샌드박스 (컴퓨터 보안)

3. 작동 원리 및 메커니즘

자바(Java)는 1996년 1월 발표된 JDK(Java Development Kit) 1.0부터 기본 보안 소프트웨어로 샌드박스를 제공하고 있다. 이는 외부에서 받은 프로그램을 JVM(Java Virtual Machine)이라는 보호된 영역 안에 가두어 실행함으로써 프로그램의 비정상적인 작동이나 악성 바이러스의 침투를 막는 방식이다.

자바가 제공하는 샌드박스는 네트워크를 통해 전송받은 애플릿이 시스템 자원에 접근하는 것을 제한한다. 샌드박스가 접근을 허용한 애플릿만 작업을 수행할 수 있으며, 허용되지 않은 애플릿은 로컬 파일을 읽거나 수정할 수 없도록 하여 시스템의 피해를 방지한다.

자바 샌드박스는 다음과 같은 구성 요소로 이루어져 시스템의 신뢰성을 유지하는 역할을 한다.

• 클래스 로더(클래스 로더)
• 바이트코드 검사기(바이트코드 검사기)
• 보안 관리자(보안 관리자)

4. 구현 및 예시

샌드박스는 제한된 운영 체제 환경에서 소프트웨어를 실행하여, 해당 프로세스가 접근하거나 사용할 수 있는 시스템 자원(예: 파일 디스크립터, 메모리, 파일 시스템 공간 등)을 엄격하게 제어하는 방식으로 구현된다. 이를 통해 잠재적으로 위험할 수 있는 코드가 시스템 전체에 영향을 미치는 것을 방지한다.

샌드박스 기술은 운영 체제 커널 수준의 기능(리눅스의 Seccomp, cgroups 등), 가상화 기술(가상 머신, 운영 체제 수준 가상화), 프로그래밍 언어 런타임 환경(자바 가상 머신, 공용 언어 런타임), 웹 브라우저 자체의 보안 모델 등 다양한 계층과 환경에서 구현된다. 각각의 구현 방식은 격리 수준, 성능 영향, 사용 편의성 등에서 차이를 보인다.

주요 사용 목적은 신뢰할 수 없는 소프트웨어나 코드를 안전하게 실행하고 분석하는 것이다. 예를 들어, 웹 브라우저는 외부 웹사이트의 스크립트로부터 사용자의 시스템을 보호하기 위해 샌드박스를 사용하며, 보안 연구원들은 악성코드를 안전한 환경에서 분석하기 위해 샌드박스 환경을 활용한다. 또한, 온라인 저지 시스템이나 코드 공유 서비스(pastebin) 등에서 사용자 제출 코드를 안전하게 실행하고 테스트하는 용도로도 널리 사용된다.

