(연관된 글이 4개 있습니다.)
(시리즈 글이 8개 있습니다.)

.NET Framework: 439. .NET CLR4 보안 모델 - 1. "Security Level 2"란?
; https://www.sysnet.pe.kr/2/0/1680

.NET Framework: 440. .NET CLR4 보안 모델 - 2. 샌드박스(Sandbox)을 이용한 보안
; https://www.sysnet.pe.kr/2/0/1681

.NET Framework: 441. .NET CLR4 보안 모델 - 3. CLR4 보안 모델에서의 APTCA 역할
; https://www.sysnet.pe.kr/2/0/1682

오류 유형: 228. CLR4 보안 - yield 구문 내에서 SecurityCritical 메서드 사용 불가
; https://www.sysnet.pe.kr/2/0/1683

.NET Framework: 514. .NET CLR2 보안 모델에서의 APTCA 역할 (2)
; https://www.sysnet.pe.kr/2/0/10804

.NET Framework: 573. .NET CLR4 보안 모델 - 4. CLR4 보안 모델에서의 조건부 APTCA 역할
; https://www.sysnet.pe.kr/2/0/10947

.NET Framework: 605. CLR4 보안 - yield 구문 내에서 SecurityCritical 메서드 사용 불가 - 2번째 이야기
; https://www.sysnet.pe.kr/2/0/11041

닷넷: 2219. .NET CLR2 보안 모델에서의 개별 System.Security.Permissions 제어
; https://www.sysnet.pe.kr/2/0/13565

.NET CLR4 보안 모델 - 1. "Security Level 2"란?

.NET 3.5 SP1부터 이미 네트워크 공유로부터 실행되는 응용 프로그램의 권한이 Full Trust로 바뀌면서 사실 대부분의 닷넷 프로그래머들은 이로 인해 그동안 겪었던 숱한 보안 오류를 피할 수 있었습니다.

하지만, 마이크로소프트는 .NET 4부터 기존의 보안 모델을 업그레이드하는 작업을 합니다. (CAS가 없어진 것이 아니라 업그레이드입니다. 내부적으로 CAS는 여전히 살아 있습니다.) 이름하여 "Security Level 2" 모델입니다.

What's New in Code Access Security in .NET Framework 4.0 - Part I
; https://www.simple-talk.com/dotnet/.net-framework/whats-new-in-code-access-security-in-.net-framework-4.0---part-i/

What's New in Code Access Security in .NET Framework 4.0 - Part 2
; https://www.simple-talk.com/dotnet/.net-framework/whats-new-in-code-access-security-in-.net-framework-4.0---part-2/

"Security Level 2" 모델의 동작 방식은 굉장히 간단합니다. 코드는 SecurityTransparent, SecuritySafeCritical, SecurityCritical 이렇게 딱 3가지로 부류로만 나뉘고 그 사이에는 다음과 같은 호출 규칙이 있습니다.

SecurityTransparent 코드는 SecurityCritical을 제외하고 호출 가능
SecuritySafeCritical, SecurityCritical 코드는 모든 부류의 코드를 호출 가능

이를 간단히 정리하면 다음과 같은 한 가지 제약을 발견할 수 있습니다.

[출처: What's New in Code Access Security in .NET Framework 4.0 - Part I]

즉, SecurityCritical로 분류된 코드는 SecurityTransparent 측에서 호출하려면 반드시 그 중간에 SecuritySafeCritical에 해당하는 코드를 마련해 줘야 합니다.

원칙은 간단하지만, 이게 어떻게 보안과 관계있는지 감이 안 오는데요. 대략 어떤 것인지 테스트를 통해 체험해 보는 것이 좋겠지요. ^^

우선 라이브러리 프로젝트를 하나 만들고,

using System;

public class Class1
{
    public void DoMethod()
    {
        Console.WriteLine("DoMethod called!");
    }
}

이를 사용하는 콘솔 프로젝트를 만듭니다. (물론 모두 .NET 4.0 대상으로 합니다.)

class Program
{
    static void Main(string[] args)
    {
        Class1 cl = new Class1();
        cl.DoMethod();
    }
}

실행하면 당연히 잘 되겠지요. ^^

자, 이제 현실적인 문제 상황을 가정합니다. 여러분이 만든 프로그램이 있고, 그 프로그램에 누구든지 만들 수 있는 Plug-in을 로드해서 사용하는 기능이 있다고 가정해 보겠습니다. .NET 2.0 시절에는 이런 상황에서 보안이 축소된 별도의 AppDomain을 만들고 그 안에서 plug-in을 로드해야 했습니다. 그런데, 이렇게 구현하다 보면 사실 문제가 많습니다. AppDomain간의 호출이므로 MarshalByRefObject 상속도 처리해야 하고 개별 개체의 Serialize 문제도 고려해야 합니다.

