• 인터넷정보학회논문지
• /
• 제14권6호
• /
• pp.125-139
• /
• 2013

안드로이드 기반 오픈 마켓의 개방성으로 인해 일반적인 정상 어플리케이션 뿐만아니라 공격자에 의해 개발된 악성 어플리케이션의 배포 역시 점차 증가하고 있는 추세이다. 악성 어플리케이션들의 확산으로 인한 피해를 줄이기 위해서는 상용 모바일 단말을 대상으로 보다 정확한 방법으로 정상 앱과 악성 앱을 판별할 수 있는 메커니즘이 개발되어야 한다. 이에 본 논문에서는 안드로이드 플랫폼 기반 모바일 단말을 대상으로 정상 앱과 악성 앱으로 부터 이벤트 패턴을 분석하기 위해 안드로이드 오픈 마켓에서 가장 사용자 이용도가 높은 게임 앱을 대상으로 정상 이벤트 패턴을 분석하였고, Android MalGenome Project에서 배포하고 있는 1,260개의 악성 샘플들 중에서 게임 앱 형태에 해당하는 악성 앱과 유사 악성 앱 등을 대상으로 악성 이벤트 패턴을 분석하였다. 이와 같이 안드로이드 기반 모바일 단말에서 정상 앱과 악성 앱을 대상으로 리눅스 기반 시스템 콜 추출 도구인 Strace를 이용해 정상 앱과 악성 앱의 이벤트를 추출하는 실험을 수행하였다. 정상 앱 및 악성 앱이 각각 실행되었을 때 발생하는 이벤트를 수집하여 각각의 이벤트 집합에 대한 연관성 분석 과정을 수행하였다. 이러한 과정을 통해 정상 앱과 악성 앱 각각에 대한 이벤트 발생 특징 및 패턴과 분포도를 분석하여 이벤트 유사도를 추출할 수 있었으며 최종적으로는 임의의 앱에 대한 악성 여부를 판별하는 메커니즘을 제시하였다.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.479-490
• /
• 2013

최근 삼성 갤럭시 노트 및 갤럭시 탭 10.1 등 안드로이드 기반 상용 모바일 단말을 대상으로 정상 어플리케이션인 것처럼 오픈 마켓에 배포된 악성 어플리케이션에 의한 공격들이 급증하고 있다. 공격자는 정상적인 어플리케이션에 악성코드를 삽입하여 상용 모바일 단말에 대한 루팅(Rooting) 공격을 수행한 후, 단말 내 저장된 사용자의 SMS, 전화번호부 등 개인정보와 공인인증서 등과 같은 금융정보를 외부 서버로 유출시키는 공격을 수행하게 된다. 따라서 상용 모바일 단말에 대한 악성코드 감염 여부를 판별하고 루팅 공격을 탐지 및 대응하기 위한 기법이 필요하다. 이에 본 논문에서는 안드로이드 기반 상용 모바일 단말에 대한 루팅 공격 기법에 대해 분석하고 이를 토대로 모니터링 데몬(Daemon)을 이용하여 상용 단말 내 공격 이벤트를 추출 및 수집하여 악성 어플리케이션으로 인한 공격에 능동적으로 대응하는 기법을 제시하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.865-866
• /
• 2015

스마트폰은 주로 사용되고 있는 안드로이드 OS는 다양한 악성코드로 인해 금전적 피해, 데이터 유출 및 통제권한 상실 등과 같은 많은 피해를 당하고 있다. 침해 위협을 가중시키고 있는 모바일 악성코드 중 심각한 피해를 유발하는 커널 기반의 루팅(Rooting) 악성코드는 일반적인 탐지 방법으로는 찾아낼 수 없는 어려움이 있다. 본 논문에서는 커널 기반에서 동작하는 루팅(Rooting) 악성코드를 탐지하기 위한 방법을 제안한다. 스마트폰 어플리케이션이 실행될 때마다 생성되는 모든 프로세스의 UID를 확인하여 비정상적으로 사용자(User) 권한에서 관리자(Root) 권한으로 변환되는지를 확인하는 방법이다. 제안하는 방법을 활용하여 알려지지 않은 악성코드로 인한 안드로이드 OS의 피해를 최소화할 수 있을 것으로 기대된다.

• 정보처리학회논문지C
• /
• 제18C권3호
• /
• pp.127-134
• /
• 2011

악성 봇넷은 DDoS(Distributed Denial of Service) 공격이나 각종 스팸 메시지 발송, 개인 정보 탈취, 클릭 사기 등 많은 악성 행위에 이용되고 있다. 이를 방지하기 위해 많은 연구가 선행되었지만 악성 봇넷 또한 진화하여 탐지 시스템을 회피하고 있다. 특히 최근에는 어플리케이션 계층의 취약성을 공략한 HTTP GET 공격이 주로 사용되고 있다. 한국전자통신연구원에서 개발한 ALADDIN 시스템의 ALAB(Application Layer Attack detection Block)는 서비스 거부 공격 HTTP GET, Incomplete GET Request flooding 공격을 탐지하는 알고리즘이 적용된 탐지 시스템이다. 본 논문에서는 ALAB 탐지 알고리즘의 Incomplete GET 탐지 알고리즘을 확장하고 장기간 조사한 정상적인 패킷 및 공격 패킷들의 분석을 통해 최적 threshold를 도출하여 ALAB 알고리즘의 유효성을 검증한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 춘계학술대회
• /
• pp.606-608
• /
• 2014

최근 스마트폰의 사용자가 지속적으로 증가함에 따라 스마트폰의 악성 어플리케이션들이 증가하고 무분별한 배포를 통해 단말 내에 존재하는 개인정보 유출, 스미싱 등의 피해 또한 증가하고 있다. 대표적인 개인정보 유출방법은 정상적인 어플리케이션으로 가장한 악성코드를 단말 내에 설치하여 문자메시지나 개인적인 메모, 전화번호부, 공인인증서 등의 개인정보를 유출시키는 방식이다. 따라서 단말의 루트권한을 획득하려는 공격 이벤트를 수집하여 악성코드 감염여부를 판별하고 대응하기 위한 기법이 필요하다. 본 논문에서는 실시간으로 스마트폰 시스템의 점검 기능을 수행하는 어플리케이션에 관한 연구를 통하여 단말 내 공격 이벤트를 분석, 수집하여 악성코드 감염여부를 판별할 수 있는 모바일 보안 모니터링 시스템을 제안한다. 이는 사용자의 개인정보 유출탑지 및 방지 분야에 활용될 것으로 예상된다.

• 정보보호학회지
• /
• 제23권2호
• /
• pp.21-28
• /
• 2013

스마트폰의 급증 현상은 모바일 생태계의 패러다임을 변화시켰으며 다양한 SW 컨텐츠의 양산과 더불어 그 활용 영역의 확대를 가져왔다. 이에 따라 필연적으로 모바일 악성코드도 증가되고 있으며 개인정보 또는 회사 기밀정보의 무단 유출이라는 사회적 이슈도 대두되게 되었다. 이러한 문제를 해결하기 위해서는 모바일 어플리케이션에 대한 검증이 필요하고, 검증하는 방법에는 크게 정적분석 방법과 동적분석 방법이 있으며 분석 방법에 대한 자세한 내용은 선배 전문가들의 앞선 연구 사례와 논문에 몇 차례 소개된 바 있다. 이에 본 고에서는 정적분석 및 동적분석 방법을 응용하여 (주)안랩에서 실제로 운용 중인 모바일 어플리케이션의 분석 및 검증 솔루션(AMSD) 구현사례를 소개하고자 한다. 여기에는 기 알려진 정적분석 방법과 동적분석 방법에 대한 간략한 서술이 포함되어 있으며 시스템 아키텍처 정보와 실제 오픈 마켓을 대상으로 운용하면서 얻어진 앱 분석 사례 및 개선 방향도 담고 있다. 이를 통해 모바일 오픈 마켓 운영 시의 안전성과 신뢰성 확보 및 건전한 모바일 생태계 유지를 도모하는 데 조금이나마 도움이 되었으면 하는 바램이다.

• 한국융합학회논문지
• /
• 제8권4호
• /
• pp.25-36
• /
• 2017

최근 스마트폰 사용자가 증가함에 따라 특히 안드로이드 기반 모바일 단말을 대상으로 다양한 어플리케이션들이 개발 및 이용되고 있다. 하지만 악의적인 목적으로 개발된 악성 어플리케이션 또한 3rd Party 오픈 마켓을 통해 배포되고 있으며 모바일 단말 내 사용자의 개인정보 또는 금융정보 등을 외부로 유출하는 등의 피해가 계속적으로 증가하고 있다. 따라서 이를 방지하기 위해서는 안드로이드 기반 모바일 단말 사용자를 대상으로 악성 앱과 정상 앱을 구별할 수 있는 방법이 필요하다. 이에 본 논문에서는 앱 실행시 발생하는 시스템 콜 이벤트를 추출해서 악성 앱을 탐지하는 기존 관련 연구에 대해 분석하였다. 이를 토대로 다수의 모바일 단말에서 앱이 실행되는 과정에서 발생하는 커널 계층 이벤트들에 대한 발생 순서간 유사도 분석을 통해 악성 앱을 판별하는 기법을 제안하였으며 상용 단말을 대상으로 실험 결과를 제시하였다.

• 정보보호학회논문지
• /
• 제25권4호
• /
• pp.829-838
• /
• 2015

스마트 폰의 보급이 확대됨에 따라 많은 종류의 악성코드가 등장하였다. 이 중 스파이웨어는 기존과 다르게 운영체제가 제공하는 기능을 보안 정책에 따라 사용자의 동의를 정상적으로 획득하여 설치된다. 하지만 사용자가 의도하지 않은 기능을 내포하고 있는 스파이웨어는 기존의 악성코드 감지방법으로 쉽게 잡아내지 못하고 있다. 이러한 상황에서 본 논문은 스파이웨어 중 도청을 감지하는 연구를 진행하였으며, 스파이웨어가 가진 문제를 해결하기 위한 새로운 접근을 통해 도청 감지 모델과 이를 실행하는 어플리케이션을 개발했다. 음성 도청을 판별하기 위해서 각 어플리케이션별 전력 사용량 도출 기능, 모듈별 전력 사용량 도출 기능, 네트워크 사용량 감지를 수행하였다. 전력 사용량 도출을 위한 Open Source Project인 Power Tutor에 네트워크 사용량 감지 기능을 추가하였으며, 여기서 측정 및 수집된 데이터를 알고리즘을 거쳐 도청 위험도를 판별했다. 또한 이 논문에서 구축된 어플리케이션은 데이터 수집, 데이터 분석, 그리고 위험군 산출을 통해 도청 위험군을 감지한다. 어플리케이션을 스마트 폰에 설치하여 데이터의 측정 및 수집을 진행하였으며, 도청 시뮬레이션을 위해 Vice Application을 Background로 하여 사용하였다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.429-442
• /
• 2020

최근 침해사고에서 오피스 문서를 통한 공격 비중이 높아지고 있다. 오피스 문서 어플리케이션의 보안이 점차 강화되어왔음에도 불구하고 공격기술의 고도화, 사회공학 기법의 복합적 사용으로 현재도 오피스 문서를 통한 공격이 유효하다. 본 논문에서는 악성 OOXML(Office Open XML) 문서 탐지 방법과 탐지를 위한 프레임워크를 제안한다. 이를 위해 공격에 사용된 악성파일과 정상파일을 악성코드 저장소와 검색엔진에서 수집하였다. 수집한 파일들의 악성코드 유형을 분석하여 문서 내 악성 여부를 판단하는데 유의미한 의심 개체요소 6가지를 구분하였으며, 악성코드 유형별 개체요소 탐지 방법을 제안한다. 또한, 탐지 방법을 바탕으로 OOXML 문서 기반 악성코드 탐지 프레임워크를 구현하여 수집된 파일을 분류한 결과 악성 파일셋 중 98.45%에 대해 탐지함을 확인하였다.

• 융합보안논문지
• /
• 제6권2호
• /
• pp.21-29
• /
• 2006

소프트웨어를 대상으로 하는 다양한 공격방법이 등장하고 있는 가운데 컴퓨터 소프트웨어에 대한 불법 조작 및 변조 등의 위협이 증가하고 있다. 특히, 온라인상에서 동작하는 어플리케이션 클라이언트를 대상으로 악의적인 로더 프로그램을 이용하여 프로그램의 코드를 조작하고, 흐름을 변조하여 정상적인 동작을 방해하는 행위가 날로 늘어나고 있다. 본 논문에서는 악의적인 용도로 사용되는 로더가 가지는 패턴을 분석하여 시그너처를 생성하고, 변형된 패턴을 탐지할 수 있고 시그너처 기법을 보완한 프로파일 기반의 탐지 기법을 제시한다.