스마트폰의 폭발적인 증가와 효율성으로 개방형 모바일 운영체제인 안드로이드의 활용도가 점차 증가하고 있고, 모바일 기기, 가전제품의 운영체제, IoT 관련 제품들과 더불어 메카트로닉스의 분야에도 활용될 수 있는 가용성과 안정성이 증명되고 있다. 하지만, 사용성이 증가하면 증가할수록 안드로이드 기반의 악성코드 역시 기하급수적으로 증가하고 있는 추세이다. 일반 PC와 다르게 모바일 제품에 악성코드가 유일될 경우, 모바일 기기가 Lock됨으로 사용할 수 없고, 불필요한 과금과 더불어 수많은 개인의 연락처가 외부로 유출될 수 있으며, 모바일 기기를 활용한 금융서비스를 통해 막대한 손실을 볼 수 있는 문제점이 있다. 따라서, 우리는 이 문제를 해결하기 위하여 유해한 악성 파일을 실시간으로 탐지 및 삭제할 수 있는 방법을 제시하였다. 또한 이 논문에서는 안드로이드 기반의 어플리케이션 설치 과정 및 시그니처 기반 악성코드 탐지방법을 통해 보다 효과적인 방법으로 악성코드를 실시간 감시하고 삭제할 수 있는 기법을 설계하였다. 우리가 제안하고 설계한 방법은 모바일 환경과 같이 제한적인 리소스 환경에서 악성코드를 효과적으로 탐지할 수 있다.
스마트폰의 폭발적인 증가와 효율성으로 개방형 모바일 운영체제인 안드로이드의 활용도가 점차 증가하고 있고, 모바일 기기, 가전제품의 운영체제, IoT 관련 제품들과 더불어 메카트로닉스의 분야에도 활용될 수 있는 가용성과 안정성이 증명되고 있다. 하지만, 사용성이 증가하면 증가할수록 안드로이드 기반의 악성코드 역시 기하급수적으로 증가하고 있는 추세이다. 일반 PC와 다르게 모바일 제품에 악성코드가 유일될 경우, 모바일 기기가 Lock됨으로 사용할 수 없고, 불필요한 과금과 더불어 수많은 개인의 연락처가 외부로 유출될 수 있으며, 모바일 기기를 활용한 금융서비스를 통해 막대한 손실을 볼 수 있는 문제점이 있다. 따라서, 우리는 이 문제를 해결하기 위하여 유해한 악성 파일을 실시간으로 탐지 및 삭제할 수 있는 방법을 제시하였다. 또한 이 논문에서는 안드로이드 기반의 어플리케이션 설치 과정 및 시그니처 기반 악성코드 탐지방법을 통해 보다 효과적인 방법으로 악성코드를 실시간 감시하고 삭제할 수 있는 기법을 설계하였다. 우리가 제안하고 설계한 방법은 모바일 환경과 같이 제한적인 리소스 환경에서 악성코드를 효과적으로 탐지할 수 있다.
With the explosive growth of smart phones and efficiency, the Android of an open mobile operating system is gradually increasing in the use and the availability. Android systems has proven its availability and stability in the mobile devices, the home appliances's operating systems, the IoT products...
With the explosive growth of smart phones and efficiency, the Android of an open mobile operating system is gradually increasing in the use and the availability. Android systems has proven its availability and stability in the mobile devices, the home appliances's operating systems, the IoT products, and the mechatronics. However, as the usability increases, the malicious code based on Android also increases exponentially. Unlike ordinary PCs, if malicious codes are infiltrated into mobile products, mobile devices can not be used as a lock and can be leaked a large number of personal contacts, and can be lead to unnecessary billing, and can be cause a huge loss of financial services. Therefore, we proposed a method to detect and delete malicious files in real time in order to solve this problem. In this paper, we also designed a method to detect and delete malicious codes in a more effective manner through the process of installing Android-based applications and signature-based malicious code detection method. The method we proposed and designed can effectively detect malicious code in a limited resource environment, such as mobile environments.
