선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 또한 단말 내 프로세스 및 서비스에 대한 분석 기능이 제공되어야 한다. 결국 상용 단말을 사용하는 과정에서 발생하는 각종 이벤트 정보를 실시간으로 수집하고 이를 분석할 수 있는 시스템을 통해 단말 내 악성 앱을 탐지하는 과정에 적용할 수 있을 것으로 예상되어, 본 논문에서는 다음과 같이 상용 모바일 단말 내에서 발생하는 이벤트 정보를 수집하여 악성 앱을 탐지할 수 있는 시스템을 설계 및 구현하였다.
- 상용 단말에서 어플리케이션이 구동되거나 단말 내 시스템 설정 등이 변경될 경우 실시간으로 발생하는 이벤트 정보를 수집하여 다수의 상용 단말에서 발생하는 정보를 비교 분석할 수 있도록 시스템을 구축하였다. 또한 수집된 정보를 기반으로 각 사용자의 단말에 대한 행위를 분석하고 악성 어플리케이션의 실행 유무 등을 확인 할 수 있도록 하였다. 이를 위해 우선 상용 모바일 단말에 대한 보안 취약점에 대한 분석 과정을 수행하여 다양한 형태의 악성 어플리케이션에 대해 효율적으로 대응할 수 있는 방식을 제시하고, 이를 기반으로 상용 모바일 단말 내 악성 어플리케이션에 의한 공격을 탐지할 수 있는 시스템을 제시하였다.
- 본 논문에서는 상용 단말에 대한 공격에 대응하기 위해서 다수 사용자 모바일 단말에 대한 악성 앱 탐지 시스템을 설계 및 구현하였다. 우선 단말 내 이벤트 및 시스템 영역에서 실행되는 프로세스 정보 등을 획득하고 이를 서버로 전송할 수 있도록 클라이언트 및 서버 시스템을 개발하여 다수의 사용자로부터 발생한 이벤트 정보를 토대로 악성 앱에 대한 실행 여부를 판단할 수 있는 기초적인 기능을 제공하였으며 이를 토대로 상용 단말에서 생성되는 각종 이벤트 정보를 수집 및 분석할 수 있는 시스템을 제공할 수 있었다.
- 앞에서 분석한 네 가지 시스템 등에 대한 장단점 분석 과정을 통해 상용 모바일 단말에 대한 보안 취약성 과정에서 필요한 기능을 고찰하고 개선방안을 제시하고자 한다. 우선, 어플리케이션에 대한 해시 검사 기능을 제공해야 한다.
제안 방법
- 앱 시그니쳐 분석(application signature analysis) 시스템은 아래 (그림 3)과 같이 크게 정적 분석(static analysis)과 동적 분석(dynamic analysis)의 두 가지 방식으로 수행된다. APK 파일을 실행하면 DB에 MD5, SHA-1 등의 해시 알고리즘을 이용하여 APK 파일에 대한 시그니쳐 분석 값을 획득한다. 정적 분석 과정에서는 어플리케이션에 대한 역어셈블링(reassembling) 과정을 수행하며, 동적 분석 과정에서는 어플리케이션 실행 시 발생하는 시스템 내부 로그 정보를 분석하는 과정을 수행한 후 획득된 정보를 토대로 앱에 대한 위험도를 판별하게 된다.
- 안드로이드 플랫폼에 포함된 Dalvik 가상머신에 대한 수정을 통해 시스템 내부에서 발생하는 API System Call 관련 로그 정보를 실시간 수집 및 분석하는 과정을 수행한다. Python 언어에서 제공하는 정규표현(Regular Expression) 도구를 이용하여 악성 어플리케이션에 대한 실행 여부를 판단하게 된다.
- 각 사용자 단말 내에서 구동되는 악성 어플리케이션에 의해서 사용자도 모르게 진행되는 루팅 여부를 확인하는 기능을 제공하였다. (그림 21)과 같이 사용자 단말에서 악성 앱이 실행되면서 루팅 상태로 전환되면 이를 사용자에게 알려주는 기능이 활성화 되는 것을 확인하였다.
- 우선 모바일 단말에서 본 연구에서 개발한 악성 앱 탐지 어플리케이션을 설치하도록 하였다. 각 사용자 단말에서 본 연구에서 개발한 앱을 구동시키면 앱 내부에 포함된 정보를 토대로 엔진 서버에 연결되어 업데이트 여부를 확인하도록 하여 항상 최신의 탐지 엔진을 단말에 탑재하도록 설계하였다. 단말 내 최신 업데이트 과정을 수행한 후 사용자는 서버와의 인증 과정을 수행하도록 하였다.
