필사 모드: 리버스 엔지니어링 도구 2026 — Ghidra / IDA Pro / Binary Ninja / radare2 / Frida / x64dbg / angr 심층 가이드

프롤로그 — 왜 2026년에 리버스 엔지니어링 도구를 다시 정리해야 하는가

2019년 3월, NSA가 RSA 컨퍼런스에서 Ghidra를 오픈소스로 공개했다. 그 한 번의 발표가 리버스 엔지니어링 시장의 30년 균형을 깼다. 그 전까지 IDA Pro 라이선스 가격(상용 디컴파일러 포함 \$3,710부터)을 지불할 수 없는 학생·아마추어·예산 없는 보안 연구실은 무료 디스어셈블러로는 인텔 syntax 정도밖에 못 봤고, 디컴파일러는 사실상 IDA Pro Hex-Rays 단독 시장이었다. Ghidra는 그 자리를 뒤엎었다. 무료로 x86·ARM·MIPS·PowerPC·SPARC·RISC-V를 다 디컴파일했고, 콜라보를 지원했고, Java/Python 스크립트 API를 열었다.

그 후 7년이 지났다. 2026년의 RE 도구 지형은 더는 "IDA Pro냐 아니냐"가 아니다. 디스어셈블러 진영에 Ghidra·IDA Pro·Binary Ninja·radare2(Cutter UI)·Hopper가 동시에 살아있고, 모바일 RE의 표준은 Frida가 되었으며, CTF 신은 Pwntools·Pwndbg·GEF 위에서 돌고, 학술 진영은 angr·Triton·KLEE 같은 심볼릭 실행을 정착시켰다. 그리고 가장 큰 변화 — LLM-assisted RE. Binary Ninja의 Sidekick, IDA Pro의 Decompiler AI 플러그인, Ghidra의 GhidraMCP·G-3PO·Sidekick 통합이 디컴파일 결과를 영문 함수명·코멘트로 자동 리네이밍한다.

이 글은 17개의 도구·생태계를 같은 축으로 정렬한다. 각 도구의 "강점·약점·실제로 누가 쓰는가·2026년 가격·라이선스"를 한 번에 본다. 마지막 장에서 "학생/CTF 플레이어/모바일 RE/펌웨어 분석가/직업 RE 엔지니어"가 각각 무엇을 깔아야 하는지 결정 트리로 정리한다.

> 모델은 점점 같아지고, 도구는 점점 차이를 만든다. 같은 ELF 바이너리를 Ghidra가 보는 방식과 Binary Ninja가 보는 방식은 다르고, 그 다름이 분석 속도를 결정한다.

가격·기능 수치는 빠르게 바뀐다. 모든 숫자는 2026년 5월 기준이며, 구조적 차이에 집중한다.

1장 · 2026년 리버스 엔지니어링 지도 — 네 가지 축으로 분류

먼저 도구를 네 분류로 정리한다. 분류 자체가 도구 선택의 첫 번째 결정이다.

**축 1 · 정적 디스어셈블러 / 디컴파일러**

바이너리를 실행하지 않고 어셈블리·C-like pseudocode로 분해한다. Ghidra, IDA Pro, Binary Ninja, radare2 + Cutter, Hopper, Plasma. 모든 RE의 출발점. 디컴파일러 품질이 도구의 시장 점유를 결정한다.

**축 2 · 동적 디버거**

실행 중인 프로세스에 붙어 레지스터·메모리·콜스택을 본다. x64dbg(Windows), OllyDbg(Windows 32비트, 레거시), WinDbg(Microsoft 공식), GDB + Pwndbg/GEF(Linux), LLDB(macOS/iOS). CTF의 핵심 도구.

**축 3 · 동적 계측 (Dynamic Instrumentation)**

실행 중에 코드를 주입해서 함수 호출을 가로채거나 바꾼다. Frida(모바일·데스크탑 표준), Cheat Engine(게임 메모리 편집), Intel Pin, DynamoRIO, Wireshark(네트워크 레벨). 정적 분석이 막힌 패킹·난독화된 바이너리에 강하다.

**축 4 · 심볼릭 실행 / 추상 해석**

입력을 구체값이 아닌 심볼릭 변수로 두고 가능한 경로를 모두 탐색한다. angr(파이썬), Triton(C++/Python), KLEE(LLVM 기반), Manticore. 자동 익스플로잇 생성·취약점 탐색의 학술 기반.

여기에 두 개의 "지원 레이어"가 있다.

**엔진 레이어**

다른 도구가 깔고 쓰는 라이브러리. Capstone(디스어셈블러 엔진), Keystone(어셈블러 엔진), Unicorn(CPU 에뮬레이터), QEMU(시스템 에뮬레이터). radare2·Binary Ninja·angr가 다 이 위에 산다.

**LLM 레이어**

2026년 새로 자리잡은 층. Binary Ninja Sidekick, IDA Pro Decompiler AI, Ghidra용 GhidraMCP·G-3PO, claude-mcp-ghidra. 디컴파일된 코드를 LLM에 보내 함수 이름·변수 이름·주석을 자동 생성한다.

