칩 한 조각 없이 CPU를 돌려보는 도구, Unicorn 엔진

의심스러운 코드, 어떻게 안전하게 돌려볼까

리버스 엔지니어링이나 보안 분석을 하다 보면 이런 고민이 생겨요. '이 정체불명의 바이너리 조각이 실제로 실행되면 무슨 일이 벌어질까?' 그런데 그걸 확인하겠다고 의심스러운 코드를 진짜 내 컴퓨터에서 덜컥 실행할 수는 없잖아요. 더구나 그 코드가 ARM이나 MIPS처럼 내 x86 노트북과는 전혀 다른 CPU용으로 만들어졌다면 애초에 실행조차 안 되고요. 바로 이럴 때 꺼내 드는 도구가 Unicorn 엔진이에요.

Unicorn이 뭐냐면, CPU 하나를 통째로 소프트웨어로 흉내 내주는 'CPU 에뮬레이터 프레임워크'예요. 에뮬레이터라는 말이 낯설면 그냥 '진짜 CPU인 척하는 가상의 CPU'라고 생각하면 편해요. 옛날 게임기를 PC에서 돌릴 때 쓰는 그 에뮬레이터와 원리가 같은데, Unicorn은 게임기 전체가 아니라 딱 CPU와 메모리만 흉내 낸다는 점이 핵심이에요.

QEMU에서 'CPU 코어'만 떼어 왔어요

사실 Unicorn의 뿌리는 QEMU라는 유명한 가상머신 소프트웨어예요. QEMU는 가상의 컴퓨터 한 대를 통째로 만들어 주거든요. CPU는 물론이고 하드디스크, 네트워크 카드, 화면 같은 주변 장치까지 전부요. 그런데 보안 분석가 입장에서는 그 모든 게 필요하진 않아요. 그냥 'CPU가 이 명령어들을 어떻게 처리하는지'만 보고 싶을 때가 많거든요. 그래서 Unicorn은 QEMU에서 CPU를 실행하는 핵심 부분만 쏙 떼어 내서, 가볍고 프로그래밍하기 좋은 라이브러리로 다시 만든 거예요.

그러다 보니 Unicorn은 운영체제도, 주변 장치도 흉내 내지 않아요. 오로지 'CPU + 메모리'만 제공해요. 이게 단점 같지만 오히려 장점이에요. 군더더기가 없으니 빠르고, 내 프로그램 안에 라이브러리처럼 콕 박아 넣어서 원하는 명령어만 골라 실행시킬 수 있거든요.

멀티 아키텍처 + 후킹이 진짜 강점

Unicorn의 첫 번째 무기는 다양한 CPU를 지원한다는 거예요. x86, x86-64는 기본이고 ARM, ARM64, MIPS, PowerPC, RISC-V, SPARC, m68k까지 한 라이브러리로 다 돌려볼 수 있어요. 내 PC가 인텔 칩이어도 ARM용 코드를 그대로 실행해 볼 수 있다는 뜻이에요.

두 번째 무기는 '후킹(hook)'이에요. 후킹이 뭐냐면, 코드가 실행되는 도중에 내가 원하는 지점마다 끼어들어서 들여다보거나 값을 바꿀 수 있게 해주는 기능이에요. 예를 들어 '명령어가 하나 실행될 때마다 멈춰서 레지스터 값을 찍어줘', '특정 메모리 주소를 읽으면 알려줘' 같은 걸 콜백 함수로 걸어둘 수 있어요. 디버거로 한 줄씩 따라가는 걸 코드로 자동화하는 셈이라, 분석 도구를 직접 만들기에 아주 좋아요.

게다가 Python, Rust, Go, Java, .NET, JavaScript 등 웬만한 언어용 바인딩이 다 있어서, 굳이 C를 몰라도 평소 쓰던 언어로 바로 가지고 놀 수 있어요.

같은 가족인 Capstone, Keystone

Unicorn을 이야기할 때 빠지지 않는 짝꿍이 둘 있어요. 같은 팀에서 만든 Capstone과 Keystone이에요. Capstone은 기계어를 사람이 읽는 어셈블리로 풀어주는 디스어셈블러고, Keystone은 반대로 어셈블리를 기계어로 바꿔주는 어셈블러예요. 여기에 명령어를 실제로 '실행'까지 해주는 Unicorn을 더하면, 분석에 필요한 삼종 세트가 완성돼요. 그래서 셸코드 분석, 멀웨어 동작 추적, 퍼징(무작위 입력을 잔뜩 넣어 버그를 찾는 기법), CTF 문제 풀이 같은 현장에서 이 조합이 단골로 등장하거든요.

한국 개발자에게

보안이나 리버싱에 관심 있는 분이라면 Unicorn은 진입 장벽을 확 낮춰주는 도구예요. 위험한 코드를 격리된 가상 CPU 안에서만 돌리니 내 시스템이 감염될 걱정이 없고, Python 몇 줄로 'ARM 셸코드 실행기' 같은 걸 직접 만들 수 있으니 학습용으로도 훌륭하거든요. 임베디드나 펌웨어를 다루는 분이라면 실제 보드 없이도 특정 아키텍처용 루틴을 검증해 볼 수 있고요. CTF를 준비하는 분이라면 거의 필수 교양에 가깝다고 봐요.

정리하면, Unicorn은 'CPU만 가볍게, 그러나 다양하게, 게다가 내 코드로 마음껏 조종하며' 돌려볼 수 있게 해주는 도구예요. 여러분은 의심스러운 바이너리나 셸코드를 분석할 때 어떤 방법을 쓰고 계신가요? Unicorn 같은 에뮬레이터 기반 분석, 한번 시도해 볼 만하지 않을까요?