최근 모바일 게임 사용자가 증가하면서 점수 및 레벨 조작, 게임 속도 조작, 결재부정과 같은 부작용이 발생하고 있다. 특히, PC에서 모바일앱을 구동할 수 있도록 해주는 에뮬레이터를 사용하면 게임 앱을 디버깅을 하거나 게임조작을 자동화하기 쉬워지기 때문에 모바일 게임 보안관점에서 커다란 위협이 되고 있다. 따라서 본 논문에서는 모바일 게임 보안 위협 완화를 위해 최근 많이 사용되는 안드로이드 에뮬레이터인 BlueStacks, GenyMotion, Andy, YouWave와 구글 크롬에서 안드로이드를 동작 시킬 수 있는 ARC Welder 확장 프로그램을 클라이언트(앱), 게임서버 및 네트워크 관점에서 효과적으로 탐지할 수 있는 방법에 대해 연구하였다.
최근 모바일 게임 사용자가 증가하면서 점수 및 레벨 조작, 게임 속도 조작, 결재부정과 같은 부작용이 발생하고 있다. 특히, PC에서 모바일앱을 구동할 수 있도록 해주는 에뮬레이터를 사용하면 게임 앱을 디버깅을 하거나 게임조작을 자동화하기 쉬워지기 때문에 모바일 게임 보안관점에서 커다란 위협이 되고 있다. 따라서 본 논문에서는 모바일 게임 보안 위협 완화를 위해 최근 많이 사용되는 안드로이드 에뮬레이터인 BlueStacks, GenyMotion, Andy, YouWave와 구글 크롬에서 안드로이드를 동작 시킬 수 있는 ARC Welder 확장 프로그램을 클라이언트(앱), 게임서버 및 네트워크 관점에서 효과적으로 탐지할 수 있는 방법에 대해 연구하였다.
With the recent increase of the number of mobile game users, the side effects such as the manipulation of game points, levels and game speed and payment fraud are emerging. Especially, the emulators which make it possible for mobile applications to run on PC is a great threat to mobile game security...
With the recent increase of the number of mobile game users, the side effects such as the manipulation of game points, levels and game speed and payment fraud are emerging. Especially, the emulators which make it possible for mobile applications to run on PC is a great threat to mobile game security since debugging specific game application or automating the game playing can be done easier with them. Therefore, we research the efficient ways to detect widely used Android Emulators such as BlueStacks, GenyMotion, Andy, YouWave and ARC Welder from the perspective of client(app), game server and network to reduce threat to mobile game security.
With the recent increase of the number of mobile game users, the side effects such as the manipulation of game points, levels and game speed and payment fraud are emerging. Especially, the emulators which make it possible for mobile applications to run on PC is a great threat to mobile game security since debugging specific game application or automating the game playing can be done easier with them. Therefore, we research the efficient ways to detect widely used Android Emulators such as BlueStacks, GenyMotion, Andy, YouWave and ARC Welder from the perspective of client(app), game server and network to reduce threat to mobile game security.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 논문에서는 모바일 게임에 위협 요소인 에뮬레이터를 효과적으로 탐지하는 방법에 대해 연구하였다. 최근 많이 사용되는 안드로이드 에뮬레이터인 BlueStacks, GenyMotion, Andy, YouWave와 구글 크롬에서 안드로이드를 동작 시킬 수 있는 ARC Welder 확장 프로그램을 대상으로 클라이언트(앱) 측면에서 최소 권한을 가지고 에뮬레이터를 탐지하는 방법과 게임 서버 및 네트워크 측면에서 탐지하는 방법에 대해 연구하였다.
본 논문에서는 일반 사용자들에게 많이 사용되고 있는 안드로이드 에뮬레이터를 대상을 클라이언트 측면과 서버/네트워크 측면에서 탐지하는 방법에 대해 연구하였다.
스마트폰, 태블릿과 같은 안드로이드 기기는 카메라, 터치 디스플레이, 각종 센서, 배터리 등의 하드웨어가 포함되어 있다. 안드로이드 에뮬레이터들을 카메라, 센서 등의 하드웨어를 가상으로 있는 것처럼 구현하고 있지만 실제 기기와는 차이가 있으므로 이를 이용하여 에뮬레이터를 탐지하는 방법을 제안하고자 한다.
따라서 본 논문에서는 모바일 게임에 위협 요소인 에뮬레이터를 효과적으로 탐지하는 방법에 대해 연구하였다. 최근 많이 사용되는 안드로이드 에뮬레이터인 BlueStacks, GenyMotion, Andy, YouWave와 구글 크롬에서 안드로이드를 동작 시킬 수 있는 ARC Welder 확장 프로그램을 대상으로 클라이언트(앱) 측면에서 최소 권한을 가지고 에뮬레이터를 탐지하는 방법과 게임 서버 및 네트워크 측면에서 탐지하는 방법에 대해 연구하였다.
