React Native Hermes 앱 번들에서 API 키 추출 및 보안 취약점 분석

핵심 기술

이 글은 React Native 앱 개발 시 .env 파일에 저장된 API 키와 같은 민감한 정보가 Hermes 엔진을 사용하는 경우 .jsbundle 파일에 어떻게 포함되고, 역공학 도구를 통해 추출될 수 있는지 구체적인 과정을 iOS 환경을 기준으로 설명합니다.

기술적 세부사항

• 보안 취약점: 앱 개발 시 .env 파일에 API 키와 같은 민감 정보를 포함하면, 빌드 과정에서 앱에 포함되어 보안 노출 위험이 있습니다.
• Hermes 엔진: React Native에서 성능 최적화를 위해 자바스크립트 코드를 미리 바이트코드로 컴파일하여 .jsbundle 파일로 생성합니다. 이는 앱 실행 속도 및 메모리 사용량 개선에 기여하지만, 바이트코드의 특성상 역공학 시 원본 코드 접근 가능성이 있습니다.
• 번들 구조 분석: iOS .ipa 파일은 압축 파일이며, 압축 해제 후 Payload/<AppName>.app/main.jsbundle에서 핵심 자바스크립트 코드를 확인할 수 있습니다.
• Hermes 바이트코드 확인: file 명령어를 통해 main.jsbundle이 Hermes 바이트코드 버전 96임을 확인할 수 있습니다.
• 역공학 도구 활용: HBC-Tool과 hermes-dec와 같은 도구를 사용하여 main.jsbundle을 디스어셈블하고, string.json 또는 .js 파일에서 API 키와 같은 민감 문자열을 추출할 수 있습니다.
• 결론 및 권고: 클라이언트에 포함된 코드는 누구나 분석 가능하므로, API 키 등 민감 정보는 앱 번들에 절대 포함해서는 안 됩니다. 대신 서버(백엔드)에서 안전하게 보관하고 API를 통해 간접적으로 호출하는 방식을 사용해야 합니다.

개발 임팩트

• 보안 인식 강화: 개발자들이 앱 번들 내 민감 정보 노출의 실제 위험성을 인지하고, 보다 안전한 코드 관리 및 데이터 처리 방안을 고려하게 됩니다.
• 보안 아키텍처 설계: 민감 정보 처리에 대한 서버 중심 설계의 중요성을 강조하며, 클라이언트-서버 통신 보안 강화의 필요성을 제기합니다.
• 디버깅 및 감사: 앱의 보안 취약점을 점검하거나 감사하는 과정에서 유용하게 활용될 수 있습니다.

커뮤니티 반응

• 본문에서 직접적인 커뮤니티 반응은 언급되지 않았으나, 모바일 앱 보안 관련 GitHub 이슈나 논의에서 자주 다루어지는 주제입니다.

톤앤매너

전반적으로 기술적으로 정확하고, 실질적인 위험성을 경고하며, 해결책을 제시하는 전문적인 톤을 유지합니다.