With the explosive growth of smart phones and efficiency, the Android of an open mobile operating system is gradually increasing in the use and the availability. Android systems has proven its availability and stability in the mobile devices, the home appliances's operating systems, the IoT products, and the mechatronics. However, as the usability increases, the malicious code based on Android also increases exponentially. Unlike ordinary PCs, if malicious codes are infiltrated into mobile products, mobile devices can not be used as a lock and can be leaked a large number of personal contacts, and can be lead to unnecessary billing, and can be cause a huge loss of financial services. Therefore, we proposed a method to detect and delete malicious files in real time in order to solve this problem. In this paper, we also designed a method to detect and delete malicious codes in a more effective manner through the process of installing Android-based applications and signature-based malicious code detection method. The method we proposed and designed can effectively detect malicious code in a limited resource environment, such as mobile environments.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
dex 파일 정보를 이용하여 악성코드 시그니처를 추출하고, 악성코드가 유입되어 설치될 경우, 대부분의 파일은 Package Installer와 ADB를 통해 설치됨을 확인하였고, 해당 포인트에 대한 실시간 감시를 함으로써 악성코드 탐지를 보다 효율적으로 수행할 수 있음을 확인하였다. 또한, 실시간 감시를 통해 탐지된 악성코드를 삭제할 수 있는 방법들에 대한 방안에 대하여 기술하였다. 안드로이드 기반의 스마트폰 사용자 증가에 따라 안드로이드의 악성코드도 계속적인 증가함으로 우리가 제안한 기법은 안드로이드를 사용하는데 있어 안전한 환경을 제공할 수 있을 것을 기대한다.
본 논문에서는 APK 파일을 일부만 사용하는 방법 중, APK 파일 구조를 통해 효과적으로 악성 APK를 탐지하고자, APK 파일 내의 classes.dex 파일을 이용한 시그니처 생성을 제안한다. 해당 파일로 시그니처를 생성할 경우, 앱 설치시 반드시 사용되는 Package Installer에서 앱의 권한 획득을 위해 사용하는 packagemanager를 호출하고, package manager는 할당된 APK 파일에 대한 권한을 체크하게 되는데, 만일, 이 시점에서 classes.
제안 방법
[표 5]에서 보는 바와 같이 악성코드 개수는 총 2,339개이고, 두 방식을 이용하여 탐지 및 미탐지 개수와 더불어 총 탐지율에 대해 실험해 보았다. 악성코드 2.
따라서, 우리는 이 문제를 해결하고 효율적인 안전한 모바일 환경을 유지하기 위하여, 유해한 악성 파일을 실시간으로 탐지 및 삭제할 수 있는 방법, 즉 안드로이드 기반의 모바일 환경에서 classes. dex를 이용한 시그니처 추출 및 앱의 설치 시점을 파악하여 실시간으로 악성 여부를 판단 및 삭제할 수 있는 메커니즘을 제시한다.
일반적으로 사용하는 APK 파일을 이용한 악성코드 탐지 패턴과 본 논문을 통해 제안하는 APK 파일에 대한 class.dex 파일을 통한 패턴 추출 방식에 대한 악성코드 탐지율에 대해 비교하였다.
대상 데이터
탐지율 비교를 위한 테스트 샘플은 2017년 5월 23일자 AV-TES[27]에서 제공한 악성코드 샘플 2,339개를 활용하였다. AV-TEST에서 제공한 샘플은 Backdoor 388개, Trojan-SMS 1,803개, Trojan-Spy 127개,Trojan-Coinmine 10개, Trojan-Other 11개로 구성되어 있다. Backdoor 계열 샘플에는 사용자의 모바일기기를 원격제어가 가능한 Helir 악성코드, 프리미엄 SMS 서비스를 무단으로 사용가능한 Fobus 악성코드, 사용자 문자메시지를 감시하는 SMSSpy, 사용자 메일 환경을 이용한 Spambot 악성코드가 있고, Trojan 계열의 샘플에는 Boxer, Cova, Stealer, Androrat 등과 같이 원격제어와 더불어 전화번호, 문자 메시지, 각종 파일을 C&C 서버로 전송하는 악성코드가 있으며, Coinmine과 같이 전자화폐 채굴을 위한 악성코드로 안드로이드 기기의 자원을 소모시키는 기능이 포함되어 있다.
