[논문]안드로이드 환경에서 보안 토큰을 이용한 앱 난독화 기법

신진섭; 안재환

doi:10.13089/jkiisc.2017.27.6.1457

안드로이드 환경에서 보안 토큰을 이용한 앱 난독화 기법
An Application Obfuscation Method Using Security Token for Encryption in Android 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.6, 2017년, pp.1457 - 1465

신진섭 (한국전자통신연구원 부설연구소) , 안재환 (한국전자통신연구원 부설연구소)

초록
AI-Helper

스마트기기 시장의 성장과 함께 모바일 환경에서 악성행위가 그 영역을 점차 확대하고 있다. 이에 따라 악성앱 분석에 대한 연구가 진행되어 앱 분석을 위한 자동 분석 도구가 나오면서, 오히려 이런 자동 분석도구들로 인해 기존의 앱 보안을 위한 도구들이 공격자에게 무력해지는 부작용이 일어난다. 본 논문은 일반적인 안드로이드 앱에 적용할 수 있는 범용적인 보호 기법이 아닌 보안 토큰을 가진 스마트 기기 사용자가 이용하는 안드로이드 앱에 적용할 수 있는 앱 보호 기법에 대해 제안한다. 보안 토큰이 삽입되지 않은 경우 앱이 정상적으로 메모리로 적재되지 못하며, 해당 기법으로 보호된 부분은 노출되지 않도록 하는 것을 특징으로 한다.

Abstract ▼ AI-Helper

With the growing of smart devices market, malicious behavior has gradually expanded its scope. Accordingly, many studies have been conducted to analyze malicious apps and automated analysis tools have been released. However these tools cause the side effects that the application protection tools such as ProGuard, DexGuard become vulnerable to analyzers or attackers. This paper suggests the protection mechanism to apply to the Android apps using security token, rather than general-purpose protection solutions that can be applied in malicious apps. The main features of this technique are that Android app is not properly loaded in the memory when the security token is abnormal or is not inserted and protected parts using the technique are not exposed.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

하지만 암호화를 통해 보호된 DEX 파일은 Dalvik VM에서 해석할 수 없는 데이터로 구성되어 있기 때문에 복호화하여 실행해야 하는데, 이 복호화 시점을 제어할 수 있는 방법이 필요하다. 따라서 앱의 정상적인 실행과 암호화된 DEX 파일 처리를 위해 임의의 DEX 파일을 만들어 그 역할을 수행하도록 한다. 임의의 DEX 파일은 암호화된 DEX 파일을 복호화 하도록 절차를 만들고 복호가 완료된 DEX 파일을 앱 실행 매커니즘에 맞게 메모리에 적재하여 코드를 실행하도록 유도하는 역할을 수행한다.
본 논문에서는 2.3.3 절에서 언급한 기존 기법의 문제점을 해결하기 위해 보안토큰으로 유도한 키를 이용하여 DEX 파일을 암호화하여 보호하는 방식을 제안한다. 이 방식은 안드로이드 Dalvik 또는 ART 환경에 구애 받지 않으나, 복호화의 경우에는 환경에 따라 복호화를 위한 후킹 지점이 달라질 수 있다.
본 논문은 앱을 보호하기 위해 안드로이드의 수정 없이 보안토큰을 이용한 앱 보호 기법에 대해 제안한다.
본 논문은 특정 사용자 집단이 사용하는 안드로이드 스마트 기기에서 구동하는 앱의 보호를 위한 방법으로 보안 토큰을 이용하여 보호하도록 제안하였다. 본 논문에서 제안한 기법은 일반 사용자를 위한 방식이라기보다는 국가기관 또는 기업 고위직을 위한 방식으로 전용 스마트폰과 같이 보안 목적을 위해 금전적 비용 및 사용 시 불편함을 수용할 수 있는 집단군에 한정한다.

가설 설정

본 논문에서 제안하는 기법은 앱 마켓에 배포하기 전에 적용하는 방식을 취하고, 보안 SD를 지급받은 제한된 특정 집단 구성원이 앱을 지급받아 설치하여 실행하는 가정을 둔다.

