▶ 난이도중하
 
MIDP가 모바일 디바이스에 있어서 훌륭한 플랫폼인 이유는 MIDP가 제공하는 보안에서 기인한다. MIDP의 보안 모델은 본래 Java 프로그래밍 모델에서 유래한 것으로서, MIDlet 코드가 가상머신 상에서 작동하므로 바이너리 코드상에 존재하는 위험한 오류를 피할 수 있는 기능이 있다. 잘못 쓰여진 코드나 악의적인 목적으로 작성된 코드는 디바이스를 고장낼 위험이 있다. 이러한 최악의 경우에는 잘못 작성된 Java 코드가 실행중인 Java 환경을 중지시켜 디바이스의 나머지 부분은 피해를 입지 않도록 보호된다.
MIDP 2.0의 보안 지원은 JVM으로만 끝나는 것은 아니다. 여기서는 다른 종류의 MIDP 2.0 기능들이 어떻게 사용자와 디바이스를 악의적 소프트웨어로부터 보호하는지에 대해 설명한다. J2ME Wireless Toolkit 2.0(베타 2 이후 버전)을 사용해 MIDP 2.0 보안 아키텍처를 살펴본다.
 

MIDP 2.0 스펙은 허가/거부 방식으로 퍼미션(Permissions)을 관리한다. 네트워크 커넥션을 만드려면 MIDlet에 필요한 퍼미션이 허가돼야 한다.

 
예를 들어, MIDlet에서 HTTP 프로토콜을 통해 서버와 통신하고자 한다면 HTTP 커넥션에 대한 퍼미션이 열려야 한다. MIDP 2.0에 정의된 퍼미션은 네트워크 프로토콜에 대응되는 형태이지만, MIDP 아키텍처에서는 추가적인 API를 제공하고 있으므로 자신만의 퍼미션을 정의할 수도 있다.
각각의 퍼미션은 고유의 이름이 정해져 있다. MIDP 2.0의 퍼미션 목록은 다음과 같다.
 
* javax.microedition.io.Connector.http
* javax.microedition.io.Connector.socket
* javax.microedition.io.Connector.https
* javax.microedition.io.Connector.ssl
* javax.microedition.io.Connector.datagram
* javax.microedition.io.Connector.serversocket
* javax.microedition.io.Connector.datagramreceiver
* javax.microedition.io.Connector.comm
* javax.microedition.io.PushRegistry
 
퍼미션명과 클래스명이 비슷해보이지만 실제로는 서로 다르다. 한 예로 javax.microedtion.io.Connector.https 퍼미션은 javax.microedtion.io.Connector 클래스를 사용해 HTTP 커넥션을 만드는 것을 관리한다.
MIDlet은 코드 형태가 아닌, 보호 도메인(Protection Domain)을 통해 퍼미션을 획득한다. 그러나 먼저 코드 보안에 대해 설명하기에 앞서 간단한 코드를 살펴보기로 하자.
다음의 간단한 MIDlet(이 글의 소스코드는 http://wireless. java.sun.com/midp/articles/permissions/src/HTTPMIDlet.zip에서 다운받을 수 있다.)은 HTTP 커넥션을 생성하고 서버 응답의 일부를 얻는다.
 
import java.io.*;
import javax.microedition.io.*;
import javax.microedition.lcdui.*;
import javax.microedition.midlet.*;
public class HTTPMIDlet
extends MIDlet
implements CommandListener, Runnable {
private Display mDisplay;
private Form mMainScreen;

public HTTPMIDlet() {
mMainScreen = new Form(“HTTPMIDlet”);
mMainScreen.append(
“Press OK to create an HTTP connection.”);

