[논문]개인정보 유출 탐지 및 차단에 관한 연구 : 안드로이드 플랫폼 환경

최영석; 김성훈; 이동훈

doi:10.13089/jkiisc.2013.23.4.757

개인정보 유출 탐지 및 차단에 관한 연구 : 안드로이드 플랫폼 환경
Study to detect and block leakage of personal information : Android-platform environment 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.23 no.4, 2013년, pp.757 - 766

최영석 (고려대학교 정보보호대학원) , 김성훈 (고려대학교 정보보호대학원) , 이동훈 (고려대학교 정보보호대학원)

초록
AI-Helper

안드로이드 사용자의 증가와 함께 안드로이드를 타겟으로 하는 악성코드가 급격하게 증가하고 있으며, 대부분의 악성코드는 사용자의 개인정보 유출을 목적으로 하고 있다. 최근 국내에서도 악성코드를 이용해 개인정보를 유출하고, 소액결제를 시도하는 '체스트'라는 악성코드가 출현하여 금전피해를 발생시켰다. 안드로이드 플랫폼에서 개인정보 유출을 탐지하기 위한 다양한 기법들이 제안되었지만, 기존 기법들은 안드로이드 보안모델의 특성상 사용자의 스마트폰에 적용이 어려운 한계를 가지고 있다. 본 논문에서는 커널레벨의 시스템 콜 후킹과 white-list 기반의 접근정책을 이용해 허용되지 않은 개인정보의 접근과 인터넷 연결을 실시간으로 탐지하고, 차단하는 기법을 제안하였다. 또한 구현을 통해 실제 사용자의 스마트폰에 적용이 가능함을 증명하였다.

Abstract ▼ AI-Helper

The Malicious code that targets Android is growing dramatically as the number of Android users are increasing. Most of the malicious code have an intention of leaking personal information. Recently in Korea, a malicious code 'chest' has appeared and generated monetary damages by using malicious code to leak personal information and try to make small purchases. A variety of techniques to detect personal information leaks have been proposed on Android platform. However, the existing techniques are hard to apply to the user's smart-phone due to the characteristics of Android security model. This paper proposed a technique that detects and blocks file approaches and internet connections that are not allowed access to personal information by using the system call hooking in the kernel and white-list based approach policy. In addition, this paper proved the possibility of a real application on smart-phone through the implementation.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 사용자의 스마트폰에서 실시간으로 개인정보 유출을 탐지하고 차단하는 기법을 제안한다. 제안하는 기법은 LKM(Loadable Kernel Module)으로 구현된 시스템 콜 후킹모듈을 커널에 삽입하여, 사용자 어플리케이션의 파일 접근과 인터넷 연결을 감시하기 위해 시스템 콜을 후킹 한다.
본 논문에서는 시스템 콜을 후킹하기 위하여 동적으로 모듈 삽입이 가능한 LKM으로 후킹 모듈을 구현하였다. 정상적인 시스템의 경우 [그림 3]과 같이 인터넷 연결을 위한 connect() 시스템 콜이 호출되면 라이브러리에서 호출된 시스템 콜 번호를 EAX 레지스터에 저장한다.
본 논문에서는 커널 레벨에서 시스템 콜을 후킹하고 white-list 기반의 접근정책을 적용하여, 허용되지 않은 개인정보의 접근과 인터넷 연결을 효과적으로 차단 할 수 있는 기법을 제안하였다. 또한 구현을 통해 사용자의 스마트폰에 적용이 가능함을 보였다.
본 절에서는 개인정보 유출을 탐지하기 위한 기존 연구들의 특징을 알아본다. 본 논문에서는 기존연구들을 탐지 레벨의 특징에 따라 어플리케이션 레벨과 커널 레벨로 [표 1]과 같이 분류하였다.

