• 정보보호학회논문지
• /
• 제23권4호
• /
• pp.743-755
• /
• 2013

최근, 정상 앱에 악성코드를 추가하여 안드로이드 마켓에 재배포 되는 악성 앱들이 발견되고 있다. 금융거래를 처리하는 뱅킹 앱들이 이와 같은 공격에 노출되면 인증정보 및 거래정보 유출, 부정거래 시도 등 많은 문제점들이 발생할 수 있다. 이에 대한 대응방안으로 금융당국이 관련 법규를 제정함에 따라 국내 은행들은 뱅킹 앱에서 무결성 검증기능을 제공하고 있지만, 해당 기능의 안전성에 대한 연구는 이루어진 바가 없어서 신뢰하기 어렵다. 본 논문에서는 안드로이드 역공학 분석 기법들을 이용하여 뱅킹 앱의 무결성 검증 기능 취약점을 제시한다. 또한, 제시한 취약점이 이용될 경우, 실제 뱅킹 앱의 무결성 검증 기능이 매우 간단하게 우회되어 리패키징을 통한 악성코드 삽입 공격이 이루어질 수 있으며 그 위험성이 높다는 것을 실험결과로 증명한다. 추가적으로, 취약점을 해결하기 위한 방안들을 구체적으로 제시함으로써 앱 위변조 공격에 대응하여 스마트폰 금융거래 환경의 보안 수준을 높이는데 기여한다.

• 한국통신학회논문지
• /
• 제40권4호
• /
• pp.700-708
• /
• 2015

소프트웨어 버스마크는 한 프로그램이 보유한 고유한 특징으로 해당 프로그램을 식별하는데 사용될 수 있다. 소프트웨어 버스마크 기반으로 자바 프로그램의 도용을 탐지하는 연구들이 진행되어 왔다. 안드로이드 앱의 경우, 앱 보호를 위해 난독화 방법이 제공되고 있다. 그러나 공격자들도 자신이 도용한 프로그램을 감추기 위해 난독화를 적용하기도 한다. 특정 앱에 난독화를 적용하면 앱의 특징정보가 변경될 수 있다. 따라서 난독화를 고려한 버스마크 기반의 앱 도용 탐지 기법에 대한 연구가 필요하다. 본 논문에서는 난독화에 강인한 안드로이드 앱 버스마크 및 이에 기반한 앱 도용 탐지 기법을 제안한다. 몇몇 난독화 도구들을 분석하여 효과적인 버스마크로 메서드의 매개변수 및 반환값의 자료형을 선정하였고, 비교 대상 앱들로부터 해당 버스마크를 추출하여 이들 간의 유사도를 측정하였다. 여러 앱들을 대상으로 난독화 적용 전/후의 앱 유사성을 분석한 결과, 제안한 버스마크가 난독화가 적용된 앱에 대한 도용 탐지에도 효과적임을 확인하였다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.45-55
• /
• 2019

DEX 파일과, SO 파일로 알려진 공유 라이브러리 파일은 안드로이드 어플리케이션의 행위를 결정짓는 중요한 구성요소이다. DEX 파일은 Java 코드로 구현된 실행파일이며, SO 파일은 ELF 파일 형식을 따르며 C/C++와 같은 네이티브 코드로 구현된다. Java 영역과 네이티브 코드 영역은 런타임에 상호작용할 수 있다. 오늘날 안드로이드 악성코드는 지속적으로 증가하고 있으며, 악성코드로 탐지되는 것을 회피하기 위한 다양한 우회 기법을 적용한다. 악성코드 분석을 회피하기 위하여 분석이 어려운 네이티브 코드에서 악성 행위를 수행하는 어플리케이션 또한 존재한다. 기존 연구는 Java 코드와 네이티브 코드를 모두 포함하는 함수 호출 관계를 표시하지 못하거나, 여러 개의 DEX을 포함하는 어플리케이션을 분석하지 못하는 문제점을 지닌다. 본 논문에서는 안드로이드 어플리케이션의 DEX 파일과 SO 파일을 분석하여 Java 코드 및 네이티브 코드에서 호출 관계를 추출하는 시스템을 설계 및 구현한다.

• 한국소프트웨어감정평가학회 논문지
• /
• 제10권1호
• /
• pp.19-26
• /
• 2014

본 논문에서는 안드로이드 애플리케이션(앱)을 역공학 공격으로부터 방어하는 기법을 제안한다. 이 기법에서 서버는 안드로이드 패키지 파일인 APK 내에 있는 원본 실행코드(DEX)를 암호화하고, 실행 시 이를 복호화 할 수 있는 스텁(stub) 코드를 APK에 삽입하여 배포한다. 스텁 코드는 자신에 대한 공격을 탐지하기 위해 무결성 검증 코드를 포함한다. 사용자가 해당 APK를 설치·실행할 때, 스텁 코드는 자체의 무결성을 검증한 후, 암호화된 원본 실행코드를 복호화하고, 이를 동적 로딩(dynamic loading)하여 실행한다. 앱의 원본 실행코드는 암호화되어 배포되므로 지적재산권을 효과적으로 보호할 수 있다. 또한, 스텁 코드에 대해 무결성을 검증하므로, 제안 기법의 우회 가능성을 차단한다. 우리는 15개의 안드로이드 앱에 제안 기법을 적용하여 그 유효성을 평가하였다. 실험 결과, 13개의 앱이 정상적으로 동작함을 확인하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(A)
• /
• pp.116-118
• /
• 2012