4. 1. 운영 체제 및 플랫폼

• 리눅스: Seccomp, cgroups, 리눅스 네임스페이스와 같은 커널 기능을 기반으로 애플리케이션 샌드박싱을 구현한다. 이는 Systemd, 구글 크롬, 파이어폭스, Firejail 등에서 사용된다.
• 안드로이드: 주요 모바일 운영 체제 중에서는 처음으로 완전한 애플리케이션 샌드박싱을 구현했다. 각 애플리케이션에 고유한 리눅스 사용자 ID를 할당하여 애플리케이션 간의 격리를 강화한다.
• 애플 플랫폼: 애플의 Mac App Store 및 iOS/iPadOS App Store를 통해 배포되는 앱에는 앱 샌드박스 적용이 필수적이다. 그 외 개발자가 서명한 앱에도 샌드박스 사용이 권장된다.
• 윈도우: 윈도우 비스타 이후 버전부터 UAC (User Account Control)의 일부로 "낮음(Low)" 무결성 수준 프로세스 실행 기능이 도입되었다. 이는 특정 시스템 디렉터리 및 레지스트리 키에 대한 쓰기 접근을 제한한다. 윈도우 10 프로 버전 1903부터는 별도의 격리된 데스크톱 환경을 제공하는 윈도우 샌드박스(Windows Sandbox) 기능이 추가되었다.
• 가상 머신 (VM): 실제 하드웨어처럼 운영 체제를 설치하고 실행할 수 있는 완전한 가상 환경을 제공한다. 게스트 운영 체제는 호스트 시스템과 분리되어 에뮬레이터를 통해서만 호스트 리소스에 접근할 수 있으므로 샌드박스 환경에서 실행되는 것으로 볼 수 있다.
• Jail: FreeBSD 등에서 사용되는 기술로, 프로세스를 격리된 환경(jail)에 가두어 네트워크 접근과 파일 시스템 네임스페이스를 제한한다. 주로 가상 호스팅 환경에서 활용된다.
• 규칙 기반 실행 (Rule-based Execution): 관리자가 설정한 규칙에 따라 특정 프로세스의 시작, 생성, 다른 프로세스로의 코드 주입, 네트워크 접근 등을 제어한다. 파일 및 레지스트리 접근 권한도 통제할 수 있어 악성코드 감염 위험을 줄인다. 리눅스의 SELinux와 AppArmor가 대표적인 예시다.
• 보안 연구: 멀웨어의 동작을 분석하기 위해 샌드박싱 기술이 널리 사용된다. 실제 시스템 환경을 모방한 샌드박스 내에서 멀웨어를 실행하여 감염 및 시스템 손상 방식을 안전하게 관찰하고 분석한다. 다수의 멀웨어 분석 서비스가 샌드박싱 기술을 기반으로 한다.
• 구글 네이티브 클라이언트 (NaCl): 웹 브라우저 내에서 C 및 C++로 컴파일된 코드를 운영 체제에 상관없이 안전하고 효율적으로 실행하기 위한 샌드박스 기술이다.
• 기능(Capability) 시스템: 프로그램을 실행할 때 특정 작업을 수행할 수 있는 권한을 나타내는 토큰(기능)을 부여하고, 프로그램은 자신이 보유한 기능에 해당하는 작업만 수행할 수 있도록 제한하는 방식이다. 세분화된 샌드박싱 메커니즘으로 볼 수 있으며, 웹 브라우저의 HTML 렌더링 등이 사용자 수준 기능 기반 샌드박싱의 예시에 해당한다.
• Secure Computing Mode (seccomp): 리눅스 커널의 보안 기능으로, 프로세스가 사용할 수 있는 시스템 호출을 제한한다. 엄격 모드(strict mode)에서는 `read()`, `write()`, `exit()`, `sigreturn()` 등 극히 일부의 시스템 호출만 허용된다.
• HTML5: iframe 요소에 `sandbox` 속성을 추가하여 포함된 콘텐츠의 권한을 제한할 수 있는 기능을 제공한다.
• 자바 가상 머신 (JVM): 자바 애플릿과 같이 신뢰할 수 없는 코드를 실행할 때 코드의 행위를 제한하는 샌드박스 기능을 내장하고 있다.
• .NET 공용 언어 런타임 (CLR): 코드 액세스 보안(Code Access Security, CAS) 메커니즘을 통해 신뢰할 수 없는 코드에 대한 접근 권한을 제한한다.
• 소프트웨어 오류 격리 (Software Fault Isolation, SFI): 신뢰할 수 없는 네이티브 코드를 실행할 때, 메모리 접근(저장, 읽기) 및 분기(점프) 명령어가 지정된 메모리 영역 내에서만 이루어지도록 강제하여 코드를 격리된 공간에 가두는 기술이다.

4. 2. 프로그래밍 언어 및 웹 기술

• HTML 렌더링 과정에서 기능 기반 보안 개념에 기반한 사용자 수준 샌드박싱이 적용될 수 있다.
• HTML5 표준에서는 iframe 요소에 `sandbox` 속성을 지정하여 포함된 콘텐츠가 수행할 수 있는 작업을 세밀하게 제어할 수 있다. 예를 들어, 스크립트 실행, 폼 제출 등을 제한할 수 있다.
• 자바스크립트 및 이를 활용하는 Ajax 기술은 기본적으로 웹 브라우저의 샌드박스 내에서 실행되어, 로컬 파일 시스템 접근과 같은 민감한 작업이 제한된다.
• 구글 네이티브 클라이언트(NaCl)는 웹 브라우저에서 C나 C++로 컴파일된 코드를 운영체제에 관계없이 안전하고 효율적으로 실행하기 위해 설계된 샌드박스 기술이다.
• 과거 웹 기술인 자바 애플릿, 자바 웹 스타트, 어도비 플래시 등도 자체적인 샌드박스 모델을 가지고 있었으나, 보안 취약점 및 웹 표준 기술의 발전으로 현재는 거의 사용되지 않는다.
• 마이크로소프트의 XAML 브라우저 애플리케이션(XBAP) 또한 웹 브라우저 내에서 제한된 권한으로 실행되는 샌드박스 기술의 예시이다.

