스미싱 범죄 피해 사례에서 수집할 수 있는 공격정보들을 이용하여, 범죄수사에 사용하는 프로파일링 기법을 응용한 스미싱 범죄 프로파일링 모델을 제안한다. 기존에 수사기관에서는 apk 파일의 해시를 이용한 시그니처 분석과 코드 내 삽입된 C&C IP 분석방법을 사용하였으나, 시그니처의 다변화와 코드 난독화로 인해 그 활용도가 낮아졌다. 실제 수사기관에 접수된 169건의 피해사례의 분석을 통해, apk 파일 내 인증서 파일 일련번호의 재사용이 151건(89%), 퍼미션 파일의 재사용은 136건(80%)에 달한다는 점에 착안, 인증서 파일의 일련번호와 퍼미션 파일의 해시를 중심으로 한 스미싱 프로파일링 모델을 설계하여 범죄를 군집화하여 기존의 해시 기반 군집화 방법을 보완하였고, 코드 유사도 검증을 통하여 추가로 신뢰성을 확보하였다.
스미싱 범죄 피해 사례에서 수집할 수 있는 공격정보들을 이용하여, 범죄수사에 사용하는 프로파일링 기법을 응용한 스미싱 범죄 프로파일링 모델을 제안한다. 기존에 수사기관에서는 apk 파일의 해시를 이용한 시그니처 분석과 코드 내 삽입된 C&C IP 분석방법을 사용하였으나, 시그니처의 다변화와 코드 난독화로 인해 그 활용도가 낮아졌다. 실제 수사기관에 접수된 169건의 피해사례의 분석을 통해, apk 파일 내 인증서 파일 일련번호의 재사용이 151건(89%), 퍼미션 파일의 재사용은 136건(80%)에 달한다는 점에 착안, 인증서 파일의 일련번호와 퍼미션 파일의 해시를 중심으로 한 스미싱 프로파일링 모델을 설계하여 범죄를 군집화하여 기존의 해시 기반 군집화 방법을 보완하였고, 코드 유사도 검증을 통하여 추가로 신뢰성을 확보하였다.
With the attack information collected during SMS phishing investigation, this paper will propose SMS phishing profiling model applying criminal profiling. Law enforcement agencies have used signature analysis by apk file hash and analysis of C&C IP address inserted in the malware. However, recently ...
With the attack information collected during SMS phishing investigation, this paper will propose SMS phishing profiling model applying criminal profiling. Law enforcement agencies have used signature analysis by apk file hash and analysis of C&C IP address inserted in the malware. However, recently law enforcement agencies are facing the challenges such as signature diversification or code obfuscation. In order to overcome these problems, this paper examined 169 criminal cases and found out that 89% of serial number in cert.rsa and 80% of permission file was reused in different cases. Therefore, the proposed SMS phishing profiling model is mainly based on signature serial number and permission file hash. In addition, this model complements the conventional file hash clustering method and uses code similarity verification to ensure reliability.
With the attack information collected during SMS phishing investigation, this paper will propose SMS phishing profiling model applying criminal profiling. Law enforcement agencies have used signature analysis by apk file hash and analysis of C&C IP address inserted in the malware. However, recently law enforcement agencies are facing the challenges such as signature diversification or code obfuscation. In order to overcome these problems, this paper examined 169 criminal cases and found out that 89% of serial number in cert.rsa and 80% of permission file was reused in different cases. Therefore, the proposed SMS phishing profiling model is mainly based on signature serial number and permission file hash. In addition, this model complements the conventional file hash clustering method and uses code similarity verification to ensure reliability.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 파일 내부 정보를 이용한 분류모델은 간략화하고, 범죄조직이 이용한 공격정보(SMS, 단축URL)와 피해자정보를 결합하여, 악성코드 기반분류모델로는 분류할 수 없는 범죄 피해사례별 군집화 및 프로파일링 기법을 연구한다.
본 논문은 지금까지 제시된 스미싱 범죄의 클러스터링에 대한 문제점을 분석하여, 사이버범죄 프로파일링 기법을 이용한 스미싱 범죄 프로파일링 모델을 제안한다. 본 논문의 2장과 3장에서는 스미싱 범죄 현황과 기존 사이버범죄 프로파일링, 모바일 악성코드의 분류방법에 대한 선행 연구 내용을 살펴보며, 4장에서는 apk 파일의 인증서 일련번호, 퍼미션 파일의 해시 값 등의 정보를 기반으로 한 스미싱 프로파일링 모델을 설계하고, 사례 분석을 통해 효과성을 검증한다.