Command exitCommand =
new Command(“Exit”, Command.EXIT, 0);
Command okCommand =
new Command(“OK”, Command.OK, 0);
mMainScreen.addCommand(exitCommand);
mMainScreen.addCommand(okCommand);
mMainScreen.setCommandListener(this);
}

public void startApp() {
if (mDisplay == null)
mDisplay = Display.getDisplay(this);
mDisplay.setCurrent(mMainScreen);
}

public void pauseApp() {
}

public void destroyApp(boolean unconditional) {}

// CommandListener 메쏘드

public void commandAction(Command c, Displayable s) {
if (c.getCommandType() == Command.EXIT)
notifyDestroyed();
else if (c.getCommandType() == Command.BACK)
mDisplay.setCurrent(mMainScreen);
else if (c.getCommandType() == Command.OK) {
// 대기 메시지 출력
Form waitForm = new Form(“Connecting...”);
mDisplay.setCurrent(waitForm);
// 접속 시도
Thread t = new Thread(this);
t.start();
}
}

// Runnable 메쏘드

public void run() { String url = “http://wireless.java.sun.com/”;

Form resultsForm = new Form(“Results”);
Command backCommand =
new Command(“Back”, Command.BACK, 0);
resultsForm.addCommand(backCommand);
resultsForm.setCommandListener(this);

HttpConnection hc = null;
InputStream in = null;

try {
// 서버에 접속한다
hc = (HttpConnection)Connector.open(url);

// 응답을 받아온다
in = hc.openInputStream();

int length = 256;
byte[] raw = new byte[length];
int readLength = in.read(raw);

String message = new String(raw, 0, readLength);
resultsForm.append(message);
}
catch (Exception e) {
resultsForm.append(
new StringItem(“Exception: “, e.toString()));
}
finally {
if (in != null) {
try { in.close(); }
catch (IOException ioe) {}
}
if (hc != null) {
try { hc.close(); }
catch (IOException ioe) {}
}
}
mDisplay.setCurrent(resultsForm);
}
}
 

HTTPMIDlet의 run() 메쏘드는 서버에 접속해 필요한 데이터를 얻은 뒤, 이를 화면에 출력하는 형태로 구성돼 있다. 지금은 보안 도메인에 대해서 생각하지 말고 프로그램을 빌드한 뒤 HTTPMIDlet을 실행시켜보자. OK 명령을 선택해 프로그램이 접속을 시도하면, HTTPMIDlet은 Connector.open( ) 메쏘드를 호출한다. 만약 J2ME Wireless Toolkit(http://java.sun.com/products/j2mewtoolkit)을 사용하고 있다면 에뮬레이터가 퍼미션을 선택할 것을 요구한다(그림 1).
이 시점에서 해당 접속에 대한 퍼미션을 허가하거나 거부할 수 있다. 퍼미션을 영구적으로 허가하거나 거부할 수도 있다. 그러나 영구적 허가는 뒤에 설명할 MIDlet 슈트 설치에서만 의미가 있다. 만약 접속을 허가하면 애플리케이션이 정상적으로 작동된다. MIDlet은 HTTP 커넥션을 통해 얻은 데이터를 출력한다(그림 2).
반면 뭔가 좋지 않은 기분이 들어 커넥션을 거부한다면 Connector. open( )은 SecurityException을 던지게 된다. HTTPMIDlet은 이 예외를 잡아 예외에 대한 설명 메시지를 출력한다. MIDlet은 네트워크 접속으로부터 발생하는 모든 종류의 SecurityException을 잡아서 처리토록 해야 한다(그림 3).
에뮬레이터는 HTTP 커넥션이 성립될 때 사용자에게 퍼미션 허가를 요구해야 한다는 사실을 어떻게 아는가? 왜 퍼미션이 자동적으로 허가되거나 거부되지 않는가? 이는 HTTPMIDlet을 담고 있는 보호 도메인과 관련돼 있다.
 
보호 도메인은 다음과 같은 두 부분으로 구성된다.
 
