모바일 어플리케이션의 정적 분석을 통한 개인정보 유출 차단

1. 모바일 어플리케이션의 정적 분석을
통한 개인정보 유출 차단
13045 박현민 13082 이재범

2. 연구 계획
Chapter 1
2014-06-21 2

3. 연구의 필요성 및 목적
2014-06-21 3
보안 의식이 요구
검사 없이 배포되는 어플리케이션들
특정 권한이 있을 경우 개인정보가 유출될 수 있음
정적 분석을 통해 유출 위험을 감지하고
해당 경로를 막는 등의 연구가 필요

4. 연구내용 및 방법
2014-06-21 4
ScanDal
정적 분석을 통해 어떤 곳에서 어떤 데이터가 유출되는지를 알려줌
개인정보가 유출되는 앱
개인정보가 유출되지 않는 앱

5. 월별 연구 추진 계획
일정 내용 세부 계획
~ 5월 15일 안드로이드 전반 지식 습득
- APK, DEX 등 안드로이드 어플리케이션 파일 구조 파악
- 안드로이드 SDK 내장 툴(ADB, DexDump, etc.) 사용법 파악
- Smali, AXMLPrinter 등 오픈소스 툴 사용법 파악
- Activity 등의 안드로이드 어플리케이션 구성요소와 작동 원리 파악
- 간단한 앱 직접 작성 실습
5월 16일 ~ 6월 30일 정적 분석 기초
- 요약 해석에 대한 이론 간단히 학습
- 정적 분석기를 실제로 사용해보며 정적 분석에 대해 이해
7월 1일 ~ 7월 15일 앱 변환 구상 - 앱의 어디를 어떻게 변환해야 원하는 기능을 추가할 수 있을지 구상
7월 16일 ~ 9월 30일 앱 변환기 구현 - 앱 코드를 실제로 조작하고 다시 APK로 패킹 하는 변환기 구현
10월 1일 ~ 10월 31일 평가 및 보완 - 구현된 변환기를 실제로 테스트 해보며 보완
11월 1일 ~ 결과 정리 - 결과 보고서 작성
2014-06-21 5

6. 연구 결과의 활용과 기대효과
2014-06-21 6
직접 실행해 보며 유출 지점을 찾는 동적 분석
실행해 보지 않고도 분석해내는 정적 분석실행 시 비용 최소화
예외 발생시에도 처리 가능

7. 진행 상황
Chapter 2
2014-06-21 7

8. 안드로이드 SDK 내장 툴 사용법 파악
2014-06-21 8
ADB, AAPT, DexDump, AXMLPrinter2, Smali, BakSmali

9. 유출처럼 행동하는 앱 만들어 보기
2014-06-21 9

10. 정적 분석 관련 강의 시청
2014-06-21 10

11. 앞으로의 방향
Chapter 3
2014-06-21 11

12. 차단할 경로
2014-06-21 12
개인정보가 기기 밖으로 나가는 부분에서 차단
개인정보를 획득하는 부분에서 차단

13. 기기 밖으로 나가는 부분 차단
2014-06-21 13
한계점
• 암호화나 인코딩이 되어 있으면 어떤 형태인지
바로 파악이 힘듦
• 정적 분석의 특성상 진짜 개인정보를 유출하는지
여부를 완벽하게 알 수 없음
개선책 (1)
• 일단 유출되는 부분을 모두 막은 후 실행시켜 보
고, 정상 작동이 되지 않는다면 다시 제한을 해제
시킴
개선책 (2)
• 각 어플리케이션에 대해 유출으로 의심되는 부분
들에 고유 식별자를 부여하고, 클라우드 서버를
이용하여 해당 부분에 대한 다른 사람들의 평판
을 얻어오고 해당 결과를 사용자에게 통지함
개선책 (3)
• 개인정보를 이용하여 연산하는 모든 부분에 감시
할 수 있는 기능을 추가하여 개인정보의 흐름을
추적함
현재 위치 정보 형태인 [37.500265, 127.620461] 데이터가
인터넷을 통해 5.229.6.208으로 전송되려고 하는 것 같습니다.
의도한 작업이 맞습니까?
개인정보 유출 경고
예 아니오

14. 개인정보를 획득하는 부분 차단
2014-06-21 14
설정
Off위치 정보
OnIMEI
한계점
• 관리를 위해 별도의 어플리케이션을 설치해야 할
필요가 있음

15. 2014-06-21 15
Q&A

16. 감사합니다
2014-06-21 16