가설 설정
169건의 사례를 분석한 결과, apk 파일의 해시값이 중복되어 나타난 경우는 16건에 불과하였지만, 퍼미션이 중복되어 나타난 경우는 136건으로 매우 높게 나타났다.(중복 사용 총 32종류) 퍼미션 파일이 애플리케이션 개발 단계에서 선언하고 사용된다는 점에서, 개발자들은 퍼미션 파일을 대부분 재사용한다는 가설을 세울 수 있다. 또한 중복 사용이 발견되지 않은 퍼미션 파일의 경우에도 피해사례 분석을 전국으로 확대한다면 충분히 중복된 사례를 발견할 수 있을 것이다.
하지만 새로운 기준에 따라 인증서 일련번호와 퍼미션 파일의 해시로 사례를 군집화하고, 인증서 일련번호가 다르더라도 퍼미션 파일의 해시 값이 동일하므로 같은 그룹의 사례로 가정하였다.
제안 방법
양홍석[14]은 사이버테러 공격 중 DDoS 범죄의 프로파일링 모델 기법을 제안하였다. DDoS공격이 기존의 범죄보다 기술적인 범죄수법을 이용한 점에 주목하여, 기존의 HPP 프로젝트 항목 중 기술적 정보 항목을 확장하여 통계적 기술정보, 세부적 기술정보, artifacts 정보, 디지털지리정보에 주목하였다.
가장 많은 빈도를 나타낸 인증서 일련번호를 기반으로 10개의 조직으로 군집화하였고, ‘76ad57ed’에 해당하는 사건이 43건으로 나타났다. 또한, 인증서 일련번호가 다르더라도 퍼미션 파일의 해시가 같은 경우 함께 클러스터링하였다. 그 결과, 일련번호‘5cee7bf4’에 해당하는 사건이 11개에서 16개로 증가하였고, 일련번호 ‘1a803364’에 해당하는 사건은 기존 7개에서 15개로 증가하였다.
모바일 악성코드의 분류와 더불어 스미싱 범죄 현상을 이해하고, 범죄조직의 추적을 위한 정보분석능력과 대응능력을 강화하기 위한 스미싱 프로파일링 모델을 제시하였다.
범죄조직은 ‘무료쿠폰’이나 ‘이번달 보험료 미환급’, ‘안드로이드 업데이트’, ‘주민번호 이용내역 확인’, ‘법원등기확인’, ‘모바일 청첩장’, ‘돌잔치 초대’ 등 사회공학 기법을 활용한 문자메시지를 발송, 피해자들이 단축 URL 주소가 포함된 링크를 클릭하게 함으로써 피해자들의 스마트폰에 악성 애플리케이션(apk) 파일을 설치하였다.
사이버테러 프로파일링 시스템 설계방안 연구에서는 사이버범죄 프로파일링을 위한 데이터 분석과 용의자 프로파일링을 위한 데이터 분석 등을 언급하였다[12]. 사이버테러형 범죄는 전통적인 오프라인 상의 범죄와 성격이 다르고, 짧은 시간 안에 많은 횟수의 사이버공격을 통해 다수의 피해자를 만들 수 있는 점에 강조하여 모델을 설계하였다. 사이버테러형 범죄 프로파일링에서는 공격자 정보(국적/주소/고유번호 등), 공격도구 정보(이메일/도메인/C&C 등), 범죄정보(동기/목적/정보획득방법 등), 피해자정보(개인과 단체로 나누어 – 국적/연령/학력/직업, 기업의 주업무/범죄방어능력/피해인지수준 등), 사건관계인정보(국적/연령/학력/직업 등)를 구성요소로 분류하였다.
시각화 결과 인증서 파일의 일련번호가 가장 유의미한 요소로 나타나 이를 가장 큰 비중으로 하여 사건을 군집화(clustering)하였고, 공격도구정보 등을 포함하여 Fig 2와 같이 사건을 군집화하였다.
이러한 문제를 해결하기 위해 피해자가 신고하면서 제출한 apk 파일의 해시 값과 코드 내에 나타나 있는 IP 주소를 통하여 범죄 행위를 클러스터링(clustering)하였다. 그러나 난독화 기법이 사용된 이후 IP 주소를 빠르게 찾기 어려워지면서 클러스터링하는 것이 어려워졌다.
