모바일 어플리케이션의 정적 분석을 통한 개인정보 유출 차단

1. 모바일 어플리케이션의 정적 분석을
통한 개인정보 유출 차단
13045 박현민 13082 이재범

2. 연구 계획
Chapter 1

3. 연구의 필요성 및 목적
 스마트폰이 대중적으로 보급됨에 따라 스마트폰에 설치하는 다양
한 어플리케이션들에 대해서도 보안 의식이 요구되고 있다. 특히
안드로이드 플랫폼의 경우 어떤 기관의 승인 없이도 어플리케이션
을 출시하고 이를 사용자가 설치할 수 있으며 특정 권한을 획득할
경우 개인정보를 유출할 수 있기도 하다. 따라서 이를 정적 분석을
통해 감지하고, 감지된 결과를 토대로 유출되는 경로를 막고 해당
기능을 사용할 수 있도록 하는 연구가 필요하다.

4. 연구내용 및 방법
 안드로이드 어플리케이션 정적 분석 도구 ScanDal을 활용하여
개인정보 누출을 막는다. ScanDal을 이용하면 어떤 곳에서 어떤
데이터가 유출이 일어나는지를 알 수 있다. 원하는 옵션을 설정하
여 특정 데이터에 대해서 유출을 막고자 한다면 해당 유출을 제거
한 새로운 어플리케이션을 만들어 주어 개인정보의 무분별한 유출
을 막을 수 있다.

5. 월별 연구 추진 계획
일정 내용 세부 계획
4월 1일 ~ 6월 15일 안드로이드 전반 지식 습득
- apk, dex 등 안드로이드 어플리케이션 파일 구조 파악
- 안드로이드 SDK 내장 툴(adb, dexdump, etc.) 사용법 파악
- smali, AXMLPrinter 등 오픈소스 툴 사용법 파악
- Activity 등의 안드로이드 어플리케이션 구성요소와 작동 원리 파악
- 간단한 앱 직접 작성 실습
6월 16일 ~ 7월 30일 정적 분석 기초
- 요약 해석에 대한 이론 간단히 학습
- 정적 분석기를 실제로 사용해보며 정적 분석에 대해 이해
8월 1일 ~ 8월 31일 앱 변환 구상 - 앱의 어디를 어떻게 변환해야 원하는 기능을 추가할 수 있을지 구상
9월 1일 ~ 10월 15일 앱 변환기 구현 - 앱 코드를 실제로 조작하고 다시 apk로 패킹 하는 변환기 구현
10월 16일 ~ 12월 31일 평가 및 보완 - 구현된 변환기를 실제로 테스트 해보며 보완
1월 1일 ~ 1월 31일 결과 정리 - 결과 보고서 작성

6. 연구 결과의 활용과 기대효과
 직접 실행해 보며 유출 지점을 찾는 동적 분석과는 다른 정적 분석
을 통해 실행 시 비용을 최소화할 수 있으며 정상적인 기능임에도
유출로 오판되는 경우에도 해당 내용을 확인하고 설정하여 정상적
으로 동작할 수 있도록 한다.

7. 진행 상황
Chapter 2

8. SDK 내장 툴 사용법 파악

9. 분석을 위한 강의 시청

10. 유출처럼 행동하는 앱 만들어 보기

11. 감사합니다