인코딩과 디코딩은 창과 방패의 싸움처럼 지속되고 있는 싸움 입니다. 이온큐브도 예외는 아닐 수 없으며 타사의 제품과 다른점은 빠르게 대처하고 있다는 점입니다. 현재 7 버젼이 출시되었으며 7 버젼과 같은 경우에는 디코딩이 불가능하지만 6.5 버젼의 경우 일부분이 디코딩 될 수 있습니다. 이같은 경우가 우려된다면 6.5 사용자는 업그레이드 팩 구매를 통해 보안성과 편리성이 향상된 7버젼으로 업그레이드 하실 수 있습니다. 7버젼도 향후 디코딩 될 수 있는 가능성이 있기 때문에 이런 내용에 대해서 안내하고자 페이지를 마련하였습니다.
디코딩이란 인코딩된 소스를 원래 소스 형태로 되푸는 것을 뜻합니다. reverse engineering 이나 기타 기술을 이용해 인코딩된 소스를 디코딩 하는 hacker들이 중국 등지에 존재 합니다. PHP 인코더들도 이들에게 노출되어 있어 처음으로 zend사의 zend guard가 중국인의 deZender에 의해 디코딩 되었습니다. 이온큐브도 예외일 수는 없어 6.5 이전 버젼에서 한번 deZender 기술로 노출이 된 적이 있었습니다.
최근에 PHP 인코더에 대해서 이런 위험이 증가되고 있고, 혹자는 어떠한 PHP 인코더도 디코딩에 안전할 수 없다는 의견을 가진 분들도 있습니다. 또한 회원분들의 제보로 자체적으로 조사를 진행하기도 했습니다. 이런 내용을 바탕으로 본사측과 커뮤니케이션한 결과를 투명하게 공개하고 현재까지 조사된 내용과 함께 앞으로의 이온큐브사의 대처 방안에 대해서 안내해 드립니다.
| version | 현황 | 비고 |
| 6.5.x | 소스코드 일부 디코딩 가능 | 디코딩된 소스가 정상적으로 작동하지 않습니다 |
| 7.x | 디코딩 불가능 | |
| 8.x | 2011년말 ~ 2012년초 출시 예정 |
중국의 Q사이트에서 이온큐브 6.5 버젼의 샘플 디코딩이 가능하다는 제보를 받아 한국 이온큐브 측에서 샘플 코드를 제시해 디코딩된 소스를 제공 받았습니다. 38라인 정도의 짧은 샘플 소스였고, 샘플디코딩된 부분은 일부분 Class구조의 멤버 변수와 method명, 그 안의 logic이 유사하게 디코딩 되어있었습니다.
하지만 100% 정확하게 디코딩 되지는 않았으며, 일부 잘못 reverse된 내용도 존재하였습니다.
switch ("1") {
case "1" :
break;
case "2" :
case "3" :
break;
default :
break;
}
$this->a = "1";
|
switch ('1')
{
case '1':
{
break;
}
case '2':
case '3':
{
break;
}
default:
{
break;
$this->a = '1';
return null;
}
}
|
위의 소스를 보시면 아시겠지만 해당 내용처럼 디코딩이 되면 정상적으로 동작하지 않음은 물론 로직도 달라지게 되어 있습니다. 이것 외에도 공개적으로 밝힐 수는 없지만 여러 부분들이 정확하지 않게 디코딩 되었습니다.
특별한 업그레이드 비용을 요구하지 않고 마이너 업데이트를 해오던 이온큐브사에서 방침을 변경하여 메이져 업데이트를 시행하였습니다. 본사 입장을 정리해보자면 아래와 같습니다.
"우리는 소스코드가 정확하게 디코딩되지 않도록하는 안전장치를 갖고 있습니다. 6.5 버젼의 일부 해커들에 의해 일부분 코드가 노출 되었지만 디코딩된 코드로는 정상적인 실행을 할 수 없습니다. 좀 더 향상된 암호화 방식의 로더를 개발하여 7버젼을 출시하였고, 6.5 사용자가 7버젼으로 업그레이드 하기 위해서는 50%의 금액만 지불하면 됩니다. 6.5에서 이러한 개선을 할 수 없었던 이유는 로더의 호환성 문제가 컸습니다. 또한, 해커들의 공격에 대응하기 위해 지속적으로 연구/개발을 하기 위한 투자 및 자본이 필요하기 때문에 연사용료 방식으로의 전환도 고려해봤지만 기존의 판매 방식을 고수하는 대신 업그레이드로 대신하였고 이를 통해 기존 사용자는 추가의 비용 지불 없이 기존 프로그램을 사용할 수 있도록 하였습니다."
