MASA 관련 자주 묻는 질문(FAQ)

애플리케이션에 대한 정기적인 보안 테스트를 실행하면 앱의 주요 취약점을 파악하고 향후 책임을 완화하는 데 도움이 됩니다. Google Play에서는 독립적 검증을 통과한 개발자가 데이터 보안 양식에 이를 표시할 수 있도록 허용합니다.

사용자는 앱이 외부 전문가의 심사를 거쳤다고 확신할 수 있으며 이러한 제품의 안전 / 보안에 대한 신뢰도를 높일 수 있습니다.

OWASP MASVS는 모든 모바일 앱에 적용할 수 있습니다. 여기에는 IoT, 피트니스/건강, 소셜, 커뮤니케이션, VPN, 생산성 등 다양한 앱 카테고리가 포함됩니다.

평가 범위는 클라이언트 측 보안, 백엔드/클라우드 서비스 인증, 백엔드/클라우드 서비스 연결로 구성되며 일반적인 보안 및 일부 개인 정보 보호 권장사항을 고려합니다.

평가에서는 GitHub 여기에서 확인할 수 있는 테스트 가능한 1단계 MASVS 요구사항의 하위 집합을 검토합니다.

1년 1년 후에는 개발자가 앱을 재인증해야 합니다.

MASA는 두 가지 보증 수준을 제공합니다. APK 검사 및 설문지로 이루어진 자체 평가인 AL1과 정적 및 동적 분석을 통한 포괄적인 실험실 평가인 AL2입니다. AL2를 통과하면 앱에 Play 스토어의 '독립적 보안 검토' 배지가 표시됩니다.

수수료는 실험실 파트너에 따라 다르지만 평균적으로 AL2의 경우 3,000~6,000달러, AL1의 경우 500달러의 비용이 들 것으로 예상할 수 있습니다.

필수 서류를 작성하면 10일 이내에 연구소의 평가를 받을 수 있습니다. 완료 기간은 실험실 의견과 팀의 변경사항을 신속하게 구현하는 능력에 따라 다를 수 있습니다.

Google은 앱 평가를 수행할 공인 연구소를 온보딩했습니다. 모든 공인 연구소는 포괄적인 보안 테스트와 공개된 표준에 따라 인증을 받을 수 있는 방법을 개발자에게 제공합니다.

개발자는 공인 연구소와 직접 협력하여 테스트 절차를 시작할 수 있습니다. 모든 수수료나 필수 서류는 연구소와 개발자 간에 직접 처리됩니다.

현재 MASA 공인 실험실 파트너의 평가 결과만 허용됩니다.

초기 테스트 결과는 담당 팀에만 공유됩니다. 앱이 모든 요구사항을 충족하면 연구소에서 Google에 보고서 요약을 제출하며, 이 요약은 향후 출시될 MASA 디렉터리에 공개됩니다. 보고서 요약은 테스트 범위로 제한되며 앱과 관련된 민감한 발견사항은 포함되지 않습니다. 이러한 결과를 언제 공개할지는 개발자가 완전히 관리할 수 있습니다.

이 정보는 보안 배지를 통해 데이터 보안 섹션을 통해 사용자에게 표시됩니다. 이 옵션은 AL2 평가를 완료한 애플리케이션에만 사용할 수 있습니다. Google은 Play에서 더 많은 사용자에게 이 정보를 표시할 방법을 모색하고 있습니다.

앱이 '독립적으로 검증'되었음을 나타내도록 데이터 보안 섹션을 업데이트하면 1주일 이내에 데이터 보안 라벨에 지정이 표시됩니다.

인증을 완료한 개발자는 앱 방어 연합을 통해 독립적으로 검증을 받았다고 말할 수 있습니다.

아니요. MASA 인증은 매년 진행되며 특정 시점의 평가를 목적으로 합니다. 개발자는 보안 개발 수명 주기의 일환으로 내부 평가를 통해 규정 준수 상태를 계속 유지해야 합니다.

인증을 유효하게 유지하는 것은 개발자의 책임입니다.

Google은 앱이 요구사항을 충족하는지 여부를 나타내는 공인 연구소 파트너의 검증 보고서만 받습니다. 인증의 일환으로 애플리케이션 코드, 검사 결과 또는 취약점 발견사항이 Google과 공유되거나 공개되지 않습니다.

MASA 평가는 공인된 서드 파티 실험실에서 실시합니다. 평가 결과에 동의하지 않거나 규정 준수 상태에 관해 궁금한 점이 있는 경우 앱 테스트를 시작한 실험실에 직접 이의신청할 수 있습니다.

개발자는 사전 출시 빌드를 실험실에 제출하여 조기에 테스트할 수 있지만 최종 인증 버전은 Google Play 스토어에 게시된 공식 APK여야 합니다.

난독화하면 실험실 테스트 도구가 애플리케이션을 평가하기 어려워질 수 있습니다. 이 경우 테스트를 용이하게 하기 위해 실험실에 추가 저작물을 보내야 할 수 있으며 추가 수수료가 발생할 수 있습니다.