• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제8권11호
• /
• pp.427-432
• /
• 2019

모바일 운영체제 중 안드로이드의 점유율이 높아지면서 모바일 악성코드 위협은 대부분 안드로이드에서 발생하고 있다. 그러나 정상앱이나 악성앱이 진화하면서 권한 등의 단일 특징점으로 악성여부를 연구하는 방법은 유효성 문제가 발생하여 다양한 특징점 추출 및 기계학습을 통해 이를 극복하고자 한다. 본 논문에서는 APK 파일에서 구동에 필요한 다섯 종류의 특징점들을 안드로가드라는 정적분석 툴을 사용하여 학습데이터의 특성을 추출한다. 또한 추출된 중요 특징점을 기반으로 모델링을 하는 세 가지 방법을 제시한다. 첫 번째 방법은 보안 전문가에 의해 엄선된 132가지의 특징점 조합을 바탕으로 모델링하는 것이다. 두 번째는 학습 데이터 7,000개의 앱에서 발생 빈도수가 높은 상위 99%인 8,004가지의 특징점들 중 랜덤포레스트 분류기를 이용하여 특성중요도가 가장 높은 300가지를 선정 후 모델링 하는 방법이다. 마지막 방법은 300가지의 특징점을 학습한 다수의 모델을 통합하여 하나의 가중치 투표 모델을 구성하는 방법이다. 추가적으로 오탐률 및 미탐률을 개선하기 위해 권한 정보를 모두 제외하여 특징점을 재구성하고 위와 같은 환경으로 모델링하였다. 최종적으로 가중치 투표 모델인 앙상블 알고리즘 모델을 사용하여 97.8%로 정확도가 개선되었고 오탐률은 1.9%로 성능이 개선된 것이 확인되었다.

• 인터넷정보학회논문지
• /
• 제15권3호
• /
• pp.31-43
• /
• 2014

안드로이드 기반 모바일 단말 사용자가 증가함에 따라 다양한 형태의 어플리케이션이 개발되어 안드로이드 마켓에 배포되고 있다. 하지만 오픈 마켓 또는 3rd party 마켓을 통해 악성 어플리케이션이 제작 및 배포되면서 안드로이드 기반 모바일 단말에 대한 보안 취약성 문제가 발생하고 있다. 대부분의 악성 어플리케이션 내에는 트로이 목마(Trojan Horse) 형태의 악성코드가 삽입되어 있어 모바일 단말 사용자 모르게 단말내 개인정보와 금융정보 등이 외부 서버로 유출된다는 문제점이 있다. 따라서 급격히 증가하고 있는 악성 모바일 어플리케이션에 의한 피해를 최소화하기 위해서는 능동적인 대응 메커니즘 개발이 필요하다. 이에 본 논문에서는 기존 악성 앱 탐지 기법의 장단점을 분석하고 안드로이드 모바일 단말내에서 실시간 이용시 발생하는 이벤트를 수집한 후 Jaccard 유사도를 중심으로 악성 어플리케이션을 판별하는 메커니즘을 제시하고 이를 기반으로 임의의 모바일 악성 앱에 대한 판별 결과를 제시하였다.

• 융합보안논문지
• /
• 제12권4호
• /
• pp.9-15
• /
• 2012

최근 안드로이드 스마트폰에서 리패키징을 이용한 악성코드가 급증하고 있다. 리패키징은 이미 배포되고 있는 앱의 내부를 수정한 후 다시 패키징하는 기법이지만, 악성코드 제작자가 기존 앱에 악성코드를 삽입하여 배포할 때 흔히 사용되고 있다. 하지만, 앱을 제공하는 안드로이드 마켓이 다양하고, 각 마켓에서 제공하는 앱이 매우 많기 때문에 모든 앱을 수집해서 분석하는 것은 불가능하다. 이를 해결하기 위해 본 논문은 RePAD 기법을 제안한다. 이 기법은 사용자의 스마트폰에 탑재된 클라이언트 앱과 원격 서버로 구성되는 시스템이다. 클라이언트는 적은 부하로 사용자가 설치한 앱의 출처와 정보를 추출하여 원격 서버로 전송하고, 서버는 전송된 정보를 바탕으로 앱의 리패키징 여부를 탐지한다. 따라서 리패키징 앱 판별을 위해 앱의 정보를 수집하는 시간과 비용을 줄일 수 있다. 실험을 위해 클라이언트 앱과 원격서버를 갤럭시탭과 윈도우즈 기반의 PC에 각각 구현하였다. 여러 마켓에서 수집된 앱 중 7 쌍의 앱이 리패키징된 것으로 판정하였고, 갤럭시탭에서 평균 1.9%의 CPU 부하와 최대 3.5M의 메모리 사용량을 보였다.

