난독화 :: 나의 개발일기

난독화

yuno82 2023. 5. 3. 05:52

2023. 5. 3. 05:52

소스코드를 인터넷에 올리거나 고객에서 납품할때 프로그램 전반이 단순한 텍스트(코드)로 되어있기에 코드만 긁어가면 똑같은 서비스를 그대로 출시하거나 상업적 목적에 사용될 우려가 있다.

이러한 문제를 해결하기 위해 크게 3가지 기법(난독화, 바이너리 암호화, 패킹)이 있는데 해당 포스팅에선 주로 난독화에 대해 다루려고 한다.

바이너리 암호화

소스코드를 난독화 하는게 아닌 디컴파일 자체가 어렵도록 바이너리 자체를 암호화 하는것으로 복호화 없이는 실행될수 없는 파일이다.

복호화(디코딩)를 하기 위해선 별도의 실행프로그램이 존재해야하는데 이 프로그램을 로더라고 한다.

패킹 (Packing)

실행파일을 암호화하거나 압축하여 소스코드를 볼수 없도록 하는것 (패킹을 진행하는 프로그램을 패커라 칭한다)

프로그램을 변화하는 방법의 일종으로 코드를 읽기 어렵게 만들어 역공학을 통한 코드탈취를 막는기술이다.

JWT토큰, Base64, Cyberchef등이 이에 해당하는것이라 볼수있다.

장점

단점

집계 난독화 - 프로그램에 데이터가 저장되는 방식을 변경 (부모배열을 자식배열로 분할, 이를 프로그램 다른위치에 참조되도록 하는것
저장 난독화 - 데이터가 메모리에 저장되는 방식을 변경으로 로컬 저장소 및 전역 저장소 사이에 변동을 주는것
순서 난독화 - 프로그램, 코드스니펫의 동작의 변경없이 데이터의 순서를 변경
문자열 암호화 - 읽을수 있는 문자열을 모두 암호화하여 읽을수 없는 코드를 생성 (프로그램이 실행되는 런타임시점에 암호해독이 필요하다)
제어/코드 흐름 난독화 - 제어가 코드베이스의 한 섹션에서 다른 섹션으로 전달되는 방법은 프로그램 의도를 결정하는데 중요한 역할을하는데 이 사이에 사용되지 않을 불필요한 구문(데드코드)를 추가하는것

코드스니펫 (Code Snippet) - 코드조각, 재사용 가능한 소스코드를 가리키며 코드의 일부를 복붙할때 사용하기도 한다

디버그 정보는 프로그램 흐름, 디컴파일, 재컴파일을 통해 프로그램의 결함 또는 핵심 정보를 아는데 사용되는데 이를 기반으로 코드의 탈취우려가 있다.
디버그 정보에 대한 엑세스 중지하여 식별 가능한 정보의 제공을 일절 차단하는것

HTML의 난독화는 주로 HTML보단 JavaScript 위주로 변환된다 -> HTML을 해당 숫자코드로 변환, 복수의 메서드를 조합하여 수행 하는게 통상적 이지만 주로 서버측 보안 위주로 이뤄지기에 HFO (HTML Field Obfuscation) 는 생략되는경우가 많다
주로 컴파일전 원본 소스코드 자체를 난독화하는 방식이 사용된다.
문자열 배열 인코딩, 유니코드 표현식으로 변환, 이스케이프 시퀀스에 유니코드 작업을 수행하는 등 작업을 진행
런타임 속도가 느려짐

이스케이프 스퀀스 (escape sequence) - 프로그래밍 언어 특성상 표현불가능한 기능, 문자를 표현해주는것 (제어 시퀀스, 확장 비트열, 이스케이프 문자라고도 한다 - \n, \\, \"...)