• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 추계학술대회
• /
• pp.455-457
• /
• 2021

앱(App) 또는 어플리케이션이라고 부르는 응용 프로그램은 스마트폰이나 스마트TV와 같은 스마트 기기에서 사용되고 있다. 당연하게도 앱에도 악성코드가 있는데, 악성코드의 유무에 따라 정상앱과 악성앱으로 나눌 수 있다. 악성코드는 많고 종류가 다양하기 때문에 사람이 직접 탐지하기 어렵다는 단점이 있어 AI를 활용하여 악성앱을 탐지하는 방안을 제안한다. 기존 방법에서는 악성앱에서 Feature를 추출하여 악성앱을 탐지하는 방법이 대부분이었다. 하지만 종류와 수가 기하급수적으로 늘어 일일이 탐지할 수도 없는 상황이다. 따라서 기존 대부분의 악성앱에서 Feature을 추출하여 악성앱을 탐지하는 방안 외에 두 가지를 더 제안하려 한다. 첫 번째 방안은 기존 악성앱 학습을 하여 악성앱을 탐지하는 방법과 는 반대로 정상앱을 공부하여 Feature를 추출하여 학습한 후 정상에서 거리가 먼, 다시 말해 비정상(악성앱)을 찾는 것이다. 두 번째 제안하는 방안은 기존 방안과 첫 번째로 제안한 방안을 결합한 '앙상블 기법'이다. 이 두 기법은 향후 앱 환경에서 활용될 수 있도록 연구를 진행할 필요가 있다.

• 한국융합학회논문지
• /
• 제8권3호
• /
• pp.49-61
• /
• 2017

안드로이드 플랫폼에서 다양한 모바일 애플리케이션이 개발/배포되면서 편리함과 유용성이 더욱 증가하고 있으나 지속적으로 악성 모바일 애플리케이션(Malicious Mobile Application) 또한 급증하고 있어 스마트폰 사용자도 모르게 단말 내 중요 정보 등이 외부로 유출되고 있다. 악성앱 검출을 위해 안드로이드 플랫폼을 대상으로 다양한 모바일 백신이 개발되었지만 최근에 발견된 서버 기반 다형상 모바일 악성앱인 경우 은닉 우회 기법을 포함하고 있으며, C&C 서버 기반 다형상 생성기에 의해서 각 사용자 단말에 매번 조금씩 다른 형태의 악성앱이 생성 및 설치되기 때문에 기존 모바일 백신에 손쉽게 검출되지 않는다는 문제점이 있다. 이에 본 논문에서는 서버 기반 다형상 모바일 악성앱에 대한 APK 역컴파일 과정을 통해 핵심 악성 코드를 구성하는 DEX 파일내 메소드에 대한 유사도와 접근권한 유사도 측정을 통해 상관관계를 분석하여 SSP 악성앱을 판별하는 기법을 제시하였다. DEX 메소드 유사도와 퍼미션 유사도 분석 결과 SSP 악성앱에 대한 동작 방식의 특징을 추출할 수 있었으며 정상앱과 구별 가능한 차이점을 발견할 수 있었다.

• International Journal of Computer Science & Network Security
• /
• 제21권5호
• /
• pp.217-221
• /
• 2021

Recent studies have indicated that mobile markets harbor applications (apps) that are either malicious or vulnerable, compromising millions of devices. Some studies indicate that 96% of companies' employees have used at least one malicious app. Some app stores do not employ security quality attributes regarding authorization, which is the function of specifying access rights to access control resources. However, well-defined access control policies can prevent mobile apps from being malicious. The problem is that those who oversee app market sites lack the mechanisms necessary to assess mobile app security. Because thousands of apps are constantly being added to or updated on mobile app market sites, these security testing mechanisms must be automated. This paper, therefore, introduces a new mechanism for testing mobile app security, using white-box testing in a way that is compatible with Bring Your Own Device (BYOD) working environments. This framework will benefit end-users, organizations that oversee app markets, and employers who implement the BYOD trend.

