[Security] 샌드박스(Sandbox)와 샌드박스의 취약점

🔐 Security

[Security] 샌드박스(Sandbox)와 샌드박스의 취약점

Rosieblue 2023. 5. 12. 19:05

728x90

샌드박스

모래 안에서 프로그램을 실행하는 모습. 어린이들을 푹신푹신한 모래 위에서 안전하게 놀게하는 것에서 유래됨.

아래 샌드박스의 정의에 대해 쉽게 설명해 놓은 좋은 글이 있어서 이를 발췌해 보았다.

"Sandboxing is a form of software virtualization that lets programs and processes run in its isolated virtual environment. Typically, programs running within the sandbox have limited access to your files and system, and they can make no permanent changes. That means that whatever happens in the sandbox stays in the sandbox." (https://web.archive.org/web/20140712130329/http://www.techhive.com/article/247416/how_to_keep_your_pc_safe_with_sandboxing.html)

How to Keep Your PC Safe With Sandboxing

Setting up your PC to run important apps in a sandbox can help you avoid malware infections. Here's how to do it.

web.archive.org

샌드박스는 소프트웨어 가상화 기술의 일종으로 프로그램과 프로세스들을은 고립된 가상 환경에서 작동할 수 있게 한다. 가상화 기술에 대해서는 다른 포스트를 작성하도록 하겠다. 간단히 예를 들면 서버 가상화, 도커, vm, 샌드박스 같은 것들이 가상화 기술을 이용한 사례이다.

전형적으로, 샌드박스 내에서 실행되는 프로그램들은 우리의 파일 시스템에 제한된 접근 권한을 가지고 있다. 또한 그들은 영구적인 변경도 어렵게 한다. 즉, 샌드박스 안에서 일어나는 일들은 계속 샌드박스 안에 있는 것이다.

위 그림이 샌드박스의 원리를 직관적으로 알기 쉽게 보여주고 있다.

즉 외부로부터 들어온 프로그램이나 실행 파일을 가상화 내부에서 시험적으로 동작시켜봄으로써 가상화 밖으로는 영향을 주지 않는다. 한 마디로 가상화 기술을 악성행위나 악성코드 감지 시스템에 적용한, 보안 가상화의 일종인 것이다. (출처 : IT용어사전, 한국정보통신기술협회)

샌드박스를 아래처럼 쓸수 있다. 이를 보면 샌드박스가 무엇인지 조금은 감이 잡힐 것이다.

Automatically or manually run unknown programs in the sandbox in case they contain viruses, spyware, or other malware. (멀웨어들을 샌드박스에서 실행함)
Run your Web browser within the sandbox to prevent damage from any infections you pick up while browsing, which is the most common origin of malware.(웹브라우저를 샌드박스에서 실행시켜서 멀웨어등의 다운에 의한 피해를 최소화하기)
Run your browser within the sandbox to stop any existing malware on your computer from capturing your site login credentials or your online-shopping payment details. (웹브라우저를 샌드박스에서 실행시켜서 혹시나 모를 정보 탈취에 대비하기)

샌드박스 취약점

다음은 '2014 기업 정보보안 가이드 v.9'에서 발췌한 글이다.

파이어아이가 발표한 '파일기반 샌드박스를 쉽게 회피하는 악성코드 기법' 보고서에서는 아주 간단하게 샌드박스를 회피하는 기법이 소개됐다. 그 중 하나가 악성파일이 실행된 후 상당한 시간이 지난 다음 공격을 시작하도록 설계하는 것이다. 샌드박스는 악성파일로 의심되는 것을 실행시켜 본 후 일정시간 동안 의심스러운 외부 서버와 통신을 하는지, 혹은 다른 악성코드를 설치하는지 등을 살펴본다. 이 점을 악용한 악성파일은 실행 즉시 외부 공격서버와 통신을 시작하는 것이 아니라 샌드박스가 모니터링하는 시간이 지난 후 공격을 시작한다.
또 다른 방법은 키보드나 마우스 조작을 감지한 후 공격을 시작하는 것이다. 샌드박스는 가상환경에서 자동으로 악성파일을 실행시켜보기 때문에 키보드나 마우스 조작이 없다. 따라서 이러한 조작 없이 파일이 실행되면 공격을 하지 않고, 조작이 있을 때에만 공격하도록 설계하면 간단하게 샌드박스를 우회할 수 있다.