이외, SDcard에 악성코드가 유입되었을 경우도 반드시 실시간 감시를 해야한다. SDcard 내에 검사대상은 APK, 일반파일, zip 파일이다. SDcard는 [표 2]에 나열된 퍼미션을 사용하여 접근할 수 있고, PC와의 네트워크나 USB 연결을 통해 APK나 파일이 유입될 수 있으므로 중요한 감시지점 중 하나이다.
탐지율 비교를 위한 테스트 샘플은 2017년 5월 23일자 AV-TES[27]에서 제공한 악성코드 샘플 2,339개를 활용하였다. AV-TEST에서 제공한 샘플은 Backdoor 388개, Trojan-SMS 1,803개, Trojan-Spy 127개,Trojan-Coinmine 10개, Trojan-Other 11개로 구성되어 있다.
성능/효과
MEDIA_MOUNTED” 메시지를 브로드캐스트 리시브에 등록하여 해당 메시지를 받은 시점에, 악성코드 탐지 모듈이 SDcard에 대한 전체 검사를 실시하여 SDcard 내에 악성코드의 침입여부를 효과적으로 감시할 수 있다.
셋째, 안드로이드 운영체제는 이식성이 높은 자바로 구현되어 편리함이 있으나, 역공학(Reverse Engineering)이 쉽기 때문에 어플리케이션을 분석 및 위변조한 뒤 악성코드 삽입이 가능하다[7]. 넷째, 악성 앱이 설치되어 있어도 사용자가 인지하지 못하는데 있다. 실제 악성 앱이 설치되어도 사용자는 악성 앱임을 의심하기 힘들며, 특별한 증상이 나타나지 않는다.
본 논문에서는 APK 파일의 classes.dex 파일 정보를 이용하여 악성코드 시그니처를 추출하고, 악성코드가 유입되어 설치될 경우, 대부분의 파일은 Package Installer와 ADB를 통해 설치됨을 확인하였고, 해당 포인트에 대한 실시간 감시를 함으로써 악성코드 탐지를 보다 효율적으로 수행할 수 있음을 확인하였다. 또한, 실시간 감시를 통해 탐지된 악성코드를 삭제할 수 있는 방법들에 대한 방안에 대하여 기술하였다.
둘째, 안드로이드 마켓은 앱 등록시 검증을 받지 않는 구조로 되어 있어, 운영체제 내에서 실행되는 다양한 어플리케이션들 사이에 신뢰를 구축하기 위해 개발자 인증을 사용하지만, 제3자가 개발자의 허가를 받지 않고 키를 취할 경우 악의적으로 사용이 가능하다[6]. 셋째, 안드로이드 운영체제는 이식성이 높은 자바로 구현되어 편리함이 있으나, 역공학(Reverse Engineering)이 쉽기 때문에 어플리케이션을 분석 및 위변조한 뒤 악성코드 삽입이 가능하다[7]. 넷째, 악성 앱이 설치되어 있어도 사용자가 인지하지 못하는데 있다.
[표 5]에서 보는 바와 같이 악성코드 개수는 총 2,339개이고, 두 방식을 이용하여 탐지 및 미탐지 개수와 더불어 총 탐지율에 대해 실험해 보았다. 악성코드 2.339개는탐지율에 대한 비교 결과, 기존 APK 파일의 Hash 값을 이용한 탐지 패턴 대비, class.dex 파일의 파일 Hash 값을 활용한 탐지 패턴 생성시 각각 58.61%, 86.32%의 탐지율을 기록하였고, 제안하는 방식의 패턴 추출에 따른 탐지율이 27.71% 상향되었음을 확인할 수 있다.
