KR101740134B1 - 어플리케이션의 코드 난독화를 위한 시스템 및 방법 - Google Patents

어플리케이션의 코드 난독화를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR101740134B1
KR101740134B1 KR1020150112741A KR20150112741A KR101740134B1 KR 101740134 B1 KR101740134 B1 KR 101740134B1 KR 1020150112741 A KR1020150112741 A KR 1020150112741A KR 20150112741 A KR20150112741 A KR 20150112741A KR 101740134 B1 KR101740134 B1 KR 101740134B1
Authority
KR
South Korea
Prior art keywords
class
encrypted
protected object
intermediate language
code
Prior art date
Application number
KR1020150112741A
Other languages
English (en)
Other versions
KR20170018745A (ko
Inventor
안성범
한광희
임성열
서동필
오왕진
전상훈
Original Assignee
라인 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 라인 가부시키가이샤 filed Critical 라인 가부시키가이샤
Priority to KR1020150112741A priority Critical patent/KR101740134B1/ko
Priority to PCT/KR2016/008588 priority patent/WO2017026739A1/ko
Priority to JP2018506542A priority patent/JP6815385B2/ja
Publication of KR20170018745A publication Critical patent/KR20170018745A/ko
Application granted granted Critical
Publication of KR101740134B1 publication Critical patent/KR101740134B1/ko
Priority to US15/887,310 priority patent/US10740443B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/125Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/40Transformation of program code
    • G06F8/41Compilation

Abstract

어플리케이션의 코드 난독화를 위한 시스템 및 방법이 개시된다. 컴퓨터로 구현되는 방법은, 어플리케이션을 위한 파일들이 포함된 응용 프로그램 패키지를 수신하는 단계(상기 응용 프로그램 패키지는, 상기 어플리케이션의 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 포함하는 파일들 및 상기 중간 언어 코드에 따라 상기 어플리케이션을 실행하도록 전자 기기에 실행 환경을 제공하기 위한 라이브러리 파일들을 포함함), 상기 중간 언어 코드를 포함하는 파일들 중 적어도 하나의 파일을 암호화하는 단계 및 상기 적어도 하나의 암호화된 파일의 복호화를 위한 리커버리 파일을 상기 응용 프로그램 패키지에 추가하는 단계(상기 리커버리 파일은, 상기 전자 기기에서의 상기 어플리케이션의 실행을 위해 상기 라이브러리 파일들간의 호출을 통해 상기 적어도 하나의 암호화된 파일이 전달되는 경우에 상기 적어도 하나의 암호화된 파일을 복호화하기 위한 코드를 포함함)를 포함할 수 있다.

