소스로부터 생성된 애플리케이션에만 액세스하도록 할 수 있습니다.

승인 프로세스에 테스트 단계 통합

모바일 시장에서 성공하려면 지속적인 혁신을 통해 가입자를 확보하고 높은 수익을 내는 데이터 서비스를 활용해야 합니다. 네트워크 제공업체 및 모바일 플랫폼 벤더는 승인 프로세스에 Symantec Code Signing을 통합함으로써 개발 프로세스를 간소화하고 출시 시간을 단축할 수 있습니다. 검토자는 애플리케이션이 업로드되면 웹에서 손쉽게 애플리케이션 디지털 서명에 액세스하여 신속하게 승인을 처리합니다. 개발자는 Publisher API를 사용하여 Symantec Code Signing을 빌드 프로세스에 직접 통합할 수 있습니다.

제어 향상 및 보호 강화

기존 방식의 코드 서명 인증서는 개발자가 모든 코드에 동일한 디지털 서명을 사용하여 서명합니다. 이 경우 버그나 악성 코드가 발견되면 인증서를 해지해야 하므로 이 디지털 서명을 사용한 모든 코드가 무효화됩니다.

Symantec Code Signing 포털은 2단계의 서명 프로세스를 통해 모든 코드 서명에 고유한 디지털 서명을 생성합니다. 그러면 모든 애플리케이션이 고유한 디지털 서명을 가지게 되므로 이 개발자가 게시한 다른 코드와 컨텐트에 대한 액세스는 그대로 허용하면서 원하는 애플리케이션에 대한 서명만 식별하여 해지할 수 있습니다. 따라서 네트워크 운영자는 네트워크를 더욱 효율적으로 제어하고 보호할 수 있습니다.

PB(Private Brand: 자체 브랜드) 포털 서명 서비스

Symantec은 네트워크 제공업체와 모바일 플랫폼 벤더가 코드 서명 및 승인 프로세스를 제어할 수 있도록 하기 위해 자체 브랜드를 위한 포털 서명 서비스를 제공합니다. 자세한 내용은 codesigning@symantec.com에 문의하십시오.

시만텍 코드 서명 포털 FAQ

코드 서명이란 무엇이며 왜 필요한가요?

코드 서명은 일종의 디지털 "쉬링크랩(shrink-wrap)"을 생성하여 코드를 제공한 기업이 어디인지 알려주고 서명 이후에 코드가 수정되지 않았음을 검증합니다. 기존 형태의 소프트웨어 판매에서는 구매자가 패키지 검사를 통해 애플리케이션 소스와 무결성을 확인할 수 있었습니다. 고객이 휴대폰에 애플리케이션을 다운로드하고 플러그인과 애드인을 설치하고 고급 웹 기반 애플리케이션을 이용하는 경우가 증가하고 있습니다. 이 때 악성 코드나 잘못된 코드를 다운로드한다면 사용자 본인의 안전은 물론 모바일 네트워크의 기능도 위협받을 수 있습니다. Symantec Code Signing은 애플리케이션을 식별 가능하게 하고 디지털 서명의 위조나 손상을 방지하여 브랜드와 지적 재산권을 보호합니다.


맨 위로 이동

시만텍 코드 서명 포털은 어떤 기능을 하나요?

코드 서명 인증서는 공개 키 암호화를 기반으로 합니다. 개발자나 소프트웨어 게시자는 개인 키를 사용하여 코드나 컨텐트에 디지털 서명을 추가합니다. 소프트웨어 플랫폼과 애플리케이션은 다운로드 과정에서 공개 키를 사용하여 서명을 해독하고 애플리케이션 서명에 사용된 해시와 다운로드한 애플리케이션의 해시를 비교합니다. 신뢰할 수 있는 소스의 서명된 코드는 자동으로 승인됩니다. 또는 보안 경고가 표시되면 엔드유저가 서명 정보를 확인하고 코드를 신뢰할지 여부를 결정할 수 있습니다.

