안드로이드 개발시에 디컴파일때문에 주의할점이 있을까요?

Question

안드로이드 개발시에 작성하는 코드들은 나중에 apk 추출로 인해 디컴파일로
확인할 수 있다고 알고 있습니다.

그렇다면 이러한 부분때문에 안드로이드 코딩시에 별도로 주의해야하는 부분이 있나요?

Answer 1

서버에 접속시, 암호를 입력해야 하는 부분때문에

암호를 넣었다면, 잘 생각해보셔야 할것입니다

위에 질문을 하셨듯이 apk 추출시 문자열로 된 암호가 있다면

금새 확인이 가능하기 때문입니다.

특히 특정서버주소에 포트번호를 꼭 넣어서 처리를 한다면

중앙에 proxy 같은것을 만들어서 방패막이 역활을 하는 제1방어선을 구축해주셔야 합니다

그래야 혹 해커나 디도스로 공격을 맞을때 직접적인 메인서버가 공격을 당하는게 아니라

방패막이 해주는 proxy 서버가 공격을 맞는것이니, 공격에 대처할 수 있는 시간과

방어에 대해 준비할수 있는 시간을 가질수 있습니다

^^

안드로이드 <===> proxy <===> 메인서버

Answer 2

흠...

일단 디컴파일시 모든 내용이 공개 된다고 생각하시면 되는데요.

코드 상에 보안에 문제 될 수 있는 정보들은 가급적 노출시키지 말아야합니다.

특히 주석도 주의해야합니다.

그래서 난독화도 많이 진행을 하고, 크리티컬한 정보는 코드 상에 하드 코딩을 하지 않고 서버에서 내려 받아 로컬 DB에 저장하는 방법도 사용합니다.