[논문]개발자 첨부 자료에 의한 트로이 목마 대응 기법

조은선; 예홍진; 오세창; 홍선호; 홍만표

[국내논문] 개발자 첨부 자료에 의한 트로이 목마 대응 기법
An Anti-Trojan Horse Mechanism with Attached Data from Developers 원문보기

정보과학회논문지. Journal of KIISE. 시스템 및 이론, v.29 no.4, 2002년, pp.220 - 231

조은선 (충북대학교 전기전자컴퓨터공학부) , 예홍진 (아주대학교 정보통신전문대학교) , 오세창 (아주대학교 정보통신전문대학교) , 홍선호 (아주대학교 정보통신전문대학교) , 홍만표 (아주대학교 정보통신전문대학교)

초록
AI-Helper

'트로이 목마 프로그램 (Trojan-horse program)'이란 겉으로는 유용한 일을 하는 것처럼 보이지만 사용자 모르게 악성 행위를 하는 프로그램을 의미한다. 본 논문에서는 개발자의 첨부 자료에 의거하여 트로이 목마 프로그램을 감지할 수 있는 방법을 제안한다. 이 방법에서 코드는 개발자에 의해 자원 접근 정보를 가지는 첨부자료와 함께 배포되며 사용자는 첨부 자료를 통해 코드의 악성 여부를 1차 판단한다. 이 때 정상 코드로 판명되어 수행이 허가된 코드는 수행 중에 감시 시스템에 의해 자신의 첨부자료에 위배되지 않는 다는 것을 2차로 감시 받게 된다. 이로써 알려지지 않는다는 트로이 목마 프로그램의 감지가 가능함과 동시에 기존 감시 시스템 기법들에 비해 사용자 측의 정책 설정 및 판단 부담을 줄여주는 특징을 가진다. 본 논문에서는 제안된 방식을 형식 언어로 기술하고 그 안전성도 함께 보인다.

Abstract ▼ AI-Helper

Trojan-horse programs are the programs that disguise normal and useful programs but do malicious thing to the hosts. This paper proposes an anti-Trojan horse mechanism using the information attached to the code by the developers. In this mechanism, each code is accompanied with the information on their possible accesses to resources, and based on this information users determine whether the code is malicious or not. Even in the case a code is accepted by users due to its non-malicious appearance, its runtime behaviors are monitored and halted whenever any attempts to malicious operations are detected. By hiring such runtime monitoring system, this mechanism enables detecting unknown Trojan horses and reduces the decision-making overhead being compared to the previous monitoring-based approaches. We describe the mechanism in a formal way to show the advantages and the limitations of the security this mechanism provides.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서 제안하는 SK死THICe 상태와 이 상태에 적용될 수 있는 연산들로 기술할 수 있다. SKETHiC의 상태 T 는d, k, s, fmc, fmi.
본 논문은 주어진 프로그램이 트로이 목마인지를 판별하여 수행을 거부하거나 수행 중 제지를 하는 시스템인 'SKETHICCSecure Kernel Extension against Trojan Horses with Information-carrying Codes)' 을제안한다. SKETHICe 기존의 트로이 목마 대응 방법과는 달리 사용자의 프로그램에 대한 인식과 프로그램의 실제 행동간의 차이를 파악하여, 이미 알려진 트로이목마 뿐 아니라 알려지지 않은 트로이 목마들을 판별하고 대응하는 것에 중점을 둔다.
본 연구에서 다루고 있는 대응책은 위의 정의 9에서 기술된 트로이 목마를 감지하고 그 수행을 막아 정의 10과 같은 안전한 상태를 유지하는 것이 목적이다. 다음 정리는 초기 시스템이 트로이 목마에 대해 안전하고, 트로이 목마가 확실히 아닌 프로그램만 추가된다면, 그 시스템은 트로이 목마에 관해 안전하게 유지될 수 있음을 나타낸다.
또, 제안하는 대응 방식의 작동 원리를 이에 맞추어 기술하고 그 효과를 보이는 것은 대응 방식의 장점과 한계를 파악하는 데에 유익한 작업이다[15]. 본 절에서는 트로이 목마가 파괴하는 안전성에 관한 정의와 이를 위한 SKETHIC의 대응 방안을 정제된 형식으로 기술하고, 결과적으로는 SKCTHIC이 주어진 문제의 해결 능력이 있음을 보인다.
사용자 및 시스템 관리자 : 주어진 프로그램 <m, c, />의 이름 m 및 첨부된 자원 접근 목록 I을 보고, 주관적인 기대에 비추어 악성 연산을 내포하였는지를 1 차 판별한다. 즉 프로그램의 이름이나 기대되는 행동에 어긋나며 위험 소지가 있는 연산이 자원 접근 목록에서 유도될 수 있는지 검토한다. 이로써 트로이 목마라는 의심이 들지 않는 프로그램에 한해서 자신의 컴퓨터에 저장하거나 경우에 따라서는 코드 c를 곧바로 수행한다.