• 한국소프트웨어감정평가학회 논문지
• /
• 제15권1호
• /
• pp.11-24
• /
• 2019

모바일 앱 개발자는 크로스 플랫폼 개발 프레임워크를 사용하여 서로 다른 모바일 플랫폼들에 구동되는 앱들을 하나의 단계로 구현할 수 있다. 공격자들 또한 크로스 플랫폼 개발 프레임워크를 사용하여 한번 작성된 악성 코드를 여러 모바일 플랫폼들 상에 바로 수행할 수 있다. 본 논문에서는 AndroZoo 사이트로부터 수집한 안드로이드 앱들을 대상으로 크로스 플랫폼 개발 프레임워크들로 작성된 정상 앱들과 악성 앱들의 비율을 연도별로 분석한다. 분석 결과, 크로스 플랫폼 개발 프레임워크들로 작성된 정상 앱들의 비율이 지속적으로 증가하여, 2018년도에는 전체 정상 앱들에서 45%를 차지한다. 크로스 플랫폼 개발 프레임워크로 작성된 악성 앱들의 비율은 2015년에는 전체 악성 앱들에서 25%를 차지하였으나 이후 그 비율이 감소하고 있다. 이러한 연구는 크로스 플랫폼 앱 개발 시에 직면할 수 있는 여러 선택 문제들을 해결하는데 기여할 수 있다.

• 정보과학회 논문지
• /
• 제41권9호
• /
• pp.707-714
• /
• 2014

스마트폰 사용자에게 서비스를 제공하기 위해 정상 앱은 특정 개인정보를 외부로 전달하는 행위를 하며, 이러한 정상 앱의 행위는 악성 앱과 행위 측면에서 유사한 면을 지닌다. 즉, 정상 앱을 악의적인 목적으로 일부 조작한다면, 정상 앱은 쉽게 악성 앱으로 변조될 수 있다. 때문에 정상 앱이라 할지라도 개인정보의 유출 가능성을 사용자에게 앱 설치 이전에 경고해서 잠재적인 악의적 행위를 예방하는 것이 중요하다. 본 논문에서는 추출된 API간 상호의존성 정보 내부에서 개인정보 탈취 및 유출 노드사이의 최단거리를 계산하여 개인정보 유출의 가능성을 지닌 의심스러운 일반 앱 탐지 방법을 제안한다. 또한 제안방법을 적용시켜 "LeakDroid"를 구현하였으며, 이를 검증하기 위해 악성 앱 250개와 일반 앱 1700개를 사용하여 실험을 진행하였다. 실험결과 악성 앱은 96.4%의 탐지율을 달성하였고, 일반 앱은 1700개중 실제 68개의 앱에서 개인정보 유출을 의심할 수 있는 흐름을 확인하였다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권4호
• /
• pp.11-18
• /
• 2016

Due to open source policy, Android systems are exposed to a variety of security problems. In particular, app reuse attacks are detrimental threat to the Android system security. This is because attacker can create core malign components and quickly generate a bunch of malicious apps by reusing these components. Hence, it is very imperative to discern whether Android apps contain reused components. To meet this need, we propose an Android app reuse analysis technique based on the Sequential Hypothesis Testing. This technique quickly makes a decision with a few number of samples whether a set of Android apps is made through app reuse. We performed experimental study with 6 malicious app groups, 1 google and 1 third-party app group such that each group consists of 100 Android apps. Experimental results demonstrate that our proposed analysis technique efficiently judges Android app groups with reused components.

• 한국융합학회논문지
• /
• 제8권4호
• /
• pp.25-36
• /
• 2017

최근 스마트폰 사용자가 증가함에 따라 특히 안드로이드 기반 모바일 단말을 대상으로 다양한 어플리케이션들이 개발 및 이용되고 있다. 하지만 악의적인 목적으로 개발된 악성 어플리케이션 또한 3rd Party 오픈 마켓을 통해 배포되고 있으며 모바일 단말 내 사용자의 개인정보 또는 금융정보 등을 외부로 유출하는 등의 피해가 계속적으로 증가하고 있다. 따라서 이를 방지하기 위해서는 안드로이드 기반 모바일 단말 사용자를 대상으로 악성 앱과 정상 앱을 구별할 수 있는 방법이 필요하다. 이에 본 논문에서는 앱 실행시 발생하는 시스템 콜 이벤트를 추출해서 악성 앱을 탐지하는 기존 관련 연구에 대해 분석하였다. 이를 토대로 다수의 모바일 단말에서 앱이 실행되는 과정에서 발생하는 커널 계층 이벤트들에 대한 발생 순서간 유사도 분석을 통해 악성 앱을 판별하는 기법을 제안하였으며 상용 단말을 대상으로 실험 결과를 제시하였다.