이 네 축 + 두 레이어를 머리에 넣고, 이제 도구를 하나씩 본다. 각 장은 같은 틀로 정리한다: 회사·라이선스 / 강점 / 약점 / 실제로 누가 쓰는가 / 2026년 가격.

2장 · Ghidra — NSA가 풀어버린 무료 표준

**회사·라이선스**

미국 국가안보국(NSA) 사이버보안 부서가 만들고 2019년 3월 RSA 컨퍼런스에서 Apache 2.0으로 공개. GitHub의 NationalSecurityAgency/ghidra 저장소가 정식 본거지. 2026년 현재 11.x 시리즈가 안정 버전.

**강점**

무료. 이 한 단어가 모든 걸 바꿨다. Java 기반 GUI에 Eclipse 스타일 멀티 윈도, x86·x86-64·ARM·AArch64·MIPS·PowerPC·SPARC·RISC-V·AVR·6502까지 폭넓은 아키텍처 지원. 디컴파일러 품질이 IDA Hex-Rays에 본격적으로 도전하는 수준. Ghidra Server(공식 협업)와 Ghidrathon(파이썬 스크립트), GhidraMCP(LLM 통합), Python 3 지원이 모두 2024~2025년에 안정됐다. P-code 중간 표현이 깨끗해서 분석 플러그인 작성이 쉽다.

**약점**

디버거가 약했다. 2022년에 추가됐지만 GDB·x64dbg에 비하면 여전히 거칠다. UI가 Java Swing이라 macOS 네이티브 느낌이 떨어진다. 큰 바이너리(50MB+)에서 분석이 느리다. 협업 서버 설정이 복잡하다 — 사실상 사내 SRE가 깔아줘야 한다.

**실제로 누가 쓰는가**

학생·CTF 플레이어·예산 없는 보안 연구실·정부 기관(특히 미국 정부 계약자)·오픈소스 보안 연구자 대부분. 2026년 신규 RE 학습자의 디폴트가 Ghidra다. KAIST·POSTECH 보안 동아리, KISA 보고서가 Ghidra 스크린샷을 쓴다. Hex-Rays 라이선스 결재선이 안 되는 회사도 Ghidra를 깐다.

**2026년 가격**

0원. 정확히 0원. NSA가 매년 GitHub에 새 릴리즈를 푼다.

3장 · IDA Pro (Hex-Rays) — 클래식, 비싸지만 여전히 강력

**회사·라이선스**

벨기에 Hex-Rays SA. 1996년에 처음 출시되어 30년째 RE 도구 시장의 기준. 상용 라이선스, 영구 라이선스 + 연간 업데이트 모델 또는 구독 모델 둘 다 지원. 2026년 현재 IDA Pro 9.x 시리즈.

**강점**

디컴파일러 품질이 여전히 업계 최고 — 특히 ARM64, MIPS, 그리고 모호한 컴파일러 최적화 패턴 해석. 인터랙티브 그래프 뷰가 1990년대부터 다듬어진 결과로 가장 빠르게 함수 구조를 파악할 수 있다. IDAPython·IDC 스크립트, FLIRT/FLAIR 시그니처(라이브러리 함수 자동 인식), IDA Lumina(클라우드 함수 메타데이터), Hex-Rays AI Decompilation 플러그인. Microsoft·Google·Apple·정부 계약자들이 압도적으로 IDA Pro 워크플로 위에 자체 도구를 쌓아놨다. 정부·금융·게임 보호 회사의 RE 인하우스 표준.

**약점**

가격. 2026년 기준 IDA Pro Named License가 \$3,710부터, Hex-Rays Decompiler 추가 시 아키텍처당 \$2,995씩 추가. 연간 유지보수 별도. 풀 패키지(x86/x64/ARM/MIPS/PowerPC 디컴파일러 + 1년 업데이트)가 \$15,000을 가볍게 넘는다. 개인이 살 수 있는 가격이 아니다. 학생 라이선스(IDA Free)는 클라우드 디컴파일 제한이 강하다. UI는 1990년대 윈도우 룩앤필을 벗어나지 못한다 — Hex-Rays 9.x에서 일부 개선됐지만 여전히.

**실제로 누가 쓰는가**

직업 RE 엔지니어. 정부·국방·금융·게임 보안·악성코드 분석 회사의 신입 교육은 여전히 IDA Pro가 표준이다. 한국에서는 안랩·라온화이트햇·KISA 일부 팀, 일본에서는 LAC·트렌드마이크로 도쿄 랩·FFRI 시큐리티가 IDA Pro 라이선스를 갖고 일한다.

**2026년 가격**

Named License \$3,710 + 디컴파일러 아키텍처당 \$2,995 + 연간 유지보수. 풀 셋업 \$15,000 이상. 회사 결재가 필수.

4장 · Binary Ninja (Vector 35) — 모던하고 API가 깨끗하다

**회사·라이선스**

미국 시애틀의 Vector 35. 2016년 출시. 2026년 현재 5.x 시리즈. 상용 라이선스, IDA Pro 대비 1/10 가격.