가설 설정

. 개발자가 자원 접근 목록을 해당 프로그램의 행동을 그대로 반영하여 사실대로 첨부하게 되면, 사용자는 이 프로그램이 자신의 파일을 접근하여 파괴하리라는 것을 알게 되므로 수행시키지 않을 것이다.
개개의 프로그램 연산들을 수행하는 口m의 의미도 운영체제가 수행하는 각 연산의 의미론과 관련 있는 부분으로써 본 논문의 범위를 벗어나므로 다루지 않는다. 단, 顷은 SKETHIC 상태를 변화시키지 않는다고 가정한다.
또, 나쁜 의도가 없는 프로그램에는 항상 올바른 자원접근 목록이 첨부된다고 가정한다. 이는 개발자가 개발단계에서 소스 코드에 대한 정확한 정보를 가지고 있으므로 자동화 분석 도구[3, 14] 의 도움을 받아 이루어 것으로 본다.
따라서, 하나의 프로그램은 여러 연산 수행 순서 열을 가지게 된다. 무한히 수행되는 프로그램들이 있으므로 순서열의 길이는 무한할 수 있다고 가정한다.
즉, 정상 프로그램의 개발자들이 첨부한 자료는 항상 정확하고 유용한 정보를 내포한다는 의미이며, 이는 잘 고안된 정적 코드 분석기 등의 개발자 도구의 지원에 의해 실현될 것으로 본다. 반면, 트로이 목마의 자원 접근 목록에게는 이 성질의 보장을 기대할 수 없다고 가정한다.
본 논문에서 제안하는 시스템에서는, 나쁘 의도가 없는 개발자는 늘 올바른 자원 접근 목록을 첨부한다는가 정을 기반으로 한다. 즉, 정상 프로그램의 개발자들이 첨부한 자료는 항상 정확하고 유용한 정보를 내포한다는 의미이며, 이는 잘 고안된 정적 코드 분석기 등의 개발자 도구의 지원에 의해 실현될 것으로 본다.
자원 접근과 관련되지 않은 연산들은 모든 /UL에서 유도된다고 가정한다.
한 프로그램에서 수행 가능한 경로들의 집합이므로 이것의 원소 개수도 무한할 수 있다고 가정한다.