- 빈번한 전송으로 인해 발생할 수 있는 모바일 단말에 대한 부하를 최소화하기 위해서 서버로의 정보 전송 주기를 설정할 수 있도록 하였다. 기본 설정은 1분 단위로 수집된 단말 내부 앱 관련 정보를 전송하도록 하였다.
- 각 사용자 단말에서 본 연구에서 개발한 앱을 구동시키면 앱 내부에 포함된 정보를 토대로 엔진 서버에 연결되어 업데이트 여부를 확인하도록 하여 항상 최신의 탐지 엔진을 단말에 탑재하도록 설계하였다. 단말 내 최신 업데이트 과정을 수행한 후 사용자는 서버와의 인증 과정을 수행하도록 하였다. 본 연구에서 개발한 클라이언트용 어플리케이션을 통해 서버에 로그인 과정을 수행한 후에 각 사용자의 모바일 단말 내부 시스템 정보, 안드로이드 버전 정보, 클라이언트용 앱 버전 정보 및 엔진 업데이트 정보 등을 서버로 전송하도록 하였다.
- jar)로 변환해주는 역컴파일 도구를 이용하여 JAR 파일을 생성한 후에 이를 역어셈블링 및 역컴파일 하는 과정을 통해 어셈블리 코드 또는 JAVA 소스코드를 확보하여 이를 분석하는 과정을 수행한다. 두 번째, dex 역어셈블링을 이용한 분석 방법은 apk 파일로부터 추출된 dex 파일에 대하여 직접 분석하는 과정을 수행한다.동적 분석 기법은 (그림 4)와 같이 apk 파일을 설치 및 실행하는 과정에서 안드로이드 내에 호출되는 API의 순서 및 횟수를 파악한 후에 악성행위 패턴과 비교 및 분석을 통해 해당 어플리케이션의 위험성 정도를 판단하는 방식이다.
- 이는 Eclipse에서도 특정 어플리케이션을 실행할 경우 확인할 수 있으며 해당 정보가 서버에 저장되도록 하였다. 또한 단말에 adb shell을 이용하여 네트워크 접속 정보를 확인할 수 있었으며 해당 정보를 일정한 주기로 서버에 저장하도록 하였다.
- 또한 접속 과정 초기 단계에서는 각 사용자 단말에 설치된 어플리케이션 정보, 현재 상태에서 실행중인 프로세스 정보, 제공되는 서비스 정보를 서버로 전송하도록 하였으며 단말에 대한 루팅 상태 정보를 서버로 전송하도록 하여 각 사용자 단말에 대한 초기 상태를 저장/확인할 수 있도록 하였다. 이와 함께 현재 사용 가능한 네트워크 디바이스 정보도 서버로 전송하도록 하였고 전체 정보는 각 사용자 단말 내 SQLite DB에도 저장토록 하였다.
- 모바일 단말과 엔진 서버, 데이터베이스 서버 간의 작동방식을 (그림 12)와 같이 설계하였다. 우선 모바일 단말에서 본 연구에서 개발한 악성 앱 탐지 어플리케이션을 설치하도록 하였다.
- 악성 앱 탐지를 위한 모듈 구성도는 (그림 9)와 같다. 보안 취약성을 점검하는 기능을 제공하도록 하였으며 서버 내에는 보안성 점검 모듈을 통해 수집된 정보를 저장 및 분석할 수 있도록 하였다. 클라이언트에는 단말 내에서 발생한 이벤트 정보를 서버로 전송할 수 있도록 하였으며 다수의 상용 단말에서 발생한 정보를 서버로 전송하도록 하였다.
- 단말 내 최신 업데이트 과정을 수행한 후 사용자는 서버와의 인증 과정을 수행하도록 하였다. 본 연구에서 개발한 클라이언트용 어플리케이션을 통해 서버에 로그인 과정을 수행한 후에 각 사용자의 모바일 단말 내부 시스템 정보, 안드로이드 버전 정보, 클라이언트용 앱 버전 정보 및 엔진 업데이트 정보 등을 서버로 전송하도록 하였다.
- 이에 본 연구에서는 다수의 상용 모바일 단말 내에서 생성되는 이벤트 정보에 대한 추출 및 수집 과정을 통해 이를 서버에 저장한 후에 악성 어플리케이션에 의해 수행되는 공격을 탐지하는 시스템을 설계 및 구현하였다. 본 연구에서 구현한 시스템인 경우 여러 사용자의 상용 모바일 단말에서 어플리케이션을 실행하는 과정에서 발생하는 다양한 형태의 이벤트 정보를 수집하여 이를 DB에 수집 및 저장하는 과정을 수행한다. 상용 단말에서 어플리케이션이 구동되거나 단말 내 시스템 설정 등이 변경될 경우 실시간으로 발생하는 이벤트 정보를 수집하여 다수의 상용 단말에서 발생하는 정보를 비교 분석할 수 있도록 시스템을 구축하였다.