안드로이드 앱 시장이 활성화되면서, 안드로이드 앱의 불법복제나 역공학 공격으로 인한 피해가 증가하고 있다. 앱 불법복제는 앱 판매 수익의 저하뿐만 아니라 개발자의 의지를 뺏고 개발 노력에 대해 상대적 박탈감을 주게 된다. 자바 프로그램의 경우 역공학으로 인해 바이트 코드에 존재하는 핵심 알고리즘이 쉽게 노출되어 지적재산권이 유출될 수 있다는 점에서 개발자나 개발사에게 심각한 위협이 되고 있다. 본 논문에서는 안드로이드 환경에서 앱에 대한 역공학 공격의 위협을 보이고, 역공학 방지 기법인 RACC를 제안한다. RACC는 보호할 핵심 클래스를 앱으로 부터 추출하여 바이트 코드 형태로 안전한 원격 서버에 관리하여 수행하며, 스마트폰(클라이언트)에는 저장하지 않는다. 스마트폰 앱이 해당 핵심 클래스를 호출하면, 그 호출이 원격 서버로 전송되어 수행된 후 결과가 스마트폰에 반환된다. 이처럼 핵심 클래스 코드가 클라이언트에 직접 노출 없이 원격지에서 관리되고 수행됨으로써 역공학 공격을 원천적으로 방지한다.

• 디지털산업정보학회논문지
• /
• 제11권2호
• /
• pp.47-54
• /
• 2015

The popularity and adoption of smart-phones has greatly stimulated the spread of mobile malware, especially on the popular platforms such as Android. The fluidity of application markets complicate smart-phone security. There is a pressing need to develop effective solutions. Although recent efforts have shed light on particular security issues, there remains little insight into broader security characteristics of smart-phone application. Now, the analytical methods used mainly are the reverse engineering-based analysis and the sandbox-based analysis. Such methods are can be analyzed in detail. but, they take a lot of time and have a one-time payout. In this study, we develop a system to monitor that mobile application permissions at application update. We had to overcome a one-time analysis. This study is a service-based malware analysis, It will be based will be based on the mobile security study.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.353-356
• /
• 2014

역공학 방지 기법이 적용되지 않은 어플리케이션은 악의적인 역공학에 취약할 수밖에 없다. 악의적인 역공학은 사회적으로 여러가지 손실을 가져온다. 그러므로 역공학 방지 기법을 적용하여 어플리케이션을 보호해야 한다. 역공학 방지 기법은 다양하며, 크게 자바 소스 난독화, Smali 코드 조작, Dex 파일 포맷 조작, 그리고 Zip 파일 포맷 조작 기법으로 나눌 수 있다. 자바 소스 난독화는 코드의 가독성을 떨어트려 안드로이드 어플리케이션의 역공학을 어렵게 하는 기법이다. Smali 코드 조작 기법은 Goto 문 추가, 예외 처리 재귀 기법 등을 통하여 역공학을 막는 기법이다. Dex 파일 포맷 조작 기법에는 클래스명 길이 변경, 헤더 크기 변경 등을 통해 역공학을 어렵게 만드는 기법이다. Zip 파일 포맷 조작 기법은 Zip 파일 포맷에서 헤더 값을 조작하여 마치 암호화된 것처럼 보이도록 만드는 기법이다. 본 논문에서는 이러한 다양한 기법들에 대해서 설명하고 이를 비교 분석한다.

• 정보보호학회논문지
• /
• 제34권1호
• /
• pp.61-70
• /
• 2024

인터넷 서비스 급증과 함께 사용자가 다양한 서비스를 이용하게 되면서 계정관리에 어려움을 겪을 수 있다. 이러한 고충을 해결하기 위해 다양한 비밀번호 관리 어플리케이션이 등장하고 있다. 포렌식 관점에서 비밀번호 관리 어플리케이션은 범죄 증거를 획득할 수 있는 단서를 제공할 수 있다. 본 논문에서는 비밀번호 관리 어플리케이션에서 사용자가 저장한 데이터를 획득하는 것을 목적으로 한다. 이를 위해 역공학을 통해 암호화된 데이터를 복호화하고 분석 대상 어플리케이션에 대한 보안성 평가 및 데이터를 안전하게 보관할 수 있는 더 나은 방법을 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.184-186
• /
• 2022

최근 개인정보보호에 대한 관심이 높아짐에 따라 개인정보보호를 위한 다양한 앱들이 등장했다. 이러한 앱들은 개인정보가 포함된 사진, 동영상, 문서 등 여러 포맷의 데이터를 암호화 및 은닉 기능을 이용하여 보호한다. 이러한 앱들을 사용하면 개인정보보호에는 긍정적인 효과를 줄 수 있지만, 디지털 포렌식 수사 관점에서는 조사 과정에서 데이터 분석에 어려움이 될 수 있기 때문에 안티 포렌식으로 작용한다. 본 논문은 개인정보보호 앱 중 하나인 Calculator - photo vault에 대한 역공학을 통해 접근제어 기능인 PIN을 알아내고, 암호화 및 은닉이 적용된 사진, 문서 등의 파일에 대한 복호화를 진행하였다. 또한, 암호화 및 은닉된 파일에 대한 로그가 저장된 database 파일에 대해서는 복호화를 연구함으로써 이 앱에 대한 취약점을 분석했다.