[논문]모바일 환경에서 실시간 악성코드 URL 탐지 및 차단 연구

박재경

doi:10.9708/jksci.2015.20.6.037

모바일 환경에서 실시간 악성코드 URL 탐지 및 차단 연구
A Study of Realtime Malware URL Detection & Prevention in Mobile Environment 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.20 no.6, 2015년, pp.37 - 42

초록
AI-Helper

본 논문에서는 악성코드에 대한 피해를 실시간으로 탐지하고 차단하기 위해 모바일 내부에 악성링크에 대한 데이터베이스를 저장하고 또한 악성링크 탐지 엔진을 통해 웹 서비스를 통제함으로 인해 보다 안전한 모바일 환경을 제공하고자 한다. 최근 모바일 환경에서의 악성코드는 PC 환경 못지않게 기승을 부리고 있으며 새로운 위협이 되고 있다. 특히 모바일 특성상 악성코드의 피해는 사용자의 금전적인 피해로 이어진다는 것이 더 중요한 이유이다. 이러한 사이버 범죄를 어떻게 예방하고 실시간으로 차단할 수 있을 것 인지에 대해 많은 연구가 진행되고 있지만 초보적인 수준에 불과한 실정이다. 추가적으로 SMS나 MMS를 통해 전달되는 스미싱도 탐지 및 차단할 수 있는 방안을 제안하고자 한다. 향후 모바일 사업자는 본 연구를 바탕으로 한 근본적인 대책을 수립하여 안전한 모바일 환경을 구축해야 할 것이다.

Abstract ▼ AI-Helper

In this paper, we propose malware database in mobile memory for realtime malware URL detection and we support realtime malware URL detection engine, that is control the web service for more secure mobile service. Recently, mobile malware is on the rise and to be new threat on mobile environment. In particular the mobile characteristics, the damage of malware is more important, because it leads to monetary damages for the user. There are many researches in cybercriminals prevention and malware detection, but it is still insufficient. Additionally we propose the method for prevention Smishing within SMS, MMS. In the near future, mobile venders must build the secure mobile environment with fundamental measures based on our research.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

여기에 특정 URL에 대한 접근 제어, 팝업 차단 여부, MIME 유형에 따른 행동을 결정할 수 있다[15]. 따라서 본 논문에서는 Rendering 엔진에서 악성링크를 판단하여 WebKit API를 통해 접근을 제어할 수 있는 모델을 제안하고자 한다.
이러한 악성링크에 대한 대비책이 현재는 없으며 백신으로 해결할수 있는 문제가 아니다. 따라서 본 논문에서는 모바일 환경에서 URL을 통제함으로써 악성링크에 접근하는 것을 실시간으로 차단하고 보다 안전한 모바일 환경을 제공하고자 한다[4][7].
본 논문에서는 모바일 환경에서 가장 많이 사용되는 안드로이드 환경에서 URL을 탐지하고 해당 URL이 악성링크인지를 판단하는 방안을 제안하고 이를 프로토타입으로 실험하였다. 특정 앱이나 웹을 통해 특정 URL로 유도되는 것을 실시간으로 탐지하고 이를 분석하여 악성링크일 경우 차단하는 방안을 제시하고자 한다.
본 논문에서는 이 중 악성코드나 앱을 통해 악성링크에 접근하는 것을 실시간으로 검사하고 만약 악성링크라고 판단이 될 경우 이를 차단하는 방안을 제안하고자 한다. 악성코드 자체에 대한 탐지도 중요하지만 악성코드가 있는 링크로 사용자를 유도하여 악성 앱을 다운받거나 의심스러운 행위를 사전에 차단하는 것도 매우 중요한 문제라고 판단한다.
이번 장에서는 모바일 환경의 앱이나 웹을 통해 악성링크로 접근하는 것을 실시간으로 탐지하고 차단하는 방안을 제안하고자 한다. 대상은 안드로이드 시스템을 활용하여 제안하도록 한다.
본 논문에서는 모바일 환경에서 가장 많이 사용되는 안드로이드 환경에서 URL을 탐지하고 해당 URL이 악성링크인지를 판단하는 방안을 제안하고 이를 프로토타입으로 실험하였다. 특정 앱이나 웹을 통해 특정 URL로 유도되는 것을 실시간으로 탐지하고 이를 분석하여 악성링크일 경우 차단하는 방안을 제시하고자 한다. 다만 모바일 서비스를 제공하는 벤더들은 본 연구를 보다 확장하여 악성 앱이나 악성링크에 대한 근본적인 해결방안을 제시하여야 할 것이다.

