Brain반환 지향 프로그래밍 (ROP) 기법
핵심 인사이트 (3줄 요약)
- 본질: ROP (Return-Oriented Programming)는 공격자가 악성 셸코드(Shellcode)를 메모리에 직접 주입하여 실행할 수 없도록 만든 DEP/NX Bit 방어 체계를 우회하기 위해, 이미 실행 권한을 가진 채 메모리에 로드되어 있는 정상 코드 조각(가젯, Gadget)들을 짜깁기하여 원하는 악성 행위를 수행하게 만드는 최상위 수준의 익스플로잇 (Exploit) 기법이다.
- 가치: 버퍼 오버플로우 공격의 패러다임을 "코드 주입(Code Injection)"에서 "코드 재사용(Code-Reuse)"으로 완전히 전환시킨 보안 역사상의 가장 중대한 기술적 도약으로, 현대 운영체제 (OS, Operating System) 보안의 핵심 위협이다.
- 융합: 컴퓨터구조 (CA, Computer Architecture)의 함수 호출 규약(Calling Convention), 스택 제어 명령어(
ret,pop), 그리고 메모리 매핑 아키텍처에 대한 극도로 깊은 이해를 바탕으로 완성되며, 이를 막기 위해 ASLR (Address Space Layout Randomization)과 하드웨어 섀도우 스택(Shadow Stack) 기술이 고도화되고 있다.
Ⅰ. 개요 및 필요성 (Context & Necessity)
개념 및 정의
반환 지향 프로그래밍 (ROP, Return-Oriented Programming)은 취약한 프로그램의 제어 흐름(Control Flow)을 탈취한 후, 기존 바이너리나 라이브러리(예: libc.so, ntdll.dll)에 존재하는 짧은 기계어 명령어 서열인 '가젯 (Gadget)'들을 연결(Chaining)하여 튜링 완전(Turing Complete)한 프로그램(원하는 모든 악성 행위)을 구성하는 코드 재사용 공격 기법이다. 모든 가젯은 스택에서 다음 실행 주소를 꺼내오는 반환 명령어(ret 등)로 끝난다는 특징 때문에 이런 이름이 붙었다.
필요성 및 등장 배경
2000년대 초반, W^X(Write XOR Execute) 원칙에 기반한 DEP (Data Execution Prevention)와 NX Bit 하드웨어 기술이 도입되면서 스택이나 힙에 주입한 셸코드가 실행(x) 권한 거부로 무력화되었다. 초기에는 이를 우회하기 위해 libc 라이브러리의 system() 함수 주소로 단 한 번 점프하여 셸을 띄우는 "Return-to-libc" 공격이 성행했다. 그러나 방어자들이 함수 인자를 전달하는 레지스터 규약을 변경하거나 ASLR을 적용하면서 단일 함수 호출만으로는 한계에 부딪혔다. 이에 해커들은 단일 함수 통째 호출이 아니라, 함수 내부에 흩어져 있는 pop rdi; ret; 같은 미세한 코드 조각들을 모아 프랑켄슈타인처럼 조립하여 DEP를 완벽히 뚫고 원하는 시스템 콜을 마음대로 조작할 수 있는 ROP 기술을 발명하게 되었다.
┌────────────────────────────────────────────────────────────────┐
│ 전통적 셸코드 인젝션 vs ROP(코드 재사용) 패러다임 비교 │
├────────────────────────────────────────────────────────────────┤
│ │
│ [과거: Code Injection (DEP 도입 전)] │
│ 스택 영역 (RWX) │
│ [ 변조된 RET ] ──────────┐ │
│ ... ▼ │
│ [ 공격자의 셸코드 ] ◀── CPU가 셸코드를 순차적으로 실행! │
│ (직접 작성한 악성 코드) (현재는 DEP 때문에 💥 예외 발생) │
│ │
│ [현대: Return-Oriented Programming (DEP 도입 후)] │
│ 스택 영역 (RW-) .text / 라이브러리 영역 (R-X) │
│ [ 가젯 1의 주소 ] ──(ret)─▶ [ pop rdi ; ret; ] (가젯 1) │
│ [ "/bin/sh" 주소] (rdi에 "/bin/sh" 주소 세팅됨) │
│ [ 가젯 2의 주소 ] ◀(ret)─┐ │
│ (ret)─▶ [ pop rax ; ret; ] (가젯 2) │
│ [ 59 (execve) ] (rax에 시스템 콜 번호 59 세팅) │
│ [ 가젯 3의 주소 ] ◀(ret)─┐ │
│ (ret)─▶ [ syscall ; ret; ] (가젯 3) │
│ => 커널이 execve("/bin/sh") 실행!
