최근 전 세계적으로 스마트폰의 사용이 급증하고 있으며, 국내의 경우 스마트폰 가입자 수는 약 2400만명으로 전체 이통사의 가입자중 47.7%가 스마트폰을 사용하고 있다. 스마트폰의 경우 보안에 대해 취약점을 가지고 있으며, 스마트폰을 이용한 보안관련 사고피해가 해가 갈수록 증가하고 있다. 그러나 기존의 방식은 사전 대책이 아닌 대부분 사후대책으로써 전문가의 경우를 제외하면 피해를 입은 뒤에 그 피해가 발생한 악성코드의 분석이 이루어지고 있다. 이에 따라 본 논문에서는 가상화 기술을 적용한 모바일 기반의 악성코드분석 시스템을 구현하고 이를 통하여 행위분석을 하도록 설계한다. 가상화는 컴퓨터 리소스의 물리적인 특징을 추상화하여 게스트에게 논리적인 리소스를 제공하는 기술이다. 이러한 가상화 기술은 클라우드 컴퓨팅 서비스와 접목시켜 서버, 네트워크, 스토리지등 컴퓨팅 자원을 탄력적으로 제공함으로 자원의 효율성을 높이고 있다. 아울러 사용자 관점에서 사전에 보안사고를 대비할 수 있는 시스템을 제시한다.
최근 전 세계적으로 스마트폰의 사용이 급증하고 있으며, 국내의 경우 스마트폰 가입자 수는 약 2400만명으로 전체 이통사의 가입자중 47.7%가 스마트폰을 사용하고 있다. 스마트폰의 경우 보안에 대해 취약점을 가지고 있으며, 스마트폰을 이용한 보안관련 사고피해가 해가 갈수록 증가하고 있다. 그러나 기존의 방식은 사전 대책이 아닌 대부분 사후대책으로써 전문가의 경우를 제외하면 피해를 입은 뒤에 그 피해가 발생한 악성코드의 분석이 이루어지고 있다. 이에 따라 본 논문에서는 가상화 기술을 적용한 모바일 기반의 악성코드분석 시스템을 구현하고 이를 통하여 행위분석을 하도록 설계한다. 가상화는 컴퓨터 리소스의 물리적인 특징을 추상화하여 게스트에게 논리적인 리소스를 제공하는 기술이다. 이러한 가상화 기술은 클라우드 컴퓨팅 서비스와 접목시켜 서버, 네트워크, 스토리지등 컴퓨팅 자원을 탄력적으로 제공함으로 자원의 효율성을 높이고 있다. 아울러 사용자 관점에서 사전에 보안사고를 대비할 수 있는 시스템을 제시한다.
As recent smartphone is used around the world, all of the subscribers of the mobile communication is up to 47.7% about 24 million people. Smartphone has a vulnerability to security, and security-related incidents are increased in damage with the smartphone. However, precautions have been made, rathe...
As recent smartphone is used around the world, all of the subscribers of the mobile communication is up to 47.7% about 24 million people. Smartphone has a vulnerability to security, and security-related incidents are increased in damage with the smartphone. However, precautions have been made, rather than analysis of the infection of most of the damage occurs after the damaged except for the case of the expert by way of conventional post-countermeasure. In this paper, we implement a mobile-based malware analysis systems apply a virtualization technology. It is designed to analyze the behavior through it. Virtualization is a technique that provides a logical resources to the guest by abstracting the physical characteristics of computing resources. The virtualization technology can improve the efficiency of resources by integrating with cloud computing services to servers, networks, storage, and computing resources to provide a flexible. In addition, we propose a system that can be prepared in advance to buy a security from a user perspective.
As recent smartphone is used around the world, all of the subscribers of the mobile communication is up to 47.7% about 24 million people. Smartphone has a vulnerability to security, and security-related incidents are increased in damage with the smartphone. However, precautions have been made, rather than analysis of the infection of most of the damage occurs after the damaged except for the case of the expert by way of conventional post-countermeasure. In this paper, we implement a mobile-based malware analysis systems apply a virtualization technology. It is designed to analyze the behavior through it. Virtualization is a technique that provides a logical resources to the guest by abstracting the physical characteristics of computing resources. The virtualization technology can improve the efficiency of resources by integrating with cloud computing services to servers, networks, storage, and computing resources to provide a flexible. In addition, we propose a system that can be prepared in advance to buy a security from a user perspective.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 기존 백신의 가지고 있는 데이터를 기반으로 감지하는 기법이 아닌 악성코드의 행동을 사전에 대처를 할 수 있도록 알 수 없는 URL이나 어플리케이션을 받았을 시 PC의 가상화와 같이 모바일 가상화 기술을 적용하여 모바일 기기 내에서 가상화 서버에서 우선 구동을 시킨 후 해당 URL이나 어플리케이션의 행동분석을 실행하는 시스템을 제시한다.