- 허가된 퍼미션(MIDlet 슈트 내부에 부여됨)과 사용자에게 물어봐야 하는 퍼미션
- 보호 도메인 허가에 대한 기준
 
J2ME Wireless Toolkit의 ‘Run’ 버튼을 누르면, 현재 MIDlet 슈트는 Untrusted라는 보호 도메인 내에서 실행된다. 이 도메인 안에서 사용자에게 모든 퍼미션을 물어야 한다. HTTPMIDlet이 HTTP 커넥션을 얻고자 시도할 때 에뮬레이터가 퍼미션 허가 여부를 물어본 이유가 바로 이것이다.
MIDlet 슈트의 실행시간 보호 도메인은 Edit>Preferences를 선택한 뒤 Security 탭을 통해 변경할 수 있다(그림 4).
J2ME Wireless Toolkit에는 네 개의 보안 도메인이 있다. Minimum과 Untrusted, Trusted, Maximum 도메인이 그것들이다. Minimum 도메인 내의 MIDlet은 모든 퍼미션을 거부한다. Untrusted 도메인은 모든 퍼미션에 대해 허가 여부를 물어본다. Trusted 도메인은 MIDlet 보안의 열반상태로 표현되며, 모든 퍼미션이 허락된다. Maximum 도메인은 Trusted 도메인과 동일하다.
Minimum 도메인을 선택하고 HTTPMIDlet을 다시 실행해보자. 이제 OK 버튼을 선택해 접속을 시도하면 즉시 퍼미션이 거부되며, HTTPMIDlet은 SecurityException을 보여준다.
J2ME Wireless Toolkit의 보안 도메인은 보안 도메인을 구현하는 한 가지 방법일 뿐이다. 제조업자와 통신업자, 다른 MIDP 구현자들은 각자의 목적에 맞는 도메인을 직접 만들 수 있다.
 
보호 도메인은 allowed 퍼미션과 user 퍼미션을 갖는다. user 퍼미션을 선택하면 사용자에게 퍼미션 허가 여부를 묻는다. user 퍼미션은 세 가지 형태의 변형(스펙에는 이를 ‘상호작용 모드’라고 지칭하고 있다.)이 있다. MIDlet이 퍼미션을 요구하는 최초의 시점에서, 구현에 따라 사용자에게 퍼미션의 허가 또는 거부를 묻는다. 세 가지 형태의 모드는 구현에 있어서 사용자가 선택한 퍼미션 허가 여부를 얼마나 기억하고 있어야 하는지를 나타낸다.
oneshot 퍼미션의 경우, MIDP 구현은 사용자 선택을 전혀 기억하지 않으며, 퍼미션 허가가 필요할 때마다 매번 사용자에게 허가 여부를 묻는다. session 퍼미션의 경우, 구현은 MIDlet 종료시까지 사용자의 선택을 기억한다. 끝으로 blanket 퍼미션에서는 사용자의 선택이 MIDlet 슈트의 언인스톨 시점까지 계속적으로 유효하다.
보호 도메인은 사용자가 명시적으로 허가하지 않은 권한에 대해서는 반드시 거부해야 한다. 예를 들어 HTTPOnly 보호 도메인이 다음과 같은 단일 퍼미션만을 포함하고 있다고 하자.

allow: javax.microedition.io.Connector.http

이 도메인은 명시된 퍼미션 이외에 대해서는 모두 거부한다. 퍼미션을 좀더 느슨하게 정의하고 싶다면, 다른 종류의 퍼미션에 대해서는 사용자가 선택하도록 다음과 같이 지정할 수 있다.

allow: javax.microedition.io.Connector.http
blanket: javax.microedition.io.Connector.https
blanket: javax.microedition.io.Connector.socket


이 경우, HTTP와 소켓 접속에 대해서는 사용자가 퍼미션 허가 여부를 결정해야 한다.
보호 도메인의 정의와 설정은 MIDP 구현의 영역임을 기억하자. 애플리케이션 개발자로서 MIDP 2.0 스펙에 의해 정의된 보안 아키텍처에서 효과적으로 작업하는 것은 개발자의 몫이다.
 