└────────────────────────────────────────────────────────────────┘
[다이어그램 해설] 이 도식은 ROP 공격의 놀라운 발상을 잘 보여준다. 스택에 실행 권한이 없으므로 공격자는 스택에 어떤 코드도 쓰지 않는다. 대신, 이미 메모리 상에 실행 권한(RX)을 가지고 존재하는 합법적인 공유 라이브러리(.text 영역) 내부의 조각 코드(가젯)들의 '주소(Address)'와, 그 가젯들이 소비할 '데이터(Data)'만을 순서대로 스택에 차곡차곡 쌓아놓는다. 버퍼 오버플로우를 통해 현재 함수의 진짜 리턴 주소를 '가젯 1의 주소'로 덮어쓰면, CPU는 가젯 1을 실행한다. 가젯 1의 끝에 있는 ret 명령어는 스택에서 다음 주소('가젯 2의 주소')를 팝(pop)하여 거기로 다시 점프한다. 이처럼 ret 명령어가 징검다리 역할을 하여 합법적인 파편 코드들을 연쇄적으로 실행시키고, 결국 공격자가 원하는 시스템 콜(예: execve)을 조립해 내는 것이 ROP의 정수다.
- 📢 섹션 요약 비유: 외부에서 가져온 총기(셸코드)를 반입하지 못하도록 입구에서 철저히 금속 탐지기(DEP)를 검사하자, 도둑이 건물 안에 합법적으로 굴러다니는 쇠파이프, 용수철, 화약(가젯) 위치만 머릿속에 외운 뒤, 건물 안에서 즉석으로 조립해 무기를 만들어버리는 것과 같습니다.
Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)
구성 요소 (ROP 페이로드의 해부학)
| 요소명 | 역할 | 내부 동작 | 비유 |
|---|---|---|---|
| 가젯 (Gadget) | ROP 체인의 기본 실행 단위 | pop 레지스터, mov, add 등 짧은 연산 후 반드시 ret으로 끝나는 어셈블리 조각 | 레고 블록 한 칸 |
| ROP 체인 (ROP Chain) | 완성된 악성 기능 흐름 | 스택 메모리에 순차적으로 쌓인 가젯의 주소와 값들의 배열 | 완성된 레고 구조물 |
| 스택 포인터 (RSP / ESP) | 체인의 실행 흐름을 통제하는 나침반 | ret 명령이 호출될 때마다 RSP가 증가하며 다음 가젯의 주소를 EIP/RIP에 공급 | 악보를 읽어 나가는 지휘봉 |
| 함수 호출 규약 (Calling Convention) | 시스템 콜이나 함수 호출을 위한 레지스터 셋업 가이드 | x86-64 리눅스 기준: 인자를 rdi, rsi, rdx, rcx, r8, r9 순으로 레지스터에 세팅 후 호출 | 부품 조립 설명서 |
심층 동작 원리 및 ROP 페이로드 구성
64비트 아키텍처(x86-64)에서는 함수에 인자를 전달할 때 스택이 아닌 레지스터(RDI, RSI, RDX 등)를 사용한다. 따라서 시스템 콜(execve 등)을 실행하려면, 스택에 주입한 공격자의 데이터(예: /bin/sh 문자열의 주소)를 레지스터로 옮겨 담는 작업이 필수적이다. 이때 주로 사용되는 것이 스택의 값을 레지스터로 빼내는 pop 명령어 가젯이다.