제안 방법
가속센서 정보는 SensorEventListener 등록하여 구현하며 터치 이벤트와 유사하게 N회 이하의 가속 센서 이벤트에서 X, Y, Z 좌표별 값을 수집하고 평균 및 표준 편차를 구한다.
에뮬레이터는 가상의 하드웨어를 쉽게 생성할 수 있지만 실제 안드로이드 기기에서 발생되는 터치정보, 센서 입력 정보 값은 발생시키기 어렵다. 따라서 안드로이드 기기에 필수적으로 탑재되는 하드웨어인 터치 스크린 정보와 가속도 정보를 사용하여 에뮬레이터를 탐지하는 방법을 제안한다.
서버 및 네트워크 측면에서는 클라이언트에서 수집된 정보를 바탕으로 탐지하는 방식과 네트워크 패킷의 TTL 정보를 바탕으로 간단하게 에뮬레이터를 탐지하는 방법을 제안하였다.
클라이언트 측면에서 에뮬레이터를 탐지하기 위한 기능 구현시에도 퍼미션을 고려해야하며 최소한의 권한을 사용하여 에뮬레이터 탐지 기능을 구현하는 것이 적합하다. 에뮬레이터 탐지 기능 구현시 활용 가능한 퍼미션 범위를 확인하기 위해 구글 플레이 마켓에서 매출이 높은 게임 10개를 대상으로 설치시 요구되는 퍼미션을 확인하였다. 대상 게임은 ①레이븐, ②뮤오리진, ③클래시 오브 클랜, ④세븐나이츠, ⑤모두의 마블, ⑥애니팡2, ⑦몬스터 길들이기, ⑧갓 오브 하이스쿨, ⑨하스스톤, 캔디크러쉬소다 였으며 결과는 Table 1.
Timothy Vidas[5] 등은 안드로이드 앱이 에뮬레이터 환경에서 분석되는 것을 회피하기 위한 기술적인 방법을 정리하고 평가하였다. 에뮬레이터 탐지 방법으로 안드로이드 API를 사용하여 기기 빌드 정보를 조회하는 방법, 네트워크 정보를 활용한 방법, 안드로이드 에뮬레이터의 기반이 되는 qemu와 같은 소프트웨어를 탐지하는 방법, CPU 또는 GPU 성능을 기반으로 탐지하는 방법, 하드웨어 센서와 같은 부품 관련 정보를 사용하는 방법, 설치되어 있는 앱 정보를 바탕으로 탐지하는 방법을 제시하고 악성앱분석 에뮬레이터인 Andrubis, CopperDroid, ForeSafe를 대상으로 탐지 성능을 평가하였다. 해당 연구는 다양한 방식의 에뮬레이터 탐지 방법을 제시하였으나 모두 클라이언트 측면의 탐지 방법이었으며 모바일 게임 치팅에 활용되는 에뮬레이터는 연구 대상이 아니었다.
대부분의 Windows는 운영체제의 Default TTL 값은 128, Linux 계열은 64 이다[9]. 에뮬레이터와 게임 부정 프로그램은 주로 Windows 환경에서 구동되는 반면 실제 스마트폰의 Android는 Linux 커널을 사용한다는 점에 착안하여 실험을 통해 TTL 값을 수집하고 분석하였다. Table 7.
지금까지 클라이언트 측면에서 안드로이드 에뮬레이터를 탐지하는 방법으로 Build 정보를 이용한 방법, 통화 및 네트워크 정보를 이용한 방법 그리고 하드웨어 정보를 이용한 방법에 대해 실험용 앱을 구현하여 결과를 확인하였다. 구현 및 실험 결과 클라이언트 측면에서 에뮬레이터를 탐지할 수 있는 가장 효과적인 방법은 터치 면적 정보를 수집하는 방법과 가속도 센서의 X축 정보를 수집하는 방법이다.
클라이언트 측면에서는 기기의 Build 정보, 통화/네트워크 정보, 하드웨어 정보를 활용하여 다양한 방식으로 탐지 방법을 모색하였으며 가장 효과적인 방법으로 터치 면적과 가속도 센서 X축 값을 활용하는 방법을 제안하였다.
탐지 대상 에뮬레이터의 경우 실제 WIFI로 연결되는 것이 아니라 호스트 PC의 네트워크를 통해 통신이 이루어지기 때문에 연결된 Network 정보를 확인하여 특징점을 식별하였다. Table 3.