- 본 연구에서 설계한 시스템에 대해 Jave 언어를 이용하여 Eclipse 환경에서 Apache Tomcat과MySQL DB를 이용하여 구현하였다.
- 본 장에서는 기존에 제시된 모바일 단말 보안 취약성에 대해 고찰하고 이를 해결하기 위해 제시되었던 기존 대응 시스템에 대해 분석하였다.
- 각 사용자 단말 내에는 앱이 실행될 때마다 단말 내 SQLite DB에 해당 앱의 실행 시간 정보 등을 저장하고 또한 현재 시점에서 활성화된 실시간 프로세스 정보, 서비스 구동 정보 등도 서버에 저장하게 된다. 빈번한 전송으로 인해 발생할 수 있는 모바일 단말에 대한 부하를 최소화하기 위해서 서버로의 정보 전송 주기를 설정할 수 있도록 하였다. 기본 설정은 1분 단위로 수집된 단말 내부 앱 관련 정보를 전송하도록 하였다.
- 본 연구에서 구현한 시스템인 경우 여러 사용자의 상용 모바일 단말에서 어플리케이션을 실행하는 과정에서 발생하는 다양한 형태의 이벤트 정보를 수집하여 이를 DB에 수집 및 저장하는 과정을 수행한다. 상용 단말에서 어플리케이션이 구동되거나 단말 내 시스템 설정 등이 변경될 경우 실시간으로 발생하는 이벤트 정보를 수집하여 다수의 상용 단말에서 발생하는 정보를 비교 분석할 수 있도록 시스템을 구축하였다. 또한 수집된 정보를 기반으로 각 사용자의 단말에 대한 행위를 분석하고 악성 어플리케이션의 실행 유무 등을 확인 할 수 있도록 하였다.
- 동적 분석 기법은 (그림 4)와 같이 apk 파일을 설치 및 실행하는 과정에서 안드로이드 내에 호출되는 API의 순서 및 횟수를 파악한 후에 악성행위 패턴과 비교 및 분석을 통해 해당 어플리케이션의 위험성 정도를 판단하는 방식이다. 안드로이드 플랫폼에 포함된 Dalvik 가상머신에 대한 수정을 통해 시스템 내부에서 발생하는 API System Call 관련 로그 정보를 실시간 수집 및 분석하는 과정을 수행한다. Python 언어에서 제공하는 정규표현(Regular Expression) 도구를 이용하여 악성 어플리케이션에 대한 실행 여부를 판단하게 된다.
- 기본 블록의 실행 추적을 통한 악성 앱 탐색 시스템은 BAB(Behavior Analysis based on Basic Block)를 기반으로 특정 변수에 영향을 미치는 명령어들을 추출하는 기법이다. 어플리케이션 실행시 발생하는 행위 정보를 토대로 이를 그래프로 구성하여 악성 여부를 판별하는 기능을 제공한다. 예를 들어 (그림 7)과 같이 시스템에서 발생한 OpenFile 함수와 ReadFile 함수와의 연관성을 분석하여 두 개의 API간 의존성 여부를 판단한다.
- 모바일 단말과 엔진 서버, 데이터베이스 서버 간의 작동방식을 (그림 12)와 같이 설계하였다. 우선 모바일 단말에서 본 연구에서 개발한 악성 앱 탐지 어플리케이션을 설치하도록 하였다. 각 사용자 단말에서 본 연구에서 개발한 앱을 구동시키면 앱 내부에 포함된 정보를 토대로 엔진 서버에 연결되어 업데이트 여부를 확인하도록 하여 항상 최신의 탐지 엔진을 단말에 탑재하도록 설계하였다.
- 효율적인 전송을 위해 (그림 18)과 같이 사용된 패키지 정보와 앱 이름, 설치 경로 정보 및 프로세스 관련 정보 등을 패킷 형태로 재구성하여 서버로 전송하였다. 이러한 기능을 통해 모바일 단말에서의 네트워크 트래픽을 줄일 수 있도록 하였으며 서버에 일정한 주기로 각 단말에서 실행 중인 어플리케이션의 목록을 유지 및 확인하도록 하여 만일 사용자가 악성 어플리케이션을 잘못 설치하여 이용하였을 경우 서버와의 체크 과정을 통해 이를 바로 확인할 수 있는 기능을 제공하였다.