┌──────────────────────────────────────────────────────────────────────┐
│ 64비트 환경에서의 execve("/bin/sh") ROP 체인 동작 흐름 │
├──────────────────────────────────────────────────────────────────────┤
│ │
│ [초기 스택 (버퍼 오버플로우로 페이로드 덮어쓰기 완료)] │
│ RSP ─▶ [ 0x00007ffff7a12345 ] ← 가젯1: pop rdi; ret │
│ [ 0x00007fffffffe888 ] ← 문자열 "/bin/sh"의 주소 │
│ [ 0x00007ffff7a23456 ] ← 가젯2: pop rsi; ret │
│ [ 0x0000000000000000 ] ← NULL 값 (0) │
│ [ 0x00007ffff7a34567 ] ← 가젯3: pop rdx; ret │
│ [ 0x0000000000000000 ] ← NULL 값 (0) │
│ [ 0x00007ffff7b11111 ] ← 가젯4: pop rax; ret │
│ [ 0x000000000000003b ] ← 59 (execve 시스템 콜 번호) │
│ [ 0x00007ffff7c22222 ] ← 가젯5: syscall; ret │
│ │
│ [실행 흐름 (The "Return" Sequence)] │
│ 1. 원래 함수 종료 (ret 실행) → RSP에서 가젯1 주소 Pop 및 점프 │
│ 2. 가젯1(pop rdi) 실행: 스택의 다음 값("/bin/sh" 주소)을 RDI에 넣음 │
│ 3. 가젯1 끝(ret) 실행: 스택의 다음 값(가젯2 주소)을 Pop 및 점프 │
│ 4. 가젯2(pop rsi) 실행: 스택의 다음 값(NULL)을 RSI에 넣음 │
│ 5. 가젯2 끝(ret) 실행: 스택의 다음 값(가젯3 주소)을 Pop 및 점프 │
│ 6. ... (rdx, rax 동일하게 세팅) ... │
│ 7. 최종 가젯5(syscall) 실행: 커널 모드 진입, execve 호출 성공! │
└──────────────────────────────────────────────────────────────────────┘
[다이어그램 해설] 이 상태도는 ROP가 스택을 이용하여 CPU 레지스터를 어떻게 통제하는지 수학적 톱니바퀴처럼 보여준다. 공격자는 버퍼 오버플로우 취약점을 이용해 스택을 위와 같은 "주소+데이터" 배열로 장악한다. 공격의 핵심 원동력은 ret 명령어의 동작 원리인 pop rip에 있다. 정상적인 상황이라면 리턴 주소 하나만 꺼내고 원래 호출자로 돌아가야 하지만, 여기서는 가젯의 끝마다 나타나는 ret이 스택 포인터(RSP)를 계속 증가시키며 미리 깔아둔 다음 가젯의 주소를 명령어 포인터(RIP)로 밀어 올린다. 즉, 스택 포인터가 마치 프로그램 카운터(PC) 역할을 대신하며, 스택에 적어둔 대본대로 코드 조각들을 순차적으로 실행하게 만드는 기막힌 재사용 매커니즘이다.
- 📢 섹션 요약 비유: 해커가 새로운 비디오 테이프(셸코드)를 가져오는 대신, 방송국 도서관에 있는 수만 개의 정상적인 영화 테이프들 속에서 1초짜리 특정 대사(가젯)들만 잘라 이어 붙여(편집) 완전히 새로운 협박 영상을 만들어 송출하는 것과 같습니다.
Ⅲ. 융합 비교 및 다각도 분석
ROP의 진화 파생 기법 비교
기본적인 ROP가 등장한 이후, 방어 기법(ASLR 등)이 강화됨에 따라 ROP 기술도 다양하게 진화(Evolution)했다.
| 기법 명칭 | 약어 / 특징 | 핵심 원리 및 우회 대상 |
|---|---|---|
| Return-to-libc (RTL) | 1세대 ROP / 함수 단위 재사용 | 가젯이 아닌 라이브러리의 함수 시작 주소(system)로 직접 점프. 32비트 환경에 국한되며 64비트 레지스터 규약에 막힘. |
| ROP (Return-Oriented Programming) | 2세대 / 가젯 체이닝 | 함수 전체가 아닌 끝단의 ret 기반 가젯 조각들을 엮어 시스템 콜 튜링 구조 완성. DEP 완벽 우회. |
| JOP (Jump-Oriented Programming) | JOP / 간접 점프 기반 | ret 대신 jmp eax나 call rbx 같은 간접 분기 명령어를 징검다리로 사용. ret을 모니터링하는 탐지 솔루션 우회. |
| BROP (Blind ROP) | BROP / 무차별 가젯 탐색 | 대상 바이너리 파일(.text)조차 확보하지 못한 상태에서, 서버 응답(Crash 여부)만으로 바이트 단위로 가젯 주소를 찾아내어 ROP 체인 동적 구성. |
| SROP (Sigreturn-Oriented) | SROP / 유닉스 시그널 악용 | 리눅스의 시그널 처리 복귀 시스템 콜(sigreturn)을 호출하여, 스택에 저장된 거대한 시그널 프레임을 한 번에 레지스터 전체로 복원시켜 버리는 초효율적 ROP. |
특히 JOP(Jump-Oriented Programming)는 ROP와 달리 스택을 실행 흐름의 나침반으로 쓰지 않고, 디스패처 (Dispatcher) 테이블과 레지스터 기반 점프를 이용하기 때문에, 섀도우 스택(Shadow Stack) 같은 최신 방어 체계를 무력화하기 위한 대체재로 쓰인다.