JAD 내의 특별한 속성은 MIDlet 슈트가 특정 퍼미션에서의 의존성을 표시하는 데 사용된다. 이 속성들을 사용해 ‘이 MIDlet 슈트는 HTTP 접속을 필요로 하며, 소켓 접속을 필요로 할 수도 있다’고 명시할 수 있다. 이 경우에는 디스크립터 내의 속성을 다음과 같이 작성할 수 있다.

MIDlet-Permissions: javax.microedition.io.Connector.http
MIDlet-Permissions-opt: javax.microedition.io.Connector.socket


다행히도 이 속성들을 수작업으로 추가할 필요는 없다. J2ME Wireless Toolkit 2.0은 속성을 쉽게 추가할 수 있도록 도와준다. 즉 Settings...을 클릭한 뒤에 Permissions 탭을 선택한다. 그런 다음 필요한 퍼미션과 선택적 퍼미션들을 추가한다. 툴킷은 이 퍼미션들을 MIDlet 슈트 JAD 내에 자동으로 추가한다.
필요한 퍼미션과 선택적 퍼미션을 JAD에 넣을 때 얻을 수 있는 이점은 무엇인가? JAD는 MIDlet 슈트가 특정 동작을 시도할 것을 인스톨 시점에서 디바이스에게 알릴 수 있는 편리한 기능을 갖고 있다. 만약 디바이스가 MIDlet 슈트가 요청하는 몇 개의 퍼미션을 허가하지 않는 보호 도메인 내에 MIDlet을 인스톨하려고 하면 인스톨에 실패한다. 이러한 메커니즘이 없다면 사용자는 MIDlet 슈트를 설치한 뒤에야 해당 MIDlet 슈트가 정상적으로 동작하지 않음을 알게 된다.
 

지금부터 보호 도메인의 측면은 어떻게 MIDlet 슈트가 도메인 내에 진입하는지에 대한 설명이다.
다운받은 코드는 상당히 위험하다. 특히 코드 작성자를 모르거나 코드가 어디에서 온 것인지를 모른다면 더욱 그렇다. 비록 가상머신 상에서 실행중인 MIDlet이 바이너리 코드보다는 안전하기는 하지만, 여전히 위험은 존재한다. 다운받은 MIDlet은 인가되지 않은 네트워크 커넥션을 만들 수 있으며, 이 커넥션들은 사용자 메모리를 사용한다. 악의적인 MIDlet은 사용자 정보를 수집하고, 이를 서버에 전송해 악의적인 목적으로 사용할 수 있다. MIDP 디바이스는 사용자에게 게임과 애플리케이션과 같은 다양한 선택 사항을 제공하는 유연성을 제공하지만, 이 유연성으로 인해 출처와 의도가 의심스러운 코드를 실행할 위험에 빠지게 만들기도 한다.

사용자가 다운받은 MIDlet을 실행하는 데 있어서 좀더 안전하게끔 보호 도메인을 설정할 수 있다. MIDP 스펙에는 어떻게 보호 도메인이 규정되는지에 대해서는 매우 모호하게 정의되어 있다. 많은 부분이 구현자의 자유재량에 맡긴다. 이러한 영역에는 보호 도메인의 개수와 보호 도메인에 대한 정의 같은 부분이 포함된다. 그러나 스펙에서는 암호화된 서명과 인증서에 기반한 보호 도메인 개념을 제시하고 있다. 이 개념은 통신업자나 소프트웨어 개발자가 싸이닝 키 조합을 생성하고 인정받은 인증기관으로부터 인증서를 획득하도록 하는 것이다. 통신업자나 개발자는 MIDlet 슈트 JAR의 서명을 계산하고, 서명과 인증을 애플리케이션 디스크립터에 저장한다.

싸인된 MIDlet 슈트는 사용자에게 MIDlet 슈트가 변경되지 않았으며 식별 가능한(따라서 법적 의무를 지는) 원천으로부터 온 것임을 증명한다. 디바이스 상의 MIDP 구현은 디스크립터의 서명을 검사함으로써 사용자의 신원을 검증한다. 개발자의 공개키를 사용하면 MIDP 슈트 자체의 무결성을 검증할 수 있다.