- 또한 수집된 정보를 기반으로 각 사용자의 단말에 대한 행위를 분석하고 악성 어플리케이션의 실행 유무 등을 확인 할 수 있도록 하였다. 이를 위해 우선 상용 모바일 단말에 대한 보안 취약점에 대한 분석 과정을 수행하여 다양한 형태의 악성 어플리케이션에 대해 효율적으로 대응할 수 있는 방식을 제시하고, 이를 기반으로 상용 모바일 단말 내 악성 어플리케이션에 의한 공격을 탐지할 수 있는 시스템을 제시하였다.
- 이에 본 연구에서는 다수의 상용 모바일 단말 내에서 생성되는 이벤트 정보에 대한 추출 및 수집 과정을 통해 이를 서버에 저장한 후에 악성 어플리케이션에 의해 수행되는 공격을 탐지하는 시스템을 설계 및 구현하였다. 본 연구에서 구현한 시스템인 경우 여러 사용자의 상용 모바일 단말에서 어플리케이션을 실행하는 과정에서 발생하는 다양한 형태의 이벤트 정보를 수집하여 이를 DB에 수집 및 저장하는 과정을 수행한다.
- 기존 시스템은 단일 상용 모바일 단말에 대해서 발생하는 악성 앱의 유포 및 위험성을 탐지하는 과정을 수행하였다. 이에 본 연구에서는 다수의 상용 모바일 단말에서 수집된 시스템, 서비스, 프로세스, 및 네트워크 등의 이벤트 정보를 각각 수집하고 이에 대한 분석 및 공격 탐지 기능을 제공하는 시스템을 다음과 같이 설계하였다.
- 각 사용자 단말에서는 (그림 11)과 같이 실행중인 어플리케이션의 정보를 일정한 주기로 각 사용자 단말 내 SQLite DB에 저장하도록 하였으며 또한 단말 내 루팅 공격과 같은 악성 이벤트가 발생하였을 경우에는 이를 서버로 전송하는 기능을 제공하였다. 이와 함께 해당 파일에 대한 실행 위치 또는 경로(path)를 확인할 수 있도록 하였으며 명령어 실행 정보를 서버로 전송하도록 하였다.
- 또한 접속 과정 초기 단계에서는 각 사용자 단말에 설치된 어플리케이션 정보, 현재 상태에서 실행중인 프로세스 정보, 제공되는 서비스 정보를 서버로 전송하도록 하였으며 단말에 대한 루팅 상태 정보를 서버로 전송하도록 하여 각 사용자 단말에 대한 초기 상태를 저장/확인할 수 있도록 하였다. 이와 함께 현재 사용 가능한 네트워크 디바이스 정보도 서버로 전송하도록 하였고 전체 정보는 각 사용자 단말 내 SQLite DB에도 저장토록 하였다. 서버로 전송된 정보는 서버내 App DB에 저장되며 사용자 접속시 이전 상태와 비교할 수 있는 기능을 제공하였다.
- 또한 각 사용자 단말에서 실행한 어플리케이션에 포함된 권한 정보 등이 서버로 전송되는 것을 확인할 수 있었다. 효율적인 전송을 위해 (그림 18)과 같이 사용된 패키지 정보와 앱 이름, 설치 경로 정보 및 프로세스 관련 정보 등을 패킷 형태로 재구성하여 서버로 전송하였다. 이러한 기능을 통해 모바일 단말에서의 네트워크 트래픽을 줄일 수 있도록 하였으며 서버에 일정한 주기로 각 단말에서 실행 중인 어플리케이션의 목록을 유지 및 확인하도록 하여 만일 사용자가 악성 어플리케이션을 잘못 설치하여 이용하였을 경우 서버와의 체크 과정을 통해 이를 바로 확인할 수 있는 기능을 제공하였다.
성능/효과
- (그림 17)과 같이 실행 중인 어플리케이션 정보를 확인할 수 있다. 각 사용자 단말에서 백그라운드 모드로 실행되고 있는 어플리케이션의 아이콘, 이름, 패키지명 등이 나타나고 실행중인 총 어플리케이션의 수, 구동중인 프로세스와 서비스의 수를 확인할 수 있다. 패키지 이름과 어플리케이션 UID 및 PID, 버전 정보와 해당 경로 정보 등을 확인할 수 있으며 이는 서버로도 전송되는 것을 확인할 수 있었다.
- 또한 각 사용자 단말에서 실행한 어플리케이션에 포함된 권한 정보 등이 서버로 전송되는 것을 확인할 수 있었다. 효율적인 전송을 위해 (그림 18)과 같이 사용된 패키지 정보와 앱 이름, 설치 경로 정보 및 프로세스 관련 정보 등을 패킷 형태로 재구성하여 서버로 전송하였다.