┌───────────────────────────────────────────────────────────────┐
│ 전통적 ROP 체인 vs SROP (Sigreturn) 체인 구조 비교 │
├───────────────────────────────────────────────────────────────┤
│ │
│ [일반 ROP: 가젯을 하나씩 모아 레지스터 셋업] │
│ 스택: [가젯1] [RDI값] [가젯2] [RSI값] [가젯3] [RDX값] ... │
│ 단점: 필요한 레지스터 가젯(pop rdx 등)을 라이브러리에서 │
│ 모두 찾기 힘들 때 체인 구성이 불가능해짐. │
│ │
│ [SROP: 커널의 Context Restore 기능을 역이용] │
│ 스택: [ pop rax; ret; ] │
│ [ 15 (sigreturn 시스템 콜 번호) ] │
│ [ syscall; ret; ] │
│ [ SigContext 구조체 (가짜 시그널 프레임) ] │
│ ├── RDI = "/bin/sh" 주소 │
│ ├── RSI = 0 │
│ ├── RDX = 0 │
│ ├── RAX = 59 (execve) │
│ └── RIP = syscall 주소 │
│ │
│ 원리: 커널이 "아, 시그널 처리가 끝났구나!" 착각하고 스택에 │
│ 해커가 조작해둔 구조체를 읽어 CPU 레지스터 전체를 │
│ 한방에 일괄 덮어씌움 (Context Restore 발생) │
└───────────────────────────────────────────────────────────────┘
[다이어그램 해설] 이 구조도는 가젯이 부족한 열악한 환경에서 해커가 어떻게 돌파구를 찾는지(SROP)를 보여준다. 일반적인 ROP는 각 레지스터마다 알맞은 pop; ret 가젯을 찾아내야 하는데, 바이너리 크기가 작거나 정적 링크(Static Link)가 안 된 경우 필수 가젯을 찾지 못해 공격이 실패할 수 있다. 반면 SROP는 리눅스 커널이 인터럽트(시그널) 처리 후 원래 프로세스 상태(Context)를 복원하기 위해 rt_sigreturn 시스템 콜을 사용한다는 점을 악용한다. 공격자는 스택에 pop rax (값 15)와 syscall 단 두 개의 가젯만 두고, 그 아래에 300바이트가 넘는 거대한 가짜 레지스터 상태 블록(SigContext)을 만들어 둔다. 커널은 시그널 복귀로 착각하고 스택의 가짜 값들을 CPU 레지스터에 한꺼번에 부어버린다. 단 2개의 가젯만으로 완벽한 제어권 장악이 가능한 파괴적인 기법이다.
- 📢 섹션 요약 비유: 일반 ROP가 도둑이 드라이버, 펜치, 망치를 건물 여기저기서 훔쳐 하나씩 조립해 문을 여는 것이라면, SROP는 경비원의 만능 마스터키 꾸러미(Context)를 통째로 복제해 한 번에 모든 방문을 열어젖히는 치트키와 같습니다.
Ⅳ. 실무 적용 및 기술사적 판단
실무 시나리오: ASLR 환경에서 ROP를 이용한 DEP 해제 공격
- 상황: 최신 리눅스 서버에서 버퍼 오버플로우가 발견되었다. 서버는 ASLR(주소 무작위화)과 DEP(데이터 실행 방지)가 모두 활성화되어 있다.
