KR102531240B1 - 개인 정보 보호 방법, 장치 및 시스템 - Google Patents

개인 정보 보호 방법, 장치 및 시스템 Download PDF

Info

Publication number
KR102531240B1
KR102531240B1 KR1020220110431A KR20220110431A KR102531240B1 KR 102531240 B1 KR102531240 B1 KR 102531240B1 KR 1020220110431 A KR1020220110431 A KR 1020220110431A KR 20220110431 A KR20220110431 A KR 20220110431A KR 102531240 B1 KR102531240 B1 KR 102531240B1
Authority
KR
South Korea
Prior art keywords
phishing
personal information
data stream
app
server
Prior art date
Application number
KR1020220110431A
Other languages
English (en)
Inventor
김현걸
Original Assignee
주식회사 디포렌식코리아에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 디포렌식코리아에스 filed Critical 주식회사 디포렌식코리아에스
Priority to KR1020220110431A priority Critical patent/KR102531240B1/ko
Application granted granted Critical
Publication of KR102531240B1 publication Critical patent/KR102531240B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2123Dummy operation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 핸드폰을 포함한 사용자 디바이스에 설치된 피싱 앱에 의한 피싱 피해로부터 개인 정보 보호 방법, 장치 및 시스템을 제공한다.
본 발명에 따른 피싱 피해로부터 개인 정보 보호 방법은 피싱(phishing) 앱을 수집하는 단계; 피싱 앱을 디컴파일(decompile)하는 디컴파일링 단계; 피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림의 전송이 가상 시뮬레이터를 거쳐 수행될 수 있도록 하는 데이터 우회 전송 단계로서, 가상 시뮬레이터를 이용하여 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성하고; 가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 피싱 앱의 구조를 디버깅하는 리버싱(reversing) 단계; 및 디컴파일링 단계 및 리버싱 단계의 결과를 이용하여 피싱 앱이 데이터 스트림을 전송하는 피싱 서버를 검출하는 피싱 서버 검출 단계;를 포함한다. 본 발명은 개인 정보 보호 시스템을 제공한다.

Description

개인 정보 보호 방법, 장치 및 시스템 {METHOD, DEVICE AND SYSTEM FOR PROTECTING PERSONAL INFORMATION}
본 발명은 개인 정보 보호 방법, 장치 및 시스템에 관한 것으로서, 보다 상세하게는, 핸드폰을 포함한 사용자 디바이스에 설치된 피싱 앱에 의한 피싱 피해로부터 개인 정보 보호 방법, 장치 및 시스템에 관한 것이다.
핸드폰 사용의 증가에 따라 사용자의 개인 정보를 잘못 사용하는 것 처럼 악의적 활동을 수행하는 모바일 악성 코드 앱도 동시에 증가하고 있다. 이것은 모바일에 저장되는 사용자의 비밀 데이터를 활용하여 사용자에게 해를 끼칠 수 있으며 사용자 데이터를 신속하게 감염시킬 뿐만 아니라 개인 및 비밀데이터를 훔침으로써 물질적 뿐만 아니라 정신적 피해를 끼친다. 그래서 악성코드 분류 및 식별은 중요한 과제이다.
핸드폰의 대표적인 운용체제는 안드로이드(Android)이다. 안드로이드 운영체제는 개방형 시스템으로 사용자가 불안전한 사이트로부터 다운 로드된 앱을 설치하고 사용함에 있어서 앱이 사용자에게 해를 끼칠 수 있는지 여부를 확인하는데 있어서 매우 미흡한 방어 구조를 가진다.
안드로이드 핸드폰 사용자들의 대부분은 그들이 피싱 앱 또는 악성 코드에 감염되었는지 조차도 인지하지 못한다.
전술한 배경 기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.
등록특허 10-1256459
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 피싱 앱에 의한 피싱 피해로부터 개인 정보 보호 방법, 장치 및 시스템을 제공하는데 있다.
본 발명의 상기 및 다른 목적과 이점은 바람직한 실시예를 설명한 하기의 설명으로부터 분명해질 것이다.
상기 목적은, 본원 발명의 개인 정보 보호 방법 및 개인 정보 보호 시스템에 의해 해결될 수 있다.