개발자는 코드 서명 인증서를 사용하여 모든 코드에 동일한 디지털 서명을 적용하고 코드의 소스를 식별하며 서명 후 코드가 변조되지 않았음을 확인합니다. 코드 서명 포털에서는 2단계 서명 프로세스를 통해 코드가 서명될 때마다 고유한 디지털 서명을 생성하므로 발표된 코드의 각 버전을 손쉽게 추적하고 취소할 수 있습니다. 개발자는 Publisher ID를 사용하여 코드에 서명하고 코드 서명 포털에 로그인합니다. 그런 다음 코드 서명 포털에 코드를 업로드합니다. 시만텍은 게시자 서명을 확인한 다음 게시자의 디지털 서명을 제거하고 새로운 키 쌍을 생성한 후 컨텐트에 서명한 다음 컨텐트를 새로 생성된 Content ID와 함께 게시자에게 전송합니다.


맨 위로 이동

Publisher ID와 Content ID는 어떻게 다른가요?

Publisher ID는 서명 포털에 등록할 때 받는 디지털 인증서입니다. 여기에는 해당 회사의 정보가 들어 있으며 서명 포털에 코드나 컨텐트를 업로드하기 전에 디지털 서명을 할 때 사용됩니다. 또한 서명 포털에 로그인하기 위한 인증에도 사용됩니다. Content ID는 서명 포털에서 컨텐트가 서명될 때 Symantec이 생성하는 고유한 코드 서명 인증서입니다. 안전한 다운로드 및 실행을 위해 엔드유저 장치에서 유일하게 신뢰되는 서명입니다. 서명 포털을 이용하여 코드에 서명하려면 Publisher ID 1개, Content ID, 즉 "서명 이벤트" 번들을 구매해야 합니다.


맨 위로 이동

몇 개의 Publisher ID가 필요한가요?

코드 서명 포털의 각 계정에는 1개의 Publisher ID(관리자 인증서라고도 함)가 있습니다. 관리자는 코드 서명 포털에 로그인하고 사내의 여러 개발 그룹을 위한 Publisher ID를 추가로 구매할 수 있습니다. 단일 계정으로 여러 개의 Publisher ID를 사용하므로 하나의 포털에서 모든 코드 서명 이벤트를 조회하고 추적할 수 있습니다. 각 그룹의 고유한 ID를 취소하거나 수정하여 보안을 강화할 수 있습니다.


맨 위로 이동

몇 개의 Content ID, 즉 서명 이벤트가 필요한가요?

애플리케이션이나 코드에 서명할 때마다 Content ID가 하나씩 사용됩니다. Content ID는 시만텍 코드 서명 포털에서 서명 이벤트의 번들 형태로 판매됩니다. 여러 버전을 포함하여 서명하는 애플리케이션마다 하나의 서명 이벤트가 필요합니다. Windows Mobile 애플리케이션이 1개의 cab 파일로 구성되고 이 파일에 1개의 exe 파일과 1개의 dll 파일이 포함된 경우, 이 애플리케이션에 서명하면 3개의 서명이 생성되지만(dll, exe, cab 파일별로 1개씩) 사용되는 서명 이벤트는 1개뿐입니다.


맨 위로 이동

cab 파일에 포함된 모든 파일에 서명하나요 아니면 cab 파일에만 서명하나요?

.cab 파일에 포함된 모든 실행 파일에 서명해야 합니다. 시만텍 코드 서명 포털에서는 서명할 .cab 파일이 업로드되면 해당 파일에 포함된 모든 실행 파일에 자동으로 서명합니다.


맨 위로 이동

시만텍 코드 서명 포털을 이용하면 코드 서명에 시간이 얼마나 걸리나요?

시만텍은 승인된 애플리케이션에 자동으로 서명합니다. 이용하는 서명 서비스 유형 그리고 장치 플랫폼 또는 모바일 네트워크 요구 사항에 따라 코드 서명에 수 분에서 수 일이 걸릴 수 있습니다. 보안 API에 액세스하는 애플리케이션의 경우 네트워크 제공업체나 벤더가 테스트를 요구할 수도 있습니다. 개발자가 애플리케이션에 서명하여 테스트 센터에 보내면 여기서 코드 서명 포털에 업로드합니다. 시만텍이 네트워크 제공업체 또는 벤더에게 애플리케이션 서명 준비가 되었음을 알립니다. 네트워크 제공업체 또는 벤더가 애플리케이션을 승인하면 시만텍이 서명 프로세스를 완료합니다. 개발자는 코드 서명 포털에서 애플리케이션의 상태를 추적할 수 있습니다. 테스트 및 승인 요구 사항에 대한 자세한 내용은 네트워크 제공업체 또는 벤더에 직접 문의하십시오.