제안 방법

WebKit을 사용하여 악성코드 URL을 판단한 후 해당 브라우저와 연결된 WebKit API를 사용하여 정상일 경우 원래 API를 통해 진행하지만 만약의 경우 WebKit에서 악성링크를 발견하였을 경우 그림 3과 같이 별도의 WebKit API를 통해 콘텐츠를 표시하도록 한다.
본 논문에서 제안한 모바일 악성코드 URL탐지 엔진은 WebKit의 WebCore 부분을 수정하여 설계하였다. 그림 4에서와 같이 기존 쓰레드에서 파싱을 하는 단계에서 스크립트를 수행하기 위한 모듈을 호출하게 되는데 이때 해당 스크립트에서 URL을 추출하여 설계한 악성링크 데이터베이스와 비교를 수행하고 데이터베이스에 없을 경우 별도의 쓰레드를 생성하여 크롤링을 통한 악성링크를 탐지하도록 설계하였다.
이번 장에서는 모바일 환경의 앱이나 웹을 통해 악성링크로 접근하는 것을 실시간으로 탐지하고 차단하는 방안을 제안하고자 한다. 대상은 안드로이드 시스템을 활용하여 제안하도록 한다.
본 논문에서 제안한 모바일 악성코드 URL탐지 엔진은 WebKit의 WebCore 부분을 수정하여 설계하였다. 그림 4에서와 같이 기존 쓰레드에서 파싱을 하는 단계에서 스크립트를 수행하기 위한 모듈을 호출하게 되는데 이때 해당 스크립트에서 URL을 추출하여 설계한 악성링크 데이터베이스와 비교를 수행하고 데이터베이스에 없을 경우 별도의 쓰레드를 생성하여 크롤링을 통한 악성링크를 탐지하도록 설계하였다.
본 논문에서는 대표적인 웹 엔진인 WebKit을 사용하여 제안하도록 한다. WebKit은 웹 서버에서 데이터를 받아오기부터 실제 화면으로 그리기까지 모든 일을 처리한다.
다만, 이 결과를 통해 발견된 악성링크가 있을 경우 바로 사용자에게 보여주는 것이 아니라 악성코드 URL 데이터베이스에 추가만 한 후 향후 자료로 사용한다. 본 논문에서는 제한된 환경에서 실험을 진행하여 데이터베이스는 고정된 URL 리스트 100개를 미리 등록하여 처리하였으며 향후 온라인 업데이트를 통해 해당 URL 정보는 업데이트 가능하도록 설계하였다.
본 실험에서는 WebCore 부분을 변형하여 적재하였고 또한 크롬을 대체하기 위한 브라우저를 통해 악성링크가 발견될 경우 수정된 API를 통해 콘텐츠를 표현하는 시스템을 실험하기 위해 공개된 브라우저를 사용하여 구현 및 실험하였다. 향후에는 보다 다양한 스마트폰과 상용화된 브라우저에 적용할 수 있는 방안을 마련하여 진행할 예정이다.
본 논문에서 제안한 시스템을 검증하기 위해서 다음의 환경을 설정하여 실험하였다. 안정적인 실험을 위하여 모바일 통신은 WiFi만을 통하여 실험을 진행하였다. 다음 표 1은 본 논문의 실험환경을 나타내고 있다.

대상 데이터

본 논문에서 실험한 URL의 대상은 다음의 표 2와 같으며 해당 URL과 정상적인 URL을 10회 실험하였으며 악성링크의 경우 수정된 API를 통해 그림 5와 같이 사전에 정의한 페이지가 출력되는 것을 확인하였다.

데이터처리

위 실험에서 사용된 사이트에 접근하여 본 논문에서 제안한 실험이 정상적인 실험인지를 판단하기 위해 http://www.creget.co.kr/_core/0/index.html 사이트에 접근한 후의 결과를 그림 5와 6을 통해 비교하였다. 그림 5에서는 PC상의 브라우저에서 직접적인 차단을 수행하는 swing 브라우저를 사용하여 해당 사이트가 차단됨을 알 수 있었고 그림 6은 본 논문에서 제안한 시스템을 통해 차단되는 것을 확인할 수 있었다.

이론/모형

악성링크를 판단하는 기능의 설계는 ‘다중 필터를 이용한 실시간 악성코드 탐지 기법’의 논문의 엔진을 적용하였다[3].