또한 인증서 파일의 경우, 파일 내부에 있는 일련번호(serial number)를 분석한 결과 전체 169건 중 중복되어 발견된 경우가 총 152건, 약 89%로 높게 나타났다. 이러한 분석 결과와 스미싱 피해자들이 제출한 정보들을 토대로, 스미싱 프로파일링 모델을 설계하였다.
이를 검증하기 위하여 Androsim을 통하여 Fig 3과 같이 코드유사도를 검증하였다. 검증 결과, 두 개의 파일 코드 내 동일한 요소(elements)가 808개, 유사한 요소가 2개로 99.
이를 통하여 위에 열거한 공격도구정보(SMS, 단축 URL, apk 해시, C&C IP, 퍼미션 해시, 인증서 파일 일련번호)를 통하여 기존과 다른 방법의 스미싱 프로파일링 모델 설계를 다음과 같이 제안한다.
범죄조직은 ‘무료쿠폰’이나 ‘이번달 보험료 미환급’, ‘안드로이드 업데이트’, ‘주민번호 이용내역 확인’, ‘법원등기확인’, ‘모바일 청첩장’, ‘돌잔치 초대’ 등 사회공학 기법을 활용한 문자메시지를 발송, 피해자들이 단축 URL 주소가 포함된 링크를 클릭하게 함으로써 피해자들의 스마트폰에 악성 애플리케이션(apk) 파일을 설치하였다. 이를 통해 피해자에게 발송되는 문자메시지를 가로채고, 미리 준비해둔 유출 개인정보를 활용하여 소액결제를 함으로써 범행을 하였다.
대상 데이터
본 연구에서는 실제 접수된 169개의 사건정보를 사용하였다. 이를 통하여 전국에 접수된 피해사례를 분석하고 그룹화하는 것이 더 의미 있는 자료가 될 것이다.
본 연구에서는 이와 같은 사회공학 기법을 이용한 스미싱 범죄를 프로파일링 모델 설계의 대상으로 삼는다. 또한 최근에는 악성 애플리케이션을 이용, 개인의 통화기록과 위치정보, 사진 등의 모든 자료를 탈취하는 ‘스파이앱’, 정상적인 스마트폰뱅킹 애플리케이션을 위 · 변조하여 금융정보를 요구하는 등 다양한 형태의 스미싱이 나타나고 있다.
이를 검증하기 위하여 2013년 2월부터 2013년 11월까지 실제로 수사기관에 접수된 피해사례 169건을 분석하였다. 기존에 수사기관에서 군집화를 위해 사용한 방법은 apk 파일의 해시와 C&C IP 주소 분석으로, 해당 방법을 이용할 경우 169건의 피해사례는 총 152 종류 (동일 사건 16건, 약 9%)로 나타났다.
성능/효과
169건의 사례를 분석한 결과, apk 파일의 해시값이 중복되어 나타난 경우는 16건에 불과하였지만, 퍼미션이 중복되어 나타난 경우는 136건으로 매우 높게 나타났다.(중복 사용 총 32종류) 퍼미션 파일이 애플리케이션 개발 단계에서 선언하고 사용된다는 점에서, 개발자들은 퍼미션 파일을 대부분 재사용한다는 가설을 세울 수 있다.
2개의 사례는 겉으로 보기엔 SMS 내용도 다르고, 파일 이름과 파일의 해시 값(MD5), C&C IP가 모두 다르다.
가장 많은 빈도를 나타낸 인증서 일련번호를 기반으로 10개의 조직으로 군집화하였고, ‘76ad57ed’에 해당하는 사건이 43건으로 나타났다.
이를 검증하기 위하여 Androsim을 통하여 Fig 3과 같이 코드유사도를 검증하였다. 검증 결과, 두 개의 파일 코드 내 동일한 요소(elements)가 808개, 유사한 요소가 2개로 99.973024%의 유사도가 있는 것으로 나타났다.
그 결과, 일련번호‘5cee7bf4’에 해당하는 사건이 11개에서 16개로 증가하였고, 일련번호 ‘1a803364’에 해당하는 사건은 기존 7개에서 15개로 증가하였다.
기존에 수사기관에서 군집화를 위해 사용한 방법은 apk 파일의 해시와 C&C IP 주소 분석으로, 해당 방법을 이용할 경우 169건의 피해사례는 총 152 종류 (동일 사건 16건, 약 9%)로 나타났다.
