[논문]특정 AP를 이용한 안드로이드 기반 모바일 보안 메신저 구현

김지형; 이충호

특정 AP를 이용한 안드로이드 기반 모바일 보안 메신저 구현
Implementation of Android-Based Mobile Messenger with Security Function Using Specific AP 원문보기

信號處理·시스템學會論文誌 = Journal of the institute of signal processing and systems, v.16 no.3, 2015년, pp.102 - 107

초록
AI-Helper

안드로이드를 탑재한 스마트 폰에서 사용자 그룹간의 통신 메신저를 사용하는 경우 해킹 또는 검열에 의한 개인 정보 유출이 최근 큰 문제 중 하나로 대두되고 이다. 이 문제를 해결하기 위하여 일반적으로 기업에서는 내부 메신저에 복잡한 보안 절차를 적용시키고 있으나 이는 기존의 업무 효율성을 저하시키는 결과를 초래한다. 본 논문에서는 특정 AP(Access Point)에 접근한 클라이언트만 통신 할 수 있도록 특정 그룹만의 폐쇄된 메신저를 구현함으로써 업무효율성을 높이면서도 보안을 강화할 수 있는 방법을 제안한다. 이 방법은 기존의 일반적 방식과 달리 서버에서 데이터를 보관하지 않으며, 클라이언트가 특정 AP와 접속이 단절되는 순간 메신저의 내용을 자동으로 삭제하도록 구현되어 있어 보안 및 검열문제를 해결하고 있다. 제안된 방법은 안드로이드 메신저로 구현하여 그 유효성을 검증하였다.

Abstract ▼ AI-Helper

Personal information leakage is one of the great recent issues, which can be caused by hacking or censorship when a messenger program is used between user groups in Android-based smartphones, In order to solve these problems, companies generally apply complex security procedures inside the messenger, but which degrade the efficiency of work. This paper proposes a method which can improve work efficiency and strengthen security by allowing only the clients that can access a particular AP, and implementing a closed messenger group. The proposed method is validated by implementing on the Android-based smartphones.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 보안성 강화와 업무적 효율성간의 트레이드오프( trade-off ) 관계형성에 있어서 최적화하기 위해 특정 공유기에서만 접근을 허용하고 그 외의 공유기를 소프트웨어 적으로 식별하여 공유기에 접속한 사용자에게만 서비스를 허가해주는 방식을 제안한다.
본 논문에서는 안드로이드 플랫폼 기반 스마트폰에서 발생하는 개인 정보유출을 방지하는 적절한 방법을 제안하고 있다. 이 방법은 높은 보안성과 기존의 업무효율성간의 적절한 트레이드오프를 이루고 있다.
본 시스템은 특정 AP를 통한 보안체계 시스템을 구현하기 위하여 안드로이드 기반의 메신저에서 테스트 하였다. 메신저의 통신과정은 크게 3가지로 나누어 진행한다.