- 기존에 개발되었던 시스템들과 본 연구에서 설계 및 구현한 시스템의 성능 비교 결과를 제시하면 다음 (표 1)과 같다. 무결성 검증 기법인 경우 MD5, SHA-1 등의 해시 함수를 이용하여 정상 앱과 비정상 앱을 구별하는 기능을 제공하지만, 어플리케이션에 대한 실시간 검사 기능이 부족한 것으로 나타났다. 또한 정적/동적 분석 기법인 경우 기존 스마트워크 단말에 대한 가상머신 변형 과정이 필요한 방법이어서 실제 상용 단말에 적용하기 위해서는 커널에 대한 변형이 필요하였다.
- 본 논문에서는 상용 단말에 대한 공격에 대응하기 위해서 다수 사용자 모바일 단말에 대한 악성 앱 탐지 시스템을 설계 및 구현하였다. 우선 단말 내 이벤트 및 시스템 영역에서 실행되는 프로세스 정보 등을 획득하고 이를 서버로 전송할 수 있도록 클라이언트 및 서버 시스템을 개발하여 다수의 사용자로부터 발생한 이벤트 정보를 토대로 악성 앱에 대한 실행 여부를 판단할 수 있는 기초적인 기능을 제공하였으며 이를 토대로 상용 단말에서 생성되는 각종 이벤트 정보를 수집 및 분석할 수 있는 시스템을 제공할 수 있었다. 향후 연구과제로는 시스템 내부에서 발생하는 저수준의 이벤트 정보까지도 획득/분석할 수 있는 체계 구축하고 다수의 사용자 단말에서 수집된 이벤트 정보에 대한 그룹핑 방법과 실시간으로 수신되는 정보에 대한 효율적인 유사도 판별 메커니즘 및 악성 여부 판단의 성능과 오탐율을 줄일 수 있는 방법에 대해 연구할 필요하다.
- 또한 블랙리스트 기법인 경우에도 블랙리스트 DB 구축 과정의 어려움으로 인해 오탐율이 높아질 수 있었다. 이에 반해 본 연구에서 제시한 시스템인 경우 단말 내 프로세스 및 서비스에 대한 모니터링 과정을 수행하여 악성 앱에 의해 수행되는 루팅 공격에 대한 탐지 기능을 제공하며 다수의 사용자 단말을 대상으로 한 악성 앱 탐지 과정에 적용 가능하다는 특징을 제공한다.
- 각 사용자 단말에서 백그라운드 모드로 실행되고 있는 어플리케이션의 아이콘, 이름, 패키지명 등이 나타나고 실행중인 총 어플리케이션의 수, 구동중인 프로세스와 서비스의 수를 확인할 수 있다. 패키지 이름과 어플리케이션 UID 및 PID, 버전 정보와 해당 경로 정보 등을 확인할 수 있으며 이는 서버로도 전송되는 것을 확인할 수 있었다.
- 이밖에도 악성 앱을 대상으로 실험이 많이 상대적으로 적게 수행되어 오탐율을 낮출 수 있는 방안이 더욱 보완되어야 한다. 하지만 본 연구에서 제시한 기법을 사용할 경우 다수의 사용자로부터 발생한 단말 내 이벤트 정보를 수집할 수 있다는 장점이 있으며 이를 토대로 신규 공격이나 이상 패턴에 대한 1차적인 수집 및 분석 과정을 수행할 수 있다는 점에서 의미가 있다고 판단된다.
후속연구
- 우선 단말 내 이벤트 및 시스템 영역에서 실행되는 프로세스 정보 등을 획득하고 이를 서버로 전송할 수 있도록 클라이언트 및 서버 시스템을 개발하여 다수의 사용자로부터 발생한 이벤트 정보를 토대로 악성 앱에 대한 실행 여부를 판단할 수 있는 기초적인 기능을 제공하였으며 이를 토대로 상용 단말에서 생성되는 각종 이벤트 정보를 수집 및 분석할 수 있는 시스템을 제공할 수 있었다. 향후 연구과제로는 시스템 내부에서 발생하는 저수준의 이벤트 정보까지도 획득/분석할 수 있는 체계 구축하고 다수의 사용자 단말에서 수집된 이벤트 정보에 대한 그룹핑 방법과 실시간으로 수신되는 정보에 대한 효율적인 유사도 판별 메커니즘 및 악성 여부 판단의 성능과 오탐율을 줄일 수 있는 방법에 대해 연구할 필요하다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.