또한 그림과 같이, 군집화를 실시한 결과 SMS 내용 또한 조직별로 거의 유사하게 나타나는 등의 효과를 확인할 수 있었다(무료쿠폰/초대장/출석요구).
퍼미션 파일의 경우, 파일의 해시 분석만으로 전체 169건 중 2건 이상 중복되어 발견된 경우가 총 136건, 약 80%에 달했다. 또한 인증서 파일의 경우, 파일 내부에 있는 일련번호(serial number)를 분석한 결과 전체 169건 중 중복되어 발견된 경우가 총 152건, 약 89%로 높게 나타났다. 이러한 분석 결과와 스미싱 피해자들이 제출한 정보들을 토대로, 스미싱 프로파일링 모델을 설계하였다.
이에 따라, 169개의 사건을 10개의 그룹으로 군집화하여 총 136건을 분류하여, 기존 apk 파일의 해시와 C&C IP로 분류하는 방법보다 큰 효과가 있음을 알 수 있다.
즉 본 연구 내용과 같이, 인증서 파일의 일련번호와 퍼미션 파일의 해시 값을 통해 군집화를 하는 작업이 기존 방법에 더해 효과적으로 사용될 수 있는 방법임이 증명되었다. 이렇게 전국에서 발생한 피해사례에 대하여 그룹화를 실시하고(귀납적 프로파일링), 추후 발생하는 사건에서 프로파일링의 각 요소들을 판단하여 기존의 사건에 연결하면(연역적 프로파일링), 효과적인 프로파일링을 할 수 있을 것이다.
피해 사례를 분석한 결과, 인증서 파일의 해시는 총 35건의 사례만 중복되어 발견되었다(총 151종류). 이는 사건을 프로파일링하기 위한 정보로 활용하기 어렵다.
후속연구
결국, 현장에서 입력한 범죄정보와 악성 애플리케이션 파일을 신속하게 중앙 부서에서 발송 및 관리할 수 있는 시스템을 마련하고, 이를 통하여 신속하게 사건을 묶어 전담팀에게 배당, 범죄자를 추적해야 할 것이다.
(중복 사용 총 32종류) 퍼미션 파일이 애플리케이션 개발 단계에서 선언하고 사용된다는 점에서, 개발자들은 퍼미션 파일을 대부분 재사용한다는 가설을 세울 수 있다. 또한 중복 사용이 발견되지 않은 퍼미션 파일의 경우에도 피해사례 분석을 전국으로 확대한다면 충분히 중복된 사례를 발견할 수 있을 것이다.
또한 향후 연구에서는 공격도구정보를 통한 프로파일링을 넘어서, 수사가 진행되며 얻을 수 있는 추가적인 정보(공격자정보 및 사건관계인 정보)를 통한 프로파일링 기법을 진행할 예정이다.
즉 본 연구 내용과 같이, 인증서 파일의 일련번호와 퍼미션 파일의 해시 값을 통해 군집화를 하는 작업이 기존 방법에 더해 효과적으로 사용될 수 있는 방법임이 증명되었다. 이렇게 전국에서 발생한 피해사례에 대하여 그룹화를 실시하고(귀납적 프로파일링), 추후 발생하는 사건에서 프로파일링의 각 요소들을 판단하여 기존의 사건에 연결하면(연역적 프로파일링), 효과적인 프로파일링을 할 수 있을 것이다.
본 연구에서는 실제 접수된 169개의 사건정보를 사용하였다. 이를 통하여 전국에 접수된 피해사례를 분석하고 그룹화하는 것이 더 의미 있는 자료가 될 것이다. 이를 통한 검거 사례가 없기에 이를 증명하는 것이 한계점으로 작용하였지만, 추후에는 실제 범인이 검거되었을 때 이 프로파일링 기법이 의미가 있었는지를 판단해 볼 수 있을 것이다.
이를 통하여 전국에 접수된 피해사례를 분석하고 그룹화하는 것이 더 의미 있는 자료가 될 것이다. 이를 통한 검거 사례가 없기에 이를 증명하는 것이 한계점으로 작용하였지만, 추후에는 실제 범인이 검거되었을 때 이 프로파일링 기법이 의미가 있었는지를 판단해 볼 수 있을 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
스미싱이란?