제안 방법

그림 3. AP 연결 유무를 비교.
AP식별은 WifiManager API(Application Program Interface)를 통하여 Wi-Fi 와 3G / 4G 망을 비교한 후에 Wi-Fi 사용할 경우 무선 AP의 SSID(Service Set Indentifier)를 획득하고 그 후 SSID를 통해 특정 AP를 식별한 후에 프로그램을 실행하는 방식으로 진행하였다. Wifimanager를 통해 비교 후 추출하는 소스코드는 다음 그림 2와 같다.
구체적으로는 Wifi manager API를 통해 일차적으로 외부의 접근을 차단하고, 다른 사용자와 통신을 할 경우, AP에서 제공되는 WPA 프로토콜을 이용하여 보안을 유지한다. AP와의 연결이 끊어지거나 사용자가 통신을 종료하면, 각 메신저 프로그램의 데이터를 모두 삭제하는 방식을 통하여 보안체계를 구현하였다. 본 방법은 서버에서 데이터를 보관하지 않고 각 단말기가 메신저 텍스트를 일시 저장하였다가 메신저를 종료하고 나가는 순간, 통신데이터를 삭제하는 방식을 채택하고 있다.
그 후에는 id와 password 그리고 phone을 통해 회원관리에 따른 정보를 저장하게 하였고 각 직책마다 권한을 다르게 하기 위하여 직책도 입력하게 되었다. 그리고 NOT NULL 옵션을 준 변수들은 변수 값이 없을 경우 문제가 발생하기 때문에 필수 입력으로 지정하였다.[7]
두 번째로는 예외적으로 메신저 통신을 하던 도중 AP의 연결이 끊어지게 될 경우에는 프로그램의 데이터가 밖으로 유출될 가능성이 발생하기 때문에 바로 데이터를 삭제시키도록 하고 현재 데이터가 저장되어 있는 BufferedWriter와 BufferedReader를 close() 함수를 이용하여 비활성화 및 삭제를 시키고 socket을 null값으로 바꾸어 기존의 채팅 내용을 알 수 없도록 하였다.[11]
또한 Intent과정에서 Activity간의 데이터를 전달할 수 있도록 서버는 기존의 UserPage에서 ArrayList의 ListItem을 클릭하게 될 경우 그에 해당하는 채팅창이 활성화 되면서 클라이언트와 마찬가지로 채팅이 가능하도록 설정하였다.
첫 번째로는 로그아웃을 통해 프로그램을 종료하는 방식을 사용하였다. 로그아웃을 누르게 될 경우 로그아웃을 요청한 사용자의 id와 ArrayList의 ListItem과 일치하는 항목을 가져온 후 ListItem을 삭제한 후에 데이터베이스에 접근하여 일치하는 id를 현재 접속 중인 페이지를 관리하는 테이블에서 삭제하는 방식을 통해 구현하였다.
본 논문에서의 메신저는 특정 AP에서만 프로그램의 구동을 제한하고 특정 AP와 연결이 끊어지거나 프로그램 종료시대화시에 사용가능한 텍스트나 이미지 등의 데이터를 자동으로 삭제되게 하여 정보 유출을 막는다.
AP와의 연결이 끊어지거나 사용자가 통신을 종료하면, 각 메신저 프로그램의 데이터를 모두 삭제하는 방식을 통하여 보안체계를 구현하였다. 본 방법은 서버에서 데이터를 보관하지 않고 각 단말기가 메신저 텍스트를 일시 저장하였다가 메신저를 종료하고 나가는 순간, 통신데이터를 삭제하는 방식을 채택하고 있다. 제안된 방법은 안드로이드 폰에서 구현하였고, 실험을 통하여 그 유효성을 검증하였다.
여기서는 채팅방이 나간다 하더라도 데이터가 지워지지 않고 기존의 메신저 프로그램과 동일하게 채팅내용이 남아있고 이어서 채팅이 가능하도록 하였다.
두 번째로 사용자 인증을 하는 로그인 과정을 거치면서 데이터베이스를 통한 사용자 인증을 한다. 이 과정에서 무분별한 접속을 통해 불법적인 접속을 할 수도 있기 때문에 사용자 인증 횟수를 제한하는 방식을 사용하기로 하였다.
이런 이유로 본 논문에서는 PHP(Personal Hypertext Preprocessor)를 이용한 우회접근을 통해 Android에 SQL Query를 전송한다. 이 과정을 그림 4에 나타내었다.
제안된 방법은 AP에 접근할 수 있는 사용자만으로 폐쇄된 메신저그룹을 유지하는 보안방식을 사용하고, 소프트웨어의 특징인 재사용성을 통해 저비용 고효율의 보안체계를 구축한다. 구체적으로는 Wifi manager API를 통해 일차적으로 외부의 접근을 차단하고, 다른 사용자와 통신을 할 경우, AP에서 제공되는 WPA 프로토콜을 이용하여 보안을 유지한다.
본 방법은 서버에서 데이터를 보관하지 않고 각 단말기가 메신저 텍스트를 일시 저장하였다가 메신저를 종료하고 나가는 순간, 통신데이터를 삭제하는 방식을 채택하고 있다. 제안된 방법은 안드로이드 폰에서 구현하였고, 실험을 통하여 그 유효성을 검증하였다.
첫 번째로는 로그아웃을 통해 프로그램을 종료하는 방식을 사용하였다. 로그아웃을 누르게 될 경우 로그아웃을 요청한 사용자의 id와 ArrayList의 ListItem과 일치하는 항목을 가져온 후 ListItem을 삭제한 후에 데이터베이스에 접근하여 일치하는 id를 현재 접속 중인 페이지를 관리하는 테이블에서 삭제하는 방식을 통해 구현하였다.