• 한국정보통신학회논문지
• /
• 제26권6호
• /
• pp.907-913
• /
• 2022

전 세계 스마트폰 이용자 중 약 70%가 안드로이드 운영체제 기반 스마트폰을 사용하고 있으며 이러한 안드로이드 플랫폼을 표적으로 한 악성 앱이 지속적으로 증가하고 있다. 구글은 증가하는 안드로이드 대상 악성코드에 대응하기 위해 'Google Play Protect'를 제공하여 악성 앱이 스마트폰에 설치되는 것을 방지하고 있으나, 아직도 많은 악성 앱들이 정상 앱처럼 위장하여 구글 플레이스토어에 등록되어 선량한 일반 사용자의 스마트폰을 위협하고 있다. 하지만 일반 사용자가 악성 앱을 점검하기에는 상당한 전문성이 필요하기에 대부분 사용자는 안티바이러스 프로그램에 의존하여 악성 앱을 탐지하고 있다. 이에 본 논문에서는 앱에서 쉽게 확인이 가능한 카테고리와 권한만을 활용하여 앱의 불필요한 악성 권한을 분류하고 분류한 권한을 통해 악성 앱을 쉽게 검출할 수 있는 방법을 제안한다. 제안된 방법은 '상용 악성 앱 검출 프로그램'과 미탐율·오탐율 측면에서 비교 분석하여 성능 수준을 제시하고 있다.

• 한국통신학회논문지
• /
• 제40권8호
• /
• pp.1551-1559
• /
• 2015

최근 스마트 기기가 PC와 유사한 성능을 보이면서, 사용자들은 메신저, SNS(Social Network Service), 은행 업무 등 PC에서 수행했던 업무들을 모바일 기기에서도 수행할 수 있게 되었다. 이 같은 긍정적인 변화와 함께 스마트 기기를 대상으로 하는 공격으로, 보안 위협이 증가하는 부정적인 변화도 나타났다. 대표적으로 사용자의 개인정보 유출, 부당한 과금을 비롯하여 최근에는 DDoS(Distributed Denial of Service) 공격을 발생시키는 봇(Bot)으로 스마트 기기가 활용되면서 모바일 보안에 대한 위협이 증가하는 실정이다. 특히, 스마트 기기의 80% 이상을 차지하는 안드로이드 플랫폼에서의 악성코드를 통한 피해건수가 증가하고 있다. 본 논문에서는 안드로이드의 악성코드를 탐지하기 위해 통계 기반 분석법 중 하나인 시계열 분석법을 제안한다. 시계열 모델 중 기존의 데이터를 기반으로 정확한 예측값을 도출할 수 있는 자기회귀 이동평균 모델을 이용하였으며, Z-Score를 이용한 비정상 데이터 후보군 추출을 통해서 전체 데이터와의 비교 없이 추출된 후보군과의 데이터 비교를 통해서 빠르게 악성코드를 탐지하는 방법을 이용한다. 악성코드 탐지 실험 결과를 통해 제안하는 방법의 타당성을 검증하고자 한다.

• 한국컴퓨터정보학회논문지
• /
• 제26권11호
• /
• pp.41-49
• /
• 2021

악성코드를 포함한 모든 응용프로그램은 실행 시 API(Application Programming Interface)를 호출한다. 최근에는 이러한 특성을 활용하여 API Call 정보를 기반으로 악성코드를 탐지하고 분류하는 접근방법이 많은 관심을 받고 있다. 그러나 API Call 정보를 포함하는 데이터세트는 그 양이 방대하여 많은 계산 비용과 처리시간이 필요하다. 또한, 악성코드 분류에 큰 영향을 미치지 않는 정보들이 학습모델의 분류 정확도에 영향을 미칠 수도 있다. 이에 본 논문에서는 다양한 특성 선택(feature selection) 방법을 적용하여 API Call 정보에 대한 차원을 축소시킨 후, 핵심 특성 집합을 추출하는 방안을 제시한다. 실험은 최근 발표된 안드로이드 악성코드 데이터세트인 CICAndMal2020을 이용하였다. 다양한 특성 선택 방법으로 핵심 특성 집합을 추출한 후 CNN(Convolutional Neural Network)을 이용하여 안드로이드 악성코드 분류를 시도하고 결과를 분석하였다. 그 결과 특성 선택 알고리즘에 따라 선택되는 특성 집합이나 가중치 우선순위가 달라짐을 확인하였다. 그리고 이진분류의 경우 특성 집합을 전체 크기의 15% 크기로 줄이더라도 97% 수준의 정확도로 악성코드를 분류하였다. 다중분류의 경우에는 최대 8% 이하의 크기로 특성 집합을 줄이면서도 평균 83%의 정확도를 달성하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(A)
• /
• pp.92-94
• /
• 2012