Description

어플리케이션의 코드 난독화를 위한 시스템 및 방법{SYSTEM AND METHOD FOR APPLICATION CODE OBFUSCATION}
아래의 설명은 어플리케이션의 코드 난독화를 위한 시스템 및 방법에 관한 것이다.
중간 언어(Intermediate Language 또는 InterLanguage, IL)는 원시 언어 프로그램을 컴파일러로 번역하여 목적 언어 프로그램을 만들 때, 그 중간 단계로 거치게 되는 언어를 의미할 수 있다. 예를 들면 고수준 언어 프로그램을 어셈블리 언어로 바꾼 다음 그것을 어셈블하여 기계어 프로그램을 만든다면, 중간의 어셈블리 언어가 중간 언어가 될 수 있다.
한국공개특허 제10-2007-0067953은 모바일 플랫폼의 중간 언어 변환 장치 및 그 방법에 관한 것으로, C 또는 C++ 언어로 개발된 모바일 플랫폼 소스 코드를 이동통신 단말기의 인터프리터에서 요구하는 중간 언어 코드로 변환하는 C/C++ 컴파일러와, 중간 언어 코드를 이동통신 단말기의 인터프리터에서 실행되는 포맷으로 변환하는 중간 언어 어셈블러에 대해 개시하고 있다.
이러한 중간 언어로의 변환을 거치는 어플리케이션의 코드는 그 특성 상 디컴파일(decompile)에 취약하다. 예를 들어 자바(Java)와 같은 프로그래밍 언어로 제작된 어플리케이션의 코드는 중간 언어로의 변환을 거치는 특성 상 디컴파일에 취약하기 때문에 중요한 코드가 쉽게 노출되기도 하고, 코드 조작에도 매우 취약하다. 보다 구체적인 예로 자바로 작성된 코드는 일반적으로 클래스마다 확장자 ".class" 파일로 컴파일되고, 안드로이드(Android)에서는 자바로 작성된 코드들이 'classes.dex'와 같이 헤더와 데이터로 구성된 덱스(dex) 파일(자바 코드가 컴파일된 중간 언어 코드로서의 바이너리(binary) 코드인 바이트코드(bytecode))로 컴파일된다. 바이트코드는 자바 프로그램의 컴파일된 형태로서, 자바 프로그램이 바이트코드로 변환되면 네트워크를 통해 전송될 수 있고 자바 가상 머신(Virtual Machine, VM)에 의해 실행될 수 있다.
이러한 중간 언어 코드의 형태로 컴파일된 파일들은 일례로 서버로부터 전자 기기로 제공될 수 있고, 전자 기기가 지원하는 가상 머신상에서 실행될 수 있다. 따라서 전자 기기에서는 중간 언어의 특성에 따라 중간 언어 코드의 형태로 컴파일된 파일들을 디컴파일하여 원래의 코드를 얻어서 수정하고 다시 중간 언어 코드의 형태로 컴파일된 파일들로 컴파일하는 것이 가능하기 때문에 어플리케이션을 위변조할 수 있다는 문제점이 존재한다.
어플리케이션의 코드들 중 주요한 클래스(class)와 메서드(method)에 해당하는 코드를 선별하여 암호화하고 런타임(runtime)에서 암호화된 코드를 복호화함으로써 디컴파일을 통한 어플리케이션의 위변조를 방지할 수 있는 시스템 및 방법을 제공한다.
컴퓨터로 구현되는 방법에 있어서, 복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신하는 단계; 상기 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별하는 단계; 상기 덱스 파일에서 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드를 암호화하는 단계; 및 상기 암호화된 보호 대상 클래스 또는 상기 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 상기 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가하는 단계를 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법을 제공한다.
일측에 따르면, 상기 수신하는 단계는, 클래스 또는 메서드를 지정하기 위한 선별정보를 상기 네트워크를 통해 더 수신하고, 상기 선별하는 단계는, 상기 선별정보를 통해 지정된 클래스 또는 메서드를 상기 보호 대상 클래스 또는 상기 보호 대상 메서드로 선별하는 것을 특징으로 할 수 있다.
다른 측면에 따르면, 상기 선별하는 단계는, 상기 복수의 클래스 및 상기 복수의 메서드 중에서 상기 어플리케이션의 기설정된 기능에 대응하는 클래스 또는 메서드를 찾아 상기 보호 대상 클래스 또는 상기 보호 대상 메서드로 선별하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 기설정된 기능은, 상기 어플리케이션을 통해 제공되는 서비스에서의 빌링(billing) 기능, 상기 서비스에서의 인증(authentication) 기능 및 상기 서비스를 제공하는 서버와의 통신 기능 중 적어도 하나를 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 덱스 파일은 상기 복수의 클래스의 개수와 상기 클래스 테이블의 옵셋(offset)이 저장된 헤더를 포함하고, 상기 복수의 클래스 각각은 상기 복수의 클래스 각각이 포함하는 메서드에 대한 메서드 테이블의 옵셋을 포함하고, 상기 암호화하는 단계는, 상기 클래스 테이블을 이용하여 상기 보호 대상 클래스에 대응하는 중간 언어 코드를 검색하거나 또는 상기 메서드 테이블을 이용하여 상기 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 응용 프로그램 패키지가 설치될 전자 기기에서의 런타임 방식에 따라 서로 다른 복호화 정보가 요구되고, 상기 추가하는 단계는, 상기 서로 다른 복호화 정보를 모두 상기 응용 프로그램 패키지의 보안 모듈에 추가하거나 또는 상기 서로 다른 복호화 정보가 보안 모듈에 추가된 서로 다른 복수의 응용 프로그램 패키지를 생성하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 복호화 정보는 전자 기기에서 상기 어플리케이션을 달빅 런타임(Dalvik runtime)으로 실행하는 경우를 위해, 상기 암호화된 중간 언어 코드의 옵셋, 상기 암호화된 중간 언어 코드의 크기 및 암호화에 이용된 키에 대한 정보를 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 전자 기기에서 상기 전자 기기의 메모리에 로딩된 상기 덱스 파일의 덱스 헤더에서 상기 암호화된 중간 언어 코드의 옵셋부터 상기 암호화된 중간 언어 코드의 크기만큼의 코드를 상기 키로 복호화하여 상기 덱스 헤더에 오버라이트(overwrite)함으로써 상기 암호화된 보호 대상 메서드가 복호화되는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 복호화 정보는 전자 기기에서 상기 어플리케이션을 ART(Android runtime)로 실행하는 경우를 위해, (1) 상기 암호화된 보호 대상 메서드가 포함된 클래스 또는 상기 암호화된 보호 대상 클래스의 클래스 인덱스, (2) 상기 암호화된 보호 대상 메서드의 메서드 인덱스 및 (3) 상기 보호 대상 클래스 또는 상기 보호 대상 메서드를 포함하는 덱스 파일을 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 다르면, 상기 전자 기기에서 상기 복호화 정보로서 포함된 덱스 파일을 컨버터를 통해 컴파일하여 보호 대상 클래스 또는 보호 대상 메서드의 네이티브 코드를 획득하고, 상기 전자 기기의 메모리에 로드된 덱스 파일의 헤더에서 상기 클래스 인덱스 및 상기 메서드 인덱스를 이용하여 암호화된 중간 언어 코드를 검색하고, 상기 검색된 암호화된 중간 언어 코드에 상기 획득한 네이티브 코드 중 상기 암호화된 중간 언어 코드에 대응하는 네이티브 코드를 오버라이트하여 상기 암호화된 보호 대상 메서드가 복호화되는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 방법은 상기 중간 언어 코드의 암호화에 따라 변경된 덱스 파일의 CRC(Cyclic Redundancy Check) 및 해시값을 갱신하는 단계를 더 포함하는 것을 특징으로 할 수 있다.
또 다른 측면에 따르면, 상기 방법은 네트워크를 통한 전자 기기로부터의 요청에 따라 상기 중간 언어 코드가 암호화되고 상기 복호화 정보가 추가된 상기 응용 프로그램 패키지를 상기 전자 기기로 전송하는 단계를 더 포함하는 것을 특징으로 할 수 있다.
컴퓨터로 구현되는 방법에 있어서, 복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하고, 상기 중간 언어 코드 중 적어도 일부 코드가 암호화되고, 상기 암호화된 중간 언어 코드를 복호화하기 위한 복호화 정보가 보안 모듈에 포함된 응용 프로그램 패키지를 서버로부터 네트워크를 통해 수신하는 단계; 및 상기 어플리케이션의 실행 과정에서 적용 가능한 런타임 방식에 따라, 상기 복호화 정보를 이용하여 상기 암호화된 중간 언어 코드를 복호화하거나 또는 상기 암호화된 중간 언어 코드를 상기 복호화 정보가 포함하는 중간 언어 코드로 교체하여 실행하는 단계를 포함하고, 상기 암호화된 중간 언어 코드는 상기 복수의 클래스 및 상기 복수의 메서드 중 상기 서버에서 선별된 보호 대상 클래스 또는 보호 대상 메서드의 중간 언어 코드가 암호화되어 생성되는 것을 특징으로 하는 컴퓨터로 구현되는 방법을 제공한다.
