10여년 전 OTT(Over-the-Top) 엔터테인먼트 앱의 개념이 처음 등장한 이래로 이러한 앱이 널리 보편화되었습니다. 업계는 수년 간 스스로 성장 과정을 거쳐왔지만 작년 코로나19 팬데믹에 따른 폐쇄와 자가대기 및 재택근무로 인해 더욱 활성화되었습니다.
OTT산업의 폭발적인 발전으로 소비자는 선택의 폭이 많아졌습니다. 하지만 OTT 플랫폼 개발자와 관리자는 수익 모델에 부정적인 영향을 미칠 수 있는 보안에 집중해야 할 필요성이 커졌습니다. 이는 할리우드 제작사의 신뢰를 얻고 콘텐츠를 제휴하기 위해서 보안을 우선적으로 해결해야 하기 때문이며 특히 보안을 타협해서라도 구독자를 확보한 후 보안을 고려하는 신규 신규 OTT업체들이 집중해야 합니다.
OTT 앱에 대한 공격방식
대부분의 콘텐츠 제공업체, 특히 할리우드 스튜디오는 신뢰할 수 없는 앱을 통해 최고 해상도의 프리미엄 콘텐츠를 유통하는 것을 허용하지 않습니다. 기존의 OTT 플랫폼과 신규 OTT 플랫폼 모두 리버스 엔지니어링 , 멀웨어 공격, 공유 객체(SO) 파일 변조, 앱 위조 등 애플리케이션에 영향을 미칠 수 있는 특정 위협 대상을 주의해야 합니다. 리버스 엔지니어링 앱은 사용자에게 가장 큰 위험을 초래합니다. 특히, 불법으로 운영되는 앱 스토어에 비공식 앱(해킹앱)을 업로드하고, 인기 영화, 프로그램 또는 스포츠 경기의 세부적인 내용을 보여주고 사용자가 앱을 다운로드하도록 유인하면 비공식 앱을 선호하게 되는 충동에 이끌려 무료로 스트리밍 비디오에 액세스하게 됩니다.
OTT는 전반적으로 유료구독이라는 개념을 기반으로 운영되고 있으며, 해커가 SO 파일(안드로이드 운영체제에서 동작하는 중요 실행 파일)을 조작하여 무료/평가판과 유료구독 간 장벽을 허물고자 할 때 공격을 받습니다. OTT 플랫폼은 자신의 수익을 보호하기 위해 최우선적으로 SO 파일을 보호해야 합니다.
앱 개발자는 자바스크립트 코드를 포함하여 앱 코드 기반의 모든 측면을 난독화하는 것을 잊는 경우가 많습니다. 해커는 코드의 로직을 악용해서 악성 소프트웨어를 삽입하고, 구독을 조작하거나 앱을 완전히 리엔지니어링할 수 있지만, 이에 대한 대응세력은 자바스크립트를 연구하여 UX 및 기타 클라이언트측 기능을 이해하고, 더 효율적이고, 경쟁력 있는 제품을 만들 수 있습니다.
또 다른 보안 위협에는 구성 오류나 시스템 구성 오류가 있으며, 이는 앱 구성이 비활성화되지 않은 상태에서 해커가 결함을 찾아내고 정보를 악용하거나 데이터 보안을 저하시키는 기본 사용자 이름과 암호로 페이지를 설정했을 때 발생합니다. 또한, 제로데이 취약점(예: 시스템 내 예상치 못한 갑작스러운 침해), 무차별 대입 공격 (예: 특정한 암호를 풀기 위해 가능한 모든 값을 대입하여 암호를 찾아내는 행위), 분산 서비스 거부(예: 네트워크 리소스에 대한 사이버 공격)와 같은 방법도 OTT 앱을 대상으로 적용되고 있습니다.
멀티DRM 및 앱 보안 솔루션을 활용한 end-to-end 보안
OTT 플랫폼은 보안과 관련하여 고급 비디오 콘텐츠에 대한 불법 복제를 가장 우려하기 때문에 OTT 플랫폼 보호를 위한 최전선은 디지털 저작권 관리(Digital Rights Management, DRM)입니다. DRM 시스템은 사용자가 로그인할 때마다 일련의 권한과 보안 확인절차를 활용하여 암호화된 콘텐츠에 대한 사용자 액세스를 허용하거나 거부합니다. 하지만, DRM 솔루션은 하나의 OTT 에코시스템 내에서 여러 시스템과 함께 작동되기 때문에 이를 구현하는 것에는 여러 위험이 따릅니다. 또한, DRM 솔루션의 일부 구성요소는 DRM 개발자가 자체적으로 개발하는 것이 아니라 타사 솔루션 공급자를 통해 제작되기 때문에 더 복잡합니다. 그렇기 때문에 OTT 플랫폼은 콘텐츠 유출을 방지하고, 기기 세분화를 관리하며, 구독 플랜당 허용되는 기기 수와 같은 구독 관련 제한사항을 적용하기 위해서 멀티 DRM SaaS를 선택합니다.
대부분의 OTT 플랫폼은 멀티 DRM 접근방식에 포렌식 워터마킹 및 캡처 방지기술을 함께 적용합니다. 캡처 방지기술은 고급 비디오 콘텐츠의 불법 복사를 방지하며, 포렌식 워터마킹은 콘텐츠 소유자가 불법복제한 사본을 추적하고, 법적 절차를 할 수 있게 합니다.
최근 할리우드 스튜디오에서는 멀티 DRM 솔루션과 함께 앱 보안은 OTT 플레이어가 의무화하고, 최우선적인 솔루션으로 채택한다는 지침을 공유하였습니다. 하지만, 전반적인 OTT 플랫폼들은 앱 수준 보안의 중요성에 대한 인식이 늦어지는 모습을 보이고 있습니다.
멀티 DRM 접근방식이 OTT 분야에서 불법복제를 방지하기 위한 사실상의 표준이 되고 있지만, 더욱 진화한 플레이어는 포괄적 앱 보안 SaaS를 채택하고 있으며, 이는 OTT 앱을 RASP 보안, 코드 난독화, SO 및 DEX 파일의 변조 방지, 중간자 공격 보호, 기존 및 새로운 위협에 대한 실시간 모니터링 등의 기능을 통해 앱을 보호하는 지속적인 보안 계층에 위치하게 합니다.
Daniel is a DRM specialist and has been associated with this industry for over 10 years. Other than this, he is addicted to reading and writing.