An Approach for Safe and Secure Software Protection Supported by Symbolic Execution

이 논문은 물리적으로 복제 불가능한 함수 (PUF) 와 심볼릭 실행을 결합하여 산업 제어 소프트웨어를 특정 하드웨어에 안전하게 바인딩하고, 비인가 환경에서의 안전성 보장 및 역공학 방지를 가능하게 하는 새로운 복사 보호 기법을 제안합니다.

핵심

이 논문은 **"산업용 소프트웨어를 특정 기계에 꽉 끼워, 도둑이 가져가도 쓸모없게 만드는 새로운 방법"**을 소개합니다.

마치 고급 레스토랑의 비밀 레시피를 생각해보세요. 이 레시피는 특정 주방장 (하드웨어) 의 손맛과 도구 없이는 절대 제대로 된 요리를 만들 수 없습니다. 다른 주방에서 똑같은 레시피를 따라 해보려고 해도, 맛이 완전히 다르거나 아예 실패하게 됩니다. 하지만 설령 실패하더라도, 주방이 폭발하거나 불이 나는 일은 절대 없습니다 (안전성).

이 논문의 핵심 내용을 일상적인 비유로 설명해 드리겠습니다.

---

1. 문제: 소프트웨어 도둑질은 너무 쉬워요

지금까지 산업용 기계의 핵심 소프트웨어를 훔치는 건 매우 쉬웠습니다.

• 하드웨어 복제: 기계 자체를 똑같이 만드는 건 어렵고 비쌉니다.
• 소프트웨어 복사: 하지만 소프트웨어 파일은 복사 (Copy & Paste) 만 하면 그대로 따라갈 수 있습니다. 별도의 해킹 기술이 없어도 됩니다.
• 결과: 도둑은 기계의 핵심 지식을 훔쳐서 똑같은 기계를 만들어 팔 수 있게 됩니다.

2. 해결책: "생체 지문" 같은 하드웨어 (PUF)

이 논문은 소프트웨어를 특정 기계와 유일무이하게 묶는 (Binding) 기술을 제안합니다. 이때 사용하는 것이 **PUF(물리적 복제 불가능 함수)**입니다.

• 비유: 공장 기계 하나하나를 손가락 지문이라고 상상해보세요.
  • 공장에서 기계 (하드웨어) 를 만들 때, 미세한 불규칙성 때문에 각 기계마다 아주 작은 물리적 차이가 생깁니다.
  • 이 차이는 마치 사람의 지문처럼 복제할 수 없는 고유한 특징입니다.
  • 소프트웨어는 이 기계의 "지문"을 확인하는 질문 (Challenge) 을 던지고, 기계가 답 (Response) 을 내놓아야만 정상적으로 작동합니다.

3. 핵심 기술: "안전한 실패"를 보장하는 마법 (기호 실행)

여기서 가장 중요한 부분이 있습니다. 만약 도둑이 이 소프트웨어를 다른 기계 (복제된 기계) 에 넣으면 어떻게 될까요?

• 기존 방식의 위험: 보통은 기계의 지문이 맞지 않으면 프로그램이 아무것도 안 하거나, 아예 멈추거나 (크래시), 위험한 동작을 할 수 있습니다. (예: 로봇 팔이 갑자기 사람을 치거나, 신호등이 동시에 초록불로 켜지는 등)
• 이 논문의 방식 (안전한 실패): 이 연구는 **"만약 지문이 맞지 않으면, 프로그램이 엉뚱한 행동을 하더라도 절대 위험하지 않게 만든다"**는 원칙을 세웠습니다.
  • 비유: 도둑이 레시피를 훔쳐 다른 주방에서 요리를 하려고 하지만, 주방장이 "이 재료는 내 손맛에 안 맞네"라고 하면, 요리는 완전히 다른 맛 (예: 짜장면 대신 김치찌개) 이 나오게 됩니다. 하지만 부엌이 불타거나 식중독이 나지는 않습니다.
  • 이걸 가능하게 하는 것이 **기호 실행 (Symbolic Execution)**이라는 기술입니다.
    • 컴퓨터가 "만약 A 라면 B 가 되고, 만약 C 라면 D 가 되는데, 그중에서 안전하지 않은 E 는 절대 선택하지 않도록 미리 계산해봐"라고 모든 가능성을 시뮬레이션합니다.
    • 그 결과, 도둑이 소프트웨어를 다른 데서 실행하더라도 안전한 상태만 유지되도록 프로그램이 스스로를 제어합니다.

4. 해커는 왜 이걸 뚫을 수 없나요?

해커가 이 보호 장치를 뚫으려면 어떻게 해야 할까요?

