아직 [해킹 맛보기]책의 2장 웹 해킹에 대한 정리가 끝나지 않았지만 3장으로 넘어간 이유는 2장의 내용들은 정보보안산업기사를 준비하며 대부분 많이 읽고 배우게된 내용들이기 때문에 새로운 지식에 대한 탐구심을 이기지 못하고 함께 정리를 진행하는 선택을 하게됨
3장을 시작하기 앞서서 리버스 엔지어니링에 대해 개념과 주요 도구 그리고 기본원리와 절차에 대해 정리함
🫧Revers Engineering
리버스 엔지니어링 이란❓
리버스 엔지니어링은 우리말로
역공학으로 만들어진 제품, 도구를 분해∙분석하여 구조나 동작 원리를 파악하는 기술을 말함일반 개발과는 다르게
구현 → 설계 → 기획을 추적함
이글에서는 줄여서 리버싱이라는 용어로 줄여부름
보통의 소프트웨어 개발은 C, C++, JAVA 과 같은 고급 언어로 작성되지만, 리버싱은 완성된 프로그램(바이너리 파일)을 어셈블리어 수준에서 분석해야 하기 때문에 OS, 실행 파일 구조, 메모리 구조 등 다양한 기초 지식이 필요함
리버싱의 보안 중요성⚠️
리버싱은 단순히 프로그램을 분석하는 기술을 넘어서, 보안 대응의 핵심적 기술로 작용함
화이트햇 해커, 악성코드 분석가, 보안 취약점 연구자 등 다양한 보안 전문가들이 리버싱 기술을 기반으로 활동
🔹 악성코드 분석
: 바이너리 상태로 유포되는 악성코드를 분석해 동작 방식, 감염 경로, C2 서버 등 파악할 수 있음
→ 시그니처 기반에서 행위 기반 탐지로 발전
🔹 제로데이 및 취약점 분석
: 소프트웨어의 알려지지 않은 취약점을 바이너리 수준에서 찾아내고, 보안 패치 전 선제 대응 가능
🔹 보안 우회 및 우회 탐지
: 라이선스 크랙, 난독화 우회 등 우회 시도와 그 대응 기법을 연구
🔹 디지털 포렌식
: 디스크, 메모리등에서 수집된 으심 파일을 분석해 증거 확보
🔹 보안 솔루션 개발
: 백신, EDR, IDS 등 보안 제품의 탐지 로직 및 엔진 개선에 활용
법적·윤리적 고려사항⚖️
법적 문제
- 리버싱을 무단으로 진행할 경우 저작권 침해나 불법 행위로 간주될 수 있어 법적 분쟁에 휘말릴 수 있음
- 특히 DRM(디지털 저작권 관리) 우회, 프로그램 변조 후 재배포는 국가에서 엄격히 금지되며, 관련 법률 위반 시 형사처벌 대상이 될 수 있음
윤리적 문제
- 교육 목적이나 연구, 보안 취약점 분석, 악성코드 대응을 위한 리버싱은 대체로 법적 예외 범위에 포함되어 있으나, 목적과 방법에 따라 해석이 다를 수 있음
- 따라서 리버싱을 수행하기 전에는 항상 목적을 명확히하고 법적 윤리적 문제를 최소화할 수 있도록 주의
- 기업 소프트웨어나 타인의 저작물을 리버싱할 때는 반드시 해당 기업의 정책과 국가별 법령을 충분히 검토하고 준수해야 함
- 무분별한 리버싱 행위는 보안 신뢰를 훼손하고, 개인과 기업 모두에게 피해를 줄 수 있으므로 반드시 책임감 있게 접근하는 자세가 필요함
🫧리버싱 분석 방식 및 대상
리버싱에서 주로 사용하는 분석 방법은 크게 정적 분석과 동적 분석으로 나뉨
또한 분석 대상인 실행 파일 (특히 윈도우의 PE 파일) 구조를 잘 이해하는 것이 중요함
정적 분석 [Static Analysis]
프로그램을 실제로 실행하지 않고, 파일 자체(바이너리 코드)를 분석하는 방법
- 실행 흐름, 함수 구조, 코드 패턴 등을 파악할 수 있음
- 난독화나 압축이 되어있으면 분석 난이도가 높음
동적 분석 [Dynamic Analysis]
프로그램을 실제로 실행하며, 실행 중인 상태(메모리, 레지스터, 함수 호출 등)를 관찰하는 방법
- 런타임 동작, 변수 변화, 네트워크 통신 등을 실시간으로 확인 가능
- 악성코드 분석에서 행위 기반 탐지에 필수적임
리버싱 분석 대상🎯
PE(Portable Executable) 파일 구조 이해