데스크탑 가상화는 서버 기반 컴퓨팅을 기반으로 하는 기술로서, 컴퓨터 본체의 기능을 가상화 기술을 활용하여 수십 대의 컴퓨터를 1대의 중앙 서버에 구축하고, 사용자는 단말기와 주변장치만을 이용해 개인 PC를 이용하는 것처럼 업무처리를 지원하는 시스템이다. 사용자의 요청에 따라 개인화된 사용자 환경 설정, 운영체제, 응용프로그램 등을 조합하여 가상 데스크탑 환경을 만들고 이 이미지를 사용자에게 제공한다.
제안 방법
[2] 정적 분석의 목표는 애플리케이션의 보안 취약점이나 악의적 행동 여부를 탐지하는 것으로 이를 위하여 Root 권한 획득을 위해 사용되는 Exploit 탐지, Permission 오남용 분석, 데이터 정보 누출 가능성탐지, IPC(Inter-Process Communication) 통신 취약점 분석 등 다양한 보안 관점을 분석 대상으로 고려하고 있다. 또한, 정적 분석 방법은 악성코드 및 일반 애플리케이션의 분석 결과로부터 습득한 경험적 정보(Heuristic)들을 이상 행동 및 취약점 탐지에 활용하며, 이를 위하여 애플리케이션의 Permission, Semantic, Control Flow 및 Data Flow 등을 분석한다. 일례로, 데이터 누출 가능성을 탐지하기 위하여 일반적인 애플리케이션이 Hard Coding된 특정 목적지로 SMS를 보내지 않는다” 는 Heuristic을 이용하며, 이를 탐지하기 위하여 애플리케이션 소스 코드의 Semantic을 분석한다.
일례로, 데이터 누출 가능성을 탐지하기 위하여 일반적인 애플리케이션이 Hard Coding된 특정 목적지로 SMS를 보내지 않는다” 는 Heuristic을 이용하며, 이를 탐지하기 위하여 애플리케이션 소스 코드의 Semantic을 분석한다.
대상 데이터
정적 분석 방법은 프로그램에 대한 수행 없이 애플리케이션을 분석하는 방식이다. 안드로이드 애플리케이션에 대한 정적 분석은 Dalvik Bytecode 자체나 dex2jar, DED, soot, JD-GUI와 같은 도구를 사용하여 추출된 애플리케이션 소스 코드를 분석 대상으로 삼는다.[2] 정적 분석의 목표는 애플리케이션의 보안 취약점이나 악의적 행동 여부를 탐지하는 것으로 이를 위하여 Root 권한 획득을 위해 사용되는 Exploit 탐지, Permission 오남용 분석, 데이터 정보 누출 가능성탐지, IPC(Inter-Process Communication) 통신 취약점 분석 등 다양한 보안 관점을 분석 대상으로 고려하고 있다.
이론/모형
본 논문에서 제시하는 시스템에서 사용하는 악성코드 분석도구는 가상화기반의 Cuckoo Sandbox이다. Cuckoo Sandbox는 Python 언어 기반으로 이루어진 소스이며 시스템 구축에서는 이 가상화 기반의 Cuckoo Sandbox 구현장면을 다룬다.
성능/효과
8%를 차지했다. 이 두 가지 악성코드 진단 건수가 전체의 약 93%를 차지했으며, 이 뒤를 이어 사용자 몰래 정보를 수집하는 스파이웨어, 다른 악성코드를 추가로 설치하는 다운로더, 향후 악의적인 목적으로 활용될 수 있는 앱케어 등이 소량씩 발견됐다.[11][12]
마지막으로 내부에서 분석 되어진 결과는 외부 DB로 전송된 자세한 정보와는 다르게 사용자가 이해하기 쉽게 유해한 자료인지 아닌지를 판단할 수 있게 간략한 정보를 제공한다. 이는 기존의 백신과 같은 데이터를 기반으로 한 감지 대책과는 다르게 사용자가 열어보고 싶은 URL이나 어플리케이션을 실제적으로 실행을 시키고 결과를 본 뒤에 해당 메시지나 파일을 삭제하거나 활용할 수 있으므로 기존의 시스템의 피해 발생 이후의 대처가 가능하다는 최대 단점을 사용자가 해당 분야의 전문적인 지식이 없어도 직접적으로 분석을 실행하는 경우 이므로 기존의 단점이 개선되었으며, 새롭게 등장하는 악성코드에 대한 대처가 더욱 신속하기 때문에 기존의 시스템보다 더욱 효율적임을 알 수 있다.
apk파일이나 URL이 악성코드를 내포하고 있으므로 분석을 시행하는 기법이며 데이터에 기반 한 감시 방법이었다. 하지만 본 논문에서 제시하는 모바일 가상화를 이용한 행위분석기법은 사용자가 사용 직전에 바로 분석이 가능할 수 있으므로, 현 시점에서의 대응 대책(사후) 가 아닌 (사전)에 분석이 가능하므로 피해를 줄일 수 있고, 활용 가능한 정보나 어플리케이션을 제한 없이 사용할 수 있도록 해주는 이점을 가지고 있다. 현재는 시스템의 구성을 마친 상태이며, 악성코드 분석도구에 대한 연구가 완료된 상태이다.
