Broken Code (window31)

보안검수의 종류를 말할 때, 화이트박스 분석, 그레이박스 분석, 블랙박스 분석 등, 작업 깊이에 따라 색깔로 분류한 정의를 들어보신 적 있으실겁니다. 물론 가장 짙은 색인 블랙박스는 아무래도 정보가 전혀 없는 어두운 공간 안에서 진행한다는 뜻으로 칭해진 의미일거고, 그레이박스에서 화이트박스까지, 색깔이 점점 옅어짐에 따라 박스의 내부를 좀더 자세히 들여다 볼 수 있다는 얘기로 이같은 분류법이 지어진 것 같습니다.

이런 정의를 인터넷에서 흔히 찾아서 나올 수 있는 단순히 용어의 수준에서 그치지 않고 좀더 실무나 실전에 가깝게 정의해서 분석을 실제로 진행하는 검수가의 시각에서 바라보며 제맘대로 한번 작성해 보도록 하겠습니다.

1. Black Box Analysis

데이터와 정보가 아무 것도 없는 채, 일반 유저와 마찬가지 상태에서 보안검수를 하는 것을 말합니다. 정보가 부족한 상태에서 분석을 하는 것이므로 기본적으로는 애플리케이션의 정상적인 가동 상태, 그리고 매우 쉽게 파악 가능한 패턴화 되어 있는 취약점 까지만 진단 가능한 경우가 대부분입니다.

블랙박스 상태에서는 아무래도 개발팀에서 처리한 내용에 대해 어떠한 단서도 얻지 못하는 경우가 많으므로 어떻게 보면 검수 영역에 한계가 있다는 것이 당연하다고 생각할 수 있지만 예외적으로 검수가의 능력에 따라 블랙박스 상태에서도 충분한 데이터를 얻어오는 경우도 있습니다. 하지만 그 경우에는 내부 코드를 해킹이나 리버싱으로 샅샅히 훑어야 하는 작업이 선행되므로 아무래도 시간이 엄청 많이 걸릴 수밖에 없습니다(오리지날 소스를 보거나 아니면 개발자에게 한번 물어보기라도 하면 될 일을 직접 분석하고 있으니 시간이 걸리는 것은 당연할 수밖에).

개인적으로 생각하기에 블랙박스 검수단계는 두가지 타입의 사람이 검수를 한다고 생각합니다.

1) 실력이 아주 뛰어남 (개발팀에게 묻지 않아도 스스로 데이터를 다 캐취해냄)
2) 실력이 아주 보잘 것 없음 (그냥 프로그램을 한번 실행해 보고, “어 별일없군 끝”). 

이렇게 극과 극이 존재한다고 생각하며, 첫번째와 두번째 모두 해당되지 않는 “중간 실력”을 보유하고 있는 자는 본인의 한계를 알고 있기 때문에 아예 그레이박스 단계에서 분석을 시작하면 시작했지, 두가지 케이스에는 해당하는 작업은 잘 하지 않는다고 생각합니다. 사실 저라도 그렇습니다. 언제 저걸 일일히 다 하고 있어요 ;;; (물론 예외적으로 직접 다 해야할 때도 있지만 ;; ) 중간 실력자 타입은 무언가의 근거확립이나 브레이크 포인트를 설정한 이후에 검수를 하기 때문에 블랙박스 검수를 할 경우에는 알려진 유형적 취약점 정도만 기계적으로 대입해 보고 그 수준에서 작업을 마무리 하는 것 같습니다.

2. Gray Box Analysis

부분적인 소스 코드나 알고리즘 등 여러 가지 구조나 정보를 사전에 얻고 보안 검수를 진행하는 것을 말합니다. 아무래도 근거나 데이터가 있으므로 블랙박스 상태에서보다는 훨씬 효율적인 보안 검수가 가능하게 되겠죠.

또, 부분적으로 여러 장벽을 제거하거나 불필요한 단계를 거치지 않고 검수를 진행할 수 있습니다. 예를 들어 보안 모듈이나 기타 서드파티 툴이 여러 겹으로 보호하고 있을 때에 블랙박스 상태라면 그것을 검수가 자력으로 걷어낸 상태에서 검수를 하는 등 어쨌든 검수할 있는 형태로 분류시키는 작업을 누군가의 도움 없이 진행해야만 합니다, 하지만 개발팀의 협조가 가능한 그레이박스 단계라면 필요한 코드만 적시적소에 제거한 상태로 검수할 수도 있고, 소스 레벨 단계에서도 여러 가지를 시도해 볼 수도 있습니다. 아주 편리하죠.