한국 이온큐브에서는 일정기간 진행하는 업그레이드 비용에 대해 상품을 등록하고 이를 안내하는 내용을 6.5 버젼 구매자분들에게 메일링 하고 있습니다. 또한, 본사 방침 변경으로 인한
혼란이 예상되어 한국 이온큐브에서는 자체적으로 업그레이드 비용에 할인을 실시하고 있습니다. (한국 이온큐브 구매자분들께만 드리는 할인으로 본사에서 직접 구매하신 분들에게는 적용되지 않습니다.)
Entry 업그레이드 /
Pro 업그레이드 /
Cerberus 업그레이드
또한 시스템에 버젼명을 추가하여 어떤 버젼을 사용하고 계신지 확인하실 수 있도록 하였습니다.
기존에 한국 이온큐브에서 제공하던 무상기술지원은 앞으로도 계속 지원될 것이며 추가적으로 문의사항이 있으시다면 언제든지 메일이나 게시판 등으로 연락 부탁 드립니다. (실시간 커뮤니케이션을 위해서 메신져로 지원해드리고 있습니다. 게시판이나 메일을 통해 네이트온 주소를 남겨주시면 해당 메신져로 지원해 드리고 있습니다.)
알고 있습니다. 그들은 현재 이온큐브 7 버젼에 대한 디코딩을 제공하지 못하고 있습니다.
reverse engineering 등으로 암호화된 소프트웨어를 디코딩 하는 일은 소프트웨어 업계에선 흔한 일입니다. 많은 해커들이 이를 시도하고 있고 저희는 이에 대한 대비를 하고 있습니다. 6.5 버젼의 디코딩 샘플을 보시면 아시다시피 디코딩 된 결과물은 정상적으로 작동할 수 없습니다. 이는 다양한 방법으로 디코딩을 막고있는 저희의 결과물이고 어떤 점에 대해서 다른지 노출해서는 안됩니다.
정확히 같게 디코딩되지는 않으나 일부 class나 method들은 노출될 수도 있습니다. 이는 ioncube 7 버젼에선 쉽게 일어나지 않는 일입니다. 사용자가 이를 우려한다면 7 버젼으로 약간의 비용 지불과 함께 업그레이드 할 수 있습니다.
스크립트 언어에서 회사의 중요한 로직을 소스코드 안에 넣는 것은 바람직하지 않습니다. 그것은 PHP와 PHP 엔진이 오픈소스 프로젝트이기 때문 입니다. 따라서 자사의 중요한 로직을 보호하기 위해서는 C나 C++로 만든 모듈을 확장하는 방식으로 사용하는 것이 좋습니다.
7버젼에서 ioncube loader의 방식이 바뀌었기 때문에 minor 업데이트로 해당 내용을 진행할 수 없었습니다. 이는 가장 중요한 호환성 문제로써 이 문제 때문에 우리는 7버젼에서도 6.5 방식으로 인코딩할 수 있도록 옵션을 제공하고 있습니다.
우리는 해커나 불건전한 목적으로 이온큐브를 공략하는 대상으로써 소스를 보호하기 위해 많은 투자를 하고 있습니다. 현재 이온큐브 8 버젼이 내부적으로 개발되고 있으며 이는 종전의 방식을 뛰어넘은 보안성을 제공할 것이라고 예상하고 있습니다. 이온큐브 7버젼은 보안성이 개선된 것 이외에 많은 점이 변경 되었습니다. 주로 PHP 5.3에 대한 지원이 큰 변경점이며, 향상된 UI도 그렇습니다.
우리의 이러한 노력은 앞으로도 계속될 것이며 많은 투자와 비용이 들어가게 됩니다. 따라서 우리는 이것을 이전에 해오던 것처럼 무상으로 제공할 수 없다고 판단 했습니다. 사용자들은 비용을 지불하지 않고 6.5 버젼에 남아있는 것을 선택할 수 있습니다. (우리는 현재 정상적으로 디코딩 되지 않는 상황을 critical 하다고 생각하지 않습니다)
전 버젼을 구입한 사용자를 위해 짧은 기간동안 다음버젼으로 업그레이드 할 수 있는 방안을 마련했습니다. 6 버젼 사용자들이 7 버젼으로 업그레이드할 경우 50% 할인을, 6 버젼 사용자들이 8 버젼으로 업그레이드할 경우에는 25% 할인을 해드리기로 결정 했습니다.