그런데, .NET 4.0부터는 이를 아주 간단하게 해결할 수 있습니다.

AppDomain 생성 과정없이 단지 plug-in을 로드하는 코드를 별도의 DLL에 만들고 그것에 SecurityTransparent 특성을 부여하기만 하면 됩니다. 실제로 어떻게 동작하는지 한번 테스트 해볼까요? 이를 위해 다음과 같이 3개의 프로젝트를 만들고,

HostApp (콘솔 프로젝트: 우리가 만드는 응용 프로그램)
LoadLib (라이브러리 프로젝트: 3rd-party 라이브러리를 로드해서 그 기능을 호출하는 클래스를 정의)
UntrustedLib (라이브러리 프로젝트: 3rd-party에서 제작한 라이브러리라고 가정)

HostApp의 소스 코드는 이렇게,

class Program
{
    static void Main(string[] args)
    {
        LoadManager lm = new LoadManager();
        lm.DoFunc();
    }
}

LoadLib는 이렇게,

using UntrustedLib;
using System.Security;

[assembly: SecurityTransparent]

public class LoadManager
{
    public void DoFunc()
    {
        PlugInExtension plugin = new PlugInExtension();
        plugin.NormalMethod();
    }
}

마지막으로 UntrustedLib 코드는 이렇게 합니다.

using System;
using System.IO;
using System.Security;

namespace UntrustedLib
{
    public class PlugInExtension
    {
        public void NormalMethod()
        {
            Console.WriteLine("NormalMethod");
        }
    }
}

물론, 현실적으로 보면 LoadLib 어셈블리가 UntrustedLib 어셈블리를 동적으로 Assembly.Load를 이용하는 것이 보통이겠지만 여기서는 (어차피 결과는 같으므로) 테스트를 간단히 하기 위해 직접 참조해서 사용하겠습니다.

위와 같이 구성하고 실행하면 다음과 같은 예외가 발생합니다.

Unhandled Exception: System.MethodAccessException: Attempt by security transparent method 'LoadManager.DoFunc()' to access security critical method 'UntrustedLib.PlugInExtension..ctor()' failed.
   at LoadManager.DoFunc() in d:\...\LoadLib\LoadManager.cs:line 9
   at Program.Main(String[] args) in d:\...\HostApp\Program.cs:line 7

오류 메시지의 의미는, DoFunc 메서드는 (그것이 정의된 어셈블리에 [assembly: SecurityTransparent] 특성을 정의했으므로) SecurityTransparent에 속하지만, 그 내부에서 사용하는 PlugInExtension은 SecurityCritical에 속하므로 호출할 수 없다는 것입니다.

PlugInExtension 타입이 정의된 UntrustedLib에는 [assembly: SecurityTransparent]를 설정하지 않았으므로 기본적으로 모든 타입의 코드가 SecurityCritical 부류에 속합니다.

이 문제를 해결하려면 어떻게 해야 할까요? PlugInExtension 타입에 SecuritySafeCritical을 적용하면 될까요?

using System;
using System.IO;
using System.Security;

namespace UntrustedLib
{
    [SecuritySafeCritical]
    public class PlugInExtension
    {
        [SecuritySafeCritical]
        public void NormalMethod()
        {
            Console.WriteLine("NormalMethod");
        }
    }
}

상식적으로 생각해 봅시다. Host 프로그램 측에서 보안을 적용하기 위해 SecurityTransparent가 적용된 LoadLib 어셈블리를 경유해 UntrustedLib 어셈블리를 사용하는데, UntrustedLib 스스로 SecurityCritical을 호출할 수 있는 상태로 만드는 것이 허용된다면 이것은 절대 보안이라고 부를 수 없습니다.