제안 방법

∙ 사용자의 스마트폰에서 개인정보의 접근과 인터넷 연결을 실시간으로 탐지하고, 차단하는 기법을 제안하였다.
∙ 어플리케이션 레벨과 커널 레벨에서 사용되는 탐지 방법의 특징에 따라 기존 연구를 분류하였다.
커널에 삽입된 후킹 모듈은 [표 6]과 같이 동작한다. 개인정보 유출 탐지 대상 어플리케이션의 UID를 확인하고, 시스템 콜 함수의 파라미터에서 IP주소를 읽어온다. 읽어온 IP주소가 white-list에 존재하지 않는 IP주소의 경우 사용자에게 접근제어를 요청한다.
Zhou 등[6]은 안드로이드 마켓에서 알려진 악성코드들을 빠르게 탐지하기 위하여 퍼미션과 API를 기반으로 시그니처를 만들어 냈고, 동적으로 코드를 가져와 실행하는 새로운 형태의 악성코드를 탐지하기 위하여 네이티브 코드와 동적 코드실행을 탐지하는 휴리스틱한 탐지 기법을 제안했다. 또한 Droid Ranger를 구현하여 제안 기법의 효율성을 검증하였다. Dong-jie Wu 등[7]은 퍼미션과 안드로이드 컴포넌트, API를 조합한 정보를 이용해 개인정보 유출행위가 포함된 악성코드를 효과적으로 분류 할 수 있도록 여러 가지 클러스터 알고리즘을 시험하여 가장 적절한 알고리즘을 찾아냈다.
먼저, 개인정보의 접근을 탐지하기 위하여 스마트폰 안에 포함된 개인정보들을 파악하고 분류하였다. 안드로이드 어플리케이션은 /data/data/“package” 디렉토리에 저장되며, 대부분의 개인정보 관련 데이터는 SQLite 데이터베이스로 저장되어 있다.
본 논문에서 제안하는 기법은 허용되지 않은 개인정보의 접근과 인터넷 연결을 실시간으로 확인하고, 차단 할 수 있는 특징이 있다. 또한 기존 탐지기법들은 동적분석을 위한 별도의 가상환경이나 서버가 요구되지만, 제안기법은 사용자의 스마트폰에서 탐지와 차단이 가능하다.
본 절에서는 개인정보 유출을 탐지하기 위한 기존 연구들의 특징을 알아본다. 본 논문에서는 기존연구들을 탐지 레벨의 특징에 따라 어플리케이션 레벨과 커널 레벨로 [표 1]과 같이 분류하였다.
악성코드나 사용자 어플리케이션이 개인정보에 접근하는 것을 차단하기 위하여 파일 경로 기반의 white-list를 이용한다. 삽입된 후킹 모듈을 이용해 시스템 콜 파라미터 값에서 접근하는 파일의 경로를 확인한다. 감시 대상으로 설정된 어플리케이션이 개인정보 파일에 접근을 시도하면 white-list를 확인하여 허용된 개인정보 파일에만 접근을 허용한다.
본 논문에서는 사용자의 스마트폰에서 실시간으로 개인정보 유출을 탐지하고 차단하는 기법을 제안한다. 제안하는 기법은 LKM(Loadable Kernel Module)으로 구현된 시스템 콜 후킹모듈을 커널에 삽입하여, 사용자 어플리케이션의 파일 접근과 인터넷 연결을 감시하기 위해 시스템 콜을 후킹 한다. 후킹을 통해 시스템 콜 함수의 파라미터 값에서 접근하는 파일의 경로와 연결 IP주소를 읽어온다.
제안하는 기법은 [그림 1]과 같이 User_app, Alarm_app, 시스템 콜 후킹 모듈(LKM)로 구성된다. User_app은 사용자가 설치한 어플리케이션으로 개인정보 유출 행위의 감시 대상이 된다.
또한 구현을 통해 사용자의 스마트폰에 적용이 가능함을 보였다. 제안하는 기법은 커널 레벨에서 시스템 콜을 후킹하기 때문에 모든 파일의 접근과 인터넷 연결을 탐지 할 수 있다. 따라서 기존 시그니처 기반에서 탐지가 어려운 개인정보 유출행위를 탐지 할 수 있으며, 기존에 제안된 기법들과는 다르게 사용자의 스마트폰에서 실시간으로 탐지와 차단이 가능하다.
따라서 기존 시그니처 기반에서 탐지가 어려운 개인정보 유출행위를 탐지 할 수 있으며, 기존에 제안된 기법들과는 다르게 사용자의 스마트폰에서 실시간으로 탐지와 차단이 가능하다. 하지만 본 논문에서 제안하는 기법은 시스템 콜 후킹 모듈을 삽입하기 위해 시스템 레벨의 권한이 요구되는 단점이 존재한다. 이는 플랫폼 제조사에서 시스템 권한의 어플리케이션을 추가함으로써 해결 될 수 있다.