스미싱(smishing)은 인터넷 보안기업 맥아피(McAfee)가 2006년에 처음 사용한 용어이다. 문자메시지(SMS)와 피싱(phishing)의 합성어이며, 휴대전화 문자메시지 서비스를 통해 발송되는 피싱 공격을 의미한다[3]. 공격자는 Web 접속이 가능한 피해자의 휴대전화에 URL 주소가 포함된 문자메시지를 발송하고, 피해자가 그 링크를 클릭하면 트로이목마가 설치되는 원리이다.
스미싱의 공격 원리는?
문자메시지(SMS)와 피싱(phishing)의 합성어이며, 휴대전화 문자메시지 서비스를 통해 발송되는 피싱 공격을 의미한다[3]. 공격자는 Web 접속이 가능한 피해자의 휴대전화에 URL 주소가 포함된 문자메시지를 발송하고, 피해자가 그 링크를 클릭하면 트로이목마가 설치되는 원리이다. 경찰청 사이버안전국에서는 ‘무료쿠폰 제공’, ‘돌잔치 초대장’, ‘모바일청첩장’ 등을 내용으로 하는 문자메시지 내 인터넷주소를 클릭하면 악성코드가 스마트폰에 설치되어, 피해자가 모르는 사이에 소액결제 피해나 개인․금융정보를 탈취당하는 사이버범죄 행위를 스미싱으로 정의하고 있다[4].
사이버범죄와 일반범죄의 차이점은?
일반 강력범죄의 경우 한 건의 범죄에선 범인(범죄조직)과 피해자가 같은 범죄장소에 위치하지만, 스미싱과 같은 사이버범죄는 범죄를 저지르는 장소에 관계없이 피해자들이 전국에 퍼져 있다는 문제가 있다. 또한 그 수사가 전국의 경찰관서에서 개별적으로 진행되어 행정력이 낭비되고 있다.
참고문헌 (19)
Korean Nation Police Agency, http://www.police.go.kr/cmm/fms/FileDown.do?atchFileIdFILE_000000000064121&fileSn1&bbsIdB0000011
Korean Nation Police Agency, http://www.police.go.kr/portal/main/contents.do?menuNo200287
Jae-sung Yun, et al. "Andro-profiler: Anti-malware system based on behavior profiling of mobile malware," Journal of The Korea Institute of Information Security & Cryptology, 24(1), pp. 145-154, Feb. 2014.
Changwook Park, et al. "Research on the Classification Model of Similarity Malware using Fuzzy Hash," Journal of The Korea Institute of Information Security & Cryptology, 22(6), pp. 1325-1336, Dec. 2012.
Jae-woo Park, et al. "An Automatic Malware Classification System using String List and APIs," Journal of Security Engineering, 8(5), pp. 611-626, Oct. 2011.
Dong-Jie Wu, et al. "Droidmat: Android malware detection through manifest and API calls tracing," Information Security (Asia JCIS), 2012 Seventh Asia Joint Conference on. IEEE, 2012.
Choon Kyong Joo and Ji won Yoon, "Discrimination of SPAM and prevention of smishing by sending personally identified SMS(For financial sector)," Journal of The Korea Institute of Information Security & Cryptology, 24(4), pp. 645-653, Aug. 2014.
SangKeun Jang, "A strategy for mobile malicious code and a method for diagnosis of moblie malicious code by case anlaysis," KIISC Review, 23(2), pp. 14-20, Apr. 2013.
Douglas, John E., et al. "Criminal profiling from crime scene analysis," Behavioral Sciences & the Law, vol. 4, no. 4, pp. 401-421, 1986.
Chaeho Lim, et al. "Profiling of Cyber-crime by Psychological View," Journal of The Korea Institute of Information Security & Cryptology, 19(4), pp. 115-124, Aug. 2009.
Cheol-Woo Jeong, et al. "A design for Profiling-system of Cyberterrorism," Korean National Police Agency, Jan. 2013.
Hongsuk Yang, "A model design for Profiling of DDoS Crime," Ph.D. Thesis, Korea University, Feb. 2012.
Neumann, Alexander, Johannes Barnickel, and Ulrike Meyer. "Security and privacy implications of url shortening services," Proceedings of the Workshop on Web 2.0 Security and Privacy, 2010.
Java SE Documentation, "keytool", http://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html
Gephi v0.8.2, http://gephi.github.io/
Jun-Hyung Kim and Eul-Gyu Im, "Androguard: Similarity Analysis for Android Application Binaries", Korea Computer Congress 2014, pp. 101-103, Jun, 2014.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.