이런 경우, .NET 4.0 CLR은 UntrustedLib 어셈블리 내부에 적용된 "Security Level 2"의 모든 속성을 무시하고 무조건 SecurityCritical로 여깁니다.

따라서, PlugInExtension 타입을 정상적으로 사용하려면 그것이 정의된 UntrustedLib 어셈블리도 "[assembly: SecurityTransparent]" 특성이 정의되어야 합니다. 그럼 UntrustedLib 어셈블리에 정의된 모든 타입은 SecurityTransparent에 속하게 됩니다. 이렇게 변경하고 빌드를 한 후 실행하면 이제 정상적으로 NormalMethod 메서드가 호출됩니다.

이 상태에서 PlugInExtension 타입에 다음의 메서드를 추가해 볼까요?

using System;
using System.IO;
using System.Reflection;
using System.Security;
using System.Text;

[assembly: SecurityTransparent]

namespace UntrustedLib
{
    public class PlugInExtension
    {
        // ... 생략: NormalMethod

        public void AccessCritical()
        {
            try
            {
                using (FileStream file = new FileStream(@".\test.dat", FileMode.Create, FileAccess.ReadWrite, FileShare.ReadWrite))
                {
                    Console.WriteLine(file.Handle.ToString());
                }
                
            }
            catch (Exception e)
            {
                Console.WriteLine(e.ToString());
            }
        }
    }
}

이전에 설명한대로 "[assembly: SecurityTransparent]" 특성이 적용되었으므로 PlugInExtension 타입 및 그 내부에 구현된 모든 메서드들은 SecurityTransparent 부류에 속하므로 AccessCritical 메서드 역시 SecurityTransparent에 속합니다. 그리고 그 내부에서 호출되는 코드를 보니 2개의 메서드가 있습니다.

FileStream 생성자
FileStream.Handle 공용 속성의 get 메서드

FileStream 생성자를 .NET Reflector나 Visual Studio 2013의 F12(Go To Definition) 기능을 이용해 들어가 보면 우리가 사용한 생성자 정의를 볼 수 있습니다.

[SecuritySafeCritical]
public FileStream(string path, FileMode mode, FileAccess access, FileShare share) : this(path, mode, access, share, 0x1000, FileOptions.None, Path.GetFileName(path), false)
{
}

그렇군요. 우리가 호출한 FileStream 생성자는 SecuritySafeCritical에 속하므로 SecurityTransparent의 AccessCritical 메서드에서 정상적으로 호출할 수 있었습니다.

그다음, FileStream.Handle의 get 메서드 정의를 볼까요?

public virtual IntPtr Handle
{
    [SecurityCritical, SecurityPermission(SecurityAction.InheritanceDemand, Flags=SecurityPermissionFlag.UnmanagedCode)]
    get { // ... }
}

오호... get_Handle 메서드는 SecurityTransparent측에서 호출이 불가능한 SecurityCritical에 속하는 군요. 그래서 이 상태에서 빌드하고 실행하면 Handle 속성을 접근하는 단계에서 보안 에러가 발생합니다.

System.MethodAccessException: Attempt by security transparent method 'UntrustedLib.PlugInExtension.AccessCritical()' to access security critical method 'System.IO.FileStream.get_Handle()' failed.
   at UntrustedLib.PlugInExtension.AccessCritical() in d:\...\UntrustedLib\PlugInExtension.cs:line 25

즉, UntrustedLib 어셈블리를 제공하는 3rd-party들은 plug-in 제작시 자신의 어셈블리에 "[assembly: SecurityTransparent]" 특성을 적용해야 하고, 이 때문에 그 스스로 내부에서 SecurityCritical에 속한, 보안에 민감한 메서드를 호출할 수 없는 것입니다.

결국, SecurityTransparent의 강제성으로 인해 그 이후로 호출되는 모든 어셈블리들이 보안에 위반하는 코드를 호출할 수 없다는 것이 보장됩니다.

(첨부된 파일은 위의 코드를 테스트한 프로젝트입니다.)

