웹 페이지 보안 강화 및 IoT·OT 보안까지 확장
[데이터넷] NSHC(대표 허영일)는 웹어셈블리 환경에서의 화이트박스 암호화 솔루션을 개발했으며, 이 기술을 웹은 물론 IoT·운영기술(OT) 환경까지 적용할 수 있도록 한다고 10일 밝혔다.
웹어셈블리는 애플, 구글, MS, 모질라가 소속된 웹어셈블리 커뮤니티 그룹이 웹 성능을 향상시키기 위해 개발한 웹브라우저 런타임이자 표준 포맷이다. MS는 ‘블레이저’라는 플래시 대체용 웹앱 프레임워크로 채택했으며, 블록체인 플랫폼인 이더리움에서도 기반기술을 웹어셉블리로 확장했따.
하지만 웹페이지를 통해 실행될 코드가 클라이언트로 전달되고, 중간단계 코드인 바이트코드를 사용함에 따라 리버싱에 취약하다. 이에 코드가 노출되어도 안전한 화이트박스 암호화의 결합이 필요하다.
화이트박스 암호는 리버싱이 가능한 환경에서도 비밀키가 노출되지 않도록 키를 숨기는 암호 구현 방식을 의미한다. 수많은 기기들이 인터넷에 연결되고 각각의 기기에서 여러 앱들이 동시에 구동되는 환경에서 해커로부터 중요한 정보에 접근할 수 있는 비밀키를 안전하게 지키기 위해 그 중요성이 점차 강조되고 있다.
화이트박스 암호화는 난독화 기술이 핵심으로, 화이트 박스 암호 모듈이 적용되어 있어도 입출력 코드가 잘 난독화되어 있지 않으면 코드 리프팅 공격에 의해 키를 모르고도 암호화 함수를 이용하거나, 화이트박스 암호의 의미를 무력하게 하는 키를 찾아낼 수 있다. 화이트박스 암호 제품은 고도의 난독화 기술과 결합돼야 한다.
NSHC는 LLVM 컴파일러 툴킷 기반 난독화 솔루션을 연구·개발했으며, 지난해 Objective-C/Swift를 지원하는 iOS 모바일 난독화 솔루션 ‘엘엑스쉴드(LxShield)’를 출시, 금융권과 게임업계에 공급한 바 있다.
최근 다양한 플랫폼을 지원하는 LLVM 기반기술의 특성을 살려 안드로이드 C/C++ 공유라이브러리 난독화와 차대세 클라이언트 기술인 웹어셈블리에도 적용해 엘엑스쉴드는 IoT와 운영기술(OT)에도 활용될 수 있다.
NSHC 관계자는 “이미 모바일 금융 보안 분야에서 검증받은 기술력을 바탕으로 화이트박스 암호화와 난독화 솔루션에 대한 멀티플랫폼 솔루션까지 개발했다. 앞으로 다양한 분야에 적용할 수 있을 것”이라고 말했다.