성능/효과

이러한 과정을 가지고 통신을 한 결과 외부에서 비정상적으로 접근하는 것에 대해 일차적으로 대응할 수 있다는 결과를 도출하였고 유효성을 검증하였다. 이 방법은 소켓을 통하여 통신을 하고 데이터를 서버에 저장하지 않아 통신 종료 후 데이터를 해킹당할 위험이 없으며, 통신 종료 후 자동으로 데이터를 프로그램에서 삭제하여 복잡하고 고비용인 기존의 보안체계와는 다르게 저비용 고효율의 효과를 나타내었고, AP를 교환하여 실험을 한 경우에도 동일한 실험결과를 도출하여 프로그램이 재사용성을 가지게 되었다.
이러한 과정을 가지고 통신을 한 결과 외부에서 비정상적으로 접근하는 것에 대해 일차적으로 대응할 수 있다는 결과를 도출하였고 유효성을 검증하였다. 이 방법은 소켓을 통하여 통신을 하고 데이터를 서버에 저장하지 않아 통신 종료 후 데이터를 해킹당할 위험이 없으며, 통신 종료 후 자동으로 데이터를 프로그램에서 삭제하여 복잡하고 고비용인 기존의 보안체계와는 다르게 저비용 고효율의 효과를 나타내었고, AP를 교환하여 실험을 한 경우에도 동일한 실험결과를 도출하여 프로그램이 재사용성을 가지게 되었다.
이러한 방법은 일반 통신 메신저처럼 사용하기에는 상용화에 있어서 불편한 점을 가지나 통신하는 내용이 외부로 유출될 가능성을 차단하고 보안성이 뛰어나다. 제안된 방식은 대기업, 공공기관 혹은 기밀 내용 등을 주고받는 기업들에게 있어서 효율적인 통신 방법이 될 수 있다.

후속연구

본 논문에서 제시하는 메신저 프로그램은 연결과정에 있어서 보안성을 유지하기 위하여 특정 AP에서만 접속이 가능하도록 접속을 제한한다. 또한, 접속 중단 시에 데이터를 서버에 저장하거나 단말기에 저장하지 않는다.
향후 연구과제는 다수의 인원이 통신할 수 있도록 프로그램상의 알고리즘을 추가하는 것과 보안성 강화를 위한 추가 알고리즘을 향상시키는 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	OWASP란?	[1]의 내용에 따르면 정부 핵심 자료와 고위 간부들의 대화내용이 민간 모바일 메신저 서비스인 카카오톡에 무방비로 유출되고 있음을 알 수 있다. 그리고 [2]의 논문에 따르면 스마트 단말기의 대중화로 모바일을 통한 업무처리가 선호되고 있는데, 사이버 보안 위협의 특징이 기존의 인터넷에서 발생되는 보안 위협과 동일하게 재현되고 있고, 특히 웹 어플리케이션 보안 표준 기관인 OWASP(The Open Web Application Security Project)가 경고하는 세션 관리의 취약점은 앞으로 모바일 환경에서도 대비해야 하는 핵심적인 이슈이나 그 대응방안이 매우 미흡한 상황이라고 정의하였다.
	안드로이드에서 MySQL로 직접 접근을 허용 안 하는 이유는?	여기서 안드로이드는 MySQL로 직접 접근을 허용하지 않는다. 그 이유는 데이터베이스에서 MySQL을 직접 사용하게 될 경우 보안상의 문제가 취약해지기 때문이다..
	기업에서 복잡한 보안 절차를 내부 메신저에 적용시킨다면 어떠한 문제점이 발생하는가?	안드로이드를 탑재한 스마트 폰에서 사용자 그룹간의 통신 메신저를 사용하는 경우 해킹 또는 검열에 의한 개인 정보 유출이 최근 큰 문제 중 하나로 대두되고 이다. 이 문제를 해결하기 위하여 일반적으로 기업에서는 내부 메신저에 복잡한 보안 절차를 적용시키고 있으나 이는 기존의 업무 효율성을 저하시키는 결과를 초래한다. 본 논문에서는 특정 AP(Access Point)에 접근한 클라이언트만 통신 할 수 있도록 특정 그룹만의 폐쇄된 메신저를 구현함으로써 업무효율성을 높이면서도 보안을 강화할 수 있는 방법을 제안한다.

참고문헌 (12)

http://www.hankyung.com/news/app/newsview.php?aid2014010388061, 카톡에 떠다니는 대한민국 정부, 2014.
김영훈, "모바일 보안을 위한 웹 애플리케이션 서비스의 세션 관리 개선 방안 연구", 학위논문, 세종사이버대학교, 2015.
http://www.kisa.or.kr, 기업의 관리적 보안 결함 TOP10, 2008.
Belen Cruz Zapata, Android Studio Application Development, 에이콘 출판사, 2014.
Joshua J. Drake, Android Hacker's Handbook, whily, 2014.
박현재, 기적을 부르는 안드로이드 통신 프로그래밍 , 투에이치앤에스 출판사, 2013.
박현재, 안드로이드를 지배하는 통신 프로그래밍, 프리렉 출판사, 2011.
Reto Meier, 프로페셔널 안드로이드2 애플리케이션 개발, 제이펍 출판사, 2010.
조정원, 안드로이드 모바일 악성코드와 모의 해킹 진단, 2014.
이두진, 안드로이드 앱 개발 완벽 가이드, PCBOOK , 2010.
Andrew Hoog, 안드로이드 프로그래밍과 보안의 모든것 세트, 에이콘 출판사, 2013.
Sheran Gunasekera, 안드로이드 앱 보안, 길벗 출판사, 2013.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증