하나 이상의 프로세서들을 포함하는 서버의 시스템에 있어서, 상기 하나 이상의 프로세서들은, 복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신하도록 상기 서버를 제어하는 수신 제어부; 상기 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별하도록 상기 서버를 제어하는 선별 제어부; 상기 덱스 파일에서 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드를 암호화하도록 상기 서버를 제어하는 암호화 제어부; 및 상기 암호화된 보호 대상 클래스 또는 상기 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 상기 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가하도록 상기 서버를 제어하는 추가 제어부를 포함하는 것을 특징으로 하는 시스템을 제공한다.
어플리케이션의 코드들 중 주요한 클래스(class)와 메서드(method)에 해당하는 코드를 선별하여 암호화하고 런타임(runtime)에서 암호화된 코드를 복호화함으로써 디컴파일을 통한 어플리케이션의 위변조를 방지할 수 있다.
도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다.
도 2는 본 발명의 일실시예에 있어서, 전자 기기 및 서버의 내부 구성을 설명하기 위한 블록도이다.
도 3은 클래스들과 메서드들을 포함하는 덱스 파일의 구조의 예를 도시한 도면이다.
도 4는 본 발명의 일실시예에 있어서, 덱스 파일에 포함된 클래스들과 메서드들 중 보호 대상으로 선별된 클래스들과 메서드들을 표시한 예를 도시한 도면이다.
도 5는 본 발명의 일실시예에 있어서, 보호 대상으로 선별된 클래스들과 메서드들이 암호화됨을 표시한 예를 도시한 도면이다.
도 6은 본 발명의 일실시예에 있어서, ART에서 암호화된 네이티브 코드를 찾아가는 과정을 도시한 도면이다.
도 7은 본 발명의 일실시예에 따른 서버의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 도면이다.
도 8은 본 발명의 일실시예에 따른 서버가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
도 9는 본 발명의 일실시예에 따른 전자 기기의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 도면이다.
도 10은 본 발명의 일실시예에 따른 전자 기기가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다. 도 1의 네트워크 환경은 복수의 전자 기기들(110, 120, 130, 140), 복수의 서버들(150, 160) 및 네트워크(170)를 포함하는 예를 나타내고 있다. 이러한 도 1은 발명의 설명을 위한 일례로 전자 기기의 수나 서버의 수가 도 1과 같이 한정되는 것은 아니다.
복수의 전자 기기들(110, 120, 130, 140)은 컴퓨팅 시스템으로 구현되는 고정형 단말이거나 이동형 단말일 수 있다. 복수의 전자 기기들(110, 120, 130, 140)의 예를 들면, 스마트폰(smart phone), 휴대폰, 네비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿 PC 등이 있다. 일례로 전자 기기 1(110)은 무선 또는 유선 통신 방식을 이용하여 네트워크(170)를 통해 다른 전자 기기들(120, 130, 140) 및/또는 서버(150, 160)와 통신할 수 있다.
통신 방식은 제한되지 않으며, 네트워크(170)가 포함할 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망)을 활용하는 통신 방식뿐만 아니라 기기들간의 근거리 무선 통신 역시 포함될 수 있다. 예를 들어, 네트워크(170)는, PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 또한, 네트워크(170)는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.
서버(150, 160) 각각은 복수의 전자 기기들(110, 120, 130, 140)과 네트워크(170)를 통해 통신하여 명령, 코드, 파일, 컨텐츠, 서비스 등을 제공하는 장치 또는 복수의 장치들로 구현될 수 있다.
일례로, 서버(150)는 네트워크(170)를 통해 접속한 전자 기기 1(110)로 어플리케이션의 설치를 위한 파일을 제공할 수 있다. 이 경우 전자 기기 1(110)은 제공된 파일을 이용하여 어플리케이션을 설치할 수 있다. 또한 전자 기기 1(110)이 포함하는 운영체제(Operating System, OS) 및 적어도 하나의 프로그램(일례로 브라우저나 상기 설치된 어플리케이션)의 제어에 따라 서버(160)에 접속하여 서버(160)가 제공하는 서비스나 컨텐츠를 제공받을 수 있다. 예를 들어, 전자 기기 1(110)이 어플리케이션의 제어에 따라 네트워크(170)를 통해 서비스 요청 메시지를 서버(160)로 전송하면, 서버(160)는 서비스 요청 메시지에 대응하는 코드를 전자 기기 1(110)로 전송할 수 있고, 전자 기기 1(110)은 어플리케이션의 제어에 따라 코드에 따른 화면을 구성하여 표시함으로써 사용자에게 컨텐츠를 제공할 수 있다.
도 2는 본 발명의 일실시예에 있어서, 전자 기기 및 서버의 내부 구성을 설명하기 위한 블록도이다. 도 2에서는 하나의 전자 기기에 대한 예로서 전자 기기 1(110), 그리고 하나의 서버에 대한 예로서 서버(150)의 내부 구성을 설명한다.
전자 기기 1(110)과 서버(150)는 메모리(211, 221), 프로세서(212, 222), 통신 모듈(213, 223) 그리고 입출력 인터페이스(214, 224)를 포함할 수 있다. 메모리(211, 221)는 컴퓨터에서 판독 가능한 기록 매체로서, RAM(random access memory), ROM(read only memory) 및 디스크 드라이브와 같은 비소멸성 대용량 기록장치(permanent mass storage device)를 포함할 수 있다. 또한, 메모리(211, 221)에는 운영체제와 적어도 하나의 프로그램 코드(일례로 전자 기기 1(110)에 설치되어 구동되는 브라우저나 상술한 어플리케이션 등을 위한 코드)가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 드라이브 메커니즘(drive mechanism)을 이용하여 메모리(211, 221)와는 별도의 컴퓨터에서 판독 가능한 기록 매체로부터 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록 매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록 매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록 매체가 아닌 통신 모듈(213, 223)을 통해 메모리(211, 221)에 로딩될 수도 있다. 예를 들어, 적어도 하나의 프로그램은 개발자들 또는 어플리케이션의 설치 파일을 배포하는 파일 배포 시스템(일례로 상술한 서버(150))이 네트워크(170)를 통해 제공하는 파일들에 의해 설치되는 프로그램(일례로 상술한 어플리케이션)에 기반하여 메모리(211, 221)에 로딩될 수 있다.
프로세서(212, 222)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(211, 221) 또는 통신 모듈(213, 223)에 의해 프로세서(212, 222)로 제공될 수 있다. 예를 들어 프로세서(212, 222)는 메모리(211, 221)와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다.
통신 모듈(213, 223)은 네트워크(170)를 통해 전자 기기 1(110)과 서버(150)가 서로 통신하기 위한 기능을 제공할 수 있으며, 다른 전자 기기(일례로 전자 기기 2(120)) 또는 다른 서버(일례로 서버(160))와 통신하기 위한 기능을 제공할 수 있다. 일례로, 전자 기기 1(110)의 프로세서(212)가 메모리(211)와 같은 기록 장치에 저장된 프로그램 코드에 따라 생성한 요청(일례로 컨텐츠에 대한 스트리밍 서비스 요청)이 통신 모듈(213)의 제어에 따라 네트워크(170)를 통해 서버(150)로 전달될 수 있다. 역으로, 서버(150)의 프로세서(222)의 제어에 따라 제공될 제어 신호나 명령, 컨텐츠, 파일 등이 통신 모듈(223)과 네트워크(170)를 거쳐 전자 기기 1(110)의 통신 모듈(213)을 통해 전자 기기 1(110)로 수신될 수 있다. 예를 들어 통신 모듈(213)을 통해 수신된 서버(150)의 제어 신호나 명령 등은 프로세서(212)나 메모리(211)로 전달될 수 있고, 컨텐츠나 파일 등은 전자 기기 1(110)가 더 포함할 수 있는 저장 매체로 저장될 수 있다.
