본문 바로가기
기술자료/기술운영자료

[IT이야기] 샌드박스(Sandbox) 란?

에이원네트웍스 2016. 3. 21. 23:39

개인적으로 공유형 자료도 많이 다운 받고 업무중에도 수시로 업체간 자료를 전달 받다 보면 많이 접하게 되는 문구가 있습니다.

바로 백신 프로그램에서 '무언가를 검사하고 있습니다.' 또는 '~~가 의심되어 샌드박스로 이동합니다.' 라는 등의 문구입니다.

샌드박스, 샌드박스....

대충 개념적으로는 이해하고 있었지만 정확히 무슨 뜻일까 싶어 좀 더 파고들어 봤습니다.

먼저, 포털에서 검색한 '샌드박스의 정의' 부터 살펴볼까요?


샌드박스[sandbox]

보호된 영역 내에서 프로그램을 동작시키는 것으로, 외부 요인에 의해 악영향이 미치는 것을 방지하는 보안 모델. '아이를 모래밭(샌드박스)의 밖에서 놀리지 않는다'라고 하는 말이 어원이라고 알려져 있다. 이 모델에서는 외부로부터 받은 프로그램을 보호된 영역, 즉 '상자'안에 가두고 나서 동작시키니다. '상자'는 다른 파일이나 프로세스로부터는 격리되어 내부에서 외부를 조작하는 것은 금지되어 있다.

(출처 : IT용어사전, 한국정보통신기술협회)


정의로 나와 있는 뜻이 뭔말일까 싶어 좀더 파고 드니 역시 외국의 문화에서 나온 말이더군요. 미국 가정이나 놀이터에는 아이들이 맘껏 장난칠 수 있는 모래터가 있는데 이 모래터는 네모난 경계로 되어 있고 부모들은 아이가 그 경계를 넘어가지 않는 조건으로 맘껏 놀게 한다고 하더군요.

즉, 외부에서 바이러스 감염이나 해킹 등의 도구로 사용이 의심되는 파일들을 받게 되면 샌드박스 기능을 가진 솔루션은 이 자료를 독립된 가상 공간으로 이동시키고 거기서 나름의 검사 등을 한다는 의미입니다. 이 때 그 자료가 악의적인 의도를 가진 자료라 하더라도 가상으로 독립된 공간에서 발견된 것이므로 처리나 대처가 용이하게 됩니다.


여러 얘기를 들어보고 또 검색을 해보면 참으로 보편적인 기술이고 쉽게 이해될 수 있습니다. 하지만, 보편적인 기술인 만큼 우회하여 침투할 수 있는 보안 취약점도 많다고 합니다.

다음은 '2014 기업 정보보안 가이드 v.9'에서 발췌한 글입니다.


발췌글

파이어아이가 발표한 '파일기반 샌드박스를 쉽게 회피하는 악성코드 기법' 보고서에서는 아주 간단하게 샌드박스를 회피하는 기법이 소개됐다. 그 중 하나가 악성파일이 실행된 후 상당한 시간이 지난 다음 공격을 시작하도록 설계하는 것이다. 샌드박스는 악성파일로 의심되는 것을 실행시켜 본 후 일정시간 동안 의심스러운 외부 서버와 통신을 하는지, 혹은 다른 악성코드를 설치하는지 등을 살펴본다. 이 점을 악용한 악성파일은 실행 즉시 외부 공격서버와 통신을 시작하는 것이 아니라 샌드박스가 모니터링하는 시간이 지난 후 공격을 시작한다.

 도 다른 방법은 키보드나 마우스 조작을 감지한 후 공격을 시작하는 것이다. 샌드박스는 가상환경에서 자동으로 악성파일을 실행시켜보기 때문에 키보드나 마우스 조작이 없다. 따라서 이러한 조작 없이 파일이 실행되면 공격을 하지 않고, 조작이 있을 때에만 공격하도록 설계하면 간단하게 샌드박스를 우회할 수 있다.



필자의 개인적인 생각으로는 샌드박스 기술이 상당히 보편화되어 있지만 특정 분야에 종사하지 않는 이상 아직까지도 잘 모르는 사람들이 많고, 단순히 백신 프로그램에서 운영되는 하나의 기술로만 치부하거나 너무 잦은 샌드박스 기능 활성화로 - 정상적인 파일도 샌드박스로 넘어가 필자를 자꾸 귀찮게 만드는 기능이다.- 필자를 포함하여 어느 사람에게는 귀찮은 기능일 뿐으로 취급되기도 합니다.


그러나, 클라우드나 로컬에서 작동하는 전문적인 샌드박스 솔루션 등도 있으며 국내 침대해등센터(CERT)나 KISA 에서도 이를 활용한 위협정보를 제공하는 등 상당한 위치에 있는 기술임에는 분명합니다. 

또 그러나, 샌드박스만으로는 APT를 차단할 수 없어 비샌드박스 기술이 각광받기도 하므로, 결국 이용과 선택은 유저들의 몫이지 않나 싶습니다.


금번에는 샌드박스를 짧게 알아봤고 정의를 저보다 쉽게 잘 정리한 곳과 업체정보 등을 아래에 남기며 마칩니다.


링크 : sandbox[샌드박스] 정의와 개념 알아보도록 하자.


업체 정보

파이어아이 '멀웨어 프로텍션 시스템(MPS)' 외 다수 / 팔로알토네트웍스 '와일드파이어' / 포티넷 '포티샌드박스' /  체크포인트 '쓰렛 클라우드', '쓰렛 에뮬레이션 소프트웨어 블레이드'

'기술자료 > 기술운영자료' 카테고리의 다른 글

소프트웨어 RAID와 하드웨어 RAID의 차이점  (0) 2016.03.21
종합적인 정보보호 관리체계에 대한 인증 ISMS 안내  (0) 2016.03.21
다양한 보안 개념 쉽게 이해하기 - 2부  (0) 2016.03.21
[공유] 마이크로소프트 라이선스 가이드 (SPLA 라이선스 위주 설명)  (0) 2016.03.21
다양한 보안 개념 쉽게 이해하기 - 1부  (0) 2016.03.21

'기술자료/기술운영자료' Related Articles

티스토리툴바