- 공격자의 전략 (Leak & ROP):
- 1단계 (Memory Leak): 공격자는 또 다른 취약점(Info Leak)을 이용해 현재 메모리에 무작위로 로드된
libc.so내부의printf함수의 주소를 획득한다. - 2단계 (Base Offset 계산):
printf주소에서 라이브러리의 상대적 오프셋을 빼서 라이브러리 전체의 '시작 주소(Base Address)'를 구한다. (이로써 ASLR 방어막 무력화 완료). - 3단계 (ROP Payload 조립): 계산된 주소를 바탕으로 라이브러리 내부의 ROP 가젯 주소들을 도출한다.
- 4단계 (mprotect 호출 ROP): 해커는
system("/bin/sh")를 호출하는 대신,mprotect시스템 콜을 호출하는 ROP 체인을 구성한다. 인자로 (스택 영역 시작 주소, 크기,PROT_READ | PROT_WRITE | PROT_EXEC)를 전달하여 스택 영역의 DEP(실행 불가) 속성을 실행 가능(RWX)으로 강제 해제해 버린다. - 5단계 (Shellcode Execution): DEP가 해제된 스택으로 점프하여, 미리 심어둔 전통적인 셸코드를 실행한다. (이를 ROP Stager 기법이라 부름).
- 1단계 (Memory Leak): 공격자는 또 다른 취약점(Info Leak)을 이용해 현재 메모리에 무작위로 로드된
- 방어자의 의사결정: ASLR의 우회를 막는 것이 가장 중요하므로, 포인터 주소가 메모리에 노출되는 것을 철저히 차단하는 시큐어 코딩(포맷 스트링 방지, 바운드 체킹)이 1순위다. 아울러 컴파일러 차원에서 PIE(위치 독립 실행 파일)를 강제 적용하여 바이너리의 .text 영역 가젯까지 난수화해야 한다.
도입 체크리스트 (CFI: 제어 흐름 무결성 방어)
소프트웨어(OS) 기반의 방어가 한계에 다다르면서, 실무에서는 하드웨어 아키텍처 수준의 방어 기술을 도입해야 한다. 이를 제어 흐름 무결성 (CFI, Control-Flow Integrity) 기술군이라 한다.
- 인텔 CET (Control-flow Enforcement Technology): 차세대 서버/클라이언트 CPU가 지원하는 섀도우 스택 (Shadow Stack) 기능 활성화 검토.
- ARM PAC (Pointer Authentication Code): 모바일/M1 이상 Mac 환경에서 컴파일 시 포인터 암호화 옵션(
-msign-return-address등) 적용 상태 확인. - 소프트웨어 CFI (Clang CFI, Microsoft CFG): 간접 분기(Indirect Call/Jump) 시 유효한 타겟 목록을 검증하는 컴파일러 기반의 Control Flow Guard 적용 여부 점검.
안티패턴
-
정적 컴파일 (Static Link) 남용: 보안 부서의 통제 없이 편의성을 위해 C 프로그램을
-static옵션으로 정적 빌드하는 행위. 이 경우 수십 메가바이트의 라이브러리 코드가 메인 실행 파일 하나에 뭉쳐지게 되어 ROP 공격자에게 "무한한 가젯 뷔페"를 제공하는 최악의 안티패턴이 된다. 심지어 ASLR이 켜져 있더라도 PIE 옵션과 정적 링킹은 양립하기 어려워 바이너리 자체가 고정 주소를 갖는 대참사가 발생한다. -
📢 섹션 요약 비유: 방패(DEP)가 튼튼해지자 적들은 우리 편 병사들(가젯)을 최면(ROP) 걸어 성벽 안에서 배신하게 만들었고, 이를 막기 위해 우리는 병사들에게 진짜 지휘관의 암구호(CFI 무결성 검증)를 모르면 명령에 따르지 못하도록 하는 첨단 규율을 도입하고 있습니다.