입출력 인터페이스(214, 224)는 입출력 장치(215)와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 키보드 또는 마우스 등의 장치를, 그리고 출력 장치는 어플리케이션의 통신 세션을 표시하기 위한 디스플레이와 같은 장치를 포함할 수 있다. 다른 예로 입출력 인터페이스(214)는 터치스크린과 같이 입력과 출력을 위한 기능이 하나로 통합된 장치와의 인터페이스를 위한 수단일 수도 있다. 보다 구체적인 예로, 전자 기기 1(110)의 프로세서(212)는 메모리(211)에 로딩된 컴퓨터 프로그램의 명령을 처리함에 있어서 서버(150)나 전자 기기 2(120)가 제공하는 데이터를 이용하여 구성되는 서비스 화면이나 컨텐츠가 입출력 인터페이스(214)를 통해 디스플레이에 표시될 수 있다.
또한, 다른 실시예들에서 전자 기기 1(110) 및 서버(150)는 도 2의 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다. 예를 들어, 전자 기기 1(110)은 상술한 입출력 장치(215) 중 적어도 일부를 포함하도록 구현되거나 또는 트랜시버(transceiver), GPS(Global Positioning System) 모듈, 카메라, 각종 센서 등과 같은 다른 구성요소들을 더 포함할 수도 있다.
도 3은 클래스들과 메서드들을 포함하는 덱스 파일의 구조의 예를 도시한 도면이고, 도 4는 본 발명의 일실시예에 있어서, 덱스 파일에 포함된 클래스들과 메서드들 중 보호 대상으로 선별된 클래스들과 메서드들을 표시한 예를 도시한 도면이다. 또한, 도 5는 본 발명의 일실시예에 있어서, 보호 대상으로 선별된 클래스들과 메서드들이 암호화됨을 표시한 예를 도시한 도면이다.
도 3에 도시된 바와 같이, 덱스 파일(300)은 N 개(N은 자연수)의 클래스들과 각각의 클래스들마다 n 개(n은 자연수)의 메서드들을 포함하는 구조를 가질 수 있다. 도 3에서는 클래스들마다 n 개의 메서드들이 포함된 예를 나타내고 있으나 클래스마다 포함될 수 있는 메서드들의 수는 클래스마다 달라질 수 있다. 이러한 덱스 파일(300)은 개발자들에 의해 개발된 안드로이드 응용 프로그램 패키지(Android Application package, APK)에 포함될 수 있으며, 코드의 보호를 위해 서버(150)와 같은 시스템으로 전송되어 등록될 수 있다. 예를 들어, 서버(150)는 APK의 등록을 위한 서비스(일례로, 웹페이지나 어플리케이션 등을 통해)를 사용자들(일례로 개발자와 같이 APK를 등록하고자 하는 사용자들)에게 제공할 수 있다. 보다 구체적인 예로 전자 기기 2(120)를 이용하여 서버(150)가 제공하는 웹페이지에 접속한 사용자에게는 웹페이지를 통해 APK를 등록할 수 있는 사용자 인터페이스가 제공될 수 있다.
이때 서버(150)는 웹페이지를 통해 업로드된 APK에서 'classes.dex' 파일과 같은 덱스 파일(300)을 추출하고, 보호 대상이 될 클래스와 매서드를 선별할 수 있다.
도 4에 도시된 덱스 파일(400)은 도 3의 덱스 파일(300)에서 보호 대상 클래스와 비보호 대상 클래스 그리고 보호 대상 메서드와 비보호 대상 메서드를 나타내고 있다. 도 4는 실제로 보호 대상 클래스나 보호 대상 메서드가 생성됨을 나타내고 있는 것은 아니며, 설명의 편의를 위해 해당 클래스들과 메서드들이 보호 대상으로 선별되었음을 나타낸 예이다. 클래스가 보호 대상이라 하더라도 해당 클래스가 포함하는 모든 메서드가 보호 대상일 필요는 없다(일례로 클래스 1, 클래스 N 참조). 다시 말해, 실질적인 보호 대상은 메서드 단위일 수 있다. 다른 실시예로, 클래스가 보호 대상인 경우 해당 클래스에 포함된 모든 메서드가 보호 대상으로 선별되도록 구현될 수도 있다.
이러한 보호 대상 클래스나 보호 대상 메서드는 사용자로부터의 입력에 기반하여 선별될 수 있다. 예를 들어, 사용자에게 제공되는 웹페이지는 보호되어야 할 클래스나 메서드에 대한 정보를 사용자가 입력하거나 선택할 수 있는 사용자 인터페이스를 포함할 수 있다. 서버(150)는 웹페이지를 통해 보호되어야 할 클래스나 메서드에 대한 정보가 입력되면, 덱스 파일(400)에서와 같이 보호되어야 할 클래스 및/또는 메서드를 확인할 수 있게 된다. 사용자로부터 입력되는 정보는 클래스 및/또는 메서드의 프리픽스(prefix), 클래스 도메인 및/또는 클래스나 메서드의 이름 등일 수 있다.
다른 실시예로, 서버(150)가 직접 기설정된 기능의 클래스나 메서드를 선별할 수도 있다. 예를 들어 서버(150)는 어플리케이션을 통해 사용자들에게 제공되는 서비스에서의 빌링(billing) 기능, 인증(authentication) 기능, 서비스를 제공하는 서버(일례로 서버(160))와의 통신 기능 등에 대응하는 클래스나 메서드들을 찾아 선별할 수 있다. 이를 위해, 서버(150)는 개발자 시스템에 대한 API 호출 등의 기능을 통해 클래스나 메서드에 대한 목록을 확인하고, 목록의 클래스나 메서드에서 선별할 클래스나 메서드를 찾아 보호 대상 클래스 및/또는 보호 대상 메서드로 선별할 수 있다.
또한 이미 설명한 바와 같이 덱스 파일(400)은 컴파일된 바이트코드(bytecode, 중간 언어 코드)를 포함할 수 있고, 서버(150)는 선별된 클래스와 메서드에 대응하는 바이트코드를 찾을 수 있다. 예를 들어, 덱스 파일(400)의 헤더에는 전체 클래스의 개수와 클래스 테이블의 옵셋(offset)이 저장되어 있고, 각각의 클래스들에는 메서드 테이블의 옵셋이 저장되어 있다. 따라서, 서버(150)는 덱스 파일(400)에서 특정 바이트코드를 찾기 위해, 클래스 테이블과 메서드 테이블을 이용하여 클래스, 메서드 및 바이트코드의 순서로 원하는 바이트코드를 찾을 수 있다.
도 5의 덱스 파일(500)은 도 4의 덱스 파일(400)에서 보호 대상으로 선별된 메서드들이 암호화되었음을 표시한 예를 나타내고 있다. 선별된 메서드들의 바이트코드들이 암호화를 통해 난독화되면, 암호화된 바이트코드들을 복호화하기 위한 정보(이하, '복호화 정보')가 APK에 추가될 수 있다. 예를 들어, 복호화 정보는 네이티브 모듈(native module, 일례로 확장자 ".so"로 작성되어 실행 코드와 함께 APK에 포함되어 배포되는 보안모듈)에 기록될 수 있다. 이러한 복호화 정보는 어플리케이션이 실행되는 전자 기기(일례로 전자 기기 1(110))에서의 런타임 방식(달빅 런타임(Dalvik runtime)과 ART(Android runtime))에 따라 달라질 수 있으며, 다수의 메서드들이 암호화될 수 있기 때문에 보호 대상이 되는 메서드마다 배열(array)의 형태로 기록될 수 있다.
예를 들어 안드로이드에서는 달빅 머신(가상 머신)상에서 달빅 런타임에 덱스 파일을 실행하거나 ART 머신상에서 ART에 OAT 파일을 실행할 수 있다. 달빅 머신은 어플리케이션 코드를 네이티브 기계어 코드로 변환하고 사용자가 어플리케이션을 실행할 때마다 이러한 변환 절차를 거치는 JIT(just-in-time) 컴파일을 통해 코드를 실행한다. ART 머신에서는 덱스 파일을 'dex2oat'라는 컨버터를 이용하여 OAT 파일로 변환하여 실행할 수 있다. 다시 말해, ART 머신은 어플리케이션을 설치할 때 AOT(Ahead-Of-Time) 컴파일을 통해 네이티브 어플리케이션으로 변환하여 설치한다. 따라서 ART를 사용하면, 새로운 가상 머신(상술한 달빅 머신)을 어플리케이션을 실행할 때마다 생성하고, 인터프리티드 코드를 실행하는 시간을 제거할 수 있다. 따라서 서로 다른 런타임 방식에 따라 서로 다른 복호화 정보가 전달될 필요가 있다. 이 경우 서버(150)는 제공하는 APK가 두 런타임 방식 모두에서 실행될 수 있도록 두 런타임 방식을 위한 복호화 정보를 모두 네이티브 모듈에 기록할 수도 있고, 달빅 런타임을 위한 APK와 ART를 위한 APK를 각각 생성하여 전자 기기에 따라 알맞은 APK를 전송할 수도 있다.
우선, 달빅 런타임을 위한 복호화 정보는 보호 대상 메서드에 대응하는 바이트코드의 옵셋(실질적으로는 암호화된 바이트코드의 옵셋), 해당 바이트코드의 크기(bytes), 암호화된 바이트코드의 크기(bytes) 및 암호화에 사용된 키를 포함할 수 있다.
또한, ART를 위한 복호화 정보는 보호 대상 메서드(암호화된 메서드)를 포함하는 클래스 인덱스(몇 번째 클래스인가에 대한 정보) 및 해당 보호 대상 메서드의 메서드 인덱스(해당 클래스에서 몇 번째 메서드인가에 대한 정보)를 포함할 수 있다. 또한 암호화 전의 보호 대상 클래스와 보호 대상 메서드로 구성된 덱스 파일이 네이티브 모듈에 기록될 수 있다.