다만 여러가지 개발 데이터를 받는 것이기 때문에 검수가의 개발 스펙이 떨어지면 걍 블랙박스 검수를 하느니 보다 못한 꼴이 될 수도 있습니다. 괜히 오바해서 그레이박스 검수를 하다가 개발자와 대화도 되지 않아서 개쪽을 먹기도 합니다. 따라서 개발팀과의 커뮤니케이션이 매우 중요한 단계가 됩니다.
 
또한 검수가의 경험 역시 중요시된다고 할 수 있습니다. 왜냐하면 개발팀에게 무언가를 받긴 받아야 하는데, 개발팀에서는 어떤 코드나 어떤 부분이 취약한 지 모르기 때문에 사실 검수가에게 뭘 물어봐야 할지 뭐를 주어야 할지도 모르는 경우가 있기 때문입니다. 따라서 검수가가 직접 필요한 데이터나 코드를 개발팀에 요청해야 하는데 당연히 적절한 위치나 코드, 변형된 모듈 등을 선정할 수 있는 실력이 필요하며, 개발팀과 협조하여 진행해 나가야 할 것을 능수능란하게 리드할 수 있어야 합니다.

해킹을 많이 당해본 개발자의 경우 경험 부족이나 능력이 떨어지는 검수가를 이 단계에서 한눈에 알아봅니다. 따라서 당연히 단지 툴 실행이나 얄팍한 테크닉에 의지하고 코드는 거의 볼 줄 모르는 사이비 보안검수가는 이 단계에서부터는 활동할 수 없습니다. 하지만 협력이 잘된다면, 아주 퀄리티 높은 보안 처리가 아웃풋으로 나올 수 있습니다.

3. White Box Analysis

이건 내일 마저 작성 해보겠습니다. 너무 길어져서 몰입력이 떨어질 것 같은 생각이 드네요 :)
제일 할말도 많은 화이트박스 검수 쪽이므로 제대로 다시 마음잡고 한편 작성해 보겠습니다 :p


window31.

금요일 새벽에 교통사고를 당했습니다.

차를 몰고 가고 있는데, 앞 차 두대가 길을 막고 분쟁중이길래
저도 잠깐 정차해서 그 뒤에 조용히 서있었습니다.
그런데 그걸 보지 못한 뒷차가 제 차를 엄청난 속도로 들이 박았습니다.
제 차의 뒤 트렁크 부분이랑 범퍼 부분은 모두 걸레가 됐고요
저도 충격을 좀 받았네요...

백미러 너머로 차가 돌진해오는 모습을 보며, 멈추겠지 멈추겠지 하며 그러고 있는데
차는 속도를 전혀 줄이지 않은 채 다가오고, 저는 "으어어억- 들이받는구나!" 하던
그 몇초간의 순간이 잊혀지질 않네요 (이런걸 트라우마라고 하나봐요) ...

뭐 어쨌든 입원해 있고, 물리치료 받는 중인데요, 뭐 이참에 좀 쉬지 하는 마음으로
생각해보니 좋은 기회로 삼아도 괜찮겠다 하는 생각도 드네요.

너무 심심해서 이것저것 둘러봤는데, 요즘엔 환자들에게 노트북을 대여해주는 업체도 있네요,
노트북 하루 24시간 9900원 뭐 이런게 있길래 한번 신청했습니다(인터넷은 WIBRO 제공)
전화한지 30분도 되기 전에 배달꾼이 노트북이랑 WIBRO 모뎀을 가져왔는데,

배달꾼 : "오늘 입원하셨다니, 특별히 좋은 노트북으로 가져왔습니다."

그런데 노트북을 살펴본순간 셀러론 2.4 에 메모리는 512MB -_-;
특별히 좋은 노트북인거는 맞네요 -_- 요즘 찾아보기 극히 힘든 노트북일테니 ;;;
다시 가져가라고 할 수도 없고 그사람들도 먹고 살아야 하니 그냥 쓰기로 했습니다.

아흠, 어쨌든 벌려진 업무들을 처리하지 못하고 이렇게 누워 있으려니 걱정이 많이 되네요.
거북이 노트북으로 뭘 하기도 힘들고...
그냥 한번씩 들어와서 바쁘다는 핑계로 너무 오랜기간동안 방치된 블로그에 글이나 간간히
써 보도록 하겠습니다.