제안 방법

는 암호키 유도방법에 대해 나타낸다. 보안 SD에 이미 주입된 PSK를 활용하여 2nd KEY를 유도하고 이 키를 이용해 DEX 파일을 암호화한다. Fig.
본 논문에서 제안하는 기법은 앱 마켓에 배포하기 전에 적용하는 방식을 취하고, 보안 SD를 지급받은 제한된 특정 집단 구성원이 앱을 지급받아 설치하여 실행하는 가정을 둔다. 본 기법을 적용하는 과정은 보안 SD를 이용한 APK 파일 내 DEX 파일 암호화 단계, 앱의 패키징 단계, 구동 단계로 구성된다.
본 논문은 특정 사용자 집단이 사용하는 안드로이드 스마트 기기에서 구동하는 앱의 보호를 위한 방법으로 보안 토큰을 이용하여 보호하도록 제안하였다. 본 논문에서 제안한 기법은 일반 사용자를 위한 방식이라기보다는 국가기관 또는 기업 고위직을 위한 방식으로 전용 스마트폰과 같이 보안 목적을 위해 금전적 비용 및 사용 시 불편함을 수용할 수 있는 집단군에 한정한다. 보안 토큰은 PSK가 있어 앱의 signature를 암호화 하여 각 앱마다 다른 암호키를 유도하였다.
악의적인 공격자가 DEX 파일을 획득한 뒤 dex2jar 과 같은 디컴파일 도구를 이용하는 등 역공학을 시도하고자 할 때, 이를 원천적으로 봉쇄하기 위해 DEX 파일에 대해 암호화를 수행한다.
먼저 보안 SD 삽입 여부 확인과 정상적인 보안 SD 여부를 확인한다. 암호키의 seed값으로 사용한 보호된 DEX 파일의 signature를 추출하고 특정 프로토콜에 담아 보안 SD로 전송한다. 보안 SD는 PSK를 이용해 signature를 암호화하여 그 결과값을 전송한다.
제안하는 DEX 파일 암호화 기법은 DEX 파일 암호화를 위한 PSK의 노출을 하지 않을 뿐만 아니라 그 유도 방식 또한 스마트 기기에 노출하지 않는다. 유도를 통해 생성된 2nd KEY는 보안 SD가 없다면 알아낼 수 없다.
31이다. 제안하는 방식의 오버헤드를 알아보기 위해 보안 SD로 키가 유도되는 시간을 알아본다. DEX 파일을 복호화 하거나 후킹하여 코드를 삽입하는 오버헤드는 여러 앱 보호 솔루션에서 주로 적용하는 방식이므로 그 오버헤드는 제외한다.

대상 데이터

보안 토큰 기능을 하는 스마트카드가 내재된 SD 카드(이하 보안 SD)는 대다수의 안드로이드에 존재하는 슬롯에 장착할 수 있는 장점이 있다. 보안 SD는 별도의 키주입장치로 PSK(Pre-Shared Key)를 주입받으며, 비정상적인 전압/온도/개봉/보호막제거 등을 방지하는 하드웨어 회로가 보안 SD 안의 스마트카드 칩 내부에 내장된다. 또한 보안 SD는 자체 전원 없이 스마트폰 배터리로부터 전력을 공급받으므로 소비전력을 최소화시켜야 한다.
본 논문에서는 제안하는 기법을 적용하기 위한 대상 안드로이드 스마트 기기로 LG 전자의 스마트폰인 G5를 선정하였다. 구글 레퍼런스 기기에는 SD 카드 슬롯이 없기 때문이다[15].

성능/효과

또한 보안 토큰을 키 유도에 적용함으로써 파일을 직접 보안 토큰에 암·복호를 요청하는 방식보다 소모 시간 측면에서 효율적으로 사용하였다.
그러나 네이티브 코드로 되어 있는 DEX 파일의 메모리 적재 기능을 수행하는 함수를 후킹하여 복호화 루틴을 삽입한다면 분석가는 앱의 코드상에서 DEX 파일 복호화 위치를 알아채기 어렵다. 또한 복호화 함수를 직접적으로 노출하지 않고 여러 방법으로 동적으로 그 복호화 루틴을 생성할 수 있으므로 DEX 파일을 보호하는데 있어 효율적이다. 이후 DEX 파일을 메모리로 적재하는 dexclassloader 호출시 API의 주된 수행에 앞서 후킹을 통해 삽입한 코드가 실행되어 복호화가 수행된다.

