• 융합보안논문지
• /
• 제18권3호
• /
• pp.27-35
• /
• 2018

공인인증서는 개인을 증명하거나 통신간의 위변조 등을 방지하기 위하여 공인인증기관에서 발행하는 전자화된 정보로써 사이버 상의 인감도장이라 할 수 있다. 공인인증서는 암호화 된 파일의 형태로 PC 및 스마트폰에 저장되어 인터넷뱅킹 및 스마트뱅킹 서비스를 이용할 때 개인을 증명하기 위해 사용하기 때문에 외부로 유출될 경우 위험할 수 있다. 급증하는 안드로이드 기반 악성 어플리케이션 중 파일로 존재하는 공인인증서와 개인정보 등을 외부의 서버에 전송하는 악성 어플리케이션 또한 발견되고 있다. 본 논문은 공인인증서 탈취 악성코드를 사전에 판단하여 차단하기 위해 안드로이드 기반 동적 분석 도구인 DroidBox를 이용하여 공인인증서 외부 유출행위 여부를 판단하는 방안을 제안한다.

• 정보처리학회논문지C
• /
• 제11C권3호
• /
• pp.319-326
• /
• 2004

많은 공격과 네트워크 데이터 처리량이 증가하는 오늘날의 네트워크 수요를 NIDS가 유지시키기 위해 하드웨어 및 소프트웨어 시스템 구조에서 급진적 새로운 접근이 필요하다. 본 논문에서는 패킷 필터링과 트래픽 측정 뿐아니라 고의행위를 검출하는 패킷 페이로드 검열을 지원하는 네트워크 프로세서 기반의 인라인 모드 NIS를 제안하고, 특히 2한계 경색구조를 사용하여 심층 패킷 정열기능으로부터 펄터링과 측정기능을 분리한다 그래서 심층 패킷 검열기능의 복잡하고 시간소비 곽이 인라인 모드 시스템의 기본 기능을 멈추게 하거나 방해하지 않게 했다. 프로토타입 NP 기반의 NIDS는 PC 플랫폼에서 구현하였으므로 실험결과는 제안한 구조가 첫 단계에서 두개의 기가비트 포트의 전체 트래픽을 측정과 필터가 신뢰할 수 있음을 보였다. 일반목적 프로세스 기만의 검열 성능과 비교 가능한 두 번째 단계에서 실시간으로 320Mbps까지 패킷 페이로드를 주사할 수 있었다. 그러나 시뮬레이션에서 100bps APP 해법을 선택할 때 선로상 속도가 2Gbps까지 가능한 심층 패킷 검색 결과를 얻었다.

• 서비스연구
• /
• 제5권2호
• /
• pp.111-118
• /
• 2015

모바일 기기의 발달은 삶의 여유를 가지도록 만들었지만 그 반대편에서는 이를 금융범죄의 대상으로 간주하고 공격하는 세력들이 나타나게 되었다. 스마트폰을 대상으로 하는 범죄 중에서 금융관련 범죄는 스미싱, 피싱, 파밍, 보이스 피싱 등이 있으며, 특히 모바일의 특성상 문자메시지를 이용한 스미싱이 많이 증가되고 있는 현상이다. 스미싱은 스마트폰 사용자가 급증해 짐으로 인하여 발생하는 신종범죄로서, 그들의 범죄방식도 기존의 사기행위에서 벗어나 악성 앱을 제작하는 등 그 수법이 고도화되어가고 있으며, 특히 관련법의 허점을 이용하기 때문에 외국서버를 이용하는 등의 방법을 통하여 발생시키고 있다. 스미싱 공격으로부터 안전하게 개인과 기업 및 국가의 자산이 보호되기 위해서는 사후적인 대응보다는 사전적인 예진이 더욱 중요하다. 이를 위해서는 스미싱 공격을 사전에 감지하고 차단할 수 있는 프로그램을 개발하고 배포하는 것이 필요하다. 이에 본 논문에서는 현재 배포되고 있는 차단앱의 종류와 차단과정을 조사하고 감지설정을 적용한 차단앱의 평가방법을 제시한다.

• 한국항행학회논문지
• /
• 제18권6호
• /
• pp.569-575
• /
• 2014

2009년 이후부터 스마트폰 및 태블릿 PC의 사용자수는 기하급수적으로 늘고 있다. 특히 성장의 중심에는 애플의 iOS와 구글의 안드로이드 OS가 있으며, 대부분의 스마트폰과 태블릿 PC들이 이 두 OS 중 하나를 기반으로 하여 동작을 하도록 설계되어 있다. 그리고 이러한 스마트기기 사용의 증가는 시간 및 장소의 제약을 줄이는 사회 환경의 변화로 이어지고 있다. 그러나 이런 발전이 우리에게 편의성만을 제공하고 있지는 않으며, 오히려 과거에 비해 더욱 쉽고 빠르며 심지어 자신이 알지도 못하는 사이에 중요 정보를 유출할 수도 있고 금전적 피해로도 이어지고 있다. 대표적으로 초기의 피싱, 파밍에 이어 현재의 스미싱과 이를 변조한 큐싱 등 다양한 공격을 통해 금전적 피해 및 심각한 정보 유출 등이 발생하고 있다. 이에 본 논문에서는 스미싱 공격을 기술적으로 탐지 및 차단할 수 있는 대응체계를 제안하고, 제안한 방법으로 스미싱 공격을 100% 탐지하여 기존의 탐지 방법과 비교하여 성능이 우수함을 보였다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.519-529
• /
• 2019