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]

[최초 등록일: 6/1/2014]
[최종 수정일: 2/15/2024]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
13127	정성태	9/22/2022	6884	Windows: 210. WSL에 systemd 도입
13126	정성태	9/15/2022	7494	.NET Framework: 2049. C# 11 - 정적 메서드에 대한 delegate 처리 시 cache 적용
13125	정성태	9/14/2022	7753	.NET Framework: 2048. C# 11 - 구조체 필드의 자동 초기화(auto-default structs)
13124	정성태	9/13/2022	7536	.NET Framework: 2047. Golang, Python, C#에서의 CRC32 사용
13123	정성태	9/8/2022	7888	.NET Framework: 2046. C# 11 - 멤버(속성/필드)에 지정할 수 있는 required 예약어 추가
13122	정성태	8/26/2022	7864	.NET Framework: 2045. C# 11 - 메서드 매개 변수에 대한 nameof 지원
13121	정성태	8/23/2022	5728	C/C++: 157. Golang - 구조체의 slice 필드를 Reflection을 이용해 변경하는 방법
13120	정성태	8/19/2022	7363	Windows: 209. Windows NT Service에서 UI를 다루는 방법 [3]
13119	정성태	8/18/2022	6937	.NET Framework: 2044. .NET Core/5+ 프로젝트에서 참조 DLL이 보관된 공통 디렉터리를 지정하는 방법
13118	정성태	8/18/2022	5708	.NET Framework: 2043. WPF Color의 기본 색 영역은 (sRGB가 아닌) scRGB [2]
13117	정성태	8/17/2022	7916	.NET Framework: 2042. C# 11 - 파일 범위 내에서 유효한 타입 정의 (File-local types)	1
13116	정성태	8/4/2022	8379	.NET Framework: 2041. C# - Socket.Close 시 Socket.Receive 메서드에서 예외가 발생하는 문제	1
13115	정성태	8/3/2022	8740	.NET Framework: 2040. C# - ValueTask와 Task의 성능 비교 [1]	1
13114	정성태	8/2/2022	8914	.NET Framework: 2039. C# - Task와 비교해 본 ValueTask 사용법	1
13113	정성태	7/31/2022	8226	.NET Framework: 2038. C# 11 - Span 타입에 대한 패턴 매칭 (Pattern matching on ReadOnlySpan<char>)
13112	정성태	7/30/2022	8600	.NET Framework: 2037. C# 11 - 목록 패턴(List patterns) [1]	1
13111	정성태	7/29/2022	8358	.NET Framework: 2036. C# 11 - IntPtr/UIntPtr과 nint/nuint의 통합	1
13110	정성태	7/27/2022	8414	.NET Framework: 2035. C# 11 - 새로운 연산자 ">>>" (Unsigned Right Shift)	1
13109	정성태	7/27/2022	9800	VS.NET IDE: 177. 비주얼 스튜디오 2022를 이용한 (소스 코드가 없는) 닷넷 모듈 디버깅 - "외부 원본(External Sources)" [1]
13108	정성태	7/26/2022	7749	Linux: 53. container에 실행 중인 Golang 프로세스를 디버깅하는 방법 [1]
13107	정성태	7/25/2022	6835	Linux: 52. Debian/Ubuntu 계열의 docker container에서 자주 설치하게 되는 명령어
13106	정성태	7/24/2022	6617	오류 유형: 819. 닷넷 6 프로젝트의 "Conditional compilation symbols" 기본값 오류
13105	정성태	7/23/2022	7929	.NET Framework: 2034. .NET Core/5+ 환경에서 (프로젝트가 아닌) C# 코드 파일을 입력으로 컴파일하는 방법 - 두 번째 이야기 [1]
13104	정성태	7/23/2022	11005	Linux: 51. WSL - init에서 systemd로 전환하는 방법
13103	정성태	7/22/2022	7497	오류 유형: 818. WSL - systemd-genie와 관련한 2가지(systemd-remount-fs.service, multipathd.socket) 에러
13102	정성태	7/19/2022	6960	.NET Framework: 2033. .NET Core/5+에서는 구할 수 없는 HttpRuntime.AppDomainAppId

AD BLOCK 해제 요청

.NET CLR4 보안 모델 - 1. "Security Level 2"란?