1. 정적 분석 (코드 분석): 코드를 역으로 분석해보려 해도, 정답이 되는 "지문"은 하드웨어에 숨겨져 있어 코드만으로는 알 수 없습니다.
2. 동적 분석 (실제 실행): 해커가 진짜 기계에서 실행해 보려고 해도, 기계의 반응이 매번 조금씩 다르게 나올 수 있어 (비결정적) 정확한 패턴을 찾기 어렵습니다.
3. 시간과 비용: 이 모든 과정을 분석하려면 엄청난 시간과 비용이 듭니다. 결국 "이걸 뚫는 데 드는 비용이, 새 기계를 만드는 비용보다 훨씬 비싸다"는 결론에 도달하게 되어 해커는 포기하게 됩니다.

5. 요약: 이 기술이 왜 특별한가요?

• 안전성 (Safety): 소프트웨어가 도난당해 다른 기계에서 실행되더라도, 절대 위험한 사고를 일으키지 않습니다. (이게 가장 큰 혁신입니다.)
• 보안성 (Security): 소프트웨어를 복사해도 제대로 작동하지 않아, 역공학적 분석이 매우 어렵고 비쌉니다.
• 실용성: 공장 로봇, 신호등, 산업용 제어 시스템처럼 "실수가 치명적인" 분야에서 쓸 수 있습니다.

한 줄 요약:

"이 기술은 소프트웨어를 기계의 '고유 지문'에 잠금장치를 걸고, 도둑이 그걸 다른 기계에 끼워도 '안전하게 망가뜨리는' 시스템을 만들어, 산업 스파이들이 소프트웨어를 훔치는 것을 경제적으로 불가능하게 만듭니다."

기술 요약

논문 요약: 심볼릭 실행을 지원하는 안전하고 안전한 소프트웨어 보호 접근법

1. 문제 정의 (Problem)

• 산업용 소프트웨어 도난 및 리버스 엔지니어링: 산업용 제어 소프트웨어의 지적 재산권 (IP) 도난은 심각한 문제로, 독일만 해도 연간 약 64 억 유로의 손실이 발생하고 있습니다. 하드웨어 복제는 어렵지만, 소프트웨어는 리버스 엔지니어링 없이도 원본 그대로 복사 (verbatim copy) 가 가능하여 IP 유출의 주요 원인이 됩니다.
• 기존 보호 방식의 한계: 기존 하드웨어 - 소프트웨어 바인딩 (Hardware-Software Binding) 기술 (예: PUF 기반) 은 PUF 응답이 예상과 다를 경우 소프트웨어가 비정상적으로 동작하거나 충돌 (crash) 할 수 있어, 산업용 제어 시스템과 같은 안전이 필수적인 환경에서는 적용하기 어렵습니다.
• 목표: 소프트웨어가 특정 하드웨어에서만 정상 작동하도록 바인딩하되, 다른 하드웨어 (복제본 포함) 에서 실행될 때는 **안전성 (Safety)**을 유지하면서 비정상적인 동작을 하도록 하여 리버스 엔지니어링을 경제적으로 불가능하게 만드는 보호 체계 필요.

2. 방법론 (Methodology)

이 논문은 **물리적으로 복제 불가능한 함수 (PUF, Physically Unclonable Functions)**와 **심볼릭 실행 (Symbolic Execution)**을 결합한 새로운 보호 메커니즘을 제안합니다.

• 핵심 개념:

  • PUF 기반 바인딩: 각 하드웨어의 고유한 물리적 특성 (제조 공정의 미세한 차이) 을 기반으로 한 PUF 응답을 사용하여 소프트웨어의 제어 흐름을 특정 하드웨어에 바인딩합니다.
  • 안전성 보장 (Safe-by-Design): 소프트웨어가 잘못된 하드웨어에서 실행되거나 PUF 응답 오류가 발생하더라도 시스템이 안전하지 않은 상태 (예: 산업용 로봇의 충돌, 교통 신호등의 충돌) 로 전이되지 않도록 설계합니다.
  • 제어 상태 ASM (Abstract State Machines): 대상 알고리즘을 제어 상태 FSM(유한 상태 기계) 으로 모델링하는 ASM 을 사용하여 보호 메커니즘을 형식적으로 명세화합니다.

• 보호 메커니즘의 작동 원리:

  1. PUF 쿼리: 프로그램 실행 중 특정 제어 상태 (Control State) 에서 PUF 에 도전 (Challenge) 을 보냅니다.
  2. 다음 상태 결정:
     • 정확한 하드웨어: PUF 가 예상된 응답을 반환하면, 원래 설계된 대로 다음 제어 상태로 정상 전이합니다.
     • 잘못된 하드웨어 (또는 오류): PUF 응답이 예상과 다르면, 프로그램은 임의의 다음 상태로 전이하되, 심볼릭 실행을 통해 사전에 계산된 '안전한 상태 집합 (safePhases)' 내에서만 선택합니다.
  3. 심볼릭 실행을 통한 안전성 검증:
     • 프로그램의 모든 가능한 실행 경로를 심볼릭 값 (기호) 으로 분석합니다.
     • 어떤 상태 전이가 안전 제약 조건 (Safety Constraints, 예: "두 신호등이 동시에 녹색이 되지 않음") 을 위반하는지 식별합니다.
     • 위반하는 상태는 '안전하지 않은 상태'로 분류하고, 보호된 프로그램은 해당 상태로 전이하는 것을 방지합니다.