후속연구

특정 앱이나 웹을 통해 특정 URL로 유도되는 것을 실시간으로 탐지하고 이를 분석하여 악성링크일 경우 차단하는 방안을 제시하고자 한다. 다만 모바일 서비스를 제공하는 벤더들은 본 연구를 보다 확장하여 악성 앱이나 악성링크에 대한 근본적인 해결방안을 제시하여야 할 것이다. 2장에서는 관련연구를 살펴보고 3장에서는 본 논문의 연구 방안을 제안하며 4장에서는 실험을 통해 제안을 검증하고 5장에서는 결론을 제시한다.
최근 스미싱[18]이나 메일을 통해 모바일용 악성링크가 많이 기승을 부리고 있으므로 모바일 전용 악성링크를 판단하는 엔진 연구가 추가로 진행되어야 한다. 다만, 기존에 모바일에서 스미싱이나 악성코드 URL을 처리할 수 있는 방안이 거의 없었고 최근 통신 ㅅ업자들이 자체적으로 서비스를 제공하고는 있으나 미흡한 실정이므로 본 논문에서 제안하는 연구를 토대로 근본적인 서비스를 제공할 수 있을 것으로 판단한다.
다만, 본 실험의 대상인 악성코드는 PC에 설치되는 악성코드로 실제 악성코드 URL은 PC용과 모바일 용도가 구분되어야 할 것이다. 최근 스미싱[18]이나 메일을 통해 모바일용 악성링크가 많이 기승을 부리고 있으므로 모바일 전용 악성링크를 판단하는 엔진 연구가 추가로 진행되어야 한다.
만약 데이터베이스에 저장된 URL이 아닐 경우 별도의 쓰레드를 통해 독립적으로 URL을 방문하며 지정된 단계까지 이 과정을 반복한다. 다만, 이 결과를 통해 발견된 악성링크가 있을 경우 바로 사용자에게 보여주는 것이 아니라 악성코드 URL 데이터베이스에 추가만 한 후 향후 자료로 사용한다. 본 논문에서는 제한된 환경에서 실험을 진행하여 데이터베이스는 고정된 URL 리스트 100개를 미리 등록하여 처리하였으며 향후 온라인 업데이트를 통해 해당 URL 정보는 업데이트 가능하도록 설계하였다.
따라서 본 논문에서 제안한 형태의 악성코드 URL을 사전에 탐지하여 차단할 경우 보다 안전한 모바일 환경을 제공할 수 있을 것이다. 다만, 현재 모바일 환경에서 지원되는 브라우저가 매우 다양하고 또한 많은 수의 URL을 처리하기 위해서는 데이터베이스를 경량화하고 실시간으로 처리할 수 있는 개선이 필요할 것이다.
또한, 이러한 환경에서 PC 이상의 악성코드도 기승을 부리고 있으며 더 이상 앱 보안만을 통제하는 것은 안전하지 않다. 따라서 본 논문에서 제안한 형태의 악성코드 URL을 사전에 탐지하여 차단할 경우 보다 안전한 모바일 환경을 제공할 수 있을 것이다. 다만, 현재 모바일 환경에서 지원되는 브라우저가 매우 다양하고 또한 많은 수의 URL을 처리하기 위해서는 데이터베이스를 경량화하고 실시간으로 처리할 수 있는 개선이 필요할 것이다.
본 논문에서 제안한 모바일 환경에서의 악성코드 URL 탐지 연구를 통해 모바일용 악성코드가 스마트폰에 설치되는 것을 원천적으로 차단함으로 인해 PC보다 더 안전환 환경을 제공해야 할 것이다.
다만, 본 실험의 대상인 악성코드는 PC에 설치되는 악성코드로 실제 악성코드 URL은 PC용과 모바일 용도가 구분되어야 할 것이다. 최근 스미싱[18]이나 메일을 통해 모바일용 악성링크가 많이 기승을 부리고 있으므로 모바일 전용 악성링크를 판단하는 엔진 연구가 추가로 진행되어야 한다. 다만, 기존에 모바일에서 스미싱이나 악성코드 URL을 처리할 수 있는 방안이 거의 없었고 최근 통신 ㅅ업자들이 자체적으로 서비스를 제공하고는 있으나 미흡한 실정이므로 본 논문에서 제안하는 연구를 토대로 근본적인 서비스를 제공할 수 있을 것으로 판단한다.
본 실험에서는 WebCore 부분을 변형하여 적재하였고 또한 크롬을 대체하기 위한 브라우저를 통해 악성링크가 발견될 경우 수정된 API를 통해 콘텐츠를 표현하는 시스템을 실험하기 위해 공개된 브라우저를 사용하여 구현 및 실험하였다. 향후에는 보다 다양한 스마트폰과 상용화된 브라우저에 적용할 수 있는 방안을 마련하여 진행할 예정이다. 또한 성능적인 이슈나 네트워크의 안정성 등의 인자를 확인하기 위해 네트워크 환경도 LTE나 기타 모바일 트래픽으로 확대하여 적용할 필요가 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	모바일 악성코드의 특징은 무엇인가?	모바일 악성코드는 단말에 설치되어 개인정보 탈취, 스마트폰 원격 제어, 사용자 과금 유발 등의 행동을 수행한다. 이러한 모바일 악성코드의 행동은 해커에게 금전을 비롯한 다양한 이득을 제공한다.
	애플리케이션 행동 분석을 통한 악성코드 탐지기법 중 동적분석 방식의 단점은 무엇인가?	정적 분석 방식의 경우 특정한 패턴이나 시그니처에의해 분석하는 방법이지만 패턴이 너무 다양하고 위변조가 많아 효율성이 떨어진다[12]. 동적분석 방식은 실제 앱을 실행 하여 그 결과를 토대로 분석하는 방식인데 실행에 매우 제한이 있고 실시간 성이 매우 떨어지는 단점을 가지고 있다. 이와 같이 다양한 방법으로 모바일 환경에서 악성코드에 대한 분석이 이루어지고 있지만 각각의 방법들의 특성상 부족한 부분이 생기기 마련이다[16].
	모바일 환경에서 악성코드를 탐지하는 기법 중 하나인 애플리케이션 위변조 탐지 기법의 단점은 무엇인가?	우선 애플리케이션 위변조 탐지 기법을 둘 수 있다. 이는 애플리케이션의 유사성을 기반으로 한 탐지 방법과 무결성을 검증하는 방법 등으로 구분할 수 있으나 해킹 이후 리패키징을 이용할 경우 발견하기 어렵다는 단점이 있다. 또한 코드 난독화 기술을 통해 코드가 역공학을 통해 분석되는 것을 어렵게 하는 방법이 있다[10][11].