본 발명의 일 실시예에 따른, 개인 정보 보호 방법은,
피싱(phishing) 앱을 수집하는 단계;
상기 피싱 앱을 디컴파일(decompile)하는 디컴파일링 단계;
상기 피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 상기 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림(stream)의 전송이 상기 가상 시뮬레이터를 거쳐 수행될 수 있도록 하는 데이터 우회 전송 단계로서, 상기 가상 시뮬레이터를 이용하여 상기 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성하는, 상기 우회 전송 단계;
상기 가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 상기 피싱 앱의 구조를 디버깅하는 리버싱(reversing) 단계; 및
상기 디컴파일링 단계 및 상기 리버싱 단계의 결과를 이용하여 상기 피싱 앱이 상기 데이터 스트림을 전송하는 피싱 서버를 검출하는 피싱 서버 검출 단계;를 포함한다.
바람직하게는,
상기 피싱 서버 검출 단계 이후에,
삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하는 삭제 단계를 더 포함한다.
바람직하게는,
상기 피싱 서버 검출 단계 이후에,
추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 추가 단계;를 더 포함한다.
바람직하게는,
상기 피싱 서버 검출 단계 이후에,
삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하고, 상기 개인 정보 삭제 후 추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 삭제 및 추가 단계;를 더 포함한다.
바람직하게는,
사용자 디바이스에서의 상기 데이터 스트림을 모니터링하는 스트림 분석 단계;
일정 시간을 초과하여 지속적으로 상기 데이터 스트림의 전송이 수행되거나, 임계치 이상의 크기의 데이터 스트림의 전송시 상기 데이터 스트림이 사용자의 의도에 의한 것인지를 프롬프팅하는 단계(prompting); 및
상기 데이터 스트림의 전송이 사용자의 의도와 무관한 것임을 확인한 것에 응답하여, 상기 데이터 스트림이 피싱 앱(app)에 의한 것임을 결정하는 단계;를 더 포함한다.
바람직하게는,
상기 데이터 우회 전송 단계는,
상기 가상 시뮬레이터를 통하여 전송되는 데이터 스트림에 임의의 플래그를 삽입하는 단계;를 더 포함한다.
바람직하게는,
상기 피싱 서버 검출 단계는,
상기 피싱 서버에 저장된 상기 개인 정보를 포함하는 데이터를 검색하는 단계로서, 상기 검색은 삽입된 상기 플래그를 갖는 데이터가 저장된 저장 위치에 대하여 수행되는, 상기 검색하는 단계;를 더 포함한다.
본 발명의 추가 실시예에 따른 개인 정보 보호 시스템은,
피싱 앱을 수집하는 피싱 앱 수집부;
상기 피싱 앱을 디컴파일(decompile)하는 디컴파일링부;
상기 피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 상기 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림의 전송이 상기 가상 시뮬레이터를 거쳐 수행될 수 있도록 조작하는 데이터 전송 우회부로서, 상기 가상 시뮬레이터를 이용하여 상기 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성하는, 상기 데이터 전송 우회부;
상기 가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 상기 피싱 앱의 구조를 디버깅하는 리버싱부; 및
상기 디컴파일링 및 상기 디버깅 결과를 이용하여 상기 피싱 앱이 상기 데이터 스트림을 전송하는 피싱 서버를 검출하는 피싱 서버 검출부;를 포함한다.
바람직하게는, 상기 개인 정보 보호 시스템은,
삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하는 삭제부를 더 포함한다.
바람직하게는, 상기 개인 정보 보호 시스템은,
추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 추가부;를 더 포함한다.
바람직하게는, 상기 개인 정보 보호 시스템은,
삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하고, 상기 개인 정보 삭제 후 추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 삭제 및 추가부;를 더 포함한다.
바람직하게는, 상기 개인 정보 보호 시스템은,
사용자 디바이스에서의 상기 데이터 스트림을 모니터링하는 스트림 분석기; 및
일정 시간을 초과하여 지속적으로 데이터 스트림의 전송이 수행되거나, 임계치 이상의 크기의 데이터 스트림의 전송시 상기 데이터 스트림이 사용자의 의도에 의한 것인지를 프롬프팅(prompting)하고, 상기 데이터 스트림의 전송이 사용자의 의도와 무관한 것임을 확인한 것에 응답하여, 상기 데이터 스트림이 피싱 앱(app)에 의한 것임을 결정하는 피싱 여부 결정부;를 더 포함한다.
바람직하게는,
상기 데이터 전송 우회부는,
상기 가상 시뮬레이터를 통하여 전송되는 데이터 스트림에 임의의 플래그를 삽입하는 플래그 삽입부; 를 포함한다.
바람직하게는, 상기 개인 정보 보호 시스템은,
상기 피싱 서버에 저장된 상기 개인 정보를 포함하는 데이터를 검색부로서, 상기 검색은 삽입된 상기 플래그를 갖는 데이터가 저장된 저장 위치에 대하여 수행되는, 상기 검색부;를 더 포함한다.
본 발명의 개인 정보 보호 방법, 장치 및 시스템에 의하면, 사용자 디바이스가 피싱 앱 등의 악성 코드의 설치 여부를 쉽게 인지할 수 있는 효과를 가진다.
본 발명의 개인 정보 보호 방법, 장치 및 시스템에 의하면, 피싱 앱 등의 악성 코드에 의해 탈취된 개인 정보를 삭제하거나 더미 정보로 바꾸어 개인 정보 탈취에 의한 2차, 3차 피해를 예방할 수 있다.
본 발명의 개인 정보 보호 방법, 장치 및 시스템에 의하면, 사용자 디바이스에 추가적인 부품의 추가 없이 간단한 예방 조치로 추가적인 개인 정보의 탈취를 즉각적인 방지할 수 있는 효과가 있다.
다만, 본 발명의 효과들은 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명에 따른 피싱 피해로부터 개인 정보 보호 방법의 흐름도를 도시한다.
도 2는 본 발명에 따른 피싱 피해로부터 개인 정보 보호 방법의 추적 단계의 흐름도를 개략적으로 도시한다.
도 3은 본 발명에 따른 피싱 피해로부터 개인 정보 보호의 삭제 명령의 실행을 보여주는 도면이다.
도 4는 본 발명에 따른 피싱 피해로부터 개인 정보 보호의 추가 명령의 실행을 보여주는 도면이다.
도 5는 본 발명에 따른 개인 정보 보호 시스템의 개략도를 도시한다.
이하, 본 발명의 실시예와 도면을 참조하여 본 발명을 상세히 설명한다. 이들 실시예는 오로지 본 발명을 보다 구체적으로 설명하기 위해 예시적으로 제시한 것일 뿐, 본 발명의 범위가 이들 실시예에 의해 제한되지 않는다는 것은 당업계에서 통상의 지식을 가지는 자에 있어서 자명할 것이다.
또한, 달리 정의하지 않는 한, 본 명세서에서 사용되는 모든 기술적 및 과학적 용어는 본 발명이 속하는 기술 분야의 숙련자에 의해 통상적으로 이해되는 바와 동일한 의미를 가지며, 상충되는 경우에는, 정의를 포함하는 본 명세서의 기재가 우선할 것이다.
도면에서 제안된 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 그리고, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에서 기술한 "부"란, 특정 기능을 수행하는 하나의 단위 또는 블록을 의미한다.
각 단계들에 있어 식별부호(제1, 제2, 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 실시될 수도 있고 실질적으로 동시에 실시될 수도 있으며 반대의 순서대로 실시될 수도 있다.
도 1은 본 발명에 따른 피싱 피해로부터 개인 정보 보호 방법의 흐름도를 도시한다.
본 발명에 따른 피싱 피해로부터 개인 정보 보호 방법은 피싱 앱 수집 단계(S110), 디컴파일링 단계(S130), 데이터 우회 전송 단계(S150), 리버싱 단계(S170) 및 피싱 서버 검출(S190)을 포함한다.
피싱(phishing) 앱을 수집하는 단계(S110)을 포함한다.
사용자의 디바이스 즉, 핸드폰에 설치되어 있는 피싱 앱을 검출하는 프로세스이다.
본 발명은 사용자 디바이스에서의 피싱 앱, 몸캠 앱등의 악성 앱으로부터 사용자 개인 정보를 보호하기 위한 것이다.
사용자 디바이스는 대표적으로 핸드폰을 예로 들 수 있다. 그러나, 핸드폰에 한정되는 것은 아니며, 휴대용 개인 디바이스 또는 데스크탑 개인 PC를 포함할 수 있다. 사용자 디바이스는 인터넷에 연결될 수 있는 다수의 유형의 정보 처리 디바이스를 포함하는 의미로 이해되어야 한다.
사용자에게 피해를 유발하는 알려진 악성 앱의 종류는 많다. APK 앱은 원래 Android Application Package를 지칭하는 것으로 안드로이드에서 프로그램 형태로 배포되는 형식의 확장자이다. 그러나, 피싱이나 해킹의 목적으로 만들어진 몸캠 APK, 피싱 APK등이 문제이다.
APK 악성코드의 수집은 필요한 내용에 따라 구글에 "android [악성코드 유형] sample"로 검색하거나 다음 콘다지오(contagio) 사이트를 이용한다. 해당 사이트는 보안 전문가가 운영하는 악성 앱이 올라오는 사이트로 사용자에게는 예방, 분석가에게는 새 샘플 분석을 위해 악성 앱을 제공한다.
본 발명에서의 개인 정보는 사용자의 디바이스에 저장된 GPS 위치 정보, 사용자의 전화 번호, 사용자 디바이스의 고유 식별 번호(IMEI:International Mobile Equipment Identity), 사용자 디바이스의 SMS 데이터, 사용자 디바이스에 저장된 사진, 사용자에 디바이스에 저장된 다른 사람의 연락처 등을 포함할 수 있다. 특별히, 사용자의 핸드폰 등에 저장된 주민 번호, 계좌 번호 및 다수의 비밀 번호 등은 사용자에게 직접적이고 실질적인 피해를 가져올 수 있는 유형의 민감한 개인 정보이다.
피싱 앱을 디컴파일(decompile)하는 디컴파일링 단계(S130)를 수행한다.
디컴파일(decompile)이란, 실행 가능한 프로그램 코드를 사람이 읽을 수 있는 고급 프로그래밍 언어로 변환하는 것을 말한다. 간단히 말해 몇몇 프로그램과 apk 파일을 가지고 원본 java 코드를 복원해내는 작업을 하는 것이다. 난독화 등 별도의 보안이 적용되어 있지 않은 한 apk 파일을 분해할 수 있다.
안드로이드 앱(애플리케이션) 설치에 쓰이는 APK 파일은 zip 형태로 묶여 있다. 확장자를 zip으로 바꾸고 압축을 해제하면 앱을 구성하는 소스 파일을 볼 수 있다. 앱은 Java 소스코드로 프로그래밍해 컴파일하면 클래스, 스말리, 덱스 순으로 변환되어 APK 파일이 된다. 디컴파일 도구를 사용하면 역순으로 자바 파일까지 뜯어볼 수 있다.
피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림(stream)의 전송이 가상 시뮬레이터를 거쳐 수행될 수 있도록 하는 데이터 우회 전송 단계(S150)를 포함한다.
전송 경로 중간에 가상 시뮬레이터를 배치함으로써, 피싱 피해 예방을 위한 여러 조작을 데이터 스트림에 수행할 수 있다.
S150의 데이터 우회 전송 단계는 가상 시뮬레이터를 통하여 전송되는 데이터 스트림에 임의의 플래그를 삽입하는 단계 및 가상 시뮬레이터를 이용하여 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성하는 단계를 포함한다.
가상 시뮬레이터를 통하여 전송되는 플래그는 사용자의 개인 정보가 저장되는 피싱 서버의 구체적인 저장 위치를 찾기 쉽도록 하기 위한 조작이다.
즉, 해킹 업자가 저장 위치를 특별히 변경하지 않은 이상 해킹 정보를 서버의 동일한 위치에 저장할 것이라는 것을 예상하여, 플래그가 삽입된 데이터가 저장된 위치를 파악함으로써 쉽고 빠르게 피싱된 또는 해킹된 개인 정보가 저장된 피싱 서버의 위치를 찾을 수 있을 것이다.
본원 발명에서 더미(dummy) 정보라 함은 실제의 사용자 개인 정보와 데이터 포맷(format)은 유사하지만 실제 내용은 전혀 다르거나 불분명한 내용을 갖는 데이터를 지칭한다.
구체적으로, 더미 정보는 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않은 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터, 변조된 피싱 시각 정보, 변조된 고객 단말기의 고유 식별 번호 등을 포함할 수 있다.
가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 피싱 앱의 구조를 디버깅하는 리버싱(reversing) 단계(S170)를 포함한다.
리버싱(reversing)은 리버스(reverse)와 엔지니어링(engineering)의 합성어이다. 줄여서 리버싱(reversing)이라고 한다. 영어 의미 그대로 풀이하면 ‘거꾸로 분석하는 것’을 의미하며, 이미 만들어진 시스템을 역으로 추적하여 처음의 문서나 설계 기법 등의 자료를 얻어 내는 일을 뜻한다.
리버싱 단계의 가상 시뮬레이터를 이용하여 악성 앱을 실행해가며 피싱 서버의 구조를 파악하는 과정은 피싱 앱이 난독화된 경우에도 이용할 수 있는 것으로, S130 단계에서 피싱 앱을 디컴파일 과정 보다는 보다 고급화된 프로세스이다.
가상 환경의 가상 시뮬레이터를 이용하여 안드로이드 기기 에뮬레이터에 직접 악성 앱을 실행해가며 변화 내용 관찰하여 피싱 서버의 구조를 파악하는 과정이다.
피싱 서버 검출 단계(S190)는 디컴파일링 단계 및 리버싱 단계의 결과를 이용하여 피싱 앱이 상기 데이터 스트림을 전송하는 피싱 서버를 검출하는 것을 포함한다.
디컴파일링 및 리버싱 단계를 거쳐 피싱 앱에 의해 피싱된 사용자의 전화, 문자, 주소록, 인터넷 기록, 설치된 앱 정보, 와이파이 정보, 블루투스, 계정정보, IMEI(휴대폰 고유 식별번호) 등의 정보를 확인할 수 있다.
추가로, 디컴파일링 및 리버싱 단계의 결과로부터 APK (Android Package) 파일 소스 코드에서 피싱 서버IP 주소를 찾아낼 수 있다.
피싱 앱이 난독화되지 않은 경우에는 디컴파일링 단계 후에 바로 피싱 서버 IP 주소 등을 검출할 수 도 있으나, 난독화된 경우에는 추가로 리버싱 과정을 수행하여 피싱 서버를 검출할 수 있다.
피싱 서버 검출 단계(S190)에서 피싱 서버의 IP 주소를 획득하고, 해당 서버로 접속하여 관리자(ADMIN) 계정을 해킹한다. 관리자 계정을 이용하여 피싱 서버에 침입할 수 있다.
본원 발명의 개인 정보 보호 방법은 추가로 피싱 서버에 이미 저장된 사용자의 정보를 직접 삭제하거나, 더미 정보로 변조/추가하거나 삭제하고 나서 더미 정보로 변조/추가하는 동작을 수행할 수 있다.
본원 발명의 개인 정보 보호 방법은 피싱 서버에 저장된 개인 정보를 포함하는 데이터를 검색하는 단계를 더 포함할 수 있다. 피싱 서버에 저장된 개인 정보의 검색은 데이터 우회 전송 과정에서 삽입된 플래그를 갖는 데이터가 저장된 저장 위치에 대하여 수행될 수 있다.
본원 발명의 개인 정보 보호 방법은 사용자 디바이스가 피싱 앱 등의 악성 코드의 설치 여부를 쉽게 인지할 수 있다. 피싱 앱의 설치 여부를 인지하기 위하여 스트림 분석 단계, 프롬프팅하는 단계 및 피싱 앱(app)에 의한 것임을 결정하는 단계를 더 포함할 수 있다.
스트림 분석 단계는 사용자 디바이스에서의 임의의 개인 정보를 포함하는 데이터 스트림(stream)을 모니터링한다.