**강점**

파이썬 API가 처음부터 1급 시민이다. BNIL(Binary Ninja Intermediate Language)이라는 다단계 중간 표현 — LLIL → MLIL → HLIL — 이 깨끗해서 정적 분석 플러그인을 짜기에 가장 좋다. HLIL이 사실상 디컴파일러 출력이고, 품질이 빠르게 IDA에 따라잡고 있다. UI가 모던하다 — Qt 기반에 다크 테마, 멀티 탭, 빠른 검색. Sidekick(자체 LLM-assisted RE), Binary Ninja Cloud(브라우저에서 협업), Headless 모드(CI 통합). 2024~2025년에 PCode/Triton 통합, KLEE 백엔드, MLIR 실험까지 추가됐다.

**약점**

디컴파일러가 IDA Pro Hex-Rays만큼 성숙하진 않았다 — 특히 MIPS·SPARC·exotic 아키텍처에서. 한국·일본의 정부·금융 시장에서 점유율이 여전히 낮아 인재풀이 좁다. 무료 Cloud는 기능이 제한적.

**실제로 누가 쓰는가**

모던 RE 엔지니어, 보안 스타트업, 익스플로잇 개발자, CTF 팀. Trail of Bits, Synacktiv, Theori 같은 보안 회사가 Binary Ninja 자체 플러그인을 공개한다. 한국에서는 Theori 본사가 Binary Ninja 위에 자체 도구를 쌓는다.

**2026년 가격**

Personal \$300 영구 + 연 \$150 업데이트. Commercial \$1,500 + 연 \$750. Enterprise는 협의. Cloud Free 티어 + 유료 티어 (월 \$10~).

5장 · radare2 + Cutter — Qt UI를 입은 강력한 OSS

**회사·라이선스**

Sergi Àlvarez가 2006년에 시작한 오픈소스 프로젝트. 2018년에 Itay Cohen이 Cutter(Qt 기반 GUI)를 만들어 합류. 둘 다 LGPL 3.0.

**강점**

완전 무료 + OSS. CLI 기반의 radare2가 강력하다 — `aaa` 한 줄로 자동 분석, 그 다음 `pdf`(print disassembly function), `s`(seek), `wx`(write hex) 같은 짧은 명령어로 모든 게 된다. Cutter는 그걸 Qt GUI로 감싸 Ghidra의 디컴파일러를 백엔드로 호출한다. radare2의 r2pipe 인터페이스는 Python·Node.js·Rust 모두에서 스크립팅 가능하다. 패치 작업(바이너리 직접 편집)이 가장 직관적이다. 임베디드 RE — 펌웨어 분석·IoT 디바이스 — 에 강하다.

**약점**

학습 곡선이 가파르다. CLI 명령어가 Vim보다 어렵다는 평이 있다 — 실제로 한글 가이드 한 권 분량의 명령어를 외워야 한다. Cutter UI가 좋아졌지만 IDA·Binary Ninja에 비하면 거칠다. 디컴파일러는 Ghidra 백엔드를 빌려쓰기 때문에 Ghidra의 한계를 그대로 물려받는다.

**실제로 누가 쓰는가**

유럽·남미 보안 연구자가 많이 쓴다 — 스페인 출신 프로젝트이기 때문. 펌웨어 RE, IoT 디바이스 RE, ARM·MIPS·PowerPC 임베디드 분석. 강력한 OSS 옹호자, Vim 사용자. CTF에서도 종종 보인다.

**2026년 가격**

0원.

6장 · x64dbg — Windows 디버거의 새 표준

**회사·라이선스**

mrexodia(Duncan Ogilvie)가 2013년에 시작한 오픈소스. GPL 3.0. 정확한 이름은 x64dbg(64-bit)이지만 32-bit 호환 모듈 x32dbg가 같이 들어있다.

**강점**

완전 무료 + OSS인데 OllyDbg 2.x의 후계자로 자리잡았다. Windows PE 바이너리 디버깅에 최적화 — 32-bit/64-bit 모두. 패치, 브레이크포인트, 메모리 맵, 콜스택, 핸들, 모듈 뷰가 IDA Pro의 그것과 비슷한 수준. 플러그인 SDK가 깨끗하고 ScyllaHide(안티 안티-디버그), SwissArmyKnife, Snowman(디컴파일러), x64dbgIDA(IDA와 동기화) 같은 풍부한 플러그인 생태계. 2026년에도 매월 릴리즈가 나온다.

**약점**

Windows 전용 — Linux/macOS는 안 된다. 디컴파일러는 기본 탑재가 아니라 Snowman 플러그인을 깔아야 한다. 큰 바이너리에서 메모리 뷰가 느릴 수 있다.

**실제로 누가 쓰는가**

Windows 악성코드 분석가, 게임 치터·치트 방어 엔지니어, Windows 익스플로잇 개발자. 한국 게임 보안 회사(엔씨소프트·넥슨·크래프톤)의 안티-치트 팀, 일본의 트렌드마이크로 도쿄가 x64dbg를 표준 도구로 쓴다.