J2ME Wireless Toolkit 2.0 버전에는 키와 MIDlet 슈트의 싸이닝을 편리하게 관리해주는 툴이 포함되어 있다. 예를 들어 HTTPMIDlet 프로젝트를 서명하는 경우를 가정해보자. Project>Package>Create Package를 통해 MIDlet 슈트를 패키징한 뒤, Project>Sign을 사용해 싸이닝할 수 있다(그림 5).

이 윈도우에는 툴킷에게 알려진 모든 싸이닝 키 조합이 나타난다. Java keystore에 생성해둔 키 조합을 사용해 MIDlet 슈트를 싸인하고 싶다면, J2ME Wireless Toolkit의 Import Key Pair를 사용해 키 조합을 가져오면 된다.
싸이닝에 사용할 새로운 키 조합을 생성하고 싶은 경우에는 New Key Pair를 클릭한다. 키명(key alias), 도메인명(domain name), 회사명(company name)을 적절한 값으로 채운다(그림 6).

툴킷은 새로운 키 조합을 생성하고 이를 사용 가능한 싸이닝 키 조합 목록에 표시한다. 이 시점에서 툴킷은 해당 키 조합을 어떤 보호 도메인과 연관시킬 것인가를 묻는다. 에뮬레이터는 이때 선택한 보호 도메인 내에 MIDlet을 설치하게 된다. 이 예에서는 Trusted를 선택한다(그림 7).

키 조합을 생성하고 보호 도메인을 선택했으면, MIDlet 슈트를 싸이닝하는 방법은 매우 간단하다. 사용할 키 조합의 명칭을 선택하고 Sign MIDlet Suite를 클릭한다. 만약 File>Utilities를 통해 Sign MIDlet Suite 윈도우를 띄웠다면, 툴킷은 싸인할 MIDlet 슈트의 디스크립터 위치를 물을 것이다. 만약 HTTPMIDlet 프로젝트를 사용하는 경우라면 디스크립터는 J2ME Wireless Toolkit 디렉토리 내의 apps/HTTPMIDlet/bin/HTTPMIDlet.jad가 될 것이다. Project>Sign을 KToolbar 메뉴로부터 선택했다면, 툴킷은 현재 활성화된 프로젝터의 디스크립터를 사용한다.
MIDlet 슈트의 싸이닝이 끝나면 툴킷이 이를 알리는 메시지를 띄운다. 만약 싸이닝 여부를 확인하고 싶다면 디스크립터를 텍스트 편집기로 열어본다. 두 개의 새로운 속성인 MIDlet-Certificate-1-1과 MIDlet-Jar-RSA-SHA1가 추가되어 있을 것이다. 이 두 속성은 모두 바이너리 데이터를 텍스트로 인코딩하는 데 사용되는 base64 형태로 저장된다.
싸인된 MIDlet 슈트를 생성한 뒤에는 무엇을 해야 할까? J2ME Wireless Toolkit을 사용해, MIDlet 슈트를 에뮬레이터에 설치하고 올바른 보호 도메인 상에서 작동되는지를 확인해본다. 모든 MIDP 구현(툴킷 에뮬레이터 포함)에는 MIDlet과 MIDlet 슈트를 관리하는 애플리케이션 관리 소프트웨어(AMS. Application Management Software)가 포함되어 있다. MIDlet 슈트의 인스톨과 실행, MIDlet 실행 종료 후의 정리는 모두 AMS가 관리한다(혹시 MIDlet 내의 startApp()를 누가 호출하는지에 대해 궁금한 적이 있는가? 바로 AMS가 호출한다.).
툴킷 에뮬레이터에는 OTA(Over The Air) 프로비저닝을 처리할 수 있는 AMS가 포함되어 있다. 에뮬레이터의 AMS가 MIDlet 슈트 디스크립터에 대한 링크를 포함하고 있는 웹 페이지를 가리키도록 하자. 그러면 AMS는 MIDP 스펙에 정의되어 있는 OTA 프로토콜을 사용해 MIDlet 슈트를 다운받은 후 설치한다.
다행히도 이 기능을 사용하기 위해 직접 서버를 셋업할 필요는 없다. J2ME Wireless Toolkit 2.0(베타 2 또는 그 이상의 버전)에는 OTA 서버 에뮬레이션이 포함되어 있어 싸인된 MIDlet 슈트의 OTA 설치를 쉽게 테스트해볼 수 있다.

