별도의 하드웨어 없이 보다 안전하고 간편한 보호 기능 제공

[보안뉴스 김태형] 세이프넷(www.safenet-inc.com)은 업계 최초로 화이트 박스 암호 기술을 갖춘 소프트웨어 보호 솔루션을 출시, 이를 통해 소프트웨어 라이선싱 및 보호 솔루션인 세이프넷 센티넬(SafeNet Sentinel) 포트폴리오가 화이트 박스 환경에서 발생하는 공격으로부터 보안 알고리즘을 보호하는 새로운 기능을 갖추게 됐다고 밝혔다.

화이트 박스 공격은 해커에게 가장 많은 능력을 부여하는 공격 모델로, 소프트웨어의 실행 과정을 모두 보고 제어할 수 있는 강력한 공격 방법이다. 비밀 키를 보호하는 블랙 박스가 존재하지 않는 기존 소프트웨어 보호 환경에서 모든 접속 데이터를 확인할 수 있으며 애플리케이션 실행 역시 단계별로 탐지할 수 있었다. 따라서 비밀 키를 위험으로부터 보호하기 위해서는 새로운 접근 방법이 요구되고 있다.

세이프넷 화이트 박스 솔루션은 보호된 애플리케이션과 하드웨어 토큰 간의 통신을 완전히 암호화해 안전한 채널을 거쳐간 데이터를 재사용할 수 없도록 보장한다. 세이프넷은 공격자가 암호화 키를 찾아낼 목적으로 보호된 애플리케이션 및 런타임 환경을 추적할 수 있다고 가정, 단순히 암호화 키가 드러나지 않도록 하는 기존 솔루션과 달리 화이트 박스 암호화를 중심으로 솔루션을 구축한다.

또한 이러한 가정의 일부로 알고리즘과 암호화 키를 세이프넷 고유의 API(Application Programming Interface) 라이브러리로 대체, 동일한 암호를 구축하면서 알고리즘의 일부로 암호화 키를 내장한다. 그 결과 메모리에 암호화 키가 드러나지 않아 공격자는 이를 추출할 수 없게 된다.

마이클 준케(Michael Zunke) 세이프넷 소프트웨어 수익 창출 솔루션 CTO는 “세이프넷 화이트 박스 솔루션은 공격자가 모든 것을 볼 수 있다는 가정 아래, 노출된 알고리즘과 암호화 키를 고유의 애플리케이션 라이브러리로 대체, 공격의 표면을 최소화한다”며 “이를 통해 보호된 키를 해커가 볼 수 없도록 하고 공격이 발생하는 동안 쉽게 복원되지 않도록 보장한다”고 밝혔다.

또한 준케 CTO는 “소프트웨어 기업은 오늘날 보안이 갖고 있는 취약점과 정교함을 고려해 소프트웨어 설계부터 구축에 이르기까지 보호에 각별한 주의를 기울여야 하며 제품 라이프 사이클의 일부로 인식하고 지속적으로 향상시켜 나가야 한다”며 “세이프넷의 소프트웨어 보호 솔루션은 독립 소프트웨어 개발 벤더(Independent Software Vendor; 이하 ISV)들이 화이트 박스 암호화 등 광범위한 보안 도구들을 쉽게 통합하도록 지원한다. 이를 통해 ISV는 소스 코드 레벨에서 화이트 박스 암호 기술을 직접 설계할 수 있으며 기업의 전반적인 보호 전략을 보다 강화할 수 있다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>