대상 데이터
에뮬레이터 탐지 기능 구현시 활용 가능한 퍼미션 범위를 확인하기 위해 구글 플레이 마켓에서 매출이 높은 게임 10개를 대상으로 설치시 요구되는 퍼미션을 확인하였다. 대상 게임은 ①레이븐, ②뮤오리진, ③클래시 오브 클랜, ④세븐나이츠, ⑤모두의 마블, ⑥애니팡2, ⑦몬스터 길들이기, ⑧갓 오브 하이스쿨, ⑨하스스톤, 캔디크러쉬소다 였으며 결과는 Table 1.과 같다.
과 같다. 실험에서 실제 기기는 두 손으로 들고 있는 상태에서 일상적인 사용 수준의 움직임과 터치 및 드래그로 정보를 수집하였다.
데이터처리
터치 정보는 터치 압력과, 터치한 면적(크기) 정보를 수집할 수 있는데 터치 압력은 삼성의 갤럭시 노트 제품과 같이 필압센서가 있을 경우만 동작하므로 수집에서 제외한다. onTouchEvent method를 상속받아 구현하며 N회 이하의 터치 이벤트에서 터치 면적(크기)정보를 수집하고 평균 및 표준 편차를 구한다.
성능/효과
실험 결과 에뮬레이터에서 발생한 패킷은 호스트 운영체제인 Windows의 Default TTL 값을 따르는 것을 알 수 있다. 네트워크 라우팅경로에 따라 실제 도착한 패킷의 TTL 값은 상이하겠지만 모바일 게임서버로 도착하는 패킷에서 64보다 크면 에뮬레이터로 판단할 수 있다.
후속연구
ARC(App Runtime for Chrome)는 구글에서 2014년에 공개한 크롬 기반의 안드로이드 앱 실행 환경이다[8]. ARC Welder는 아직 일반 사용자에 많이 사용되지 않고 있으나, 크롬북과 같은 크롬 OS 기반의 기기 또는 크롬 브라우저가 설치된 환경에서 편리하게 안드로이드 앱을 구동할 수 있어 향후 사용자가 증가될 것으로 예상된다. Fig.
질의응답
핵심어
질문
논문에서 추출한 답변
모바일 게임의 보안성이 향상되지 못하는 이유는?
모바일 게임의 증가하는 보안 위협에 비해 짧은 인기주기, 개발사의 작은 규모, 개발자의 보안의식 결여 등과 같은 이유로 보안성은 향상되지 못하고 있는 실정이다. 모바일 게임은 PC용 게임과 다르게 클라이언트에 적용할 수 있는 보안대책이 매우 제한적이며 안드로이드의 경우 간단한 방법으로 디컴파일이 가능하여 공격자로부터 앱을 보호하기 어렵다.
본 연구에서 제안한 안드로이드 에뮬레이터를 탐지하는 방법은 무엇인가?
클라이언트 측면에서는 기기의 Build 정보, 통화/네트워크 정보, 하드웨어 정보를 활용하여 다양한 방식으로 탐지 방법을 모색하였으며 가장 효과적인 방법으로 터치 면적과 가속도 센서 X축 값을 활용하는 방법을 제안하였다.
서버 및 네트워크 측면에서는 클라이언트에서 수집된 정보를 바탕으로 탐지하는 방식과 네트워크 패킷의 TTL 정보를 바탕으로 간단하게 에뮬레이터를 탐지하는 방법을 제안하였다.
모바일 게임이 금전을 노리는 공격자들이 위협에 노출될 가능성이 높은 이유는?
모바일 게임은 소셜 네트워크 서비스와 결합하여 게이머간의 경쟁을 유도하고 인앱 결제 방식을 통해 손쉽게 아이템을 구매할 수 있어 온라인 게임에 이어 금전적 이익을 노리는 공격자들의 위협에 노출될 가능성이 점점 높아지고 있다. 실제로 2012년 게임 아이템 거래 사이트에서 모바일 게임들이 거래 시장에 등장하였으며 아이템 거래가 점점 증가하고 있다.
참고문헌 (9)
KOCCA, "2014 International content market trend," KOCCA, Jan. 2015.
"'Mobile games' hit the game item market", ZDNet Korea, 2012.10.6., http://www.zdnet.co.kr/news/news_view.asp?artice_id20121006085602
"The hottest trends in the mobile game item trading," ZDNet Korea, 2014.2.2., http://www.zdnet.co.kr/news/news_view.asp?artice_id20140202090601
Timothy Vidas, Nicolas Christin, "Evading Android Runtime Analysis via Sandbox Detection," In Proceedings of the 9th ACM symposium on Information, computer and communications security, pp. 447-458, June. 2014.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.