후속연구

또한 최근 들어 보안이 필요한 뱅킹 앱 등은 중요한 역할을 수행하는 코드를 네이티브 코드로 내리고, 자바코드에는 단순히 네이티브 코드를 호출하는 껍데기 역할을 수행하도록 변화하는 추세이다. 이 추세에 비춰 C/C++로 작성된 네이티브 라이브러리를 보호할 수 있는 연구 또한 필요할 것으로 판단된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	컴파일 시점에 앱 보호를 위한 상용 도구에는 어떤것들이 있는가?	컴파일 시점에 앱 보호를 위한 상용 도구로 DexGuard, Allatori, ProGuard 등이 있으며, 흔히 난독화 도구로 알려져 있다. 컴파일 시점에 적용하기 때문에 앱을 보호하기 위해서는 앱 개발 환경에서 위 도구들을 적용해야 한다.
	사이버 범죄는 어떤 방식으로 공격이 이루어지는가?	이러한 상황을 반영하듯 일반 PC에 집중되던 여러 가지 사이버 범죄는 보안이 비교적 느슨한 모바일 기기로 눈을 돌려 피해 사례가 증가하고 있다[1]. 로컬 및 원격 취약점을 이용한 기기 장악 뿐만 아니라 이메일 및 문자메시지를 이용한 악성 앱 설치, 공격코드 실행, 모바일용 랜섬웨어 등 상당히 다양한 방식으로 공격이 이루어진다[2].
	악성코드 및 악성 애플리케이션은 어떻게 진화하고 있는가?	주로 악성코드 및 악성 애플리케이션(이하, 앱)은 백신에서 주로 사용하는 필터링이나 기타 보호 솔루션에 걸리지 않기 위해서 패킹(packing)을 적용하거나, 난독화 도구를 적용하여 백신 및 분석가가 악성 행위를 쉽게 알아채지 못하도록 지능적으로 진화하고 있다[2].

참고문헌 (15)

Maria Garnaeva, Fedor Sinitsyn, Yury Namestnikov, Denis Makrushin and Alexander Liskin, "Kaspersky Security Bulletin:OVERALL STATISTIVS FOR 2016," Kaspersky Lab, Dec. 2016
Kimberly Tam, Ali Feizollah, Nor Badrul Anuar, Rosli Salleh and Lorenzo Cavallaro, "The Evolution of Android Malware and Android Analysis Techniques," ACM Computing Surveys (CSUR), vol. 49, no. 4, pp. 1-41, Feb. 2017
Se Young Lee, Jin Hyung Park, Moon Chan Park, Jae Hyuk Suk, Dong Hoon Lee, "A Study on Deobfuscation Method of Android and Implementation of Automatic Analysis Tool," Jonornal of The Korea Institute of information Security & Cryptology, 25(5), pp. 1201-1215, Oct. 2015

원문보기 상세보기
Yeongung Park, "We Can Still Crack You! General Unpacking Method for Android Packer (no root)," DEFCON, Mar. 2015
"Android KitKat unveiled in Google surprise move," BBC, 3 Sep, 2013
Anwar Ghuloum, Brian Carlstrom and Ian Rogers, "ART: ANdroid's Runtime Evolved," Google I/O 2014, Jun. 2014
J.Kim and E. Lee, "A strategy of effectively applying a control flow obfuscation to programes," J. Korea Soc. Comput. Inf., vol 16, no. 6, pp. 41-50 Jun. 2011
Y. Piao, J. Jung, and J.H. Yi, "structural and Functional Analyses of ProGuard Obfuscation Tool," J. KICS, vol. 38, no. 8, pp. 654-662, Aug. 2013
AppSuit, http://premium.appsu.it
Kim. Hee Moon, "Protection Framework for Android Application by Encrypting DEX files," The Graduate School of Hanyang University, Feb. 2011
JungHyun Kim, Kang Seung Lee, "Robust Anti Reverse Engineering Technique for Protecting Android Applications using the AES Algorithm," Journal of KIISE, Vol.42, No. 9, pp. 1100-1108, Sep. 2015

상세보기
Privacy Statement, http://inside.olle h.com/html/infoView.asp
https://developer.android.com/reference/dalvik/system/DexClassLoader.html
https://play.google.com/intl/ko_ALL/about/index.html
https://gadgetstouse.com/gadget-tech/sd-card-explained/32377

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증