제안 방법

SKETHIC 메커니즘 및 안전성을 기술하기 위해 본연구에서는 형식적 프레임워크를 새로 정의하였다. 기존의 Timbley에 의해 제안된 프레임워크[15] 는 악성 행위 수행 방지 측면보다는 원본 프로그램과의 차이와 무결성 검증 관점에서 트로이 목마, 바이러스 모두를 포함하는 보다 추상적이고 일반적인 정의로 구성되어 있는 관계로, SK死THIC의 기술을 위해 사용하게 되는 경우 불필요한 복잡도가 높아지게 된다는 단점이 있다.
SKETHIC 에서는 접근 제어 정책을 사용자가 설정하는 것이 아니므로, 다소 복잡한 접근 제어 모델의 적용도 용이하나, 우선 제안 된 메커니즘의 적용성을 보이기 위해 Java의 각 메소드에 명세에 해당 유한 상태 전이 기계를 구문 [19] 형태로 바꾸어 첨부한다. 이에 따라 개발자 자료 첨부 도구는, 각 Java API 마다 기본적인 유한 상태 전이 기계가 할당된 상태에서, 각 사용되는 모듈의 첨부 자료를 취합하여 전체 프로그램의 첨부 자료를 얻는 방식으로 접근 하고 있다.
6, 7, 8, 9]. 본 논문에서 소개하고 있는 SKETHIC 도 이 방식을 따르는데, 프로그램의 수행을 감시 및 제어하는 감시(monitoring) 시스템이 있어서 주어진 접근제어 정책 (access control policy) 에 따라 해당 프로그램의 자원 접근을 제한한다. 이때 접근 제어 정책은 해당 프로그램의 성격에 맞게 최소한으로 한정하여 정의하는 것이 이상적인데, 특히 트로이 목마는 그 대상 프로그램의 종류가 매우 다양하고 이질적이기 때문에, 자바 애플릿의 보안 모델[10]처럼 출신 주소나 개발자 별로 획일적으로 자원의 접근 권한을 한정하는 것은 적절하지 못하다[7].
본 논문의 방식은 사용자가 가지는 접근 제어 정책설정의 부담을 개발자로 이전시킴으로써 사용자의 부담을 줄이지만, 이에 따르는 개발자의 부담이 상대적으로 늘어날 것으로 예상된다. 그러나, 개발자는 프로그丄램에대해 이미 알고 있으므로 접근 제어 정책을 정의하는데 드는 부담이 시용자의 그것보다 매우 적을 것이다.
앞 장에서 언급 되었듯이 SKETHICe 기존에 알려지지 않은 트로이 목마를 감지 할 수 있도록 하기 위해 악성 코드 감시 시스템을 가지는 방식을 채택하였다. 그러나, 기존의 방식들과 다른 점은 사용자가 가지는 접근제어 정책 설정의 부담을 개발자로 이전시킴으로써 앞장에서 지적된 감시 시스템 기반 방식의 문제점을 완화시킨다는 것이다.

성능/효과

개발자로 전이된 접근 제어 정책 설정의 부담은 사용자의 부담에 비하면 작을 뿐 아니라, CASE의 발달 및 정적 분석 도구의 제공으로 해소 될 수 있다고 전망된다. 또 본 논문에서는 이러한 SK死THIC을 형식언어로 기술하고 이 방식이 시스템을 안전하게 유지하는 지를 보였다.
비해 가지는 장점을 정리하면 다음과 같다. 첫째, 악성 코드 감시 시스템 방식을 채택하여 알려지지 않은 트로이 목마에 대한 대응도 가능하다는 점이다. 둘째, 앞서 지적되었던 감시 시스템 방식의 문제점인 사용자의 접근 권한 설정 부담을 해소 한다.
첫째, 해당 트로이 목마에 관한 정보가 미리 파악된 경우, 알려진 트로이 목마 프로그램들의 특성들이 주어진 프로그램 내에서도 발견된다면 트로이 목마로 간주하는 방법이다. 예를 들어 바이러스 백신에서처럼 알려진 트로이 목마들의 시그니쳐 (signature)중 층卜나가 주어진 프로그램 속에 들어있는지를 보고 트로이 목마임을 판별하거나[1, 2], 해당 프로그램을 정적으로 분석하여 기존의 악성 코드들이 가지는 특성을 지니는지 여부를 파악하기도 한다[3].