지능화된 안드로이드 악성코드는 안티바이러스가 탐지하기 어렵도록 악성행위를 숨기기 위하여 다양한 분석 회피 기법을 적용하고 있다. 악성코드는 악성행위를 숨기기 위하여 백그라운드에서 동작하는 컴포넌트를 주로 활용하고, 자동화된 스크립트로 악성 앱을 실행할 수 없도록 activity-alias 기능으로 실행을 방해하고, 악성행위가 발견되는 것을 막기 위해 logcat의 로그를 삭제하는 등 지능화되어간다. 악성코드의 숨겨진 컴포넌트는 기존 정적 분석 도구로 추출하기 어려우며, 기존 동적 분석을 통한 연구는 컴포넌트를 일부만 실행하기 때문에 분석 결과를 충분히 제공하지 못한다는 문제점을 지닌다. 본 논문에서는 이러한 지능화된 악성코드의 동적 분석 성공률을 증가시키기 위한 시스템을 설계하고 구현하였다. 제안하는 분석 시스템은 악성코드에서 숨겨진 컴포넌트를 추출하고, 서비스와 같은 백그라운드 컴포넌트인 실행시키며, 앱의 모든 인텐트 이벤트를 브로드캐스트한다. 또한, 분석 시스템의 로그를 앱이 삭제할 수 없도록 logcat을 수정하고 이를 이용한 로깅 시스템을 구현하였다. 실험 결과 본 논문에서 제안한 시스템을 기존의 컨테이너 기반 동적 분석 플랫폼과 비교하였을 때, 악성코드 구동률이 70.9%에서 89.6%로 향상된 기능을 보였다.

• 정보보호학회논문지
• /
• 제26권5호
• /
• pp.1235-1241
• /
• 2016

스마트 폰에서 활용할 수 있는 다양한 앱 (Apps)들의 개수가 기하급수적으로 증가함에 따라 개인 맞춤형 앱들을 추천해주는 시스템이 각광받고 있다. 하지만, 다양한 목적으로 악성 앱 (Malware)을 제작하여 구글 플레이(GooglePlay) 사이트에 등록 후 배포하는 경우가 동시에 증가함에 따라 사용자들은 만족도 하강의 단순 피해부터 개인정보 노출 및 금전 탈취 등 심각한 수준의 많은 피해까지 겪고 있다. 또한, 소셜 네트워크가 발전함에 따라 물리적인한 사용자가 많은 거짓 계정들을 만들어서 구글 플레이 사이트의 각 앱의 평점 (rating)들을 조작하는 시빌 공격(Sybil)도 존재할 수 있다. 이때까지 악성 앱과 시빌 공격 연구는 독립적으로 진행되어 왔다. 하지만 실시간으로 발전하고 있는 지능화된 공격 종류들을 고려했을 때 악성 앱 제작자가 구글 플레이 사이트에 노출 된 평점까지 조작 후 인지도를 높여서 결국 악성 앱을 다운받도록 유도하는 지능화된 공격의 유무를 판단하는 것이 중요하다. 따라서, 본 논문에서는 구글 플레이어 사이트를 직접 크롤링하고 시빌 공격과 악성 앱의 상관관계를 실험적으로 밝힌다. 실험결과, 구글 플레이어 사이트에서는 아직 시빌과 악성 앱의 상관관계가 낮음을 알 수 있었다. 이는 악성 앱 배포자가 인지도 및 평점까지 다수 조작하여 많은 사람들에게 노출되면 다양한 Anti-Virus (AV) 벤더들에게 오히려 더 빨리 탐지되어 목적을 달성할 수 없기 때문에 이를 고려하지 않았거나, 악성 앱 배포자가 악성 앱을 만들고 배포하는 것에만 초점을 두고 사이트 인지도 및 평점 조작까지는 아직 동시에 고려하지 않음으로 해석될 수 있다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제11권6호
• /
• pp.3230-3253
• /
• 2017

Android malware steals users' private information, and embedded unsafe advertisement (ad) libraries, which execute unsafe code causing damage to users. The majority of such traffic is HTTP and is mixed with other normal traffic, which makes the detection of malware and unsafe ad libraries a challenging problem. To address this problem, this work describes a novel HTTP traffic flow mining approach to detect and categorize Android malware and unsafe ad library. This work designed AndroCollector, which can automatically execute the Android application (app) and collect the network traffic traces. From these traces, this work extracts HTTP traffic features along three important dimensions: quantitative, timing, and semantic and use these features for characterizing malware and unsafe ad libraries. Based on these HTTP traffic features, this work describes a supervised classification scheme for detecting malware and unsafe ad libraries. In addition, to help network operators, this work describes a fine-grained categorization method by generating fingerprints from HTTP request methods for each malware family and unsafe ad libraries. This work evaluated the scheme using HTTP traffic traces collected from 10778 Android apps. The experimental results show that the scheme can detect malware with 97% accuracy and unsafe ad libraries with 95% accuracy when tested on the popular third-party Android markets.