이에 더해, 서버(150)는 메서드의 암호화로 인해 덱스 파일에 대한 CRC와 해시값이 변경되기 때문에 변경된 CRC(Cyclic Redundancy Check)와 해시값을 재계산하여 덱스 파일의 CRC와 해시값을 갱신할 수 있다.
보호 대상 메서드가 암호화된 덱스 파일을 포함하는 APK는 전자 기기(일례로 전자 기기 1(110))로 전송되어 설치될 수 있다.
이때 달빅 런타임에서 전자 기기는 메모리에 로드된 덱스 파일(일례로 'classes.dex')에서 오덱스 헤더(odex header)를 파싱(일례로 JNI_Onload함수를 이용함)하여 덱스 헤더(dex header)를 찾을 수 있다. 이때 메모리에 로드된 덱스 파일은 달빅-캐시(Dalvik-cache)에 존재하는 오덱스화된 파일이고, 일부 클래스의 바이트코드를 제외한 대부분의 바이트코드는 달빅(가상 머신)에서 실제 해당 코드가 실행되는 시점에 해석된다. 이 경우 전자 기기는 덱스 헤더 다음의 데이터들을 상술한 복호화 정보에 기반하여 복호화할 수 있다. 예를 들어, 전자 기기는 보도 대상 메서드마다 배열 형태로 네이티브 모듈에 기록된 복호화 정보를 이용하여 해당 메서드의 옵셋부터 암호화된 바이트코드의 크기만큼을 네이티브 모듈에 기록된 키로 복호화하여 해당 위치에 오버라이트(overwrite)하여 암호화된 바이트코드들을 복호화할 수 있다.
또한, ART에서 전자 기기는 네이티브 모듈에 기록된 덱스 파일(암호화 전의 보호 대상 클래스와 보호 대상 메서드를 포함하는 덱스 파일)을 인자로 'dex2oat' 명령(보호 대상 클래스와 보호 대상 메서드의 코드를 네이티브 코드로 변경하기 위한 명령)을 실행하여 보호 대상 클래스와 보호 대상 메서드의 네이티브 코드를 확보할 수 있다. 앞서 설명한 바와 같이 ART에서는 어플리케이션을 설치할 때 어플리케이션의 코드를 AOT(Ahead-Of-Time) 컴파일을 통해 네이티브 코드로 변환하여 설치될 수 있다. ART에서도 전자 기기는 메모리에 로드된 덱스 파일(일례로 'classes.dex')을 JNI_Onload함수를 이용하여 찾을 수 있다. 이때 메모리에 로드된 덱스 파일은 실질적으로는 OAT 파일 포멧을 가질 수 있기 때문에 일반적인 방식(일례로 dlopen 함수를 이용한 방식)으로는 코드를 얻을 수 없는 제약이 존재한다. 따라서 전자 기기는 OAT 헤더를 찾고, OAT 헤더에서 복호화 정보가 포함하는 클래스 인덱스와 메서드 인덱스를 통해 원하는 네이티브 코드를 찾을 수 있다. 예를 들어, OAT 헤더는 원하는 함수의 주소를 리턴하는 함수(일례로 dlsym 함수)를 이용하여 얻어지는 OAT 데이터 심볼(oatdata symbol)의 주소(OAT 헤더를 가리킴)와 OAT 실행 심볼(oatexec symbol)의 주소를 통해 찾아질 수 있다. 전자 기기는 앞서 얻어진 보호 대상 클래스와 보호 대상 메서드의 네이티브 코드를 복호화 정보가 포함하는 클래스 인덱스와 메서드 인덱스를 통해 찾아진 네이티브 코드에 오버라이트(overwrite)함으로써 복호화를 처리할 수 있다. 보다 구체적으로 전자 기기는 OAT 헤더가 나타내고 있고 동시에 클래스 인덱스에 대응하는 OAT 클래스를 찾고, OAT 클래스에서 메서드 인덱스에 대응하는 네이티브 코드를 검색할 수 있다.
달빅 런타임과 ART에서 공통점은 암호화된 코드가 런타임에서 복호화된다는 점이고, 차이점은 ART에서는 원본 코드의 네이티브화 과정(앞서 설명한 dex2oat와 같은 컨버터를 이용한 컴파일을 통한 네이티브화 과정)을 거쳐서 어플리케이션이 설치되기 때문에 암호화된 코드를 찾아가는 방식이 달빅 런타임과 다르다는 점이다.
도 6은 본 발명의 일실시예에 있어서, ART에서 암호화된 네이티브 코드를 찾아가는 과정을 도시한 도면이다. Classes.dex(610)는 전자 기기로 제공된 응용 프로그램 패키지에 포함된 덱스 파일을 의미할 수 있다. 이미 설명한 바와 같이 ART에서는 어플리케이션의 설치(install)시에 dex2oat와 같은 컨버터를 이용하여 덱스 파일에 포함된 코드를 네이티브 코드로 변환할 수 있다. Classes.dex(620)는 변환된 덱스 파일을 나타내고 있다. 전자 기기의 메모리에 로딩되는 덱스 파일은 실질적으로 Elf 공유 오브젝트(확장자 ".so") 포멧일 수 있고 Classes.dex(620)와 같이 ELF 헤더(Elf Header(621))를 포함할 수 있다. 또한 앞서 설명한 바와 같이 덱스 파일은 OAT 파일 포멧으로 변경되어 OAT 헤더(Oat Header(622))를 포함할 수 있다. 또한 Classes.dex(620)는 덱스 파일 메타 헤더(Dex File Meta Header(623))와 Classes.dex(624)를 포함할 수 있다. Classes.dex(624)는 변환전의 덱스 파일인 Classes.dex(610)에 대응할 수 있고, Dex File Meta Header(623)는 Classes.dex(624)에 대한 메타정보를 포함할 수 있다. Oat Header(622)는 클래스 인덱스를 통해 원하는 OAT 클래스(OatClass(625))를 찾을 수 있는 정보를 제공한다. 또한 OatClass(625)는 메서드 인덱스를 통해 원하는 메서드에 대응하는 코드를 네이티브 코드(Native Code(627))에서 찾을 수 있는 정보(OatMethodOffset(626))를 제공한다. 전자 기기는 이미 설명한 바와 같이 복호화 정보가 포함하는 덱스 파일(보호 대상 클래스와 보호 대상 메서드의 암호화 전 코드를 포함함)을 컨버터로 변환하여 정상적인 네이티브 코드를 얻을 수 있다. 이 경우 전자 기기는 암호화된 보호 대상 메서드에 대응하는 코드를 Native Code(627)에서 찾아 정상적인 네이티브 코드로 교체함으로써 암호화된 보호 대상 메서드를 복호화할 수 있다.
도 7은 본 발명의 일실시예에 따른 서버의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 도면이고, 도 8은 본 발명의 일실시예에 따른 서버가 수행할 수 있는 방법의 예를 도시한 흐름도이다. 도 7에 도시된 바와 같이 서버(150)의 프로세서(222)는 수신 제어부(710), 선별 제어부(720), 암호화 제어부(730) 및 추가 제어부(740)를 포함할 수 있고, 실시예에 따른 선택적으로 갱신 제어부(750) 및 전송 제어부(760)를 더 포함할 수 있다. 이러한 프로세서(222)의 구성요소들은 도 8의 방법이 포함하는 단계들(810 내지 860)을 수행하도록 서버(150)를 제어할 수 있으며, 이러한 제어를 위해 메모리(221)가 포함하는 운영체제와 적어도 하나의 프로그램 코드를 통해 동작하도록 구현될 수 있다. 단계(850) 및 단계(860)는 실시예에 따른 선택적으로 도 8의 방법에 포함될 수 있다.
단계(810)에서 서버(150)는 복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신할 수 있다. 예를 들어, 자바(Java)로 작성된 코드가 컴파일되어 중간 언어 코드로서 바이트코드를 포함하는 덱스 파일이 응용 프로그램 패키지에 포함될 수 있다. 수신 제어부(710)는 단계(810)을 수행할 수 있도록 서버(150)를 제어할 수 있다.
여기서 서버(150)는 이미 개발된 어플리케이션을 위한 응용 프로그램 패키지를 수신하여 이를 보호하기 위한 시스템일 수 있다. 이때 서버(150)는 어플리케이션의 개발자의 시스템일 수도 있고, 개발자로부터 응용 프로그램 패키지를 수신하여 보호하는 제3 자의 시스템일 수도 있고, 개발자의 응용 프로그램 패키지를 수신하여 사용자들에게 배포하는 파일 배포 시스템일 수도 있다.
단계(820)에서 서버(150)는 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별할 수 있다. 선별 제어부(720)는 단계(820)을 수행할 수 있도록 서버(150)를 제어할 수 있다. 보호 대상 클래스나 보호 대상 메서드는 사용자(일례로 어플리케이션의 개발자)에 의해 입력되는 정보에 기반하여 선별되거나 서버(150)에 의해 선별될 수 있다.
일실시예로, 서버(150)는 단계(810)에서 클래스 또는 메서드를 지정하기 위한 선별정보를 네트워크를 통해 더 수신할 수 있다. 이 경우, 서버(150)는 단계(820)에서 선별정보를 통해 지정된 클래스 또는 메서드를 보호 대상 클래스 또는 보호 대상 메서드로 선별할 수 있다.
다른 실시예로, 서버(150)는 단계(820)에서 복수의 클래스 및 복수의 메서드 중에서 어플리케이션의 기설정된 기능에 대응하는 클래스 또는 메서드를 찾아 보호 대상 클래스 또는 보호 대상 메서드로 선별할 수도 있다. 예를 들어, 서버(150)는 어플리케이션을 통해 제공되는 서비스에서의 빌링(billing) 기능, 서비스에서의 인증(authentication) 기능 및 서비스를 제공하는 서버(일례로 서버(160))와의 통신 기능 중 적어도 하나의 기능에 대응하는 클래스 또는 메서드를 보호 대상 클래스 또는 보호 대상 메서드로 자동 선별할 수 있다.