후속연구
정적 분석 방법은 안드로이드 플랫폼 수정이나 애플리케이션 수행을 필요로 하지 않기 때문에 타 탐지 기법에 비해 분석 시간 및 비용이 적게 드는 장점을 가진다. 따라서 급속하게 증가하고 있는 모바일 애플리케이션 수를 고려하였을 때, 추가적인 세부 분석 대상을 찾아내기 위한 필터링 수단으로서 활용될 수 있다. 그러나 정적 분석 방법은 분석 결과가 애플리케이션으로부터 추출된 소스 코드의 정확도에 의존하는 문제점을 가진다.
현재 가상화 환경에 쓰는 가상화 머신을 모바일에서 사용가능한 툴로 개발 중인 상태이므로 구축에 관련된 연구는 PC에서 실행하기로 한다. 이후 가상화 환경과 분석도구가 준비되었으므로 악성코드 분석을 실행할 단계이다.
현재는 시스템의 구성을 마친 상태이며, 악성코드 분석도구에 대한 연구가 완료된 상태이다. 추후에는 모바일 가상화 환경이 마련이 되는 즉시 관련 어플리케이션 개발로 진행될 예정이다.
(PC에서의 예시 이지만 모바일도 동일하다). 현재 가상화 환경에 쓰는 가상화 머신을 모바일에서 사용가능한 툴로 개발 중인 상태이므로 구축에 관련된 연구는 PC에서 실행하기로 한다. 이후 가상화 환경과 분석도구가 준비되었으므로 악성코드 분석을 실행할 단계이다.
질의응답
핵심어
질문
논문에서 추출한 답변
개방형 구조의 단점은?
[1] 이러한 스마트폰 플랫폼 중 하나인 안드로이드는 빠른 시장 확장을 위하여 ‘플랫폼 소스 공개’ 및 ‘다양한 어플리케이션 유포 경로’의 특징을 갖는 개방형 구조를 선택하였으며 그 결과 50%가 넘는 점유율을 획득했다[2][3]. 그러나 개방형 구조는 악성코드의 작성 및 유포를 쉽게 하는 특징 또한 가져, 안드로이드에게 악성코드 취약이라는 오명 역시 부여하였다. 실제 모바일 악성코드의 대부분이 안드로이드를 공격 대상으로 삼고 있으며 그 수는 급속히 증가하고 있다.
안드로이드폰 사용자를 노리는 악성코드 중 가장 많은 진단 건수를 차지하고 있는 악성코드는 무엇인가?
안드로이드폰 사용자를 노리는 악성코드가 폭증하고 있다. 애드웨어 수준의 악성 앱(PUP)가 20만여 건으로 전체의 48%를 차지했다. 이어서 사용자의 스마트폰에 숨어 정보유출, 과금 등 악성 행위를 하는 트로이목마 악성코드의 개수가 19만여 개로 전체의 44.
APT 솔루션은 어떤 버전이라고 할 수 있는가?
기존에는 악성코트 탐지, 침입시도 탐지 등의 특정 기능에 포커스 되어 있었다면, APT 솔루션들은 기존 개별 보안 솔루션들의 통합버전이라 할 수 있다. 대표적인 차별 점으로는 ‘동적 분석’과 ‘상관관계 기반의 위협정보 검증’을 강화했다는 점을 들 수 있는데, 최근 실시간으로 네트워크상에 오가는 파일에 대한 동적 분석 기능을 더욱 강화해 나가고 있으며, IP 및 도메인 등에 대한 위험 여부를 판단할 때 평판기반으로 축적되어 있는 데이터와의 비교를 통해 위험성을 판단해나가는 것이 특징이다.
참고문헌 (12)
S. H. Yeom, Statistics for Subscribers of Wire. Wireless Communication, Korea Communications Commission; 2012
Sophos, "Security Threat Report 2013," 2013
L. K. Yan and H. Yin, "DroidScope: Seamlessly Reconstructing the OS and Dalvik Semantic Views for Dynamic Android Malware Analysis," Proc 21st USENIX conf. Security Symp., Security, 2012.
McAfee, "McAfee Threats Report: First Quarter 2012," 2012.
M. H. Shin, "2013 Technology Trend for Android-based Malware Detector", Electronics and Telecommunications Research Institute, 2013
H. Y. Kim, "A Study of Efficient Dynamic Analysis for Malware Detection in a Mobile Platform", Korea Information Processing Society, 2013
Y.M. Bae, "Technology Trend of Desktop Virtualization for Information Security", Research Journal for Security Engineering, 2011
B. J. Choi, A study on the concept and implementation method for Korea Virtualizationbased Mobile Cloud Computing, Journal of Information Processing Society, 2011
T. H. Kim, APT attack type and countermeasures, Security News, 2015
J. Y. Choi, Malware Analysis of hardware virtualization, Korea Network Information Society in 2010 Annual General Meeting and Fall Conference, 2010
M. H. Lee, Android malware, year-on-year doubling, Digital Daily, 2015
Y. G. Jung, Hospital Security System using Biometric Technology, J.IWIT, Vol.11, No.2 pp219-224, 2011
※ AI-Helper는 부적절한 답변을 할 수 있습니다.