Introduction

CodeJam은 한국 저작권위원회에서 프로그램 저작권 관리와 코드 난독화 등을 제공하는 사이트이다.

사이트주소: http://www.codejam.or.kr/

프로그램 저작권 관리는 저작자를 식별할 수 있는 워터마크(watermark)정보를 자동으로 생성하여 이를 프로그램 소스코드에 삽입하고 향후 삽입된 저작자 정보를 자동으로 추출하여 검증해 주는 서비스이다. 본 서비스의 목적은 소프트웨어 소스코드의 유출 및 도용 시에도 삽입된 저작자 식별 정보를 검증하여 저작권 침해 사실을 용이하게 입증함으로써 저작권자 권리 구제의 실효성을 확보하여 소프트웨어 지적재산권 관련 분쟁의 위험을 최소화 하는 것이다.

보안과 관련하여 스터디를 하던중 샌드박스라는 말을 처음 접하게 되었습니다.

샌드박스에 데이터를 저장한데는데 좀처럼 와닿지 않더군요. 

그래서 정리해본 샌드박스(Sandbox) 입니다.

샌드박스는 미국의 가정집 뒤뜰에서 어린이가 다치는 것을 방지하기 위해 만든 모래통(Sandbox)에서 유래하였습니다.

실제 샌드박스는 이렇게 생겼습니다.

나무 틀을 박스처럼 만들어 모래를 집어 넣고 아이들이 그 안에서 안전하게 놀수 있게끔 만들어준 것이죠.

마치 작은 놀이터 같습니다. 한국에서는 놀이터가 따로 존재하기에 샌드박스를 좀처럼 보기 힘듭니다.

그래서 처음보고 이런게 있었다니!! 매우 기발하다라고 생각했습니다.

이제 본론으로 넘어와서 이러한 샌드박스가 어떻게 프로그래밍 기술에 도입이 되었을까요 ?

또한 이것이 보안과 어떠한 연관이 있을까요 ?

이 질문에 대한 답은 Sandboxie(http://www.sandboxie.com/)에서 찾을 수 있었습니다.

먼저 Sandboxie 사이트에서 나타나는 이미지를 보겠습니다.

이 이미지는 샌드박스의 개념을 잘 설명해 주고 있습니다.

빨간색 화살표가 움직이면서 하드디스크안에 리소스들을 채우게(저장) 됩니다.

이를테면 인터넷 익스플로러의 경우 웹페이지 접속에 의해 해당 페이지를 받아오는 과정이라 할 수 있습니다.

일반적으로 리소스를 채우게 되는 과정에서 하드디스크에 직접적인 접근이 가능해 

Hard disk (no sandbox) 그림과 같이 될수있는데 여기서 바로 보안 이슈가 발생합니다. 

악의적으로 OS 일부분을 홰손시킬 수도 있고, 다른 어플리케이션의 정보를 홰손시킬수 있는 문제가 발생합니다.

따라서, 이러한 문제를 해결하는 방안으로 샌드박스가 등장합니다.

Hard disk (with sandbox) 그림과 같이 하드디스크에 특정 영역을 샌드박스로 지정하고 

이 영역에 대해서만 리소스를 사용하고 접근하도록 합니다. 

즉, 샌드박스는 OS와 같은 중요한 영역에는 영향을 주지 않도록 각자의 박스(영역)에서만 리소스를 사용하도록 한 것입니다.

또한 반대의 개념으로도 사용가능해, 샌드박스 안에 있는 리소스에 외부 접근을 거부하여 보호할 수도 있습니다.

마치 아이들을 주변의 위험으로부터 보호하듯이 말이죠.

리버스 엔지니어링(Reverse Engineering)은 완성된 제품을 분석하여 제품의 기본적인 설계 개념과 적용 기술을 파악하고 재현하는 것입니다. 설계 개념→개발 작업→제품화의 통상적인 추진 과정을 거꾸로 수행하는 학문입니다. 보통 소프트웨어 제품은 판매 시 소스는 제공하지 않으나 각종 도구를 활용하여 컴파일된 실행 파일과 동작 상태를 정밀 분석하면 그 프로그램의 내부 동작과 설계 개념을 어느 정도 추적할 수 있습니다.

이러한 정보를 이용하면 크랙, 즉 실행 파일을 수정하거나 프로그램의 동작을 변경할 수 있고, 또 유사한 동작의 복제 프로그램이나 보다 기능이 향상된 프로그램도 개발할 수 있습니다. 소프트웨어에 대한 역공학 자체는 위법 행위가 아니지만, 대부분의 제품이 이의 금지를 명문화하고 있어 이러한 수법으로 개발한 제품은 지적 재산권을 침해할 위험성이 있습니다. (네이버 지식사전)

개인적으로 조사한 PC환경에서 리버스 엔지니어링을 돕는 툴은 다음과 같습니다.

Attack Type에 대한 설명입니다.