• 인터넷정보학회논문지
• /
• 제14권6호
• /
• pp.125-139
• /
• 2013

안드로이드 기반 오픈 마켓의 개방성으로 인해 일반적인 정상 어플리케이션 뿐만아니라 공격자에 의해 개발된 악성 어플리케이션의 배포 역시 점차 증가하고 있는 추세이다. 악성 어플리케이션들의 확산으로 인한 피해를 줄이기 위해서는 상용 모바일 단말을 대상으로 보다 정확한 방법으로 정상 앱과 악성 앱을 판별할 수 있는 메커니즘이 개발되어야 한다. 이에 본 논문에서는 안드로이드 플랫폼 기반 모바일 단말을 대상으로 정상 앱과 악성 앱으로 부터 이벤트 패턴을 분석하기 위해 안드로이드 오픈 마켓에서 가장 사용자 이용도가 높은 게임 앱을 대상으로 정상 이벤트 패턴을 분석하였고, Android MalGenome Project에서 배포하고 있는 1,260개의 악성 샘플들 중에서 게임 앱 형태에 해당하는 악성 앱과 유사 악성 앱 등을 대상으로 악성 이벤트 패턴을 분석하였다. 이와 같이 안드로이드 기반 모바일 단말에서 정상 앱과 악성 앱을 대상으로 리눅스 기반 시스템 콜 추출 도구인 Strace를 이용해 정상 앱과 악성 앱의 이벤트를 추출하는 실험을 수행하였다. 정상 앱 및 악성 앱이 각각 실행되었을 때 발생하는 이벤트를 수집하여 각각의 이벤트 집합에 대한 연관성 분석 과정을 수행하였다. 이러한 과정을 통해 정상 앱과 악성 앱 각각에 대한 이벤트 발생 특징 및 패턴과 분포도를 분석하여 이벤트 유사도를 추출할 수 있었으며 최종적으로는 임의의 앱에 대한 악성 여부를 판별하는 메커니즘을 제시하였다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.617-623
• /
• 2018

본 연구는 안드로이드 정적분석을 기반으로 추출된 AndroidManifest 권한 특징을 통해 악성코드를 탐지하고자 한다. 특징들은 AndroidManifest의 권한을 기반으로 분석에 대한 자원과 시간을 줄였다. 악성코드 탐지 모델은 1500개의 정상어플리케이션과 500개의 악성코드들을 학습한 SVM(support vector machine), NB(Naive Bayes), GBC(Gradient Boosting Classifier), Logistic Regression 모델로 구성하여 98%의 탐지율을 기록했다. 또한, 악성앱 패밀리 식별은 알고리즘 SVM과 GPC (Gaussian Process Classifier), GBC를 이용하여 multi-classifiers모델을 구현하였다. 학습된 패밀리 식별 머신러닝 모델은 악성코드패밀리를 92% 분류했다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 춘계학술대회
• /
• pp.377-380
• /
• 2022

앱(App)이라 불리는 응용프로그램은 모바일 기기 등에 다운받아 사용 가능하다. 그 중 안드로이드(Android) 기반 앱은 오픈소스 기반으로 구현되어 누구나 악용 가능하다는 단점이 있지만, 아주 일부분의 소스코드를 공개하는 iOS와는 달리 안드로이드는 오픈소스로 구현되어있기 때문에 코드를 분석할 수 있다는 장점도 있다. 하지만, 오픈소스 기반의 안드로이드 앱은 누구나 소스코드 변경에 참여 가능하기 때문에 그만큼 악성코드가 많아지고 종류 또한 다양해질 수밖에 없다. 단기간에 기하급수적으로 늘어나는 악성코드는 사람이 일일이 탐지하기 어려워 AI를 활용하여 악성코드를 탐지하는 기법을 사용하는 것이 효율적이다. 기존 대부분의 악성 앱 탐지 방안은 Feature를 추출하여 악성 앱을 탐지하는 방안이 대부분이다. 따라서 Feature 추출 후 학습에 사용할 최적의 Feature를 선정(Selection)하는 3가지 방안을 제안한다. 마지막으로, 최적의 Feature로 모델링을 하는 단계에서 단일 모델 이외에도 앙상블 기법을 사용한다. 앙상블 기법은 이미 여러 연구에서 나와 있듯이 단일 모델의 성능을 뛰어넘는 결과를 보여주고 있다. 따라서 본 논문에서는 안드로이드 앱(App) 기반 악성코드 탐지 최적의 Feature 선정과 학습모델을 구현하는 방안을 제시한다.