4. 3. 기타

• 리눅스 애플리케이션 샌드박싱: Seccomp, cgroups, 리눅스 네임스페이스 기반. Systemd, 구글 크롬, 파이어폭스, Firejail 등에서 사용된다.
• 안드로이드: 각 애플리케이션에 고유한 리눅스 사용자 ID를 할당하는 방식으로 완전한 애플리케이션 샌드박싱을 구현한 최초의 주류 운영 체제이다.
• 애플 앱 샌드박스: Mac App Store 및 iOS/iPadOS App Store 배포 앱에 필수이며, 기타 서명된 앱에도 권장된다.
• 윈도우 비스타 이후 버전: UAC (User Account Control)를 통해 특정 디렉터리 및 레지스트리 키에만 쓰기를 허용하는 "낮음" 모드 프로세스 실행 기능을 포함한다. 윈도우 10 프로 버전 1903부터는 윈도우 샌드박스 기능을 제공한다.
• 구글 샌드박스 API.
• 가상 머신: 완전한 호스트 컴퓨터를 에뮬레이션하여 게스트 운영 체제를 실행한다. 게스트 운영 체제는 에뮬레이터를 통해서만 호스트 리소스에 접근하므로 샌드박스 환경에서 실행된다. (VMware, Microsoft Virtual PC 등)
• jail: 네트워크 접근 및 파일 시스템 네임스페이스를 제한한다. 주로 가상 호스팅에 사용된다.
• 규칙 기반 실행: 사용자가 정의한 규칙에 따라 프로세스 시작, 생성, 코드 주입, 네트워크 접근 등을 제어한다. 파일/레지스트리 접근 제어도 가능하다. SELinux, Apparmor 등이 리눅스 커널에서의 구현 예시다.
• 구글 네이티브 클라이언트: 브라우저에서 컴파일된 C/C++ 코드를 안전하게 실행하기 위한 샌드박스이다.
• 기능 시스템: 프로그램이 보유한 토큰(기능)에 따라 특정 작업만 수행하도록 제한하는 세분화된 샌드박싱 메커니즘이다. 웹 브라우저의 HTML 렌더링 등이 사용자 수준 예시이다.
• Secure Computing Mode (seccomp): 엄격 모드에서는 'write()', 'read()', 'exit()', 'sigreturn()' 시스템 호출만 허용한다.
• HTML5: iframe과 함께 사용할 수 있는 "sandbox" 속성을 제공한다.
• 자바 가상 머신: 신뢰할 수 없는 코드(자바 애플릿 등)의 작업을 제한하는 샌드박스를 포함한다.
• .NET 공용 언어 런타임: 코드 액세스 보안을 통해 신뢰할 수 없는 코드를 제한한다.
• 소프트웨어 오류 격리(SFI): 신뢰할 수 없는 네이티브 코드의 메모리 접근을 격리된 세그먼트로 제한한다.

• 보안 연구: 멀웨어 동작 분석을 위해 대상 환경을 모방한 샌드박스를 활용한다. 다수의 멀웨어 분석 서비스가 이 기술을 기반으로 한다.
• 온라인 저지 시스템: 프로그래밍 콘테스트에서 제출된 프로그램의 안전한 테스트 환경으로 사용된다.
• Pastebin 서비스: 사용자가 제출한 코드 조각을 서버에서 안전하게 실행하는 데 활용된다.
• 특정 소프트웨어 및 기술:
• 샌드박시(Sandboxie)
• 자바 애플릿, 자바 웹 스타트
• 어도비 플래시
• 자바스크립트 및 Ajax
• XAML 브라우저 애플리케이션 (XBAP)
• 웹 브라우저 (구글 크롬, 모질라 파이어폭스 등 다수)
• 소프트웨어 개발: 버전 관리 시스템과 연계하여 특정 버전의 소프트웨어를 테스트하는 환경(플레이그라운드)으로 사용된다.
• 위키백과: 편집 테스트를 위한 연습장(위키백과:연습장) 페이지가 샌드박스의 일종이다.

5. 활용 사례

샌드박스는 실제 시스템에 영향을 주지 않고 실험적인 프로그램을 안전하게 테스트하거나 실행하기 위한 격리된 환경을 의미한다. 이는 프로그램이 실제처럼 작동하지만, 금융 거래나 법률적 효력이 발생하는 실제 행위는 일어나지 않는 모의 테스트 환경을 제공하는 것과 같다.

샌드박스는 제한된 운영 체제 환경에서 소프트웨어를 실행하여 프로세스가 사용할 수 있는 리소스(예: 파일 디스크립터, 메모리, 파일 시스템 공간 등)를 제어하는 방식으로 구현된다.

주요 구현 및 활용 사례는 다음과 같다.

• 운영체제 및 플랫폼 수준 샌드박싱:
• 리눅스: Seccomp, cgroups, 리눅스 네임스페이스 등을 기반으로 애플리케이션 샌드박싱을 구현한다. Systemd, 구글 크롬, 파이어폭스, Firejail 등에서 사용된다.
• 안드로이드: 각 애플리케이션에 고유한 리눅스 사용자 ID를 할당하여 완전한 애플리케이션 샌드박싱을 구현한 초기 운영체제 중 하나이다.
• 애플: Mac App Store 및 iOS/iPadOS App Store를 통해 배포되는 앱에 앱 샌드박스 적용이 필수이며, 다른 서명된 앱에도 권장된다.
• 윈도우: 윈도우 비스타 이후 버전에서 UAC를 통해 특정 디렉터리 및 레지스트리 키에만 쓰기를 허용하는 "낮음" 모드 프로세스 실행을 지원한다. 윈도우 10 Pro 버전 1903부터는 '윈도우 샌드박스' 기능을 제공한다.
• 자바 가상 머신: 자바 애플릿과 같은 신뢰할 수 없는 코드의 작업을 제한하기 위한 샌드박스를 포함한다.
• .NET 공용 언어 런타임: 코드 액세스 보안을 통해 신뢰할 수 없는 코드에 대한 제한을 적용한다.
• HTML5: iframe 요소에 `sandbox` 속성을 사용하여 포함된 콘텐츠의 권한을 제한할 수 있다.

• 가상화 및 격리 기술:
• 가상 머신(VM): 운영체제 전체를 호스트 시스템과 분리된 환경에서 실행하여 게스트 운영체제를 샌드박스화한다. 게스트 운영체제는 에뮬레이터를 통해서만 호스트 자원에 접근할 수 있다.
• Jail: 네트워크 접근 및 파일 시스템 네임스페이스를 제한하여 프로세스를 격리하며, 주로 가상 호스팅 환경에서 사용된다.

• 보안 강화 및 접근 제어:
• 규칙 기반 실행: SELinux, Apparmor 등은 사용자가 정의한 규칙에 따라 프로세스의 시작, 생성, 코드 주입, 네트워크 및 파일/레지스트리 접근을 제어하여 바이러스나 트로이 목마의 위협을 줄인다.
• 기능 시스템: 프로그램이 특정 작업을 수행할 수 있는 권한(토큰)을 부여받아 작동하는 방식으로, 세분화된 샌드박싱 메커니즘으로 볼 수 있다. 웹 브라우저의 HTML 렌더링 등이 예시이다.
• Secure Computing Mode (seccomp): 특히 엄격 모드에서는 `write()`, `read()`, `exit()`, `sigreturn()` 등 극히 제한된 시스템 호출만 허용하여 보안을 강화한다.
• 소프트웨어 오류 격리(SFI): 신뢰할 수 없는 네이티브 코드를 실행할 때, 메모리 접근(저장, 읽기) 및 점프 명령을 격리된 메모리 세그먼트로 제한한다.

• 보안 연구 및 분석:
• 보안 연구원들은 멀웨어의 동작을 분석하기 위해 샌드박스 기술을 광범위하게 활용한다. 실제 환경을 모방한 샌드박스에서 멀웨어를 실행하여 감염 및 손상 방식을 안전하게 평가한다. 다수의 멀웨어 분석 서비스가 샌드박스 기술을 기반으로 한다.

• 소프트웨어 개발 및 테스트:
• 온라인 저지 시스템: 프로그래밍 대회 참가자가 제출한 코드를 샌드박스 환경에서 안전하게 실행하고 채점한다.
• Pastebin 서비스: 일부 서비스는 사용자가 공유한 코드 조각을 서버의 샌드박스 환경에서 직접 실행해 볼 수 있는 기능을 제공한다.
• 구글 네이티브 클라이언트: 브라우저에서 컴파일된 C 및 C++ 코드를 운영체제와 무관하게 안전하고 효율적으로 실행하기 위한 샌드박스이다.