Ⅴ. 기대효과 및 결론
정량/정성 기대효과 (CFI 및 Shadow Stack 도입 시)
| 구분 | ROP 단일 대비 (ASLR/DEP) | 하드웨어 CFI (Shadow Stack) 전면 도입 | 개선 효과 |
|---|---|---|---|
| 정량 | 메모리 릭(Leak) 발생 시 ROP 성공률 90%+ | ROP 공격 성공률 0.1% 미만 원천 차단 | 1-Day, 0-Day 취약점 악용 기간 대폭 지연 |
| 정량 | BROP 등의 Brute-force 공격 시간 소요 | 변조 즉시 하드웨어 Exception 발생 (0초) | 탐지 레이턴시 제거 및 즉각적인 위협 격리 |
| 운영 | 소프트웨어 CFI 추가 시 성능 저하 (3~8%) | CPU 칩 레벨에서 검증 처리로 성능 오버헤드 1% 미만 달성 | 성능 저하 없는 궁극의 제어 흐름 보호 체계 |
미래 전망
과거 20년이 "오버플로우를 어떻게 일으킬 것인가(공격) vs 어떻게 주소를 덮어쓰지 못하게 할 것인가(방어)"의 시대였다면, 현재와 미래는 **"실행 흐름을 어떻게 교란할 것인가(ROP/JOP/COP) vs 비정상적 흐름을 어떻게 물리적으로 끊어낼 것인가(CFI/Shadow Stack)"**의 시대다. 특히 하드웨어 지원 섀도우 스택(Shadow Stack)은 기존 스택과 완전히 격리된 보호 구역에 리턴 주소만을 이중 보관하고, 함수 복귀(ret) 시 두 스택의 값이 일치하지 않으면 즉각 CPU 예외를 던지는 방식으로 ROP를 종식시키고 있다. 이에 해커들은 ret을 쓰지 않는 순수 데이터 지향 공격 (Data-Oriented Programming, DOP)이나 로직 자체의 결함을 악용하는 방향으로 우회로를 찾고 있다.
참고 표준
-
Intel SDM Vol 1. Chapter 18: Control-flow Enforcement Technology (CET) 규격
-
CWE-693: 보호 메커니즘의 우회 가능성 (Protection Mechanism Failure)
-
NIST SP 800-190: 애플리케이션 컨테이너 보안 가이드 (메모리 보호 정책 권고)
-
📢 섹션 요약 비유: 해커가 조작한 위조 신분증(변조된 RET)으로 문을 열려 해도, 경비실에 보관된 진짜 명부(하드웨어 섀도우 스택)와 이중으로 대조하여 불일치 시 즉각 사이렌을 울리는 궁극의 출입 통제 시스템이 구축되는 중입니다.
📌 관련 개념 맵 (Knowledge Graph)
| 개념 명칭 | 관계 및 시너지 설명 |
|---|---|
| DEP / NX Bit (데이터 실행 방지) | 스택에 코드를 직접 쓸 수 없게 만들어, 해커들로 하여금 기존 코드를 재활용하는 ROP라는 괴물을 탄생하게 만든 방어 기술의 시발점이다. |
| ASLR (Address Space Layout Randomization) | ROP 체인을 구성하기 위해 필수적인 가젯(Gadget)의 절대 주소를 매번 무작위로 섞어 공격을 극도로 어렵게 만드는 1차 대응책이다. |
| 메모리 릭 (Memory Leak / Info Leak) | ASLR이 흔들어 놓은 주소 퍼즐에서 라이브러리의 현재 위치(Base Offset)를 계산해 내어 ROP 공격을 성공시키는 핵심 열쇠 취약점이다. |
| CFI (Control-Flow Integrity) | 프로그램의 런타임 분기 흐름이 사전에 컴파일러가 분석한 제어 흐름 그래프(CFG)를 이탈하지 못하도록 통제하여 ROP를 원천 봉쇄하는 기술이다. |
| 섀도우 스택 (Shadow Stack) | 기존 메모리 스택과 별도로 리턴 주소 전용의 읽기 전용 하드웨어 스택을 운용하여, ROP를 위한 리턴 주소 덮어쓰기 자체를 무용지물로 만드는 궁극의 하드웨어 방어막이다. |
👶 어린이를 위한 3줄 비유 설명
- 해커가 컴퓨터 안에 자기 총(셸코드)을 몰래 들고 가려다 경비원(DEP)에게 뺏겼어요.
- 그래서 해커는 똑똑하게도 건물을 돌아다니며 파이프, 나사, 화약(정상적인 코드 조각들, 가젯) 등 버려진 물건들만 조금씩 주워 모았죠.
- 그리고는 설계도(스택 조작)를 보고 이 부품들을 합쳐서 건물 안에서 즉석으로 새로운 총(악성 행위)을 조립해 쐈답니다. 이걸 ROP 공격이라고 불러요!