모바일 어플리케이션의 정적 분석을

통한 개인정보 유출 차단

13045 박현민 13082 이재범

2

연구 계획Chapter 1

2014-06-21

3

연구의 필요성 및 목적

2014-06-21

보안 의식이 요구

검사 없이 배포되는 어플리케이션들

특정 권한이 있을 경우 개인정보가 유출될 수

있음

정적 분석을 통해 유출 위험을 감지하고

해당 경로를 막는 등의 연구가 필요

4

연구내용 및 방법

2014-06-21

ScanDal정적 분석을 통해 어떤 곳에서 어떤 데이터가 유출되는지를 알려줌

개인정보가 유출되는 앱

개인정보가 유출되지 않는 앱

5

월별 연구 추진 계획

일정 내용 세부 계획

~ 5 월 15 일안드로이드 전반 지식

습득

- APK, DEX 등 안드로이드 어플리케이션 파일 구조 파악

- 안드로이드 SDK 내장 툴 (ADB, DexDump, etc.) 사용법

파악

- Smali, AXMLPrinter 등 오픈소스 툴 사용법 파악

- Activity 등의 안드로이드 어플리케이션 구성요소와 작동

원리 파악

- 간단한 앱 직접 작성 실습

5 월 16 일 ~ 6 월 30

일정적 분석 기초

- 요약 해석에 대한 이론 간단히 학습

- 정적 분석기를 실제로 사용해보며 정적 분석에 대해 이해

7 월 1 일 ~ 7 월 15

일앱 변환 구상

- 앱의 어디를 어떻게 변환해야 원하는 기능을 추가할 수

있을지 구상

7 월 16 일 ~ 9 월 30

일앱 변환기 구현

- 앱 코드를 실제로 조작하고 다시 APK 로 패킹 하는 변환기

구현

10 월 1 일 ~ 10 월

31 일평가 및 보완 - 구현된 변환기를 실제로 테스트 해보며 보완

11 월 1 일 ~ 결과 정리 - 결과 보고서 작성2014-06-21

6

연구 결과의 활용과 기대효과

2014-06-21

직접 실행해 보며 유출 지점을 찾는 동적 분석

실행해 보지 않고도 분석해내는 정적 분석실행 시 비용 최소화

예외 발생시에도 처리 가능

7

진행 상황Chapter 2

2014-06-21

8

안드로이드 SDK 내장 툴 사용법 파악

2014-06-21

ADB, AAPT, DexDump, AXMLPrinter2, Smali, BakS-mali

9

유출처럼 행동하는 앱 만들어 보기

2014-06-21

10

정적 분석 관련 강의 시청

2014-06-21

11

앞으로의 방향Chapter 3

2014-06-21

12

차단할 경로

2014-06-21

개인정보가 기기 밖으로 나가는 부분에서 차단

개인정보를 획득하는 부분에서 차단

13

기기 밖으로 나가는 부분 차단

2014-06-21

한계점

• 암호화나 인코딩이 되어 있으면 어떤

형태인지 바로 파악이 힘듦

• 정적 분석의 특성상 진짜 개인정보를

유출하는지 여부를 완벽하게 알 수 없음

개선책 (1)

• 일단 유출되는 부분을 모두 막은 후

실행시켜 보고 , 정상 작동이 되지

않는다면 다시 제한을 해제시킴

개선책 (2)

• 각 어플리케이션에 대해 유출으로

의심되는 부분들에 고유 식별자를

부여하고 , 클라우드 서버를 이용하여

해당 부분에 대한 다른 사람들의 평판을

얻어오고 해당 결과를 사용자에게 통지함

개선책 (3)

• 개인정보를 이용하여 연산하는 모든

부분에 감시할 수 있는 기능을 추가하여

개인정보의 흐름을 추적함

현재 위치 정보 형태인 [37.500265, 127.620461]

데이터가 인터넷을 통해 5.229.6.208 으로 전송되려고

하는 것 같습니다 . 의도한 작업이 맞습니까 ?

개인정보 유출 경고

예 아니오

14

개인정보를 획득하는 부분 차단

2014-06-21

설정

Off위치 정보

OnIMEI

한계점

• 관리를 위해 별도의 어플리케이션을

설치해야 할 필요가 있음

152014-06-21

Q&A

16

감사합니다

2014-06-21