MIDlet 슈트를 패키징 및 싸이닝 했다고 가정하고 Project>Run via OTA를 KToolbar 메뉴로부터 선택한다. 에뮬레이터가 나타나고 AMS 로고 화면이 나타난다(그림 8).
Apps를 선택해 설치된 MIDlet 슈트의 목록을 표시한다(그림 9).
싸이닝을 마친 MIDlet 슈트를 설치하기 위해 Install Application을 선택하고 select 버튼을 클릭한다. AMS는 URL을 요청한다. 그러나 로컬 OTA 서버의 주소가 자동으로 입력될 것이다(그림 10).
이제 Go 명령을 선택한다. AMS는 툴킷의 OTA 서버에 접속하고, 설치할 MIDlet 슈트를 선택할 것을 요청한다(그림 11). 하나의 애플리케이션만 나타날 것이다.
Install을 선택해 설치를 시작한다. AMS는 MIDlet 슈트에 대한 몇 가지 기본 정보를 보여주고 계속 설치할지 여부를 묻는다(그림 12).

Install을 다시 한번 선택하면, AMS는 MIDlet 슈트를 설치하고 이를 실행가능한 MIDlet 슈트 목록에 추가한다. HTTPMIDlet 예를 실행하면, 에뮬레이터가 퍼미션을 묻지 않고도 HTTP 커넥션이 연결됨을 확인할 수 있다. 어떻게 이런 일이 가능한가? 이는 키 조합을 생성할 때, 해당 키 조합을 Trusted 보호 도메인과 연관시켜 두었기 때문이다. 에뮬레이터는 Run via OTA를 사용할 때 MIDlet 슈트를 Trusted 도메인 내에 설치했다. 따라서 HTTPMIDlet이 HTTP 커넥션을 시도할 때, Trusted 보호 도메인으로부터 퍼미션을 얻을 수 있는 것이다.
 
 
지금까지 MIDP 디바이스 상의 보안 아키텍처에 대한 의미와 MIDP 2.0에서 보호하고 있는 네트워크 동작에 대해 살펴보았다. J2ME Wireless Toolkit은 MIDlet이 필요로 하는 퍼미션을 쉽게 선택할 수 있도록 도와준다. MIDlet은 보호 도메인이라는 장소 안에 증명서(credentials)에 따라서 정렬되어 저장된다. 보호 도메인은 퍼미션의 집합과 도메인 내 입장에 필요한 기준의 집합이다. MIDP 2.0 스펙에는 MIDlet 슈트를 암호화 싸이닝하는 방법을 포함하고 있다. 이 방법은 J2ME Wireless Toolkit에 포함되어 있으며, 이 툴에는 키 조합과 MIDlet 슈트 싸이닝에 필요한 간단한 방법을 제공한다. 끝으로 툴킷의 Run via OTA 기능을 사용해 싸이닝한 MIDlet 슈트의 설치를 쉽게 테스트해볼 수 있다.
MIDP 2.0의 보안 아키텍처는 유연한 동시에 강력하다. J2ME Wireless Toolkit을 사용하면 새로운 보안 아키텍처를 이용해 사용자가 보다 안전하게 실행할 수 있는 소프트웨어를 개발할 수 있다.
 

 

Posted by 김용환 '김용환'

댓글을 달아 주세요