[논문]안드로이드 데이터 암호화 앱 동향 및 분석

이성원; 김청운; 김도현

안드로이드 데이터 암호화 앱 동향 및 분석 원문보기

情報保護學會誌 = KIISC review, v.32 no.6, 2022년, pp.7 - 16

이성원 (부산가톨릭대학교 컴퓨터공학과) , 김청운 (부산가톨릭대학교 컴퓨터공학과) , 김도현 (부산가톨릭대학교 컴퓨터공학과)

초록
AI-Helper

현대 사회에서 스마트폰이 일상생활에 밀접하게 사용됨에 따라 스마트폰 내부에는 사용자가 사용한 다양한 앱 데이터가 저장되고 있고 이 중에는 민감한 개인정보도 포함된다. 따라서 스마트폰을 분실하거나 스마트폰이 악성앱에 공격당하는 경우 개인정보가 유출될 수 있기 때문에, 이를 대응하기 위해 스마트폰 내부 데이터를 암호화 저장하는 다양한 앱들이 출시되고 있다. 우리는 총 12개의 데이터 암호화 앱들에 대한 기존 연구 결과를 통해 데이터 암호화 앱에 대한 동향을 살펴보고, 안드로이드 앱 마켓에서 전 세계적으로 10,000,000회 이상 다운로드되어 널리 사용되고 있는 5개의 추가적인 데이터 암호화 앱을 분석했다. 그 중 특히 LOCKit 앱을 자세히 분석하여 암호 알고리즘에 대한 취약점을 밝혀내 데이터 복호화 방법과 취약점 보완을 위한 방안을 제시했다.

AI 본문요약
AI-Helper

문제 정의

본 고는 이러한 암호 기술이 적용된 앱들의 암호화 방법에 대한 동향을 살펴보고, 역공학을 통해 실제로 이러한 앱이 사용자의 민감한 개인정보를 잘 보호하고 있는지에 대한 취약점을 분석한다. 2장은 암호 기술을 사용한 대상으로 한 관련 연구들을 소개하고 각 앱들이 사용한 암호화 알고리즘과 키를 관리하는 방식에 대해 정리했다.
본 논문은 기존 논문에서 분석하였던 암호 기능을 사용한 안드로이드 앱들의 암호화 알고리즘과 키 관리 방식에 대한 동향을 조사했다. 또한, 기존 논문에서 다루지 않은 Google Play 기준 다운로드 10,000,000건 이상의 암호화 앱인 Photo Lock App, Ultra Applock, Smart App Protector, Perfect AppLock, LOCKit을 분석했다.

제안 방법

2장은 암호 기술을 사용한 대상으로 한 관련 연구들을 소개하고 각 앱들이 사용한 암호화 알고리즘과 키를 관리하는 방식에 대해 정리했다. 3장은 10,000,000회 이상 다운로드되어 널리 사용되고 있지만 아직 적용된 암호 방법에 대해 연구되지 않는 앱을 분석했고, 각 앱에 적용된 암호화 알고리즘 종류와 복호화 방안을 제시한다. 4장은 3절에서 분석한 앱 중 LOCKit 앱에 적용된 암호 기능을 자세히 분석하고 그 취약점을 분석한다.

대상 데이터

암호 앱 분석을 위해 구글 플레이 기준 10,000,000회 이상 다운로드와 최근 업데이트된 앱 5개를 다운로드하여 분석을 진행했다. 분석 대상 앱 리스트는 [표2]와 같다.
각 하위 폴더들은 파일의 앞 두글자를 사용해서 명명되었다. 암호화, 복호화 함수는 앱의 /lib/armeabi-v7a/libcrypt_user.so에 있는 네이티브 라이브러리에서 발견되었다. 암호화는 다음과 같은 세 단계로 진행한다.
해당 앱은 2016년 6월에 출시한 앱으로 110,000,000건 이상 다운로드 및 리뷰 560,000 이상이 작성된 앱이다. 주요 기능으로는 특정 앱에 잠금을 걸어 실행 시 PIN 번호를 입력하게 하는 접근제어기능과 핸드폰 내부에 저장된 이미지, 동영상 파일을 암호화하여 해당 앱을 통해서만 열람 할 수 있게 하는 잠금 기능 또한 존재한다.

데이터처리

본 논문은 기존 논문에서 분석하였던 암호 기능을 사용한 안드로이드 앱들의 암호화 알고리즘과 키 관리 방식에 대한 동향을 조사했다. 또한, 기존 논문에서 다루지 않은 Google Play 기준 다운로드 10,000,000건 이상의 암호화 앱인 Photo Lock App, Ultra Applock, Smart App Protector, Perfect AppLock, LOCKit을 분석했다. 이러한 앱들은 Google Play는 접근 제어 및 파일 암호화를 통해 파일들을 보고한다고 앱을 소개하고 있다.

이론/모형

이 앱은 첫 구동 시 Pattern을 설정한다. 이 Pattern으로 접근 제어 기능을 수행한다 이는 AES/CBC/PKCS7 Padding 암호화 알고리즘을 사용하고, MD5, SHA1, SHA256을 해시 알고리즘으로 사용한다. 암호키는 랜덤값을 생성해 사용하고, Salt 값은 ‘2011071120170711’의 고정값을 사용한다.
이 값을 복호화하기 위해서는 해당 xml 파일에 저장될 때 동작하는 코드를 확인해야 하며 정적 분석 도구인 JADX를 활용하였다. 해당 코드를 확인한 결과 PIN 번호가 입력되면 해당 PIN 번호를 AES-128/CBC/PKCSSPadding을 사용하여 암호화를 진행하며 이때의 Key 값 alockit_password을 사용하고 해당 Key 값은 소스 코드에 하드코딩 되어있다.
카카오톡은 본래 기능이었던 채팅 기능 외에도 현재 앱 내부에 여러 가지 기능들을 추가해 없어서는 안 될 앱으로 자리 잡았다. 이 중 카카오톡 채널관리자는 PBE(Password-Based Encryption)를 이용해 암호 키를 생성하고 데이터 암호화를 수행한다. PBE는 PRF와 Cipher로 표현되고, PRF(Pseudo Random Function)을 이용해 암호 키를 생성하고, 이를 기반으로 암호 알고리즘을 이용해 데이터를 암호화, 복호화 즉, Cipher 과정을 수행한다.
분석 대상 앱 리스트는 [표2]와 같다. 해당 앱들의 암호화 기능을 확인하기 위해 정적 분석 도구인 JADX-GUI를 활용하였다. 분석 결과 LOCKit 앱 외의 다른 앱들은 구글 플레이에 설명된 기능과는 달리 개인정보를 제대로 보호하고 있지 않았다.

성능/효과

디코딩 한 결과 dGVzdHBpYy5wbmc_cGhvdG8_MG_2298112435655은 “testpic.png_photo_2_2298112435655”로 “파일명.확장자_타입_암호화 버전_나노 타임” 형식임을 확인했다
해당 앱들의 암호화 기능을 확인하기 위해 정적 분석 도구인 JADX-GUI를 활용하였다. 분석 결과 LOCKit 앱 외의 다른 앱들은 구글 플레이에 설명된 기능과는 달리 개인정보를 제대로 보호하고 있지 않았다. 각 앱의 취약점을 분석한 결과는 다음과 같다.
하지만 대부분의 앱들은 실제로는 암호화를 하지 않거나 암호화를 하더라도 복호화에 필요한 암호 키와 Initial Vector값을 앱 내부에 저장함으로써 역공학을 통해 쉽게 복호화가 가능한 것을 알 수 있었다. 심지어 본 논문에서 분석한 LOCkit의 경우는 파일 암호화 시 독자적인 알고리즘을 사용함으로써 보안 강도가 매우 낮음을 알 수 있었다.
암호화 버전은 해당 앱에서 사용하는 암호화 함수의 인자값이고, 나노 타임은 JAVA에서 특정 메서드가 실행될 때 걸리는 시간을 측정한 값이다. 은닉된 사진 파일들의 Hex 값을 분석한 결과 최초의 1,024바이트만 암호화함을 확인했다. 복호화는 다음 수식과 같다.
xml의 Lockscreen_lockPassword 항목에 평문으로 저장된다. 이 앱은 접근제어에 암호화를 사용한다고 설명하지만 실제로는 평문으로 저장됨을 알 수 있었다.
사진, 동영상 금고 기능은 사진, 동영상을 선택하여 원본 파일을 삭제하고 앱 내부 저장소에 저장하는 기능이다. 해당 사진 파일은 /data/data/vault.gallery.lock.files/lockerVault/Images1769/Pictures/경로에 암호화 없이 저장되어 있음을 확인했고, 동영상 또한 암호화 없이 data/data/vault.gallery.lock.files/lockerVault/Videos1769/Videos/경로에 저장됨을 확인하였다. 이 앱은 접근제어, 금고 기능에 암호화를 사용한다고 설명하고 있지만 실제로는 password와 은닉된 파일이 저장되는 경로와 파일 모두 암호화되어 있지 않다.
해당 파일의 이름은 파일명을 생성하는 함수를 정적 분석하여 Base64로 인코딩 되어 있음을 확인했다. 디코딩 한 결과 dGVzdHBpYy5wbmc_cGhvdG8_MG_2298112435655은 “testpic.

후속연구

이러한 문제점들을 해결하기 위해서는 공개키 암호 알고리즘을 사용하여 파일의 암호키를 관리하는 것이 바람직하고, 그렇지 않다면 암호화 알고리즘을 안드로이드 Java가 아닌 라이브러리로 구현하여 암호화키와 Initial Vector 값의 유출을 최대한 방지해야 한다. 또한, LOCKit처럼 독자적인 암호화 알고리즘을 개발해서 사용하는 것이 아닌 알려진 강력한 암호 알고리즘을 사용해야 한다.

참고문헌 (10)

박상호, 김현진, 권태경, "안드로이드 스마트폰 암호 사용 앱 보안 분석 및 대응." 정보보호학회논문지, 23(6), 1049-1055, 2013

원문보기 상세보기
박진성, 서승희, 김역, 이창훈, "포렌식 분석을 위한？LockMyPix 의 미디어 파일 복호화 방안 연구." 디지털포렌식연구14.3, 269-278, 2020
이세훈, 박명서, 김기윤, 허욱, 김종성, "암호화된？SNS 애플리케이션 데이터 복호화 방안 연구: 카카오톡 채널 관리자, Purple, TongTong." 디지털포렌식연구, 14(1), 87-96, 2020
Zhang, X., Baggili, I., & Breitinger, F. "Breaking？into the vault: Privacy, security and forensic anal- ysis of Android vault applications." Computers &？Security, 70, 516-531, 2017

상세보기
홍표길, 김도현*, "모바일 정보 은닉 앱에 대한 취약점 분석", 한국정보보호학회 동계학술대회(CISC-W'21), 2021.11.27.
이정우, 홍표길, 김도현. "개인정보보호 안드로이드？앱에 대한 취약점 분석." 한국정보통신학회 종합학술대회 논문집 26.1 , 184-186. 2022
김성진, 허준범, "모바일 어플리케이션 개인정보 유출탐지 및 보안강화 연구." 정보보호학회논문지？29.1 , 195-203, 2019

원문보기 상세보기
Kim Jun-Sub, "블록암호 기반 랜섬웨어에 대한 분석 사례 동향." Review of KIISC, 32(3), 41-47,？2022
강수진, 신수민, 김기윤, 김종성, "디지털 포렌식？관점에서의 사진 잠금, 사진/비디오 숨기기, Safe？Gallery/Camera 애플리케이션 분석." 디지털포렌식연구14.2, 125-137, 2020
김기윤, 장성우, 김종성. "LG 갤러리 애플리케이션？잠금 파일 복호화 연구." 디지털포렌식연구 12.2,？31-38, 2018

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증