**2026년 가격**

0원.

7장 · OllyDbg — 레거시 32비트의 추억

**회사·라이선스**

Oleh Yuschuk(올레흐 유슈크)가 2000년에 만든 Windows 32-bit 디버거. 1.x와 2.x가 있고, 둘 다 프리웨어이지만 오픈소스는 아니다. 2014년 이후 메이저 업데이트가 사실상 멈췄다.

**강점**

2000년대 후반~2010년대 초반 Windows 악성코드 분석의 표준이었다. 가벼움, 단순함, 직관적 UI. ScyllaHide·OllyDumpEx·OllyAdvanced 같은 전설적 플러그인들이 있다. 한 번 익히면 평생 쓸 수 있는 단축키 체계.

**약점**

32-bit 전용. 2026년에는 64-bit가 사실상 표준이라 점유율이 급락했다. 메인테이너가 사실상 떠났고, 후계자는 x64dbg다. 최신 Windows 11/Server 2025의 안티-디버그를 그대로 통과시키지 못한다.

**실제로 누가 쓰는가**

2010년대에 OllyDbg로 RE를 배운 시니어 엔지니어들이 32-bit 옛 바이너리(레거시 산업제어시스템, 옛 게임, 옛 악성코드 샘플)를 분석할 때. 한국·일본의 시니어 분석가들이 향수처럼 쓰는 경우. 신규 학습자에게는 x64dbg를 권한다.

**2026년 가격**

0원(프리웨어).

8장 · Hopper Disassembler — Mac/Linux의 작고 우아한 선택

**회사·라이선스**

프랑스의 Cryptic Apps. 2011년 출시. 상용 라이선스, 영구 라이선스 모델.

**강점**

macOS에서 가장 잘 통합되는 RE 도구. iOS·macOS 바이너리(Mach-O, dyld_shared_cache) 처리에 강하다. Hopper의 디컴파일러는 IDA Pro·Ghidra만큼 깊지는 않지만 빠르고 깨끗하다. UI가 가볍고 macOS 네이티브 — Retina 디스플레이, 다크 모드, Touch Bar까지 자연스럽다. Python·Lua 스크립팅. 가격이 합리적.

**약점**

Windows를 지원하지 않는다(macOS/Linux 전용). 디컴파일러 깊이가 IDA Pro Hex-Rays 수준은 아니다. 플러그인 생태계가 IDA·Ghidra만큼 풍부하지 않다. ARM64 디컴파일러는 Apple Silicon 시대에 개선이 빠르지만 여전히 Hex-Rays에 못 미친다.

**실제로 누가 쓰는가**

macOS·iOS RE 엔지니어, Apple 생태계 보안 연구자, jailbreak 커뮤니티. 한국의 iOS 보안 연구자(드림시큐리티·삼성리서치), 일본의 모바일 보안 연구자가 Hopper + Frida 조합을 표준으로 쓴다.

**2026년 가격**

Personal \$129 영구 + 1년 업데이트, Educational \$99, Pro/Commercial \$199 영구 + 1년 업데이트. 추가 업데이트는 옵션. IDA Pro의 1/30 가격.

9장 · angr / Triton / KLEE — 심볼릭 실행 삼총사

**angr (UC Santa Barbara → 자체 재단)**

2015년 UCSB의 SecLab에서 시작. Apache 2.0. 파이썬 라이브러리로 ELF·PE·Mach-O를 로드해 CFG 복구, 심볼릭 실행, 정적 분석을 한다. CGC(2016 Cyber Grand Challenge) Mayhem 팀의 핵심 기술이었다. 2026년에도 학술 RE·CTF의 표준.

**Triton (Quarkslab → 자체 메인테이너)**

프랑스 보안 회사 Quarkslab에서 2015년에 시작. Apache 2.0. C++ 코어 + Python 바인딩. 동적 심볼릭 실행 + taint 분석 + SMT solver(Z3/Bitwuzla) 통합. Binary Ninja·IDA Pro 플러그인으로도 돈다. 산업적 사용에 더 가깝다(실시간 trace 위에서 도는 SSE).

**KLEE (Stanford → Imperial College)**

2008년 Stanford의 Cristian Cadar 등이 만든 LLVM 기반 심볼릭 실행 엔진. NCSA 라이선스. C 코드를 LLVM IR로 컴파일해서 그 위에서 심볼릭 실행을 돌린다. 즉 소스 코드가 필요하다(또는 LLVM IR로 디컴파일된 것). 2010년대에 GNU coreutils의 수많은 버그를 자동으로 찾았던 그 도구. 학술적 정확도 최고, 산업적 사용성은 낮다.

**언제 쓰는가**

모든 입력에 대해 가능한 모든 경로를 탐색해서 특정 분기(예: "패스워드 일치" 분기)에 도달하는 입력을 자동으로 찾고 싶을 때. CTF의 "패스워드 검증 우회" 문제, fuzz testing 보완, 자동 익스플로잇 생성(AEG). 2026년에도 "심볼릭 실행은 path explosion 때문에 큰 프로그램에서는 잘 안 된다"는 한계가 여전하다 — 하지만 작은 함수, CTF 챌, 검증 도메인에서는 강력하다.