-
윈도우 실행 파일 형식으로, 리버싱 시 반드시 기본 구조를 알고 있어야 함
-
주요 요소:
- Entry Point(실행 시작 위치)
- Import Table(외부 함수 호출 정보)
- Section(코드·데이터 영역 구분)
-
악성코드는 종종 이 구조를 변조하거나 숨김 기법에 활용함
다음 편에서 PE 파일 구조를 더 자세히 다룰 예정
🫧주요 활용 분야
리버싱은 보안뿐만 아니라 다양한 기술 영역에서 실무적으로 활용됨
보안의 실전 대응 능력을 키우는데 핵심적인 기술이자, 레거시 시스템 분석이나 산업 기술 검증에도 유용한 실무 지식
✅보안
- 악성코드 분석
: 바이너리 분석을 통해 악성코드의 행위, 통신 경로, 감염 방식 등을 파악 - 취약점 분석 및 보안 패치 검증
: 제로데이 공격 대응, 패치 전후 비교 분석 - 보안 솔루션 개발
: 백신, EDR, IDS/ISP 개발 시 악성 코드 및 우회 기법 이해 필요
✅소프트웨어
- 라이선스 우회 방지
: 크랙 방지 및 인증 매커니즘 점검 - 레거시 시스템 유지보수
: 소스코드 없는 상태에서 기능 분석 및 복구 - 호환성 분석
: 외부 프로그램 간의 연동 방식 분석
✅디지털 포렌식
- 디스크 및 메모리 덤프 분석
: 실행 흔적, 파일 위조 여부 파악 - 증거 수집 및 재구성
: 해킹 사고나 범죄 수사 시, 악의적 코드의 동작 원리 분석
✅산업기술
- 펌웨어 분석
: IoT/임베디드 기기의 펌웨어 해석 및 취약점 분석 - 하드웨어 보안 검증
: 시스템 내부의 제어 로직 역추적
🫧주요 도구 및 보조 툴
리버싱에서는 다양한 분석 도구들이 함께 사용되며, 정적 분석과 동적 분석을 효율적으로 수행하기 위해 필수적임
디스어셈블러 [Disassembler]🔧
바이너리 파일을 어셈블리어 코드로 변환해주는 도구로 프로그램의 구조와 흐름을 파악하는데 사용됨
- IDA Pro
: 상용 도구이지만 매우 강력한 정적 분석 기능 제공하고 함수, 제어 흐름 분석에 특화되어 있음 - Ghidra
: MSA(미국 국가안보국)에서 공개한 무료 디스어셈블러로 IDA에 가까운 기능을 제공하고 컴파일 기능이 내장되어 있음
디버거 [Debugger]🐞
프로그램을 실행시키면서 실시간으로 동작을 추적하는 도구로 동적 분석에 필수임
- OllyDbg
: Windows 기반의 32비트 프로그램 디버깅에 특화되어 있으며 UI가 직관적이라 초보자에게도 적합함 - x64dbg
: OllyDbg의 64비트 확장판으로 플러그인 지원도 잘 되어 있으며 현대적 인터페이스를 제공함
디컴파일러 [Decompiler]🔁
바이너리 파일을 고급 언어 수준(보통
C)으로 가독성 있게 역변환하는 도구
- Ghidra 내장 Decompiler
: 자동화된 디컴파일 기능을 제공하고 함수 흐름을 이해하는 데 유용함 - Hex-Rays
: IDA Pro의 플러그인으로, 매우 정교하고 깔끔한 C 유사 코드를 생성할 수 있고, 고가이지만 분석 효율이 뛰어남
보조 도구🧰
리버싱을 보조하거나 환경을 구성하는데 사용하는 다양한 툴
- Hex Editor(Decompiler)
: 바이너리 파일을 16진수로 열어 직접 수정하거나 구조 확인 - 패킷 분석기(Wireshark 등)
: 네트워크 통신 내용을 분석해 악성 행위나 외부 연결 파악 - 가상 머신(VMware, VirtualBox 등)
: 분석 환경을 안전하게 분리하여 악성 코드 실행 시 피해 방지 - 샌드박스(Any.Run, Cuckoo 등)
: 자동화된 동적 분석 환경으로 악성코드의 행위 패턴을 빠르게 확인할 수 있음
등...
리버싱에서 보안 대응,악성코드 분석, 취약점 연구, 사고 대응에 필수적임
다음 2편에서는 정적/동적 분석과 PE 파일에 대해 좀더 자세하게 알아볼 예정
