[Flutter][Error] 난독화와 enum.name

개요: 난독화

---

 지금까지 진행했던 프로젝트들은 보안이 크게 중요하지 않아서(사용자가 많지도 않고, 악용할만한 요소가 존재하지 않았다.) 난독화에 시간을 투자하지 않았다. 하지만 난독화를 하긴 해야한다. 디컴파일을 하면 .env파일로 키 값들을 보관한다고 해도, manifest까지도 빼 갈 수 있기 때문에 카카오 키 값들이나 구글 키 값들을 탈취할 수 있다.

 

 물론 Proguard나 dexguard로 난독화를 아무리 한다고 해도 디컴파일을 완벽히 방지한다 까진 아니고 어느정도 시간을 벌 수 있다 정도라서 어쨌거나 누군가가 탈취 시도를 하면 탈취가 된다고 한다. 이 이야기는 특정 대형 서비스들(서비스 이름은 이야기할 수 없다.) 이야기이긴 하나, 기술을 어디까지 사용하냐에 따라 보안이 철저하게 지켜지는 곳도 있는거 같다.

 

"결국 털리니까 난독화에 돈을 쓸 이유가 없는거 같은데?"

 

 그렇다고 난독화를 안 할 수는 없다. 난독화를 안해놓으면 결국 모든 보안, 소스 코드가 거의 1분도 안되어 탈취당한다. 난독화를 해놓으면 어쨌거나 시간을 벌고 공격에 지연시간을 걸기에 꼭 필요하다.

 

 

문제점

---

 난독화를 해주는 서비스는 대표적으로 Proguard, Dexguard 등이 있다. 난독화가 정확히 어떻게 되는지는 블랙박스 정도로만 알고 있어도 해당 서비스들이 해주기에 비교적 쉽게 적용을 할 수 있다.

 

그러나 문제점이 하나 있는데, 바로 enum이다.

 

난독화와 enum

 난독화 과정을 거치면 객체 이름들이 모두 난독화 과정에서 생성된 이름들로 바뀌게 된다. 내가 Gorani라고 클래스 이름을 지었다고 해도, 난독화 과정을 거치고 나면 Gorani가 아니라 o가 되어버릴 수 있다.

 

아래와 같은 enum이 있다고 해보자.

enum gorani {
  HELLO,
  GORANI,
  BYE
}

 

 

위의 enum은 난독화 되면 다음과 같이 바뀔 수 있다. (무조건 아래와 같이 바뀐다는 것은 아니다.)

enum o {
  x,
  y,
  z
}

 

 

 그런데 우리는 enum에서 name으로 해당 enum의 이름 값을 String의 형태로 가져올 수 있다. 하지만 난독화 과정을 거치고 나면 enum의 이름들이 더 이상 HELLO, GORANI, BYE가 아니게 된다. 이름들은 우리가 작성한 값들이 아닌 x, y, z와 같은 난독화된 코드로 바뀌게 된다.

 

 이정도 읽었다면 눈치를 챘을 것이다. 이렇게 난독화 된 enum에 name을 하게 되면 우리가 의도한 것은 gorani.HELLO.name이지만 난독화 된 우리의 코드는 o.x.name이 되어 실제로는 HELLO라는 String이 전달되는게 아니라 x라는 String이 전달되게 된다.

 

 

해결

해결하는 방법은 조금은 귀찮지만, enum 내부에 별도의 label 필드를 하나 두는 것이다.

enum gorani {
  GORANI("GORANI"),
  HEELO("HELLO");
  
  final label;
  
  const gorani(this.label);
}

 

Dart의 enum은 클래스와 같이 내부에 필드를 둘 수 있는데, 여기에 label 필드를 만들어 값을 미리 할당해두면 객체의 이름이 변경되어도 내부에 저장하고 있는 값은 리터럴이므로, 그대로이기에 똑같이 난독화 된 코드라고 해도 정확한 값을 전달할 수 있다.

 

 

마치며

---

이런 문제가 발생할 수 있다는 것을 거의 처음 알았다. 생각보다 많은 정보가 들어와서 난감했는데, 곰곰히 생각해보니 굉장히 자연스럽게 일어날 수 있는 문제라서 더 조심해야겠다는 생각이 들었다.