어플의 SHA-1 해쉬값을 사전에 구해 둔후 그 값을 올리게 수정만 하면 뚫릴듯 하네요.
기업내에서만 사용한다니. 기업내 사원 번호 + 시간 에 대한 값을 문자열로 만든 후 문자열 뒤에 어플 서명시 사용한 publickey로 RSA 돌려 나온 값을 base64하여 붙여 서버로 보내고,
서버에서, 어플 서명시 사용한 privateKey로 뒤에 붙은 값이 제대로 복호화 되는지 검사하시는게 좋으실 듯 합니다.
이 경우에는 시간 정보가 매번 바뀌니 같은 값을 못 만들고, 서버 시간과 하루 이상 차이가 날때도 인증실패를 하도록 하면, 인증 성공시 사용하는 키를 하루 이상 재사용하는 것도 불가능합니다.
이 경우에도 단말에서 동작되게 하는것은 막을 수 없지만 사원번호가 복호화 안되면, 위조어플 사용자라는 것을 바로 알 수 있으니. 경고 같은 것을 통해 사용 못하게 막으실 수 있을 듯 하네요.