[보고서]안전한 스마트폰 서비스를 위한 안드로이드 보안시스템에 관한 연구

최형기

[국가R&D연구보고서] 안전한 스마트폰 서비스를 위한 안드로이드 보안시스템에 관한 연구
An Enhanced Security Mechanism for Android in the Use of Smartphone Service 원문보기

보고서 정보
주관연구기관	성균관대학교 산학협력단
연구책임자	최형기
보고서유형	최종보고서
발행국가	대한민국
언어	한국어
발행년월	2012-06
과제시작연도	2011
주관부처	교육과학기술부
과제관리전문기관	한국연구재단 National Research Foundation of Korea
등록번호	TRKO201300019438
과제고유번호	1345147898
사업명	기본연구지원사업
DB 구축일자	2013-07-29

초록 ▼

본 연구는 1단계 안드로이드의 보안 아키텍쳐 특성 분석, 2단계 기존 취약점 분석, 3단계 안드로이드 보안 특성에 따른 취약점 연구 및 구현, 4단계 보안대책 제시 및 소프트웨어 구현으로 진행하였다.
1단계에서는 안드로이드 보안의 구성요소와 어플리케이션의 퍼미션에 대한 내용을 분석하였고, 2단계에서는 관련 연구를 조사하여 안드로이드 어플리케이션과 관련된 취약점을 분석하였다. 3단계에서는 안드로이드 어플리케이션에서의 정보유출에 관한 취약점 연구 및 취약점 관련 실험 소스코드를 구현하였다. 이 소스코드는 어플리케이션에서의 정보유출 외 안드로이드 OS 단에서의 취약점 연구를 진행하는데 사용되었다. 4단계에서는 정보유출에 관한 보안대책으로 행위기반 탐지 연구에 중점을 두어 소프트웨어를 구현하였다.
안드로이드 어플리케이션은 퍼미션 (권한: permission)에 기반하여 보호되고 있다. 즉, 사용자는 안드로이드에 어플리케이션을 설치할 때, 해당 어플리케이션이 필요로 하는 permission들이 무엇인지 확인하고 해당 permission들을 모두 허용해야 어플리케이션이 설치된다. 본 연구팀은 이런 permission 기반 보안 체계에서의 2가지 문제점을 발견하였다. 1) permission을 필요로 하지 않는 기능을 이용하는 공격(zero permission 공격), 2) 사용자가 승인한 permission을 교묘하게 악용하는 공격. 둘 중 zero permission 공격은 안드로이드의 보안 체계를 우회할 수 있는 치명적인 공격이다. 따라서, 2단계에서는 zero permission 공격을 키워드로 잡고 해결책에 대한 연구를 진행하였다. 3단계에서는 zero permission을 위험성이 존재하는 소스코드를 구현하여 실험을 진행하였고, 그 결과를 바탕으로 내린 결론은 안드로이드를 사용하는 사용자의 퍼미션 정보 인지 능력이 떨어진다는 것이였다, 어플리케이션을 설치 시 해당 퍼미션이 필요한 상황에 대한 기술 없이, 퍼미션 판단만을 요구하고 있어 정확한 판단을 불가능하게 만든다. 따라서, 4단계에서는 안드로이드 보안 아키텍처의 퍼미션 요청 시스템에서 발생할 수 있는 근본적인 문제점을 해결하고, 퍼미션을 요청하지 않고도 발생할 수 있는 공격 취약점에 대한 보안 대책을 제시한다. 안드로이드 보안 아키텍쳐의 가장 큰 문제점은 사용자들이 설치를 시도하는 어플리케이션에 명시된 퍼미션 위험 정도에 대해 인지하지 못 하는 것이다. 따라서, 사용자들이 위험정도를 인지할 수 있게 퍼미션 관련 확률값을 제시하는 것을 첫 번째 해결 방안으로 제시하였다. 두번째는 zero-permission에 대한 보안 대책이다. 결과적으로 zero-permission의 공격 유형에 대해서 모두 해결방안을 제시할 수 있었다. 마지막으로 퍼미션의 허용범위가 너무 큰 퍼미션에 대해서는 세분화 기법을 제시한다. 마지막 4단계에서는 연구된 보안 기법을 이용하여 안드로이드 프레임워크상에서 구현을 하여 실제로 상용화가 가능한 소프트웨어 패치를 제작하였다.
결론적으로 1, 2단계를 통해 사용자 퍼미션에 의존하는 보안 시스템의 근본적인 취약성을 분석할 수 있었고 3,4 단계를 통해 퍼미션을 요청하지 않고 발생하는 공격 발생 가능성을 해결할 수 있는 확률 기법과 퍼미션 세분화와 같은 보안 대책을 마련하였다. 마지막으로 연구에 끝나지 않고 실제 적용 가능할 수 있도록 안드로이드 프레임워크상에서 소프트웨어 패치를 제작하였다.

목차 Contents

일반연구자지원사업 최종(결과)보고서 ... 1
목차 ... 3
I. 연구결과 요약문 ... 4
II. 연구내용 및 결과 ... 5
1. 연구과제의 개요 ... 5
2. 국내·외 기술개발 현황 ... 5
3. 연구수행 내용 및 결과 ... 6
4. 목표 달성도 및 관련 분야에의 기여도 ... 7
5. 연구결과의 활용 계획 ... 7
6. 연구과정에서 수집한 해외 과학기술 정보 ... 7
III. 연구성과 ... 8

과제명(ProjectTitle) :	-
연구책임자(Manager) :	-
과제기간(DetailSeriesProject) :	-
총연구비 (DetailSeriesProject) :	-
키워드(keyword) :	-
과제수행기간(LeadAgency) :	-
연구목표(Goal) :	-
연구내용(Abstract) :	-
기대효과(Effect) :	-

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 제목(한글), 저자명(한글), 발행일자, 전자원문, 초록(한글), 초록(영문) 관리번호, 제목(한글), 제목(영문), 저자명(한글), 저자명(영문), 주관연구기관(한글), 주관연구기관(영문), 발행일자, 총페이지수, 주관부처명, 과제시작일, 보고서번호, 과제종료일, 주제분류, 키워드(한글), 전자원문, 키워드(영문), 입수제어번호, 초록(한글), 초록(영문), 목차
저장형식	Text(ASCII format) Excel format
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국가R&D연구보고서] 안전한 스마트폰 서비스를 위한 안드로이드 보안시스템에 관한 연구
An Enhanced Security Mechanism for Android in the Use of Smartphone Service 원문보기

초록 ▼

목차 Contents

연구자의 다른 보고서 :

참고문헌 (25)

연구과제 타임라인

관련 콘텐츠

원문 보기

이 보고서와 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국가R&D연구보고서] 안전한 스마트폰 서비스를 위한 안드로이드 보안시스템에 관한 연구 An Enhanced Security Mechanism for Android in the Use of Smartphone Service 원문보기

초록 ▼

목차 Contents

연구자의 다른 보고서 :

최형기 (3)

참고문헌 (25)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

이 보고서와 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국가R&D연구보고서] 안전한 스마트폰 서비스를 위한 안드로이드 보안시스템에 관한 연구
An Enhanced Security Mechanism for Android in the Use of Smartphone Service 원문보기