단계(830)에서 서버(150)는 덱스 파일에서 선별된 보호 대상 클래스 또는 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 선별된 보호 대상 클래스 또는 선별된 보호 대상 메서드를 암호화할 수 있다. 암호화 제어부(730)는 단계(830)을 수행할 수 있도록 서버(150)를 제어할 수 있다.
예를 들어, 덱스 파일은 복수의 클래스의 개수와 클래스 테이블의 옵셋(offset)이 저장된 헤더를 포함할 수 있고, 복수의 클래스 각각은 복수의 클래스 각각이 포함하는 메서드에 대한 메서드 테이블의 옵셋을 포함할 수 있다. 이 경우 서버(150)는 단계(830)에서 클래스 테이블을 이용하여 상기 보호 대상 클래스에 대응하는 중간 언어 코드를 검색하거나 또는 상기 메서드 테이블을 이용하여 상기 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 검색된 중간 언어 코드를 암호화할 수 있다.
단계(840)에서 서버(150)는 암호화된 보호 대상 클래스 또는 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가할 수 있다. 추가 제어부(740)는 단계(840)를 수행할 수 있도록 서버(150)를 제어할 수 있다.
응용 프로그램 패키지가 설치될 전자 기기에서의 런타임 방식에 따라 서로 다른 복호화 정보가 요구될 수 있다. 이를 위해, 서버(150)는 단계(840)에서 서로 다른 복호화 정보를 모두 응용 프로그램 패키지의 보안 모듈에 추가하거나 또는 서로 다른 복호화 정보가 보안 모듈에 추가된 서로 다른 복수의 응용 프로그램 패키지를 생성할 수 있다. 일실시예로, 서버(150)는 달빅 런타임을 위한 복호화 정보와 ART를 위한 복호화 정보를 모두 보안 모듈에 추가할 수 있다. 다른 실시예로 서버(150)는 달빅 런타임을 위한 복호화 정보가 보안 모듈에 추가된 응용 프로그램 패키지와 ART를 위한 복호화 정보가 보안 모듈에 추가된 응용 프로그램 패키지를 각각 생성할 수도 있다.
일실시예로, 복호화 정보는 전자 기기에서 어플리케이션을 달빅 런타임(Dalvik runtime)으로 실행하는 경우를 위해, 암호화된 중간 언어 코드의 옵셋, 암호화된 중간 언어 코드의 크기 및 암호화에 이용된 키에 대한 정보를 포함할 수 있다. 이 경우, 전자 기기에서 전자 기기의 메모리에 로딩된 덱스 파일의 덱스 헤더에서 암호화된 중간 언어 코드의 옵셋부터 암호화된 중간 언어 코드의 크기만큼의 코드를 키로 복호화하여 덱스 헤더에 오버라이트(overwrite)함으로써 암호화된 보호 대상 메서드가 복호화될 수 있다.
다른 실시예로, 복호화 정보는 전자 기기에서 어플리케이션을 ART(Android runtime)로 실행하는 경우를 위해, (1) 암호화된 보호 대상 메서드가 포함된 클래스 또는 암호화된 보호 대상 클래스의 클래스 인덱스, (2) 암호화된 보호 대상 메서드의 메서드 인덱스 및 (3) 보호 대상 클래스(암호화 전의 클래스) 또는 보호 대상 메서드(암호화 전의 메서드)를 포함하는 덱스 파일을 포함할 수 있다. 이 경우, 전자 기기에서 복호화 정보로서 포함된 덱스 파일을 컨버터를 통해 컴파일하여 보호 대상 클래스(암호화 전의 클래스) 또는 보호 대상 메서드(암호화 전의 메서드)의 네이티브 코드를 획득하고, 전자 기기의 메모리에 로드된 덱스 파일의 헤더에서 클래스 인덱스 및 메서드 인덱스를 이용하여 암호화된 중간 언어 코드를 검색하고, 검색된 암호화된 중간 언어 코드에 획득한 네이티브 코드 중 암호화된 중간 언어 코드에 대응하는 네이티브 코드를 오버라이트하여 암호화된 보호 대상 메서드가 복호화될 수 있다.
단계(850)에서 서버(150)는 중간 언어 코드의 암호화에 따라 변경된 덱스 파일의 CRC 및 해시값을 갱신할 수 있다. 갱신 제어부(750)는 단계(850)을 수행할 수 있도록 서버(150)를 제어할 수 있다. 최초 서버(150)로 전송된 응용 프로그램 파일의 덱스 파일이 CRC 및 해시값을 포함하는 경우, 중간 언어 코드의 암호화에 따라 CRC 및 해시값의 갱신이 요구된다. 따라서 서버(150)는 변경된 덱스 파일에 대한 CRC와 해시값을 계산하여 갱신할 수 있다.
단계(860)에서 서버(150)는 네트워크를 통한 전자 기기로부터의 요청에 따라 중간 언어 코드가 암호화되고 복호화 정보가 추가된 응용 프로그램 패키지를 전자 기기로 전송할 수 있다. 전송 제어부(760)는 단계(860)을 수행할 수 있도록 서버(150)를 제어할 수 있다. 만약, 서버(150)가 사용자에게 APK를 배포하는 파일 배포 시스템이라면, 서버(150)는 단계(860)를 수행할 수 있다. 만약, 서버(150)가 APK의 보호를 위한 별도의 시스템이라면, 보호된 APK를 파일 배포 시스템으로 제공하거나 다시 사용자(개발자)에게 전송할 수도 있다.
도 9은 본 발명의 일실시예에 따른 전자 기기의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 도면이고, 도 10은 본 발명의 일실시예에 따른 전자 기기가 수행할 수 있는 방법의 예를 도시한 흐름도이다. 도 9에 도시된 바와 같이 전자 기기 1(110)의 프로세서(212)는 수신 제어부(910) 및 실행 제어부(920)를 포함할 수 있다. 이러한 프로세서(212)의 구성요소들은 도 10의 방법이 포함하는 단계들(1010 및 1020)을 수행하도록 전자 기기 1(110)을 제어할 수 있으며, 이러한 제어를 위해 메모리(211)가 포함하는 운영체제와 적어도 하나의 프로그램 코드를 통해 동작하도록 구현될 수 있다. 이때, 적어도 하나의 프로그램 코드는 단계(1020)의 처리를 위해 전자 기기 1(110)이 단계(1010)에서 수신하는 응용 프로그램 패키지에 포함된 코드 중 일부를 포함할 수 있다.
단계(1010)에서 전자 기기 1(110)은 복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하고, 중간 언어 코드 중 적어도 일부 코드가 암호화되고, 암호화된 중간 언어 코드를 복호화하기 위한 복호화 정보가 보안 모듈에 포함된 응용 프로그램 패키지를 서버(150)로부터 네트워크를 통해 수신할 수 있다. 수신 제어부(910)는 단계(1010)를 수행하도록 전자 기기 1(110)을 제어할 수 있다. 또한 암호화된 중간 언어 코드는 복수의 클래스 및 복수의 메서드 중 서버(150)에서 선별된 보호 대상 클래스 또는 보호 대상 메서드의 중간 언어 코드가 암호화되어 생성
단계(1020)에서 전자 기기 1(110)은 어플리케이션의 실행 과정에서 적용 가능한 런타임 방식에 따라, 복호화 정보를 이용하여 암호화된 중간 언어 코드를 복호화하거나 또는 암호화된 중간 언어 코드를 복호화 정보가 포함하는 중간 언어 코드로 교체하여 실행할 수 있다. 실행 제어부(920)는 단계(1020)를 수행하도록 전자 기기 1(110)을 제어할 수 있다.
앞서 설명한 바와 같이, 복호화 정보는 달빅 런타임(Dalvik runtime)을 위해, 암호화된 중간 언어 코드의 옵셋, 암호화된 중간 언어 코드의 크기 및 암호화에 이용된 키에 대한 정보를 포함할 수 있다. 이 경우 전자 기기 1(110)은 단계(1020)에서 달빅 런타임이 진행될 때, 메모리(211)에 로딩된 덱스 파일의 덱스 헤더에서 암호화된 중간 언어 코드의 옵셋부터 암호화된 중간 언어 코드의 크기만큼의 코드를 키로 복호화하여 덱스 헤더에 오버라이트(overwrite)함으로써 보호 대상 메서드를 복호화할 수 있다.
또한 복호화 정보는 ART(Android runtime)을 위해, (1) 암호화된 보호 대상 메서드가 포함된 클래스 또는 암호화된 보호 대상 클래스의 클래스 인덱스, (2) 암호화된 보호 대상 메서드의 메서드 인덱스 및 (3) 보호 대상 클래스 또는 보호 대상 메서드를 포함하는 덱스 파일을 포함할 수도 있다. 이 경우 전자 기기 1(110)은 단계(1020)에서 ART가 진행될 때, 복호화 정보로서 포함된 덱스 파일을 컨버터를 통해 컴파일하여 보호 대상 클래스 또는 보호 대상 메서드의 네이티브 코드를 획득하고, 메모리(211)에 로드된 덱스 파일의 헤더에서 클래스 인덱스 및 메서드 인덱스를 이용하여 암호화된 중간 언어 코드를 검색하고, 검색된 암호화된 중간 언어 코드에 획득한 네이티브 코드 중 암호화된 중간 언어 코드에 대응하는 네이티브 코드를 오버라이트하여 보호 대상 메서드를 복호화할 수 있다.
보다 구체적인 사항들은 이미 설명하였기에 반복적인 설명은 생략한다.
이처럼 본 발명의 실시예들에 따르면, 어플리케이션의 코드들 중 주요한 클래스(class)와 메서드(method)에 해당하는 코드를 선별하여 암호화하고 런타임(runtime)에서 암호화된 코드를 복호화함으로써 디컴파일을 통한 어플리케이션의 위변조를 방지할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (22)