후속연구

다시 말하자면, 사용자가 일일이 각 프로그램의 접근 권한을 설정할 필요 없이, 코드에 첨가된 자원 접근 목록을 보고 판단을 하는 것으로써 대신하게 된다. 셋째, 이미 사용자에 의해 1차 선별된 프로그램에 대해서만 감시 및 제어가 수행되므로 기존의 수행 중 제어 방식들에 비해 감시 시스템의 부담도 줄어들게 될 것으로 기대된다.
이는 개발자가 개발단계에서 소스 코드에 대한 정확한 정보를 가지고 있으므로 자동화 분석 도구[3, 14] 의 도움을 받아 이루어 것으로 본다. 특히, 소프트웨어 공학에서 연구되는 취약성 검증 도구U4] 나 타입 검사와 같은 프로그램 관련 검증 도구들에서도 변용 방법을 찾을 수 있을 것으로 기대된다.

참고문헌 (19)

Symantec antiVirus for Macintosh-knowledge-base-About Trojan Horses, http://servicel.symantec.com/SUPPORT/num.nsf/d514450ab7fffddf852565a600636fb9/900ea4166e937d52852565a60063a176?OpenDocument
Virus Protection, http://helpdesk.uvic.ca/how-to/support/virus.html#winfeatures
R.W. Lo, K.N. Levitt, R.A. Olsson, 'MCF: a Malicious Code Filter,' Computers & Security, 1995, Vol.14, No.6, pp. 541-566

상세보기
Trojan Port List, http://www.glocksoft.com/trojan_port.htm
C. Ko, G. Fink, K. Levitt, 'Automated Detection of Vulnerabilities in Privileged Programs by Execution Monitoring,' Proc. of the 10th Annual Computer Security Applications Conference, Orlando, FL, 5-9 Dec. 1994, pp. 134-144
F. Schneider, 'Enforceable Security Policies', Techbnical Report, TR98-1664, Dept of Computer Science, Cornell University, 1998
A. Acharya, M. Raje, 'MAPbox : Using Parameterized Behavior Classes to Confine Applications', Technical report TRCS99-15, Dept of Computer Science, University of Califormia, Santa Barbara
EROS: The Extremely Reliable Operating System, http://www.eros-os.org
T. Mitchem and R. Lu and R. O'Brien, 'Using Kernel Hypervisors to Secure Applications', in the Proc of the Annual Computer Security Application Conference(ACSAC97), 1997
S. Oaks, 'Java Security', O'Reilly, 1998
'Trojan Horses', http://www.ladysharrow.ndirect.co.uk/Maximum%20Security/trojans.htm
S. Mann, E. L. Michell, 'Linux System Securtiy : An Administrator's Guide to Open Source Security Tools', Prentice Hall RTR, 2000
'Navidad.exe', http://home.ahnlab.com/virus-info/navidad.html, 2000
J. Viega, J.T. Bloch, T. Kohno, G. McGraw, 'ITS4: A Static Vulnerability Scanner for C and C++ Code', In Proc. of the 16th Annual Computer Security Applications Conference(ACSAC'00), 2000
H. Thimbleby, S. Anderson, P. Cairns, 'A framework for modeling Trojans and computer virus infection', Computer Journal, Vol. 41, No. 7, pp444-458, 1999

상세보기
I. Goldberg, D. Wagner, R. Thomas, E. A. Brewer, 'A Secure Environment for Untrusted Helper Applications confining the Wily Hacker', Technical Report, University of California Berkeley, 1996
G.C. Necula and P. Lee, 'Safe Kernel Extensions Without Run-Time Checking', in the Proc. of the Second Symposium on Operating Systems Design and Implementation(OSDI'96), 1996
R. D. Nicola, G. Ferrari, R. Pugliese, 'Types as Specifications of Access Polices', Available at http://rap.dsi.unifi.it/papers/html. To appear in Theoretical Computer Science, http://www.cs.engruky.edu/~lewis/essays/compilers/Ⅱ-lang.html
Alfred V. Aho, Ravi Sethi, and Jeffrey D. Ullman, 'Compilers: Principles, Techniques and Tools', Addison-Wesley 1986

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증