6. 샌드박스의 한계 및 보완

샌드박스가 제공하는 강력한 보호 기능은 시스템의 프라이버시나 운영 체제의 안전을 위협할 수 있는 다양한 행위(파일 임의 접근, 마이크 무단 사용, 크로스 사이트 스크립팅 공격 등)를 금지함으로써 보안성을 높이지만, 때로는 이러한 제한이 사용자에게 불편함을 주기도 한다. 예를 들어, 특정 기능의 사용이 제한되거나 프로그램 실행 속도가 느려지는 등의 문제가 발생할 수 있다.

그러나 이러한 불편함에도 불구하고 샌드박스는 필수적인 보안 장치로 여겨진다. 만약 자바스크립트와 같은 기술이 악용되어 이메일 주소를 탈취하거나 바이러스를 퍼뜨리는 데 쉽게 사용될 수 있다면, 사용자들은 해당 기술이 적용된 웹 페이지 방문을 꺼리게 될 것이다. 이는 결국 기술 자체의 발전을 저해할 수 있으므로, 샌드박스를 통한 보호는 오히려 강화되는 추세이다. 보안을 완화하는 것은 공격자에게도 시스템 접근을 용이하게 만들 수 있다는 점을 고려해야 한다.

이러한 샌드박스의 한계, 즉 보안성과 편의성 사이의 균형 문제를 해결하기 위한 방법도 존재한다. 예를 들어 Java 애플릿에 사용되는 Java의 샌드박스 모델에서는, 애플릿 개발자가 전자 서명을 통해 자신의 프로그램을 인증할 수 있다. 사용자가 해당 전자 서명을 신뢰하고 접근 권한을 부여하면, 서명된 프로그램에 한해서는 샌드박스의 제한된 영역 밖으로 접근하는 것이 허용될 수 있다. 이는 신뢰할 수 있는 프로그램에 대해서는 편의성을 높이는 보완책으로 작용한다.

7. 대한민국의 샌드박스 제도

샌드박스는 본래 컴퓨터 보안 용어이지만, 비유적으로 실험적인 프로그램을 실제 환경에 적용하기 전에 시험적으로 연결하고 테스트하는 환경을 의미하기도 한다. 어떤 새로운 것을 실제 환경에 바로 적용하기 전에 샌드박스에서 먼저 테스트한다는 것은, 작동 방식은 실제와 유사하게 구현하되 금융 거래나 법률적 효과 같은 실제 결과는 발생하지 않는 환경에서 시험해보는 것을 뜻한다. 이는 일종의 모의 테스트라고 할 수 있으며, 실제 적용 시 발생할 수 있는 문제점을 미리 확인하고 대비하기 위한 목적을 갖는다.

참조

_[1] 웹사이트 What Is a Sandbox Environment? - Meaning {{!}} Proofpoint UK https://www.proofpoi[...] Proofpoint 2024-05-28
_[2] 웹사이트 A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker) http://www.usenix.or[...] 2011-10-25
_[3] 웹사이트 How to Keep Your PC Safe With Sandboxing http://www.techhive.[...] TechHive 2014-07-03
_[4] 웹사이트 Sandboxing Applications http://www.dmst.aueb[...] 2013-05-07
_[5] 웹사이트 Application Sandbox - Android Open Source Project https://source.andro[...] 2021-04-02
_[6] 웹사이트 About App Sandbox https://developer.ap[...] 2020-12-09
_[7] 웹사이트 Security of runtime process in iOS and iPadOS https://support.appl[...] 2021-04-04
_[8] 웹사이트 Windows Sandbox https://techcommunit[...] 2010-01-07
_[9] 간행물 google/sandboxed-api https://github.com/g[...] Google 2020-12-09
_[10] 웹사이트 Auto-Sandboxing secure system https://enterprise.c[...] 2015-01-30
_[11] 웹사이트 Computer System Security and Access Controls http://oreilly.com/c[...] 2013-05-17
_[12] 웹사이트 Native Client Sandbox – Untrusted x86 Native Code http://static.google[...] 2015-01-03
_[13] Youtube Welcome to Native Client https://developer.ch[...]
_[14] 웹사이트 Defense in Depth: Locking Down Mash-Ups with HTML5 Sandbox https://blogs.msdn.m[...] 2011-07-14
_[15] 웹사이트 Efficient Software-Based Fault Isolation https://courses.cs.w[...] 1993
_[16] 웹사이트 A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker) http://www.usenix.or[...] 2015-10-25
_[17] 웹인용 A Secure Environment for Untrusted Helper Applications (Confining the Wily Hacker) http://www.usenix.or[...] 2011-10-25
_[18] 웹인용 How to Keep Your PC Safe With Sandboxing http://www.techhive.[...] TechHive 2014-07-03