  1. 컴퓨터로 구현되는 방법에 있어서,
    복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신하는 단계;
    상기 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별하는 단계;
    상기 덱스 파일에서 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드를 암호화하는 단계; 및
    상기 암호화된 보호 대상 클래스 또는 상기 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 상기 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가하는 단계
    를 포함하고,
    상기 응용 프로그램 패키지가 설치될 전자 기기에서의 런타임 방식에 따라 서로 다른 복호화 정보가 요구되고,
    상기 추가하는 단계는,
    상기 서로 다른 복호화 정보를 모두 상기 응용 프로그램 패키지의 보안 모듈에 추가하거나 또는 상기 서로 다른 복호화 정보가 보안 모듈에 추가된 서로 다른 복수의 응용 프로그램 패키지를 생성하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  2. 제1항에 있어서,
    상기 수신하는 단계는,
    클래스 또는 메서드를 지정하기 위한 선별정보를 상기 네트워크를 통해 더 수신하고,
    상기 선별하는 단계는,
    상기 선별정보를 통해 지정된 클래스 또는 메서드를 상기 보호 대상 클래스 또는 상기 보호 대상 메서드로 선별하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  3. 제1항에 있어서,
    상기 선별하는 단계는,
    상기 복수의 클래스 및 상기 복수의 메서드 중에서 상기 어플리케이션의 기설정된 기능에 대응하는 클래스 또는 메서드를 찾아 상기 보호 대상 클래스 또는 상기 보호 대상 메서드로 선별하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  4. 제3항에 있어서,
    상기 기설정된 기능은, 상기 어플리케이션을 통해 제공되는 서비스에서의 빌링(billing) 기능, 상기 서비스에서의 인증(authentication) 기능 및 상기 서비스를 제공하는 서버와의 통신 기능 중 적어도 하나를 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  5. 제1항에 있어서,
    상기 덱스 파일은 상기 복수의 클래스의 개수와 클래스 테이블의 옵셋(offset)이 저장된 헤더를 포함하고,
    상기 복수의 클래스 각각은 상기 복수의 클래스 각각이 포함하는 메서드에 대한 메서드 테이블의 옵셋을 포함하고,
    상기 암호화하는 단계는,
    상기 클래스 테이블을 이용하여 상기 보호 대상 클래스에 대응하는 중간 언어 코드를 검색하거나 또는 상기 메서드 테이블을 이용하여 상기 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  6. 삭제
  7. 제1항에 있어서,
    상기 복호화 정보는 전자 기기에서 상기 어플리케이션을 달빅 런타임(Dalvik runtime)으로 실행하는 경우를 위해, 상기 암호화된 중간 언어 코드의 옵셋, 상기 암호화된 중간 언어 코드의 크기 및 암호화에 이용된 키에 대한 정보를 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  8. 제7항에 있어서,
    상기 전자 기기에서 상기 전자 기기의 메모리에 로딩된 상기 덱스 파일의 덱스 헤더에서 상기 암호화된 중간 언어 코드의 옵셋부터 상기 암호화된 중간 언어 코드의 크기만큼의 코드를 상기 키로 복호화하여 상기 덱스 헤더에 오버라이트(overwrite)함으로써 상기 암호화된 보호 대상 메서드가 복호화되는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  9. 컴퓨터로 구현되는 방법에 있어서,
    복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신하는 단계;
    상기 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별하는 단계;
    상기 덱스 파일에서 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드를 암호화하는 단계; 및
    상기 암호화된 보호 대상 클래스 또는 상기 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 상기 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가하는 단계
    를 포함하고,
    상기 복호화 정보는 전자 기기에서 상기 어플리케이션을 ART(Android runtime)로 실행하는 경우를 위해, (1) 상기 암호화된 보호 대상 메서드가 포함된 클래스 또는 상기 암호화된 보호 대상 클래스의 클래스 인덱스, (2) 상기 암호화된 보호 대상 메서드의 메서드 인덱스 및 (3) 상기 보호 대상 클래스 또는 상기 보호 대상 메서드를 포함하는 덱스 파일을 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  10. 제9항에 있어서,
    상기 전자 기기에서 상기 복호화 정보로서 포함된 덱스 파일을 컨버터를 통해 컴파일하여 보호 대상 클래스 또는 보호 대상 메서드의 네이티브 코드를 획득하고, 상기 전자 기기의 메모리에 로드된 덱스 파일의 헤더에서 상기 클래스 인덱스 및 상기 메서드 인덱스를 이용하여 암호화된 중간 언어 코드를 검색하고, 상기 검색된 암호화된 중간 언어 코드에 상기 획득한 네이티브 코드 중 상기 암호화된 중간 언어 코드에 대응하는 네이티브 코드를 오버라이트하여 상기 암호화된 보호 대상 메서드가 복호화되는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  11. 제1항 또는 제9항에 있어서,
    상기 중간 언어 코드의 암호화에 따라 변경된 덱스 파일의 CRC(Cyclic Redundancy Check) 및 해시값을 갱신하는 단계
    를 더 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  12. 제1항 또는 제9항에 있어서,
    네트워크를 통한 전자 기기로부터의 요청에 따라 상기 중간 언어 코드가 암호화되고 상기 복호화 정보가 추가된 상기 응용 프로그램 패키지를 상기 전자 기기로 전송하는 단계
    를 더 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  13. 컴퓨터로 구현되는 방법에 있어서,
    복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하고, 상기 중간 언어 코드 중 적어도 일부 코드가 암호화되고, 상기 암호화된 중간 언어 코드를 복호화하기 위한 복호화 정보가 보안 모듈에 포함된 응용 프로그램 패키지를 서버로부터 네트워크를 통해 수신하는 단계; 및
    상기 어플리케이션의 실행 과정에서 적용 가능한 런타임 방식에 따라, 상기 복호화 정보를 이용하여 상기 암호화된 중간 언어 코드를 복호화하거나 또는 상기 암호화된 중간 언어 코드를 상기 복호화 정보가 포함하는 중간 언어 코드로 교체하여 실행하는 단계
    를 포함하고,
    상기 암호화된 중간 언어 코드는 상기 복수의 클래스 및 상기 복수의 메서드 중 상기 서버에서 선별된 보호 대상 클래스 또는 보호 대상 메서드의 중간 언어 코드가 암호화되어 생성되는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  14. 제13항에 있어서,
    상기 복호화 정보는 달빅 런타임(Dalvik runtime)을 위해, 상기 암호화된 중간 언어 코드의 옵셋, 상기 암호화된 중간 언어 코드의 크기 및 암호화에 이용된 키에 대한 정보를 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  15. 제14항에 있어서,
    상기 실행하는 단계는,
    상기 달빅 런타임에서, 메모리에 로딩된 상기 덱스 파일의 덱스 헤더에서 상기 암호화된 중간 언어 코드의 옵셋부터 상기 암호화된 중간 언어 코드의 크기만큼의 코드를 상기 키로 복호화하여 상기 덱스 헤더에 오버라이트(overwrite)함으로써 상기 보호 대상 메서드를 복호화하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  16. 제13항에 있어서,
    상기 복호화 정보는 ART(Android runtime)을 위해, (1) 상기 암호화된 보호 대상 메서드가 포함된 클래스 또는 상기 암호화된 보호 대상 클래스의 클래스 인덱스, (2) 상기 암호화된 보호 대상 메서드의 메서드 인덱스 및 (3) 상기 보호 대상 클래스 또는 상기 보호 대상 메서드를 포함하는 덱스 파일을 포함하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  17. 제16항에 있어서,
    상기 실행하는 단계는,
    상기 복호화 정보로서 포함된 덱스 파일을 컨버터를 통해 컴파일하여 보호 대상 클래스 또는 보호 대상 메서드의 네이티브 코드를 획득하고, 메모리에 로드된 덱스 파일의 헤더에서 상기 클래스 인덱스 및 상기 메서드 인덱스를 이용하여 상기 암호화된 중간 언어 코드를 검색하고, 상기 검색된 암호화된 중간 언어 코드에 상기 획득한 네이티브 코드 중 상기 암호화된 중간 언어 코드에 대응하는 네이티브 코드를 오버라이트하여 상기 보호 대상 메서드를 복호화하는 것을 특징으로 하는 컴퓨터로 구현되는 방법.
  18. 제1항 내지 제5항, 제7항 내지 제10항 또는 제13항 내지 제17항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
  19. 하나 이상의 프로세서들을 포함하는 서버의 시스템에 있어서,
    상기 하나 이상의 프로세서들은,
    복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신하도록 상기 서버를 제어하는 수신 제어부;
    상기 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별하도록 상기 서버를 제어하는 선별 제어부;
    상기 덱스 파일에서 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드를 암호화하도록 상기 서버를 제어하는 암호화 제어부; 및
    상기 암호화된 보호 대상 클래스 또는 상기 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 상기 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가하도록 상기 서버를 제어하는 추가 제어부
    를 포함하고,
    상기 응용 프로그램 패키지가 설치될 전자 기기에서의 런타임 방식에 따라 서로 다른 복호화 정보가 요구되고,
    상기 추가 제어부는,
    상기 서로 다른 복호화 정보를 모두 상기 응용 프로그램 패키지의 보안 모듈에 추가하거나 또는 상기 서로 다른 복호화 정보가 보안 모듈에 추가된 서로 다른 복수의 응용 프로그램 패키지를 생성하도록 상기 서버를 제어하는 것을 특징으로 하는 시스템.
  20. 제19항에 있어서,
    상기 수신 제어부는,
    클래스 또는 메서드를 지정하기 위한 선별정보를 상기 네트워크를 통해 더 수신하도록 상기 서버를 제어하고,
    상기 선별 제어부는,
    상기 선별정보를 통해 지정된 클래스 또는 메서드를 상기 보호 대상 클래스 또는 상기 보호 대상 메서드로 선별하도록 상기 서버를 제어하는 것을 특징으로 하는 시스템.
  21. 제19항에 있어서,
    상기 선별 제어부는,
    상기 복수의 클래스 및 상기 복수의 메서드 중에서 상기 어플리케이션의 기설정된 기능에 대응하는 클래스 또는 메서드를 찾아 상기 보호 대상 클래스 또는 상기 보호 대상 메서드로 선별하도록 상기 서버를 제어하는 것을 특징으로 하는 시스템.
  22. 하나 이상의 프로세서들을 포함하는 서버의 시스템에 있어서,
    상기 하나 이상의 프로세서들은,
    복수의 클래스 및 복수의 메서드를 포함하는 어플리케이션을 위한 코드가 컴파일되어 생성된 중간 언어(Intermediate Language, IL) 코드를 덱스(dex) 파일로 포함하는 응용 프로그램 패키지를 네트워크를 통해 수신하도록 상기 서버를 제어하는 수신 제어부;
    상기 복수의 클래스 및 상기 복수의 메서드 중에서 보호 대상 클래스 또는 보호 대상 메서드를 선별하도록 상기 서버를 제어하는 선별 제어부;
    상기 덱스 파일에서 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드에 대응하는 중간 언어 코드를 검색하여 암호화함으로써 상기 선별된 보호 대상 클래스 또는 상기 선별된 보호 대상 메서드를 암호화하도록 상기 서버를 제어하는 암호화 제어부; 및
    상기 암호화된 보호 대상 클래스 또는 상기 암호화된 보호 대상 메서드를 복호화하기 위한 복호화 정보를 상기 응용 프로그램 패키지가 더 포함하는 보안 모듈에 추가하도록 상기 서버를 제어하는 추가 제어부
    를 포함하고,
    상기 복호화 정보는 전자 기기에서 상기 어플리케이션을 ART(Android runtime)로 실행하는 경우를 위해, (1) 상기 암호화된 보호 대상 메서드가 포함된 클래스 또는 상기 암호화된 보호 대상 클래스의 클래스 인덱스, (2) 상기 암호화된 보호 대상 메서드의 메서드 인덱스 및 (3) 상기 보호 대상 클래스 또는 상기 보호 대상 메서드를 포함하는 덱스 파일을 포함하는 것을 특징으로 하는 시스템.
KR1020150112741A 2015-08-10 2015-08-10 어플리케이션의 코드 난독화를 위한 시스템 및 방법 KR101740134B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020150112741A KR101740134B1 (ko) 2015-08-10 2015-08-10 어플리케이션의 코드 난독화를 위한 시스템 및 방법
PCT/KR2016/008588 WO2017026739A1 (ko) 2015-08-10 2016-08-04 어플리케이션의 코드 난독화를 위한 시스템 및 방법
JP2018506542A JP6815385B2 (ja) 2015-08-10 2016-08-04 アプリケーションのコード難読化のためのシステムおよび方法
US15/887,310 US10740443B2 (en) 2015-08-10 2018-02-02 System and method for code obfuscation of application

