2020-10-23 03:45 (금)
NSHC, 웹어셈블리 환경에서의 화이트박스 암호화 솔루션 개발
상태바
NSHC, 웹어셈블리 환경에서의 화이트박스 암호화 솔루션 개발
  • 길민권 기자
  • 승인 2020.07.10 10:05
이 기사를 공유합니다

멀티플랫폼용 난독화 기술 결합으로 다양한 분야에 적용
웹어셈블리 환경에서의 화이트박스 암호화 솔루션개발에 참여한 NSHC 연구원들. 왼쪽부터 이준영 책임, 이영준 매니저, 서주영 연구원, 함은지 연구원.
웹어셈블리 환경에서의 화이트박스 암호화 솔루션개발에 참여한 NSHC 연구원들. 왼쪽부터 이준영 책임, 이영준 매니저, 서주영 연구원, 함은지 연구원.

정보보안 전문기업 NSHC(대표 허영일)는 웹어셈블리 환경에서의 화이트박스 암호화(White-Box Cryptography) 솔루션을 암호기술연구소와 SW개발연구소의 협업을 통해 개발했다고 10일 밝혔다.

화이트박스 암호화 기술을 통해 차세대 표준으로 주목 받고 있는 웹어셈블리 환경에서의 취약점을 보완하여 안전하게 사용할 수 있도록 하는 솔루션이다.

웹어셈블리는 애플, 구글, MS, 모질라가 소속된 웹어셈블리 커뮤니티 그룹이 웹 성능을 향상시키기 위해 개발한 웹브라우저 런타임이자 표준 포맷이다. 최근 MS는 블레이져라는 플래시 대체용 웹앱 프레임워크로 웹어셈블리를 채택하였다.

또한 블록체인 플랫폼인 이더리움에서도 기반기술을 웹어셈블리로 확장하여 더욱 주목을 받고 있다. 하지만 웹페이지를 통해 실행될 코드가 클라이언트로 전달되고, 중간단계 코드인 바이트코드를 사용함에 따라 리버싱에 취약하다. 이에 코드가 노출되어도 안전한 화이트박스 암호화의 결합이 더욱 필요하다.

화이트박스 암호(White-Box Cryptography)란 리버싱이 가능한 환경에서도 비밀키가 노출되지 않도록 키를 숨기는 암호 구현 방식을 의미한다. 수많은 기기들이 인터넷에 연결되고 각각의 기기에서 여러 앱들이 동시에 구동되는 환경에서 해커로부터 중요한 정보에 접근할 수 있는 비밀키를 안전하게 지키기 위해 그 중요성이 점차 강조되고 있다.

이에 NSHC는 2015년부터 화이트박스 암호에 관심을 가지고 국민대학교와 MOU를 맺는등 관련기술의 연구개발에 노력을 기울여 왔으며 현재, 자체 기술력으로 다양한 알고리즘들과 사용 방식을 지원하는 화이트박스 암호 모듈의 개발에 성공했다.

화이트박스 암호 기술 적용 시 그 성패를 가르는 것이 바로 난독화 기술이다. 화이트 박스 암호 모듈이 적용되어 있어도 입출력 코드가 잘 난독화되어 있지 않으면 코드-리프팅 공격에 의해 키를 모르고도 암호화 함수를 이용하거나, 심지어는 화이트박스 암호의 의미를 무력하게 하는 키를 찾아내는 공격까지도 가능하다. 따라서 화이트박스 암호 제품은 고도의 난독화 기술과 결합되지 않으면 아무런 의미가 없다.

이미 3년 전부터 LLVM 컴파일러 툴킷 기반 난독화 솔루션을 연구/개발하고 작년부터 Objective-C/Swift를 지원하는 iOS 모바일 난독화 솔루션인 LxShield라는 제품을 출시하여 금융권과 게임업계에 공급하였다.

최근 다양한 플랫폼을 지원하는 LLVM 기반기술의 특성을 살려 안드로이드 C/C++ 공유라이브러리 난독화와 차대세 클라이언트 기술인 웹어셈블리에도 성공적으로 적용을 마침에 따라 LxShield는 이후 사물인터넷(IoT) 및 운영기술(OT)에 활용될 수 있는 멀티플랫폼용 범용 난독화 툴로 기술적 진화를 계속 하고 있다.

NSHC 관계자는 “이미 모바일 금융 보안 분야에서 검증받은 기술력을 바탕으로 화이트박스 암호화와 난독화 솔루션에 대한 멀티플래폼 솔루션까지 자체적으로 개발함에 따라 추후 다양한 분야에서의 적용이 기대되고 있다.”고 말했다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-주 최: 데일리시큐 / 후 원: 보건복지부, 병원정보보안협의회 등
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)