참고문헌 (18)

Jae-Kyung Park, Sang-Yong Choi, "Studing Security Weaknesses of Android System", International Journal of Security and Its Applications, Vol. 9, No.3, pp. 7-12, Mar. 2015.

상세보기
Jae-Kyung Park, Sang-Yong Choi, "An Integrity Checking MechanismUsing Physical Independent Storage for Mobile Device", International Journal Control and Automation, Vol.8, No.3, pp.109-114, Mar. 2015.
Jae-Kyung Park, "A Realtime Malware Detection Technique Using Multiple Filter", Journal of The Korea Society of Computer and Information, Vol. 19, No.7, pp. 77-85, July 2014.
Hyo-NamKim, "Realtime hybrid analysis based on multiple profile for prevention of malware", Hongik Univ. Feb. 2014.
Jae-Kyung Park, Sung-Jin Kim, "The Design of the expanded BYOD solutions for business mobile users", Journal of The Korea Society of Computer and Information, Vol. 10, No.10, pp. 107-115, October 2014.
Jin-Kyung Kim, "A design of anomaly detection with automata dynamic profile", Hansei Univ., Feb. 2014.
S. Kimand D. H. Lee, "A study on the vulnerability of integrity verification functions of android-based smartphone banking applications". in Journal of The Korea Institute of Information Security & Cryptology (JKIISC), vol. 23, no. 4, pp. 743-755, Aug. 2013.

원문보기 상세보기
Hyo-Nam, Kimand Jae-Kyoung Park and Yoo-Hun Won, "A Study on the Malware Realtime Analysis Systems Using the Finite Automata", Journal of the Korea society of computer and information, Vol.18, No.5, pp.69-76, Apr. 2013.
H.S. Moon, B.H. Jung, Y.S. Jeon and J.N. Kim, "A Survey of Mobile Malware Detection Techniques", 2013 Electronics and Telecommunications Trends, Vol. 23. No. 3, pp. 39-46, May. 2013.
Y. Zhou and X. Jiang, "Dissecting AndroidMalware: Characterization and Evolution", Proc 33rd IEEE Symp Security and Privacy, Aug. 2012.
Mobile security technology research society, "Demand and outlook for mobile security technology", Data collection for Mobile security technology research society seminar, Sept. Jun. 2011.
Androulidakis, Digital evidence inmobile phones. IT security professional magazine, Issue 13, pp 36-39, Feb. 2010.
http://www.cnet.com/how-to/protect-yourandroid-device-from-malware/
http://blog.trendmicro.com/trendlabs-security-intelligence/the-communication-function-ofmalicious-urls/
http://www.sophos.com/en-us/security-newstrends/security-trends/malware-goes-mobile/10-tips-to-prevent-mobile-malware.aspx
http://blog.trendmicro.com/trendlabs-securityintelligence/android-installer-hijacking-bugused-as-lure-for-malware/
http://www.etnews.com/20150210000170
http://www.siminilbo.co.kr/news/articleView.html?idxno391594

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증