• 구체적 절차 (7 단계):

  1. PUF 의 도전 - 응답 쌍을 제어 상태 전이 (Control State Transitions) 에 매핑합니다.
  2. 각 제어 상태 규칙에서 ctlState := j와 같은 전이를 ChooseCtlState 서브룰로 대체합니다.
  3. ChooseCtlState 는 PUF 응답이 '안전한 상태 집합'에 속하면 해당 상태로, 아니면 안전한 상태 집합 내에서 무작위로 선택하여 전이합니다.
  4. 심볼릭 실행을 통해 초기 상태의 심볼릭 값을 할당하고 모든 경로를 분석합니다.
  5. 안전 제약 조건 ($\Psi$) 을 위반하는 경로 조건을 도출하여 '안전하지 않은 상태'를 식별합니다.
  6. 식별된 안전한 상태 집합을 기반으로 보호된 프로그램을 생성합니다.

3. 주요 기여 (Key Contributions)

• 안전성을 유지하는 복사 방지 (Safe Copy-Protection): 기존 방식이 PUF 오류 시 시스템 충돌을 유발할 수 있었던 반면, 이 방법은 심볼릭 실행을 통해 안전성 제약 조건을 항상 만족하는 상태만 허용함으로써, 보호가 해제되거나 하드웨어가 잘못되어도 시스템이 안전하게 동작하도록 보장합니다.
• 리버스 엔지니어링 저항성:
  • 잘못된 하드웨어에서 실행 시 프로그램은 비결정적 (Non-deterministic) 이면서도 안전하지 않은 동작을 하지 않습니다.
  • 공격자가 바이너리를 분석하더라도 PUF 의 고유한 응답 값을 알 수 없으며, 제어 흐름을 복원하려면 복잡한 논리적 분석이 필요하여 비용 대비 효과가 떨어집니다.
• 형식적 검증 기반 접근: 제어 상태 ASM 과 심볼릭 실행을 활용하여 보호 메커니즘이 안전성을 보존함을 수학적으로 증명 가능한 형태로 제시했습니다.

4. 결과 및 평가 (Results & Evaluation)

• 시나리오: 일방향 신호등 제어 알고리즘을 예시로 적용했습니다.
  • 정상 하드웨어: 신호등이 정해진 순서대로 정상 작동.
  • 복제 하드웨어: 신호등이 무작위 순서로 변경되지만, "두 방향이 동시에 녹색"이 되는 치명적인 사고 상태는 절대 발생하지 않음.
• 보안성 평가 (Threat Model):
  • 정적 분석 (Static Analysis): 바이너리 역컴파일 및 분석을 하더라도 PUF 의 특정 도전 - 응답 값을 알 수 없으며, 복잡한 제어 로직을 재구현하는 것은 시간과 비용이 너무 많이 들어 비효율적입니다.
  • 동적 분석 (Dynamic Analysis): 공격자가 정당한 하드웨어에서 프로그램을 실행하여 흐름을 추적할 수는 있으나, PUF 응답의 비결정성 (잘못된 하드웨어 시) 이나 PUF 쿼리 타이밍 (예: DRAM 기반 PUF 의 Rowhammer 효과) 을 방해하는 요소들로 인해 완전한 복제는 어렵습니다.
• 결론: 제안된 방법은 안전성을 해치지 않으면서 리버스 엔지니어링을 극도로 어렵고 비경제적으로 만듭니다.

5. 의의 및 향후 과제 (Significance & Future Work)

• 의의: 산업용 제어 소프트웨어의 IP 보호와 안전성 (Safety) 요구사항을 동시에 충족하는 최초의 체계적인 접근법 중 하나로 평가됩니다. 하드웨어 바인딩 기술이 안전 시스템에 적용될 때 발생할 수 있는 치명적 오류를 방지하는 새로운 패러다임을 제시합니다.
• 한계 및 향후 계획:
  • 현재는 제어 상태와 안전 제약 조건을 수동으로 식별하고 형식 명세화해야 함.
  • 심볼릭 실행 결과로 생성된 복잡한 논리 식의 평가가 실시간 제어 시스템의 응답 시간에 영향을 줄 수 있음 (SMT 솔버 등을 통한 최적화 필요).
  • 향후 DEPS 프로젝트 내에서 산업용 사례 연구 (Case Study) 를 수행하고, 제어 상태 자동 식별 및 보호 메커니즘 자동화 도구를 개발할 계획입니다.

---

요약하자면, 이 논문은 PUF를 이용해 소프트웨어를 하드웨어에 바인딩하되, 심볼릭 실행 기술을 통해 잘못된 환경에서도 시스템이 안전하게 (Safe) 동작하도록 보장하는 혁신적인 소프트웨어 보호 기술을 제안합니다. 이는 산업용 소프트웨어의 지적 재산권 보호와 안전성 확보라는 두 마리 토끼를 잡는 중요한 기술적 진전입니다.