**약점**

학습 곡선이 가파르다. SMT solver를 어느 정도 이해해야 한다. 큰 프로그램(웹브라우저·OS 커널)에서는 사실상 못 쓴다. 상태 폭발(state explosion)이 영원한 적이다.

10장 · Frida — 모바일 RE를 재정의한 동적 계측

**회사·라이선스**

노르웨이 Ole André V. Ravnås가 2013년에 시작한 오픈소스. wBSD 라이선스. 한 단어로 요약하면 "JavaScript로 함수를 후킹할 수 있는 동적 계측 툴킷".

**강점**

Android·iOS·Windows·macOS·Linux·QNX 모두 지원. 타겟 프로세스에 frida-agent를 주입하고 JavaScript로 함수 후킹·인자 변경·리턴값 조작을 한다. `Interceptor.attach(addr, { onEnter, onLeave })` 한 줄이면 어떤 함수든 가로챈다. iOS jailbreak 없이도 corellium·rootless 모드로 어느 정도 작동(여전히 jailbreak이 편리하지만). frida-tools(`frida-trace`, `frida-ps`)와 Objection(자동화된 모바일 RE 프레임워크)이 위에 쌓여있다.

**약점**

탐지된다. Banking 앱·게임 안티-치트가 Frida를 적극적으로 막는다 — `/data/local/tmp/frida-server` 검색, syscall 패턴 분석, Frida가 만든 메모리 매핑 패턴 인식. 우회 가능하지만 매년 군비경쟁이다. 큰 함수에 후킹 걸면 성능 영향이 크다.

**실제로 누가 쓰는가**

모바일 RE 엔지니어, 모바일 앱 보안 감사관, 페네트레이션 테스터, 모바일 악성코드 분석가, 게임 RE 커뮤니티. 한국의 모바일 페네트레이션 테스트 회사(코드체크·시큐리티퍼스트), 일본의 모바일 보안 연구자가 Frida 없이 일하지 못한다. iOS RE 시장에서는 사실상 표준.

**2026년 가격**

0원.

11장 · Cheat Engine — 게임 메모리 편집의 살아있는 전설

**회사·라이선스**

네덜란드의 Eric "Dark Byte" Heijnen이 2000년에 시작한 윈도우 게임 메모리 편집기. 부분적으로 오픈소스(소스는 GitHub의 cheat-engine/cheat-engine, 일부 라이선스 제한).

**강점**

"게임에서 골드를 1,000으로 바꾸고 싶다"가 한 줄로 가능. 메모리 스캔 → 값 변화 추적 → 포인터 체인 분석 → 트레이너 작성까지 전부 한 GUI에서. Lua 스크립팅이 강력하다. 안티-치트가 막지 않는 한 게임 RE의 가장 빠른 도구. 디버거 기능도 들어있어 게임에 한정해서 OllyDbg 비슷한 일이 가능하다.

**약점**

이름 때문에 안티바이러스가 자동으로 차단하는 경우가 많다. 안티-치트(VAC, BattlEye, EasyAntiCheat, Vanguard)가 Cheat Engine을 적극적으로 막는다 — 멀티플레이 게임에서 쓰면 계정 정지. Windows 전용. 합법성이 게임별로 다르다(싱글플레이는 대체로 OK, 멀티는 절대 금지).

**실제로 누가 쓰는가**

싱글플레이 게임 모더, 게임 RE 학습자, 안티-치트 엔지니어(반대편을 이해하기 위해), 일부 보안 연구자. 한국·일본의 게임 보안 회사가 "공격자 시점"을 이해하기 위해 사내에서 쓴다.

**2026년 가격**

0원(기부 권유).

12장 · Wireshark — 네트워크 레벨의 RE

**회사·라이선스**

Gerald Combs가 1998년 Ethereal로 시작, 2006년 Wireshark로 개명. GPL 2. Wireshark Foundation이 메인테이너.

**강점**

네트워크 패킷 캡처·분석의 사실상 표준. WiFi·이더넷·블루투스·USB·CAN bus까지 캡처한다. 2,000개 이상의 프로토콜 디섹터가 내장 — TLS 1.3, HTTP/3 QUIC, gRPC, MQTT, Modbus, BACnet 등. 캡처 파일(.pcap, .pcapng)이 업계 표준. tshark CLI 버전이 있어 자동화도 가능. 2026년에 TLS 1.3 디크립트(사전공유 키·SSLKEYLOGFILE 사용)와 HTTP/3 디섹터가 안정됐다.

**약점**

TLS 디크립트는 키가 있어야만 된다 — 즉 클라이언트 협조가 있어야 한다. 모바일 트래픽 캡처는 MITM 프록시(mitmproxy·Burp·Charles)가 더 편리한 경우가 많다. UI가 1990년대 GTK 느낌을 못 벗어난다(2025년 Qt 6로 마이그레이션 진행 중).