이론/모형

기존에 제안된 분석기법은 Dalvik VM의 수정을 통해 안드로이드 API 호출 로그를 생성하고, 생성된 로그를 기반으로 악성행위를 판별해 낸다. 이 기법은 기존에 제안된 동적분석 기법들[12][13][14]과 같이 실행 후 남겨진 로그를 분석하여 악성코드를 탐지한 [표 6] 인터넷 연결 접근제어 의사코드다.
따라서 인터넷 연결을 제어하면 효과적으로 개인정보 유출을 차단할 수 있다. 본 연구에서는 인터넷 연결을 제어하기 위해 IP주소 기반의 white-list를 이용한다. 감시대상 어플리케이션이 인터넷 연결을 위한 시스템 콜을 사용하면, 후킹 모듈은 시스템 콜의 파라미터에서 연결 IP주소를 확인한다.
분류된 개인정보들은 금융거래에 이용되는 공인인증서와 프라이버시를 침해 할 수 있는 정보들로 [표 2]와 같다. 악성코드나 사용자 어플리케이션이 개인정보에 접근하는 것을 차단하기 위하여 파일 경로 기반의 white-list를 이용한다. 삽입된 후킹 모듈을 이용해 시스템 콜 파라미터 값에서 접근하는 파일의 경로를 확인한다.

성능/효과

∙ 제안기법을 에뮬레이터 환경에 구현함으로써 사용자의 스마트폰에 적용 가능함을 증명하였다.
제안하는 기법은 커널 레벨에서 시스템 콜을 후킹하기 때문에 모든 파일의 접근과 인터넷 연결을 탐지 할 수 있다. 따라서 기존 시그니처 기반에서 탐지가 어려운 개인정보 유출행위를 탐지 할 수 있으며, 기존에 제안된 기법들과는 다르게 사용자의 스마트폰에서 실시간으로 탐지와 차단이 가능하다. 하지만 본 논문에서 제안하는 기법은 시스템 콜 후킹 모듈을 삽입하기 위해 시스템 레벨의 권한이 요구되는 단점이 존재한다.
본 논문에서는 커널 레벨에서 시스템 콜을 후킹하고 white-list 기반의 접근정책을 적용하여, 허용되지 않은 개인정보의 접근과 인터넷 연결을 효과적으로 차단 할 수 있는 기법을 제안하였다. 또한 구현을 통해 사용자의 스마트폰에 적용이 가능함을 보였다. 제안하는 기법은 커널 레벨에서 시스템 콜을 후킹하기 때문에 모든 파일의 접근과 인터넷 연결을 탐지 할 수 있다.
때문에 개인정보 유출행위가 발생한 후에 탐지가 가능한 단점이 존재한다. 하지만, 본 논문에서 제안하는 기법은 간단히 사용자의 스마트폰에 LKM으로 구현된 시스템 콜 후킹 모듈을 삽입하고, white-list 기반의 접근 정책을 적용함으로써 허용되지 않은 개인정보의 접근과 인터넷 연결을 실시간으로 탐지하고, 차단 할 수 있다.

후속연구

향후에는 커널 레벨에서 플랫폼의 취약점을 이용한 권한상승 공격과 제안기법을 우회하기 위해 다른 후킹 모듈을 삽입하는 잠재적 위협을 탐지하기 위한 연구를 진행 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	안드로이드 어플리케이션이 악성코드의 삽입과 리패키징이 용이한 이유는 무엇인가?	7%를 차지하고 있다. 안드로이드 어플리케이션은 이식성이 높은 자바언어로 구현되기 때문에 역공학이 쉬워 악성코드의 삽입과 리패키징이 용이하다. 또한 개방형 마켓 구조를 취하기 때문에 배포가 쉬워 악성코드 개발자들의 좋은 타겟이 되고 있다.
	안드로이드 플랫폼 환경에서 개인정보 유출을 탐지하기 위한 다양한 기법들이 제시되었지만 효과적으로 개인정보 유출을 차단하지 못하고 있는 이유는 무엇인가?	첫째, 악성코드의 진화이다. 초기 안드로이드 악성코드는 잘 알려진 유명 어플리케이션을 선택하여 악성코드를 삽입하고 리패키징하는 비교적 단순한 방법을 사용하였기 때문에 소스코드나 컨텐츠를 검사하는 시그니처 기반의 탐지가 가능하였다. 하지만, 최근 악성코드는 소스코드에 난독화, 암호화를 적용하여 시그니처 기반의 탐지를 우회하고 있다. 또한 정상 어플리케이션을 가장하여 설치된 후에 인터넷을 통해 소스코드를 다운로드 하는 방법을 사용하기 때문에 기존 어플리케이션 레벨의 시그니처 기반 탐지가 불가능하다. 둘째 기존 연구들의 탐지기법들은 사용자 휴대폰에 적용이 어렵다. 안드로이드는 리눅스 커널 2.6을 기반으로 하며 샌드박스라는 보안모델을 적용하고 있다. 기본적으로 어플리케이션은 설치 시 고유한 UID를 할당받고, 독립된 프로세스에서 실행되기 때문에 다른 어플리케이션에 접근 할 수 없다. 또한 정상적인 방법으로 시스템 레벨의 권한을 획득할 수 없기 때문에 시스템의 메모리, 네트워크, 디스크에 접근해야 하는 동적 분석이 불가능하다. 기존 연구들에서 제안된 동적 분석 기법들은 별도의 서버나 가상화된 환경을 구축한 후 실행을 통해 분석해야 하기 때문에 사용자의 스마트폰에 적용이 어렵다.
	안드로이드에서 정적분석은 무엇을 기반으로 탐지하는가?	어플리케이션 레벨에서는 동적 분석 외에도 정적분석이 가능하다. 안드로이드에서 정적분석은 어플리케이션을 실행하지 않고, 그 안에 포함되어 있는 소스코드, 퍼미션 정보, 레이아웃, 리소스 등 컨텐츠의 내용을 기반으로 탐지를 하고 있다. DiCerbo 등[4]은 manifest.

참고문헌 (16)

NQ Mobile, "2012 Security Report," http://www.nq.com/2012_NQ_Mobile_Security_Report.pdf, 2013년 5월 11일.
Gartner, "Gartner Says Worldwide Mobile Phone Sales Declined 1.7 Percent in 2012," http://www.gartner.com/newsroom/id/2335616, 2013년 2월 13일.
ZDNET Korea, "안드로이드 악성코드 결제 피해 국내 발생," http://www.zdnet.co.kr/news/news_view.asp?artice_id20121202133 055, 2012년 12월 02일.
F. Di Cerbo, A. Girardello, F. Michahelles, and S. Voronkova, "Detection of malicious applications on android os," Proceedings of the 4th international conference on Computational forensics, IWCF'10, pp 138-149, November 2011.
S. Kim, J. I. Cho, H. W. Myeong, and D. H. Lee, "A study on static analysis model of mobile application for privacy protection," Computer Science and Convergence, vol 114, pp 529-540, 2012.
Y. Zhou, Z. Wang, W. Zhou, and X. Jiang. Hey, you, "get off of my market: Detecting malicious apps in official and alternative Android markets," Proceedings of the 19th Annual Network & Distributed System Security Symposium, Feb 2012.
Dong-Jie Wu, Ching-Hao Mao, Te-En Wei, Hahn-Ming Lee, Kuo-Ping Wu, "DroidMat: Android Malware Detection through Manifest and API Calls Tracing," 2012 Seventh Asia Joint Conference on Information Security (Asia JCIS), pp 62-29, August 2012.
A. P. Fuchs, A. Chaudhuri, and J. S. Foster, "SCanDroid: Automated Security Certification of Android Applications," Technical Report CSTR-4991, Department of Computer Science, University of Maryland, November 2009.
W. Enck, P. Gilbert, B.-G. Chun, L. P. Cox, J. Jung, P. McDaniel, and A. N. Sheth, "Taintdroid: An information-flow tracking system for realtime privacy monitoring on smartphones," Proceedings of the 9th USENIX conference on Operating systems design and implementation, October 2010.
M. Zhao, F. Ge, T. Zhang, and Z. Yuan, "Antimaldroid: An efficient svmbased malware detection framework for android," Communications in Computer and Information Science, vol 243, pp 158-166, 2011.

상세보기
심원태, 김종명, 류재철, 노봉남, "안드로이드 앱 악성행위 탐지를 위한 분석 기법 연구," 정보보호학회논문지, 21(1), pp. 213-219, 2011년 2월.
Iker Burguera, Urko Zurutuza, Simin Nadjm-Tehrani,"crowdroid: behaviorbased malware detection system for Android," Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices, pp 15-26, 2011
T. Isohara, K Takemori, A.kubota, "Kernel-based Behavior Analysis for Android Malware Detection," 2011 Seventh International Conference on Computational Intelligence and Security, pp 1011-1015, Dec 2011.
T. Blasing, L.Batyuk, A. D. schmidt, S. A. Camtepe, S. Albayrak, "An Android Application Sandbox system for suspicious software detection," 2010 5th International Conference on Malicious and Unwanted Software (MALWARE), pp 55-62, October 2010.
Rubin Xu, Hassen Saidi, Ross Anderson, "Aurasium: practical policy enforcement for Android applications," Proceeding of Security'12 Proceedings of the 21st USENIX conference on Security, pp 27-27, 2012.
Foresafe, "App Report : Attention," http://www.foresafe.com/report/89BB300CC1BF0B27C582327588EA7377, 2013 년 3월 10일.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증