맨 위로 이동

Publisher ID/Administrator ID를 갱신해야 하는 이유는 무엇인가요?

Publisher ID와 Administrator ID는 12개월이 지나면 만료됩니다. 시만텍은 코드 서명과 같은 클래스 3 인증서를 발행하기에 앞서 철저하게 검증된 프로세스를 통해 업체를 인증하고 확인합니다. 담당자는 연 단위 갱신 프로세스를 통해 적법한 업체에서 Publisher ID를 사용하며 해당 업체를 위한 개발 권한을 갖고 있음을 확인할 수 있습니다. 이는 Publisher ID를 포함한 코드 서명 인증서를 발행하기 전에 반드시 거쳐야 하는 프로세스입니다.


맨 위로 이동

코드 서명 포털의 코드 서명 프로세스를 스크립팅하는 방법이 있나요?

시만텍은 시만텍 코드 서명 포털에서 사용할 수 있는 Publisher 및 Provider API를 제공합니다. API 관련 지침은 담당 어카운트 담당자에게 문의하거나 시만텍 지원 부서에 요청하실 수 있습니다.


맨 위로 이동

디지털 서명의 유효 기간은 어떻게 되나요?

시만텍 코드 서명 포털에서는 코드 서명에 10년짜리 디지털 서명을 사용합니다. Publisher ID가 만료되더라도 고유한 Content ID와 디지털 서명은 계속 유효합니다.


맨 위로 이동

여러 시스템에서 코드 서명 포털에 액세스할 수 있나요?

최소 시스템 요구 사항에 부합하는 모든 시스템에서 Publisher ID가 포함된 USB 토큰을 사용하여 코드 서명 포털에 액세스할 수 있습니다. 단, 동일한 시스템에서 Publisher ID를 구매하고 가져와야 합니다. Publisher ID를 가져오는 데 문제가 있으면 등록 시 사용한 것과 동일한 시스템, 브라우저, 로그인 프로필을 사용 중인지 확인하십시오. 보안 및 관리를 향상시키려면 인증서를 공유하기보다 개발자가 Publisher ID를 추가로 구매하는 것이 좋습니다.


맨 위로 이동

다른 사람이 내 디지털 서명을 신뢰해도 되는지 어떻게 알 수 있나요?

코드에 서명하면 코드가 변조되지 않았고 코드가 본인의 소유라는 것이 보장되지만 신원은 확인되지 않습니다. 제3의 CA는 인증서 요청자에게 심사 또는 인증 프로세스를 거칠 것을 요구하므로 자체 서명된 인증서보다 더 신뢰할 수 있습니다. 소프트웨어 플랫폼과 애플리케이션에서 디지털 서명을 확인할 때 "루트" 인증서에 액세스하여 인증서를 발행한 CA를 신뢰할지 여부를 확인합니다. 시만텍 루트 인증서는 대부분의 장치에 미리 설치되어 제공되고 대부분의 애플리케이션에 기본적으로 구현되어 있으므로, 대개 시만텍의 디지털 서명이 신뢰되고 경고 및 오류 메시지 표시 횟수도 줄어듭니다.


맨 위로 이동

USB 토큰 또는 Publisher ID가 분실되었거나 손상되면 어떻게 되나요?

Publisher ID가 있는 USB 토큰이나 토큰 암호는 분실 또는 도난 시 대체할 수 없습니다. 누군가가 이를 발견하여 게시자 이름으로 코드 서명에 사용할 우려가 있기 때문입니다. 개인 키가 분실되었거나 손상된 경우 또는 사용자 정보가 변경된 경우에는 즉시 Publisher ID를 취소하고 새 디지털 인증서로 대체해야 합니다.


맨 위로 이동

구입 문의

  • +61 3 9674 5500 또는
View All Code Signing Certificates
To Increase Downloads, Instill Trust First
Application Security for Mobile Network Providers