**실제로 누가 쓰는가**

네트워크 RE, 멀웨어 C2 분석, IoT 프로토콜 RE, 모바일 트래픽 분석, 임베디드 RE. 한국 KISA·금융보안원의 침해사고 분석 팀, 일본 JPCERT의 멀웨어 트래픽 분석 팀이 Wireshark를 표준으로 쓴다.

**2026년 가격**

0원.

13장 · CTF 도구 체인 — Pwntools / Pwndbg / GEF

**Pwntools (Gallopsled)**

Python 익스플로잇 개발 프레임워크. 2013년경부터. MIT. `from pwn import *` 한 줄로 process·remote·ELF·ROP·shellcraft·logging이 다 들어온다. CTF의 "pwn" 카테고리에서는 사실상 표준 임포트. 한국의 LeaveCat·KaisaHack 같은 CTF 팀이 항상 쓴다.

**Pwndbg (pwndbg 프로젝트)**

GDB 플러그인. 익스플로잇 개발용 디스플레이 강화 — heap 상태, ROP 가젯, 메모리 매핑, 캐시된 telescope. `heap` 명령으로 glibc heap 청크가 시각화된다. MIT 라이선스. 2026년 현재 GEF와 더불어 GDB 플러그인의 양대 산맥.

**GEF (GDB Enhanced Features, hugsy)**

또 다른 GDB 플러그인. 단일 파이썬 파일로 깔린다. Pwndbg와 기능이 겹치지만 GEF는 "한 파일로 깔리는 가벼움"이 강점. ARM·MIPS·PowerPC 지원이 Pwndbg보다 좋다. 한국·일본 CTF 신에서 ARM 챌 분석할 때 GEF를 선호하는 경향.

**같이 쓰는 패턴**

"GDB + Pwndbg(또는 GEF) + Pwntools"가 CTF pwn 챌의 표준 셋업. 바이너리 분석은 Ghidra·Binary Ninja에서, 동적 디버깅은 GDB + Pwndbg, 익스플로잇 작성은 Pwntools.

from pwn import *

context.arch = 'amd64'

context.log_level = 'debug'

p = process('./vuln')

elf = ELF('./vuln')

payload = b'A' * 40

payload += p64(elf.sym['win'])

p.sendline(payload)

p.interactive()

40바이트 버퍼 오버플로 후 `win` 함수로 점프하는 가장 단순한 ROP 익스플로잇. 2010년대 후반부터 2026년까지 CTF pwn 입문 코드는 거의 똑같다.

14장 · 엔진 레이어 — Capstone / Keystone / Unicorn / QEMU

이 네 개는 다른 도구의 기반이다. RE를 시작하면 항상 마주친다.

**Capstone (Aquynh, COSEINC → 자체 재단)**

2014년 출시. BSD. 멀티-아키텍처 디스어셈블러 엔진. x86·ARM·MIPS·PowerPC·SPARC·SystemZ·XCore·M68K·M680X·RISC-V·BPF·EVM·6502까지. Python·Java·Ruby·Go·C# 바인딩. radare2·angr·Frida·Cuckoo Sandbox·Volatility·BAP 모두 Capstone 위에 산다.

**Keystone (Aquynh, COSEINC → 자체 재단)**

Capstone과 짝. 2016년 출시. BSD. 멀티-아키텍처 어셈블러 엔진. Capstone이 "바이트 → 어셈블리"라면 Keystone은 "어셈블리 → 바이트". 익스플로잇 페이로드 생성·shellcode 작성에 필수.

**Unicorn (Aquynh, COSEINC → 자체 재단)**

2015년 출시. GPL 2. 멀티-아키텍처 CPU 에뮬레이터. QEMU의 TCG 엔진을 발라서 "프로세스도 아니고 시스템도 아닌 그냥 CPU"를 에뮬레이션. Frida가 Stalker(코드 트레이서)에서 부분적으로 활용. angr도 부분적으로 호출. shellcode 테스트, 패킹 해제, 가상 머신 기반 난독화 풀이에 쓴다.

**QEMU (Fabrice Bellard → 자체 재단)**

1999년 시작, 사실상 시스템 에뮬레이션의 표준. GPL 2. 펌웨어 RE에서 절대적이다 — IoT 디바이스의 ARM/MIPS 펌웨어를 추출해서 QEMU로 부팅한 다음 gdbserver로 디버깅. 펌웨어 RE를 한 번이라도 해본 사람은 QEMU 없이 못 산다. FirmAE·Firmadyne 같은 자동 펌웨어 에뮬레이션 도구가 QEMU 위에 산다.

**왜 알아야 하는가**

Ghidra·Binary Ninja·angr·Frida가 좋다고 하지만, 그 안에서 디스어셈블 정확도가 이상하면 결국 Capstone 버전·옵션을 확인해야 한다. 익스플로잇 작성하다 shellcode 인코딩이 깨지면 Keystone 옵션을 본다. 펌웨어가 안 풀리면 QEMU 머신 모델을 본다. 결국 이 네 엔진이 RE의 기반이다.

15장 · LLM-assisted RE — Binary Ninja Sidekick / IDA Decompiler AI / GhidraMCP

2024~2026년의 가장 큰 변화는 LLM이 RE 워크플로에 들어온 것이다. 세 가지 방향이 있다.

**(a) 디컴파일 결과 리네이밍 / 코멘트**

가장 안정적인 LLM 사용처. 디컴파일된 의미 없는 `sub_401000`·`v1`·`v2` 변수 이름을 LLM에 보내 "이 함수의 의미를 추론해서 함수명·변수명·주석을 자동 생성"하게 한다. Binary Ninja Sidekick, IDA Pro의 Decompiler AI 플러그인, Ghidra용 GhidraMCP·G-3PO·sidekick-for-ghidra가 모두 이 일을 한다. Claude 3.7/4·GPT-5·Gemini 2.0이 한국어·일본어 함수명도 잘 생성한다.

**(b) 자연어로 분석 질문**

"이 함수가 뭐 하는 것 같아?" "왜 이 분기가 안 돌지?" "이 패킹은 어떻게 풀어?"를 자연어로 묻고 LLM이 디컴파일된 코드를 컨텍스트로 답한다. MCP 통합이 들어가면서 LLM이 직접 Ghidra·IDA·Binary Ninja의 API를 호출해 변수 이름을 바꾸거나 새 함수를 정의할 수 있다.

**(c) 익스플로잇·취약점 자동 탐색**

실험적. CGC 시절의 angr 같은 심볼릭 실행 위에 LLM이 휴리스틱을 얹는 형태. 2026년 현재 "프로덕션에서 자동으로 익스플로잇을 찾는다"는 아직 없다 — 하지만 휴먼 RE 엔지니어를 보조하는 수준은 됐다.

**한계와 주의점**

LLM은 디컴파일된 의사 코드를 보고 추론하지만, 그 디컴파일이 틀렸으면 LLM은 더 그럴듯하게 틀린다. 컴파일러 최적화가 심한 인라인 함수, 가상 함수 테이블, 난독화된 코드에서는 LLM이 "그럴듯하지만 틀린" 함수명을 제시한다. 검증 없이 받아쓰면 위험하다. 실제 RE 워크플로에서는 "LLM이 제안한 이름을 보고 사람이 한 번 더 검증"하는 것이 표준이다.

16장 · 한국 / 일본 — KAIST, KISA, AIST, JPCERT, FFRI 시큐리티

**한국 — 학계·정부·업계의 RE 생태계**

KAIST의 SoftSec·SysSec 랩이 RE·취약점 분석의 학술 본거지. POSTECH·고려대 보안 동아리(Lazy·KUICS), 서울대 SNU CSE 보안 연구실이 핵심 인재 공급. CTF 신은 KaisaHack(KAIST), LeaveCat, Cykor(고려대), Goblins, PLUS가 DEFCON CTF·Codegate에서 자주 본선에 오른다. 국가기관으로 KISA(한국인터넷진흥원)가 침해사고 분석·악성코드 분석 보고서를 정기적으로 낸다 — Ghidra·IDA Pro·Wireshark가 거기 스크린샷의 표준. 업계로는 안랩(국내 1위 백신), 라온화이트햇(페네트레이션 테스트), 에스투더블유(악성코드 분석), Theori(글로벌 보안 컨설팅, 미국+한국 본사)가 RE 인재를 채용한다. Theori는 Binary Ninja 위에 자체 도구를 쌓는 것으로 유명.

**일본 — 더 보수적이고 학술적인 색채**

AIST(산업기술종합연구소)의 사이버 보안 연구센터가 학술·정부 RE의 중심. JPCERT/CC가 한국의 KISA에 해당. 업계로는 FFRI 시큐리티가 가장 알려진 RE 전문 회사 — 자체 EDR·악성코드 분석·취약점 연구. LAC, NTT-CERT, 트렌드마이크로 도쿄 랩, 일본 IBM Security가 RE 채용. 대학으로는 와세다 SecCap, 게이오의 보안 강의, 도쿄대의 정보보안 강의가 있다. CTF는 TokyoWesterns(국제 강팀), Sutegoma2가 유명. SECCON CTF가 일본 최대 CTF.

**도구 선호도의 미묘한 차이**

한국 정부·금융권은 여전히 IDA Pro 라이선스를 갖고 일하는 곳이 많다(예산이 있는 곳들). 학생·연구자는 Ghidra. 모바일 RE는 한일 모두 Frida + Hopper. 일본은 OllyDbg 후계로 x64dbg 채택이 한국보다 약간 늦은 편 — 시니어 분석가들이 OllyDbg를 더 오래 쓰는 경향. 펌웨어 RE는 한일 모두 radare2 + QEMU 조합이 점유율을 늘리고 있다.

17장 · 누가 무엇을 골라야 하는가 — 결정 트리

**학생 / 입문자**

Ghidra + GDB + Pwndbg/GEF. 0원으로 모든 게 된다. CTF에 들어가면 Pwntools 추가. 모바일에 관심 있으면 Frida 추가. IDA Pro는 회사 들어가면 자연스럽게 만난다.

**CTF 플레이어**

Ghidra(빠른 정적 분석) + Binary Ninja(API로 챌마다 자동화 스크립트) + GDB + Pwndbg/GEF + Pwntools. Binary Ninja Personal \$300은 진지한 CTF 플레이어에게는 충분히 회수된다. angr는 "패스워드 검증 우회" 같은 챌에서 가끔 마법처럼 푼다.

**모바일 RE (Android/iOS)**

Frida + Objection + Hopper(macOS/iOS) + Ghidra(Android APK·ELF). Burp Suite·mitmproxy 추가. iOS는 jailbreak 디바이스(또는 corellium 클라우드) + Hopper + Frida가 표준. Android는 jadx(Java 디컴파일러) + Ghidra(네이티브 라이브러리) + Frida.

**펌웨어 / IoT RE**

radare2 + Cutter + QEMU + Ghidra. binwalk(펌웨어 추출), FirmAE/Firmadyne(자동 에뮬레이션). 직렬·JTAG 하드웨어 디버깅이 필요하면 OpenOCD·Saleae 로직 분석기 추가. Wireshark는 항상 켜둔다.

**Windows 악성코드 분석**

IDA Pro(예산 있으면) 또는 Ghidra + x64dbg + Wireshark. ScyllaHide(안티 안티-디버그 플러그인). Cuckoo Sandbox 또는 ANY.RUN 같은 자동 분석 환경. PE-bear·CFF Explorer 같은 PE 파서.

**직업 RE 엔지니어 (정부·국방·금융·게임 보안)**

IDA Pro + Hex-Rays 디컴파일러 풀 라이선스 + Binary Ninja(보조) + Ghidra(2nd 의견) + x64dbg + Frida + Wireshark + Pwntools(가끔). 회사가 \$15,000짜리 IDA 풀 라이선스를 사준다. 한국·일본 정부 계약자는 IDA가 표준.

**보안 연구자 / 취약점 헌터**

Binary Ninja(API로 자동화) + Ghidra(2nd 의견) + angr/Triton(심볼릭 실행) + Frida(동적) + AFL++/libFuzzer(퍼징) + Pwntools(익스플로잇). LLM은 보조로만 쓰고 발견된 모든 것을 사람이 검증.

**가장 흔한 실수**

"IDA Pro만 있으면 다 된다"고 믿거나, 반대로 "Ghidra가 무료니까 IDA Pro 라이선스는 낭비"라고 믿는 것. 실제 직업 RE 엔지니어는 IDA·Ghidra·Binary Ninja를 모두 깔아두고, 같은 함수를 세 도구로 봐서 어느 쪽이 더 정확한지 비교한다. 디컴파일러는 항상 틀린다 — 어느 쪽이 덜 틀리느냐의 게임이다.

참고 / References

- [Ghidra GitHub — National Security Agency](https://github.com/NationalSecurityAgency/ghidra)

- [Ghidra Official Site](https://ghidra-sre.org/)

- [IDA Pro — Hex-Rays SA](https://hex-rays.com/ida-pro/)

- [IDA Pro Pricing — Hex-Rays](https://hex-rays.com/buy)

- [Binary Ninja — Vector 35](https://binary.ninja/)

- [Binary Ninja Sidekick — AI assistant](https://sidekick.binary.ninja/)

- [radare2 GitHub](https://github.com/radareorg/radare2)

- [Cutter — Qt UI for radare2](https://cutter.re/)

- [x64dbg GitHub](https://github.com/x64dbg/x64dbg)

- [OllyDbg Official Site](https://www.ollydbg.de/)

- [Hopper Disassembler](https://www.hopperapp.com/)

- [angr — UCSB SecLab](https://angr.io/)

- [Triton — Quarkslab](https://triton-library.github.io/)

- [KLEE Symbolic Execution Engine](https://klee-se.org/)

- [Frida — Dynamic Instrumentation Toolkit](https://frida.re/)

- [Cheat Engine GitHub](https://github.com/cheat-engine/cheat-engine)

- [Wireshark Official Site](https://www.wireshark.org/)

- [Pwntools — Gallopsled](https://github.com/Gallopsled/pwntools)

- [Pwndbg GitHub](https://github.com/pwndbg/pwndbg)

- [GEF — GDB Enhanced Features](https://github.com/hugsy/gef)

- [Capstone Disassembler Engine](https://www.capstone-engine.org/)

- [Keystone Assembler Engine](https://www.keystone-engine.org/)

- [Unicorn CPU Emulator](https://www.unicorn-engine.org/)

- [QEMU Official Site](https://www.qemu.org/)

- [GhidraMCP — Ghidra MCP integration](https://github.com/LaurieWired/GhidraMCP)

- [KAIST SoftSec Lab](https://softsec.kaist.ac.kr/)

- [KISA — Korea Internet & Security Agency](https://www.kisa.or.kr/)

- [JPCERT/CC](https://www.jpcert.or.jp/)

- [FFRI Security](https://www.ffri.jp/)

- [SECCON CTF Japan](https://www.seccon.jp/)

- [Codegate CTF Korea](https://www.codegate.org/)