안드로이드 운영체제는 애플리케이션들이 서로의 코드와 데이터를 공유할 수 있도록 애플리케이션 컴포넌트간의 통신을 지원한다. 또한 보안을 위해 컴포넌트간의 통신을 엄격하게 제어하기 위한 퍼미션을 제공한다. 하지만 개발자의 보안의식 부재에 따른 퍼미션의 잘못된 사용은 애플리케이션 컴포넌트를 노출시켜 검증되지 않은 애플리케이션이 코드와 데이터에 접근할 수 있게 만드는 문제를 야기할 수 있다. 특히, 노출된 컨텐트 프로바이더(content provider)는 악성 애플리케이션이 기존 탐지 툴을 회피하여 개인정보를 임시로 보관하는 저장소로 악용될 수 있다. 따라서 하나의 애플리케이션만을 분석하는 기존 탐지 툴로는 이와 같이 협력적으로 동작하는 악성 애플리케이션을 탐지 할 수 없다. 본 논문에서는 노출된 컨텐트 프로바이더를 이용한 협력적 개인정보 유출 공격 시나리오를 제시하고 이를 탐지하기 위한 기법을 제안한다. 제안한 기법을 토대로 만든 탐지 툴 사용해 총 189개의 안드로이드 애플리케이션을 분석하였고 그 결과로 컨텐트 프로바이더를 노출시킨 32개의 애플리케이션과 개인정보를 유출할 가능성이 있는 애플리케이션 4개를 탐지하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2016년도 추계학술발표대회
• /
• pp.241-242
• /
• 2016

안드로이드 시스템은 공개적인 구조 때문에 다양한 공격에 노출될 수 있다. 특히 공개된 앱의 코드를 재사용하는 앱 재사용(reuse) 공격에 취약하다. 안드로이드 앱 재사용 공격에서 공격자는 역공학을 통해서 파악한 기존 앱의 유용한 코드 블록을 재사용해서 악성앱을 만든다. 이러한 안드로이드 앱 재사용 공격에 대항하기 위해서 다양한 방어기법들이 제안되었다. 기존에 제안된 기법들이 앱 전체 코드에 대한 재사용 공격을 탐지하는데 반해, 본 논문에서는 앱에서 코드 블록 재사용에 대한 분석기법을 제안하고자 한다. 기본 아이디어는 Birthday paradox을 이용해서 앱에서 재사용되는 코드 블록에 대한 수리적 분석을 수행하는 것이다. 분석을 통해서 동일 코드 블록 재사용 확률은 전체 코드 블록중에서 재사용 코드 블록이 차지하는 비율과 코드 블록 재사용에 참여하는 악성앱들의 개수에 영향을 받는다는 것을 파악하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권3호
• /
• pp.159-168
• /
• 2017

스마트폰 사용자가 증가하고 스마트폰이 다양한 서비스와 함께 일상생활에서 널리 사용됨에 따라 스마트폰 사용자를 노리는 악성코드 또한 증가하고 있다. 안드로이드는 2012년 이후로 가장 많이 사용되고 있는 스마트폰 운영체제이지만, 안드로이드 마켓의 개방성으로 인해 수많은 악성 앱이 마켓에 존재하며 사용자에게 위협이 되고 있다. 현재 대부분의 안드로이드 악성 앱 탐지 프로그램이 사용하는 규칙 기반의 탐지 방법은 쉽게 우회가 가능할 뿐만 아니라, 새로운 악성 앱에 대해서는 대응이 어렵다는 문제가 존재한다. 본 논문에서는 앱의 정적 분석과 딥러닝을 결합하여 스마트폰에서 직접 악성 앱을 탐지할 수 있는 방법을 제안한다. 수집한 6,120개의 악성 앱과 7,000개의 정상 앱 데이터 셋을 가지고 제안하는 방법을 평가한 결과 98.05%의 정확도로 악성 앱과 정상 앱을 분류하였고, 학습하지 않은 악성 앱 패밀리의 탐지에서도 좋은 성능을 보였으며, 스마트폰 환경에서 평균 10초 내외로 분석을 수행하였다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.374-376
• /
• 2022

악성 앱 분석 도구는 안드로이드 기반 앱을 도구에 정의된 AI 기반 알고리즘에 의해 분석되어 악성코드가 포함되었는지 탐지하는 시스템이다. 현재 스마트폰의 보급이 활성화됨에 따라 악성 앱을 사용한 범죄가 증가하였고, 이에 따라 악성 앱에 대한 보안이 요구되는 실정이다. 스마트폰에 사용되는 안드로이드 운영체제는 점유율이 70%이상이며, 오픈소스 기반이기 때문에 많은 취약성 및 악성코드가 존재할뿐만 아니라, 악성 앱에 대한 피해도 증가하여 악성 앱을 탐지하고 분석하는 도구에 대한 수요도 증가할 것이다. 하지만, 악성 앱 분석 도구에 대한 보안기능요구사항이 정확히 명시되지 않아, 악성 앱 분석도구를 구축 및 개발하는데 있어 많은 어려움이 있기 때문에 본 논문을 제안한다. 개발한 보호프로파일을 통해 악성 앱 분석 도구의 설계 및 개발에 기반이 되어 기술력을 향상시킬 수 있고, 악성 앱에 대한 피해를 최소화하여 안전성을 확보 할 수 있으며, 더 나아가 정보보호제품 인증을 통해 악성 앱 분석 도구에 대한 신뢰를 보증할 수 있다.