우리가 제안하고 설계한 방법은 모바일 환경과 같이 제한적인 리소스 환경에서 악성코드를 효과적으로 탐지할 수 있다. 이 논문을 효율적으로 전개하기 위하여 제2장에서는 기존의 모바일 환경에서 일반적인 안드로이드 앱의 설치 방법과 기존의 안드로이드 기반 악성코드 탐지 기법을 관련 연구로서 설명을 한다.
후속연구
안드로이드 기반의 스마트폰 사용자 증가에 따라 안드로이드의 악성코드도 계속적인 증가함으로 우리가 제안한 기법은 안드로이드를 사용하는데 있어 안전한 환경을 제공할 수 있을 것을 기대한다. 아울러 사용자가 자각하지 못하는 부분을 악성코드 탐지 모듈을 통해 보완해줄 수 있을 것이라고 생각한다.
또한, 실시간 감시를 통해 탐지된 악성코드를 삭제할 수 있는 방법들에 대한 방안에 대하여 기술하였다. 안드로이드 기반의 스마트폰 사용자 증가에 따라 안드로이드의 악성코드도 계속적인 증가함으로 우리가 제안한 기법은 안드로이드를 사용하는데 있어 안전한 환경을 제공할 수 있을 것을 기대한다. 아울러 사용자가 자각하지 못하는 부분을 악성코드 탐지 모듈을 통해 보완해줄 수 있을 것이라고 생각한다.
추가적으로, 본 연구와 더불어 악성코드 제작자들의 인증서를 활용하여 악성코드 탐지 패턴을 추가 제작할 경우, 탐지율은 보다 더 증가할 것으로 판단되며, 일일 수천 건이 넘는 악성코드 시그니처에 대한 축소 방안에 대한 부가적인 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
시그니처 기반 탐지 기법의 단점은 무엇인가?
시그니처 기반 탐지 기법은 악성코드로 분류된 파일의 특정 부분 또는 고유한 부분을 검사의 대상으로 하기 때문에 오탐(False Positive)과 미탐(False Negative)을 최소화하는 정확한 진단이 가능하다는 것과 파일 검사 시에 파일들의 특징적인 부분들만 비교하기 때문에 빠른 스캐닝을 장점으로 들 수 있다[19]. 하지만 악성코드의 파일이 일부분만 바뀌어도 진단이 되지 않는 미탐이 발생함으로 새로운 형태의 알려지지 않는 악성코드에 대해서는 대응할 수 없고, 시그니처의 수가 많아지면, 시그니처의 업데이트 시간과 스캔 시간이 길어질 수 밖에 없는 단점을 가지고 있다[20]. 시그니처 기반 탐지 기법은 현재 PC, 서버 이외에 모바일 환경에서도 가장 많이 사용하는 방법으로 안전성과 효과성이 입증되어 안드로이드 기반 백신에서 필수적으로 사용하고 있는 방법이다[14].
Backdoor란 무엇인가?
대표적인 악성코드 프로그램은 Backdoor, Trojan, Exploit, Spyware, HackTool 등이 있다[11][12]. Backdoor는 공격자의 명령을 받아 모바일 기기에서의 악의적인 행위를 실행하는 악성코드이고, Trojan은 시스템 내에서 개인정보 및 다양한 정보를 외부 C&C로 보내는 악성코드, Exploit은 모바일 기기의 권한 상승을 획득하여 각종 악성코드를 배포하거나 실행할 수 있는 환경을 제공하는 악성코드이고, Spyware는 사용자 동의 없이 개인정보를 수집하고 탈취하는 악성코드이며, HackTool은 모바일 기기를 악의적으로 사용할 수 있도록 한 해킹 툴이다[13]. 안드로이드 기반의 악성코드는 PC에서 사용되던 악성코의 특징을 따라가는 추세이고, 추가적으로 프리미엄 SMS 사용, 국제전화 도용 등을 수행함으로 사용자로 하여금 불필요한 과금을 할 수 있도록 하는 추가 기능도 제공한다[14].