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150112741A KR101740134B1 (ko) 2015-08-10 2015-08-10 어플리케이션의 코드 난독화를 위한 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20170018745A KR20170018745A (ko) 2017-02-20
KR101740134B1 true KR101740134B1 (ko) 2017-05-26

Family

ID=57983289

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150112741A KR101740134B1 (ko) 2015-08-10 2015-08-10 어플리케이션의 코드 난독화를 위한 시스템 및 방법

Country Status (4)

Country Link
US (1) US10740443B2 (ko)
JP (1) JP6815385B2 (ko)
KR (1) KR101740134B1 (ko)
WO (1) WO2017026739A1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106066686B (zh) * 2016-05-31 2019-02-05 Oppo广东移动通信有限公司 一种信息处理方法及终端设备
US10394554B1 (en) * 2016-09-09 2019-08-27 Stripe, Inc. Source code extraction via monitoring processing of obfuscated byte code
EP3637251B1 (en) * 2017-05-17 2023-10-04 Huawei Technologies Co., Ltd. Method, device and terminal for executing hotpatch
KR101885146B1 (ko) * 2017-11-22 2018-08-03 (유)아홉 애플리케이션 보호 장치 및 방법
US20190188157A1 (en) * 2017-12-14 2019-06-20 Arris Enterprises Llc Method and apparatus to dynamically encode data at runtime
KR102177920B1 (ko) * 2018-10-12 2020-11-13 네이버비즈니스플랫폼 주식회사 원본코드 패킹장치 및 원본코드 패킹방법
KR102173151B1 (ko) * 2018-10-29 2020-11-03 네이버비즈니스플랫폼 주식회사 원본코드 자동추출장치 및 원본코드 자동추출방법
CN109918083A (zh) * 2019-03-07 2019-06-21 北京智游网安科技有限公司 一种基于应用编程的安全处理方法、智能终端及存储介质
CN110806906B (zh) * 2019-10-30 2022-04-12 腾讯科技(深圳)有限公司 一种Dex分包方法、装置、设备及介质
CN113032035B (zh) * 2019-12-24 2022-07-12 Oppo广东移动通信有限公司 配置文件处理方法、装置以及电子设备
KR102361534B1 (ko) * 2020-02-05 2022-02-10 라인플러스 주식회사 컴파일러를 이용한 난독화 방법 및 시스템
CN111371773A (zh) * 2020-02-28 2020-07-03 北京百度网讯科技有限公司 一种信息发送和显示方法、装置、设备及存储介质
CN111310221B (zh) * 2020-03-26 2023-01-03 北京百度网讯科技有限公司 持久层数据的加解密方法、装置、设备及存储介质
CN112214549A (zh) * 2020-10-10 2021-01-12 中育数据(广州)科技有限公司 一种文件特征码生成方法、装置及电子设备
US11886589B2 (en) * 2020-11-26 2024-01-30 Foundation Of Soongsil University-Industry Cooperation Process wrapping method for evading anti-analysis of native codes, recording medium and device for performing the method
CN113220314B (zh) * 2021-05-31 2023-07-21 北京奇艺世纪科技有限公司 App资源加载及apk生成方法、装置、设备及介质
CN113656810A (zh) * 2021-07-16 2021-11-16 五八同城信息技术有限公司 应用程序加密方法、装置、电子设备及存储介质
CN114039743A (zh) * 2021-09-27 2022-02-11 成都鲁易科技有限公司 数据的加密方法、装置、存储介质以及终端
CN114996078B (zh) * 2021-12-07 2023-05-09 荣耀终端有限公司 dex文件的编译控制方法及装置
KR20230142091A (ko) * 2022-04-01 2023-10-11 (주)잉카엔트웍스 Dex 파일 보호를 위한 보안 제공 장치와 방법 및 보안 실행 장치와 방법
CN114996169B (zh) * 2022-08-04 2022-10-28 苏州清研精准汽车科技有限公司 设备诊断方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014134080A1 (en) 2013-02-28 2014-09-04 Microsoft Corporation Compiler based obfuscation

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101228531A (zh) 2005-07-22 2008-07-23 松下电器产业株式会社 执行装置
KR100771057B1 (ko) 2005-12-26 2007-10-29 주식회사 신지소프트 모바일 플랫폼의 중간 언어 변환 장치 및 그 방법
CN102598017B (zh) 2009-11-13 2016-03-09 爱迪德技术有限公司 提高Java字节码的防窜改能力的系统和方法
US8892876B1 (en) * 2012-04-20 2014-11-18 Trend Micro Incorporated Secured application package files for mobile computing devices
KR101391982B1 (ko) * 2012-08-28 2014-05-07 바른소프트기술 주식회사 안드로이드 어플리케이션의 디컴파일 방지를 위한 암호화 방법
WO2014142430A1 (ko) * 2013-03-15 2014-09-18 주식회사 에스이웍스 안드로이드에서의 dex파일 바이너리 난독화 방법
KR20140139392A (ko) * 2013-05-27 2014-12-05 삼성전자주식회사 모바일 장치를 위한 애플리케이션 실행 파일 생성방법, 모바일 장치의 애플리케이션 실행 방법, 애플리케이션 실행 파일 생성 장치 및 모바일 장치
KR101350390B1 (ko) 2013-08-14 2014-01-16 숭실대학교산학협력단 코드 난독화 장치 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014134080A1 (en) 2013-02-28 2014-09-04 Microsoft Corporation Compiler based obfuscation

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Yuxue Piao, ‘안드로이드 앱 위변조 탐지를 위한 서버 기반 바이트 난독화 기법’, 숭실대학교 컴퓨터과학과 석사학위 논문, 2013.06.

Also Published As

Publication number Publication date
WO2017026739A1 (ko) 2017-02-16
US10740443B2 (en) 2020-08-11
KR20170018745A (ko) 2017-02-20
US20180157808A1 (en) 2018-06-07
JP6815385B2 (ja) 2021-01-20
JP2018530041A (ja) 2018-10-11

Similar Documents

Publication Publication Date Title
KR101740134B1 (ko) 어플리케이션의 코드 난독화를 위한 시스템 및 방법
CN104462959B (zh) 一种安卓应用的加固保护方法、服务器和系统
US10255443B2 (en) Method, apparatus, system and non-transitory computer readable medium for code protection
KR101740133B1 (ko) 어플리케이션의 코드를 보호하기 위한 시스템 및 방법
US10963563B2 (en) Method and system for evaluating security of application
US20150294114A1 (en) Application randomization
WO2015058620A1 (en) Method and apparatus for generating installation package corresponding to an application and executing application
US20110271350A1 (en) method for protecting software
US20180260559A1 (en) Compiler assisted protection against arbitrary code execution
WO2016201853A1 (zh) 加解密功能的实现方法、装置及服务器
Cabutto et al. Software protection with code mobility
KR101832594B1 (ko) 중간 언어 파일의 로딩 속도 개선을 위한 방법 및 시스템
JP2007233426A (ja) アプリケーション実行装置
CN113568680A (zh) 应用程序的动态链接库保护方法、装置、设备及介质
KR20190060179A (ko) 공통 중간 언어를 위한 보안 제공 장치와 방법, 및 보안 실행 장치와 방법
KR101823226B1 (ko) 코드 보호 방법 및 시스템
WO2020079676A1 (en) Applying security mitigation measures for stack corruption exploitation in intermediate code files
KR101845155B1 (ko) 어플리케이션 패키지를 제공하는 방법 및 시스템, 그리고 어플리케이션을 실행하는 방법 및 시스템
KR101771348B1 (ko) 패키지 파일에 대한 패킹 방법 및 시스템
CN113220314A (zh) App资源加载及apk生成方法、装置、设备及介质
Jiang et al. A code protection scheme via inline hooking for Android applications
KR20210133961A (ko) 힙 메모리를 이용하여 실행 가능 파일을 보호하는 방법 및 시스템
KR20170041536A (ko) 메모리 해킹 탐지 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant