최근 다양한 형태의 서비스를 제공하기 위해 스마트폰의 활용도가 증가함에 따라 안드로이드 앱의 활용에 대한 안전성과 신뢰성 등 보안 문제가 이슈화되고 있다. 안드로이드 앱은 apk 파일 형태로 활용되며, 몇몇의 중요 파일에 의해 실행이 된다. 하지만 이러한 apk파일에 악의적인 소스코드가 삽입되어 통제권 상실이나 권한탈취 등 부정사용에 대한 대상이 될 수 있다. 본 논문은 안드로이드 환경에서 앱의 소스코드 부정사용에 관한 위협을 정의하고, 분석 결과를 기반으로 안드로이드 앱 소스코드 부정사용을 방지하기 위한 방안을 제안한다. 본 논문에서는 불법으로 위변조된 안드로이드 앱을 탐지하고 일반 사용자의 안드로이드 디바이스에 설치되는 것을 방지하기 위한 제 3기관을 이용하여 안드로이드 앱의 무결성을 제공하는 시스템을 제안한다. 제안하는 기법은 일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공한다.
최근 다양한 형태의 서비스를 제공하기 위해 스마트폰의 활용도가 증가함에 따라 안드로이드 앱의 활용에 대한 안전성과 신뢰성 등 보안 문제가 이슈화되고 있다. 안드로이드 앱은 apk 파일 형태로 활용되며, 몇몇의 중요 파일에 의해 실행이 된다. 하지만 이러한 apk파일에 악의적인 소스코드가 삽입되어 통제권 상실이나 권한탈취 등 부정사용에 대한 대상이 될 수 있다. 본 논문은 안드로이드 환경에서 앱의 소스코드 부정사용에 관한 위협을 정의하고, 분석 결과를 기반으로 안드로이드 앱 소스코드 부정사용을 방지하기 위한 방안을 제안한다. 본 논문에서는 불법으로 위변조된 안드로이드 앱을 탐지하고 일반 사용자의 안드로이드 디바이스에 설치되는 것을 방지하기 위한 제 3기관을 이용하여 안드로이드 앱의 무결성을 제공하는 시스템을 제안한다. 제안하는 기법은 일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공한다.
Recently, with the increasing use of smart phones, security issues, such as safety and reliability of the use of the Android application has become a topic to provide services in various forms. An Android application is performed using several important files in the form of an apk file. On the other...
Recently, with the increasing use of smart phones, security issues, such as safety and reliability of the use of the Android application has become a topic to provide services in various forms. An Android application is performed using several important files in the form of an apk file. On the other hand, they may be subject to unauthorized use, such as the loss of rights and privileges due to the insertion of malicious source code of these apk files. This paper examines the Android environment to study ways to define the threats related to the unauthorized use of the application source code, and based on the results of the analysis, to prevent unauthorized use of the application source code. In this paper, a system is provided using a third body to prevent and detect applications that have been counterfeited or forged illegally and installed on Android devices. The application provides services to existing systems that are configured with only the service server that provides users and applications general, This paper proposes the use of a trusted third party for user registration and to verify the integrity of the application, add an institution, and provide a safe application.
Recently, with the increasing use of smart phones, security issues, such as safety and reliability of the use of the Android application has become a topic to provide services in various forms. An Android application is performed using several important files in the form of an apk file. On the other hand, they may be subject to unauthorized use, such as the loss of rights and privileges due to the insertion of malicious source code of these apk files. This paper examines the Android environment to study ways to define the threats related to the unauthorized use of the application source code, and based on the results of the analysis, to prevent unauthorized use of the application source code. In this paper, a system is provided using a third body to prevent and detect applications that have been counterfeited or forged illegally and installed on Android devices. The application provides services to existing systems that are configured with only the service server that provides users and applications general, This paper proposes the use of a trusted third party for user registration and to verify the integrity of the application, add an institution, and provide a safe application.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공하는 시스템을 제안한다. 5장 결론에서는 본 논문의 안드로이드 앱 위변조 점검에 대한 취약성 분석을 최종 정리하고, 향후 연구방향으로 안드로이드 앱 전체 항목의 취약성 검증프로세스의 구현을 제시하고자 한다.
본 논문은 안드로이드 환경에서 앱의 소스코드 부정사용에 대한 기술을 정의하고, 그 특징에 맞춰 해결방안을 제시하여 안드로이드 앱 소스코드 부정사용 방시 시스템을 설계한다. 또한 기존의 연구 결과를 바탕으로 구현결과 및 향후 연구 방향을 제시한다. 일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공하는 시스템을 제안한다.
본 논문에서는 안드로이드 환경에서 안드로이드 앱의 소스코드 부정사용에 관한 위협을 정의하고, 분석 결과를 기반으로 안드로이드 앱 소스코드 부정사용을 방지하기 위한 시스템을 제안하였다. 제안 하는 시스템은 사용자의 요청을 통하여 사용자의 정보를 저장하고 CA에서 인증과정을 거침으로서, 올바른 사용자와 악의적인 사용자의 소스코드 부정사용 여부를 구분한다.
본 논문은 안드로이드 환경에서 안드로이드 앱 소스코드 부정사용을 방지하기 위한 시스템을 제안 및 설계하였다. 안드로이드 앱 소스코드 부정사용에 대한 여부와 탐지 율은 탐지차단의 양에 따른 정확도에 따라 평가 되기 때문에 본 논문에 대한 평가는 안드로이드를 구현하여 임의의 파일 다운로드에 따른 다른 기기 공유 여부와 소스코드 부정사용을 위한 파일 역공학 여부에 대한 기준으로 성능 분석을 진행하였다.
본 논문은 안드로이드 환경에서 앱의 소스코드 부정사용에 대한 기술을 정의하고, 그 특징에 맞춰 해결방안을 제시하여 안드로이드 앱 소스코드 부정사용 방시 시스템을 설계한다. 또한 기존의 연구 결과를 바탕으로 구현결과 및 향후 연구 방향을 제시한다.
가설 설정
해당 프로토콜은 등록 과정과 사용자 인증 및 파일 다운로드 과정으로 나뉜다. 각 인증과정마다 사용되는 인증 방식은 다르며, CA는 사용자 단말의 IMEI값과 ICCID값을 통신사로부터 제공 받았다고 가정한다.
제안 방법
본 논문에서 제안하는 시스템은 안드로이드 환경에서 안드로이드 앱 소스코드 부정사용을 방지하기 위한 신뢰할 수 있는 제 3기관을 이용한 시스템이다. 일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공한다.
사용자 단말기가 보유하고 있는 정보와 CA로부터 수신한 정보를 조합하여 사용자의 인증 토큰 값과 세션키를 생성하기 위한 랜덤값을 생성해 낸다. 해당 값을 생성하는 과정은 수식 (6)과 같다.
사용자는 사용자 단말이 생성한 인증 토큰 값과 CA로부터 전송받은 인증 토큰 값을 비교하여 CA의 올바른 인증을 수행한다. CA가 올바로 인증되었으면 사용자가 생성한 인증 토큰을 전송하여 사용자 등록과정을 종료한다.
본 논문은 안드로이드 환경에서 안드로이드 앱 소스코드 부정사용을 방지하기 위한 시스템을 제안 및 설계하였다. 안드로이드 앱 소스코드 부정사용에 대한 여부와 탐지 율은 탐지차단의 양에 따른 정확도에 따라 평가 되기 때문에 본 논문에 대한 평가는 안드로이드를 구현하여 임의의 파일 다운로드에 따른 다른 기기 공유 여부와 소스코드 부정사용을 위한 파일 역공학 여부에 대한 기준으로 성능 분석을 진행하였다. 본 논문에서 제안하는 소스코드 부정사용 방지 시스템을 구현한 환경은 다음의 Table 1과 같다.
또한 기존의 연구 결과를 바탕으로 구현결과 및 향후 연구 방향을 제시한다. 일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공하는 시스템을 제안한다. 5장 결론에서는 본 논문의 안드로이드 앱 위변조 점검에 대한 취약성 분석을 최종 정리하고, 향후 연구방향으로 안드로이드 앱 전체 항목의 취약성 검증프로세스의 구현을 제시하고자 한다.
본 논문에서 제안하는 시스템은 안드로이드 환경에서 안드로이드 앱 소스코드 부정사용을 방지하기 위한 신뢰할 수 있는 제 3기관을 이용한 시스템이다. 일반 사용자와 안드로이드 앱을 제공하는 서비스 서버로만 구성되어 있는 기존의 안드로이드 앱 제공 서비스 시스템과 다르게 안드로이드 앱의 무결성 검증과 사용자 등록을 위한 신뢰할 수 있는 제 3기관을 추가하여 안전한 안드로이드 앱을 제공한다. 다음의 Fig.
본 논문에서는 안드로이드 환경에서 안드로이드 앱의 소스코드 부정사용에 관한 위협을 정의하고, 분석 결과를 기반으로 안드로이드 앱 소스코드 부정사용을 방지하기 위한 시스템을 제안하였다. 제안 하는 시스템은 사용자의 요청을 통하여 사용자의 정보를 저장하고 CA에서 인증과정을 거침으로서, 올바른 사용자와 악의적인 사용자의 소스코드 부정사용 여부를 구분한다. 제안 시스템은 소스코드 부정사용을 위한 역공학의 사용 여부에 대한 기존 탐지 방법에 비해, 접근제어에 대한 강도가 강하며, 침해 가능성을 보다 낮추었다.
제안하는 시스템의 구조는 사용자의 요청으로 사용자 정보를 저장하고 해당 정보를 CA에 인증 받음으로서, 올바른 사용자를 인증하고 안드로이드 앱에 대한 인가된 서비스를 제공해 준다. 이때 인증 받은 사용자의 디바이스가 아니면 안드로이드 앱이 올바로 실행이 되지 않으며, 인가받은 안전한 안드로이드 앱을 사용하게 함으로써, 안드로이드 앱의 소스가 부정 사용되는 사례를 미연에 방지할 수 있다.
제안하는 시스템의 사용자 등록 과정은 사용자의 단말정보를 활용하여 생성하는 인증 값과 CA로부터 수신 받은 랜덤 값을 조합하여 세션키 값을 생성하게 된다. 생성된 세션키 값은 사용자 인증 과정 및 파일 다운로드 과정에서 사용된다.
성능/효과
Strength of access control은 Communication between Device와 같이 단말기에 대한 고유 정보가 없으면 악의적인 방식을 통한 접근을 차단하므로 기존 시스템보다 접근제어에 대한 강도가 강하고, Potential of infringement reverse engineering에 대한 제어가 강하여 침해 가능성이 낮게 측정됨을 알 수 있다. Application management 와 Secure Communication between Device에 관련된 항목은 프로토콜 구조상 기존 시스템보다 제안 시스템이더 강화된 보안적 특성을 제공한다.
제안 하는 시스템은 사용자의 요청을 통하여 사용자의 정보를 저장하고 CA에서 인증과정을 거침으로서, 올바른 사용자와 악의적인 사용자의 소스코드 부정사용 여부를 구분한다. 제안 시스템은 소스코드 부정사용을 위한 역공학의 사용 여부에 대한 기존 탐지 방법에 비해, 접근제어에 대한 강도가 강하며, 침해 가능성을 보다 낮추었다. 안드로이드 앱 위·변조방지를 해결하며 적용되는 기술의 향상은 안드로이드 및 기타 모바일 환경에서의 보안 기술의 파급효과와 보안 안정성의 증가 부분에서 효과적인 영향을 미칠 것이다.
후속연구
단, 본 논문이 제안하는 기법의 안정성을 향상시키기 위해서는, 안드로이드 환경에서 안드로이드 앱이 사용되는 유저 디바이스와 별도의 CA, SS등의 부가적인 시스템의 구성과, 사용자 등록 및 인증 절차의 복잡함의 개선에 대한 연구가 필요하다. 향후 보완점이 해결된 향상된 시스템을 통하여 위변조 방지를 통한 S/W 저작권 및 지적 재산권에 대한 보장뿐 아니라, 금융시장을 중심으로한 다른 산업에도 긍정적인 영향을 미칠 것으로 기대한다.
향후 보완점이 해결된 향상된 시스템을 통하여 위변조 방지를 통한 S/W 저작권 및 지적 재산권에 대한 보장뿐 아니라, 금융시장을 중심으로한 다른 산업에도 긍정적인 영향을 미칠 것으로 기대한다. 또한 위변조를 인해 발생되는 2차 피해를 방지하여 안드로이드 분야의 보안사고 및 침해 사례 감소 효과를 기대한다.
단, 본 논문이 제안하는 기법의 안정성을 향상시키기 위해서는, 안드로이드 환경에서 안드로이드 앱이 사용되는 유저 디바이스와 별도의 CA, SS등의 부가적인 시스템의 구성과, 사용자 등록 및 인증 절차의 복잡함의 개선에 대한 연구가 필요하다. 향후 보완점이 해결된 향상된 시스템을 통하여 위변조 방지를 통한 S/W 저작권 및 지적 재산권에 대한 보장뿐 아니라, 금융시장을 중심으로한 다른 산업에도 긍정적인 영향을 미칠 것으로 기대한다. 또한 위변조를 인해 발생되는 2차 피해를 방지하여 안드로이드 분야의 보안사고 및 침해 사례 감소 효과를 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
안드로이드 앱에 대한 정적 역공학이란 어떠한 기법을 의미하는가?
안드로이드 앱에 대한 정적 역공학은 프로그램의 실행 없이 앱의 소스 코드를 분석하는 기법으로 역어셈블 (disassemble), 역컴파일(de-compile) 등이 있다[6-9].
안드로이드 앱에 대한 정적 역공학 방법에는 무엇이 있는가?
안드로이드 앱에 대한 정적 역공학은 프로그램의 실행 없이 앱의 소스 코드를 분석하는 기법으로 역어셈블 (disassemble), 역컴파일(de-compile) 등이 있다[6-9].
일반적인 안드로이드 앱에 대한 정적 역공학은 어떠한 과정을 거치는가?
1은 안드로이드 앱에 대한 정적 역공학의 일반적인 과정을 나타낸다. 먼저 일반 사용자들이 설치, 실행하기 위해 다운 받는 안드로이드 앱의 apk파일에서 바이트코드에 해당하는 Classes, dex 파일을 역어셈블러를 사용하여 추출한다. 다시 바이트코드를 smail 형태의 어셈블리 파일로 변환하고, 어셈블리 코드 형태의 dex 파일을 직접분석과 수정을 가능하게 하기 위한 자바 소스로 복원하는 과정을 거친다.
참고문헌 (16)
Loyce Consulting.: 2011 Market Survey of Smart Content. KOCCA Research Report 11-66, Korea Creative Content Agency (2011)
Jegal Byeongjik.: Smartphone Market and Mobile OS Trends. Semiconductor Insight (2011)
Android Under Attack: Malware Levels for Google's OS Rise Threefold in Q2 2012, http://www.kaspersky.com/about/news/press/2012/Android_Under_Attack_Malware_Levels_for_Googles_OS_Rise_Threefold_in_Q2_2012
Chan-Hee Lee, Yeong-Ung Park, Ji-Hyeog Lim, Hong-Geun Kim, Choong-Hyun Lee, Seong-Je Cho and Jaesoo Yang, Jounal of KIISE : Computing Practices and Letters, Vol 18, No.10, pp.692-700, (2012)
T. Bradley, "DroidDream Becomes Android Market Nightmare," PCWorld, Mar.2011, http://www.pcworld.com/article/221247/droiddream_becomes_android_market_nightmare.html
C. Collberg, C. Thomborson, and D. Low, "A taxonomy of obfuscating transformations," Technical Report No. 148, Univ. Auckland, New Zealand, (1997).
ByeongYong Lee1, YongSoo Choi2, : The Status and Analysis of Obfuscation Techniques and Perspective Development. Journal of Security Engineering, Republic of Korea, vol.5, No. 3, pp.692-700, (2008).
S. Choi, M. Kim, J. Han, B. An, "Android Based Mobile Student Identity Card", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 13, No. 2, Apr. 2013.
E.-J. Jo, C.-H. Lin, "Smart Emotion Lighting Control System Based on Android Platform", The Journal of The Institute of Internet, Broadcasting and Communication (IIBC), Vol. 14, No. 3, pp.147-153, Jun. 2014.
J.-M. You, I.-K. Park, "Android Storage Access Control for Personal Information Security", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 13, No. 6, Dec. 2013.
S.-C. Lim, "A Study of Android Launcher based on Application Virtualization", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 13, No. 2, Apr. 2013.
J.-g. Lim, C.-s. Choi, T.-e. Park, H.-s. Ki, B. An, "Android Based Mobile Combination Login Application", The Journal of The Institute of Internet, Broadcasting and Communication, Vol. 13, No. 3, Jun. 2013.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.