안드로이드 앱의 설치 방법에는 무엇이 있는가?
일반적인 안드로이드 앱의 설치 방법은 안드로이드마켓, SDcard를 통한 설치와 Android Debug Bridge(ADB)를 이용하여 설치하는 방법이 있다. 웹브라우저를 통하여 설치를 하는 방법도 있지만, 결국 SDcard에 다운로드 받은 후 설치함으로 SDcard를 통한 설치와 같은 방법이라고 할 수 있다.
참고문헌 (27)
한국인터넷진흥원, 2017년 인터넷이용실태조사 요약보고서, p.10, 2018(1).
https://www.koreahtm5.kr
https://www.idc.com/
http://www.gartner.com
Roman Unuchek, "Mobile malware evolution 2016," Kaspersky lab, p.10, 2017(2).
신화윤, 모바일 애플리케이션 취약점 진단 도구 개발에 관한 연구, 숭실대학교, 석사학위논문, pp.8-9, 2017(6).
유동훈, 모바일 스마트 플랫폼 원격, 로컬 취약점 공격 분석, CodeEngn Conference 06, 2012.
양정수, 김은영, 김남국, 안드로이드 입문서, 2010(2).
이우진, 안드로이드 뱅킹 어플리케이션의 안티바이러스 적용에 대한 개선방안 연구 : 안티바이러스 우회 취약점 중심으로, 고려대학교, 석사학위논문, p.22, 2017(12).
M. Ongtang, S. McLaughlin, W. Enck, and P. McDaniel, "Semantically Rich Application-Centric Security in Android," 2008.
Aubrey-Derrick Schmidt, Hans-Gunther Schmidt, Kamer Ali Yuksel, Osman Kiraz, Dr. Seyit Ahmet Camptepe and Prof. Dr. Sahin Albayrak, "Enhancing Security of Linux-based Android Devices," 2008.
Jesse Burns, "DEVELOPING SECURE MOBILE APPLICATIONS FOR ANDROID", Version 1.0, 2008(10).
Junuper Networks, 2011 Mobile Threats Report, 2012(2).
Korea Internet & Security Agency 연구보고서, 안드로이드 기반 모바일운영체제 보안기능 분석, 2010(8).
김대청, 안드로이드 기반의 모바일 오피스 환경에서 앱 설치 제어 방법, 충남대학교, 석사학위논문, pp.14-17, 2010(6).
http://www.kandroid.org
http://developer.android.com
http://source.android.com
배근태, 김기영, "모바일 단말 보안 운영체제 기술 동향," 전자통신동향분석, 제23권, 제4호, pp.39-47, 2008(8).
A. Shabtai, Y. Fledel, Y. Elovici, and Ben-Gurion University, "Securing Android-Powered Mobile Devices Using SELinux," IEEE Security & Privacy Magazine, Vol.8, No.3, pp.36-44, May/June, 2010.
A. Shabtai, Y. Fledel, U. Kanonov, Y. Elovici, S. Dolev, and Ben-Gurion University, "Google Android: A State-of-the-Art Review of Security Mechanisms," 2009(12).
L. K. Yan and H. Yin, "DroidScope:Seamlessly Reconstruction the OS and Dalvik Semantic Views for Dynamic Android Malware Analysis," Proc 21 USENIX conf. Security Symp., Security, 2012.
W. Enck, M. Ongtang, and P. McDaniel, "Understanding Android Security," IEEE Security & Privacy Magazine, Vol.7, No.1, pp.50-57, January/February 2009.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.