국방 연구소에서 모바일 앱까지: 애플리케이션 보호 기술의 발전 과정

2001년은 애플리케이션 보안에 있어 전환점이었지만, 당시에는 이를 인식한 사람이 거의 없었습니다.

지난 4월, 미 해군 EP-3 정찰기가 중국 요격기와 공중 충돌 후 하이난 섬에 비상 착륙했습니다. 승무원들은 착륙 전 26분 안에 중요 장비와 문서를 파기해야 했습니다. 그들은 임시방편으로 디스크 드라이브에 커피를 붓고, 하드 드라이브를 도끼로 부수는 등의 방법을 동원했지만, 역부족이었습니다.

같은 해에 소프트웨어 보안을 개선하기 위해 OWASP가 설립되었는데, 이는 오늘날 우리가 추적하는 MASVS와 같은 표준을 정의하게 될 커뮤니티의 시작이었습니다.

같은 해, 퍼듀 대학교 박사 과정 학생이었던 호이 창은 지도교수인 미하일 아탈라, 동료인 팀 코브, 존 라이스와 함께 윈도우 애플리케이션을 난독화하는 프로그램을 개발했습니다. 이 작업이 바로 아르산(Arxan)이 되었습니다.

1년 동안 세 가지 사건이 발생했습니다. 적들이 보호되지 않은 시스템에 접근했을 때 어떤 일이 벌어지는지를 극적으로 보여준 사례, 대규모 소프트웨어 보안 문제를 해결하기 위한 커뮤니티의 형성, 그리고 애플리케이션의 역설계를 더욱 어렵게 만들기 위해 설립된 회사.

이러한 현상의 동시 발생은 우연이 아니었습니다. 애플리케이션 보호는 국가 안보, 상용 소프트웨어, 그리고 새롭게 부상하는 보안 개발 분야 등 여러 경계를 넘나드는 중요한 문제로 대두되고 있었습니다. 이러한 요소들이 하나로 엮이는 데는 수년이 걸렸지만, 2001년은 이 모든 것이 나타난 해였습니다.

국방 시대

2년 전, 국방부는 군사 조달 프로그램에서 변조 방지 기술을 의무화하는 첫 번째 지침을 발표했습니다. 당시 위협은 연구소, 역설계 전문가, 그리고 단 한 번의 실행으로 전체 명령어 시퀀스를 캡처할 수 있는 장비를 보유한 국가들이었습니다. 업계에서 발생한 사건들은 적절한 보안 등급을 가진 사람들에게 그 실질적인 결과를 명확히 보여주었습니다.

일부 국방 프로그램은 처음부터 보안 조치를 적극적으로 수용했습니다. 반면 다른 프로그램들은 예외를 요구했습니다. 변조 방지 조치는 비용을 증가시키고, 일정을 지연시키며, 모든 코드가 요구 사항으로 거슬러 올라갈 수 있어야 하는 검증 및 확인 프로세스를 복잡하게 만들었기 때문입니다. 난독화는 애초에 이러한 추적성을 더욱 어렵게 만들었습니다.

오늘날에도 똑같은 긴장감이 존재합니다. 개발을 어렵게 만드는 안보 조치는 손실이 발생하여 그 대가를 부인할 수 없을 때까지 저항에 부딪힙니다.

하지만 시간이 흐르면서 정책 시행이 강화되었습니다. 이미 진행 중인 프로그램은 예외를 인정받을 수 있었지만, 새로운 프로그램은 점점 더 어려워졌습니다. 이러한 작은 눈송이들이 모여 눈사태를 일으킨 것입니다.

Arxan은 그러한 환경에서 설립되었습니다. 회사의 초기 지적 재산권은 퍼듀 대학교로부터 라이선스를 받았으며, 초기에는 국방 분야의 위변조 방지 애플리케이션에 집중했습니다.

상업적 이주

2010년, 아르산의 방산 사업부는 규제상의 이유로 마이크로세미에 매각되었고, 상업 사업은 독립적으로 계속되었습니다. 동일한 보호 기술은 새로운 분야에 적용되었습니다.

한 소프트웨어 회사는 자사 제품이 역설계되어 원래 가격보다 훨씬 저렴하게 재판매되고 있다는 사실을 발견했습니다. 경쟁업체는 단 한 개의 복사본을 구입하여 라이선스를 해킹한 후, 원 판매업체보다 낮은 가격으로 제품을 판매할 수 있었습니다. 이러한 위협은 구체적이었고 손실 또한 수치화할 수 있었습니다.

제조 장비 역시 비슷한 위험에 직면했습니다. 해외 경쟁업체가 기계를 구매하여 하드웨어를 분해하고, 이를 제어하는 ​​소프트웨어를 역설계하여 순식간에 모조품을 만들 수 있었습니다. 귀중한 지적 재산은 물리적 설계뿐만 아니라 코드에도 있었습니다.

초기 상업 구매자들은 위협에 대한 인식이 강했습니다. 그들은 문제를 직접 목격했고 해결책을 찾고자 했습니다.

금융 서비스

영국의 한 주요 은행은 앞서가는 사고방식으로 자사 애플리케이션 사용 방식의 이상 징후를 조기에 포착하여 규제가 요구되기 전부터 자체적인 보안 시스템을 구축하기 시작했습니다. 저희는 해당 은행과 협력하여 필요한 기능을 구현했으며, 현재까지도 해당 은행을 보호하고 있습니다.

다른 은행들도 뒤를 따랐습니다. 일부 은행은 사기로 인한 손실액을 수치화한 후 이를 없애기 위해 도입했습니다. 한 은행은 상당한 연간 사기 방지 예산을 책정해 왔지만, 애플리케이션 보호 시스템을 도입한 후에는 더 이상 예산이 필요하지 않게 되었습니다.

업계 전반에 걸쳐 비슷한 양상이 반복되었습니다. 대형 금융기관들이 먼저 위협을 인식했고, 그 지식이 소규모 은행, 지역 금융기관, 신용협동조합, 보험회사 등으로 확산되었습니다. 직원들은 여러 조직을 옮겨 다니며 전문 지식을 공유했습니다. 그 이유는 간단했습니다. 한 보안 책임자가 은행 강도에 대한 옛말을 인용하며 말했듯이, "돈이 있는 곳이 바로 그곳이기 때문입니다."

게임 및 수익 보호

게임 개발사들은 보안에 대해 특정한 계산법을 사용했습니다. 게임 수익의 상당 부분은 출시 후 첫 몇 주 동안 발생하며, 이후 급격한 증가세를 보인 후 오랜 기간에 걸쳐 감소합니다. 개발사들은 우리에게 직접적으로 이렇게 말했습니다. "그 중요한 시기를 버텨낼 수 있는 보안이 필요합니다." 공격자들이 결국에는 뚫을 방법을 찾아낼 것이라는 것을 알고 있었지만, 그때쯤이면 수익 곡선은 이미 완만해져 있을 것이라는 점을 명심해야 했습니다.

이 산업은 시간 제한 보안이라는 개념을 명확히 제시한 최초의 산업 중 하나입니다. 즉, 보호는 영구적일 필요가 없으며, 수익 창출 기간 동안 충분하면 된다는 것입니다. 이러한 개념은 게임 산업을 넘어 제품 출시, 인수합병 기간, 규제 대상 출시 등 다양한 분야에 적용됩니다.

위협은 구체적이었고, 일정은 알려져 있었으며, 투자 수익은 즉각적이었다.

의료 기기

의료기기 제조업체는 최근 몇 년 동안 더욱 엄격해진 FDA의 사이버 보안 요구 사항에 직면해 있습니다. 변조 및 역설계 방지는 이제 규제 환경의 일부가 되었습니다.

하지만 규정 준수만이 유일한 동기는 아닙니다. 이 회사들은 경쟁사들이 접근하면 이득을 볼 수 있는 귀중한 지적 재산권, 즉 독점 알고리즘, 진단 논리, 치료 프로토콜 등을 보유하고 있습니다. 그 동기는 낯설지 않습니다. 규제 준수가 의무를 부여하지만, 지적 재산권 보호가 시급성을 더합니다.

현재 시장 상황

2020년, Arxan은 CollabNet VersionOne, XebiaLabs, Experitest 및 Numerify와 합병하여 새로운 회사를 설립했습니다. Digital.aiArxan이라는 이름은 애플리케이션 보안 분야에서 여전히 잘 알려져 있으며, 해당 기술은 계속해서 발전하고 있습니다.

오늘날 구매자들은 각기 다른 시점과 배경에서 시장에 진입합니다. 어떤 구매자들은 사기 손실, 불법 복제, 경쟁사 정보 수집 등 직접적인 위협을 경험했습니다. 어떤 구매자들은 이사회 차원의 질문이나 공급업체의 보안 요구사항에 대응하고 있습니다. 또 어떤 구매자들은 이제 막 자신들의 애플리케이션에 보안이 필요한지 묻기 시작했습니다.

시장이 성숙해짐에 따라 그 어느 때보다 더 많은 조직이 보호받고 있습니다.

우리가 배운 것

위협의 본질은 변하지 않았습니다. 국가 연구소든, 자유롭게 구할 수 있는 도구를 사용하는 개인이든, 여러분의 애플리케이션에 접근할 수 있는 적들은 그것을 분석할 것입니다. 달라진 것은 누가 관심을 기울이느냐입니다.

25년 전만 해도 애플리케이션 보호는 국방 분야의 문제였습니다. 하지만 오늘날에는 금융 서비스, 게임, 제조, 의료 등 다양한 산업 분야로 확대되었습니다. 관련 도구들도 발전하여 배포는 더욱 간편해지고 분석 기능은 향상되었으며 설정도 간소화되었습니다. 그러나 핵심적인 문제는 여전히 남아 있습니다. 바로 중요한 로직과 데이터가 사용자가 제어할 수 없는 환경에서 실행되는 소프트웨어에 저장되어 있다는 점입니다.

저희는 성숙도 곡선의 모든 단계에 있는 구매자들과 협력해 왔습니다. 과거의 경험 때문에 일찍부터 관심을 보인 구매자들, 업계가 따라잡으면서 뒤늦게 관심을 보인 구매자들, 그리고 이제 막 구매를 고려하기 시작한 구매자들까지 모두 포함됩니다.

저희가 발견한 것은 진입점 자체보다 자신의 위험을 이해하려는 노력이 훨씬 더 중요하다는 것입니다. 저희는 이 분야에서 오랜 경험을 쌓아왔기에, 어디에서 시작하든 그 대화를 이끌어내는 데 도움을 드릴 수 있습니다.