본 발명에서의 데이터 스트림(stream)은 복수의 데이터 또는 데이터 패킷의 전송 또는 전달을 지칭하는 것으로, 주어진 시간당 전송되는 데이터 량은 일정하지 않고 변화할 수 있다. 본 발명에서의 데이터 스트림은 단순히 특정 크기 용량의 데이터 뿐만 아니라 예컨대, 수 분 동안의 지속적인 데이터의 전송을 포함할 수 있다.
프롬프팅하는 단계는 일정 시간을 초과하여 지속적으로 데이터 스트림의 전송이 수행되거나, 임계치 이상의 크기의 데이터 스트림의 전송시 데이터 스트림이 사용자의 의도에 의한 것인지를 프롬프팅한다.
일정 시간은 적절한 시간 기간으로 선택될 수 있으나, 디폴트 값으로 설정될 수도 있다. 특별히, 동영상이나 사진의 송신시에는 장시간 기간 동안 용량이 큰 데이터가 지속적으로 발송되기 때문에 임계치를 초과하는 데이터 스트림의 발생이 유발될 수 있다. 휴대폰을 이용한 사용자의 의도에 의한 데이터의 전송은 비교적 짧은 시간 동안 작은 크기의 데이터 스트림이 수행되는 것이 대부분 인 것에 비하여, 피싱 앱에 의한 데이터 전송은 비교적 장시간 (예를 들어, 수십 초 내지 수분) 동안 비교적 큰 용량의 데이터의 스트림이 발생될 수 있다는 것에 근거한 것이다.
피싱 앱(app)에 의한 것임을 결정하는 단계는 프롬프트에 사용자가 '아니오'를 클릭함으로써 데이터 스트림의 전송이 사용자의 의도와 무관한 것임을 확인한 것에 응답하여, 사용자 디바이스에서의 데이터 스트림이 피싱 앱(app)에 의한 것임을 결정한다.
상기에서 언급한 바와 같이 사용자 디바이스에 피싱 앱의 설치에 대하여 사용자는 쉽게 인지하지 못하는 경우가 대부분이다. 본 발명에서의 데이터 스트림 모니터링을 이용하는 경우에는, 구체적인 데이터의 컨텐츠를 직접 검토해 보지 않고도 피싱 앱의 피싱을 인지할 수 있다는 것에 특징이 있다.
도 2는 본 발명에 따른 피싱 피해로부터 개인 정보 보호 방법의 추적 단계의 흐름도를 개략적으로 도시한다.
본 발명에 따른 개인 정보 보호 방법은 피싱 앱을 분석하여 피싱 서버를 찾고, 피싱 서버에 저장된 사용자의 정보를 삭제하거나 삭제하고 더미(dummy) 정보를 덮어 쓰거나, 또는 삭제 과정 없이 더미 정보로 진짜 사용자 정보를 덮어 써서 피싱 피해를 방지할 수 있다.
본 발명에 따른 개인 정보 보호 방법은 삭제 명령을 수행하여 피싱 서버에 저장된 개인 정보를 삭제하는 삭제 단계(S210)를 더 포함할 수 있다.
삭제 단계에서의 삭제를 수행하기 위해 플래그가 삽입된 데이터가 저장된 위치를 중심으로 피싱 서버를 검색함으로서 삭제할 개인 정보를 빠르게 찾을 수 있다.
본 발명에 따른 개인 정보 보호 방법은 추가 명령을 수행하여 피싱 서버에 저장된 개인 정보를 더미 정보로 교체 및 추가하는 추가 단계(S230)를 더 포함할 수 있다.
본 발명에 따른 개인 정보 보호 방법은 삭제 명령을 수행하여 피싱 서버에 저장된 개인 정보를 삭제하고, 개인 정보 삭제 후 추가 명령을 수행하여 피싱 서버에 저장된 개인 정보를 더미 정보로 교체 및 추가하는 삭제 및 추가 단계(S250)를 더 포함할 수 있다.
도 3은 본 발명에 따른 피싱 피해로부터 개인 정보 보호의 삭제 명령의 실행을 보여주는 도면이다.
도 3은 피싱 서버의 ID :600번 (320)에 저장된 사용자의 피싱 정보를 삭제하고자 하는 실행 과정을 캡처한 화면이다.
본 발명에 따른 피싱 피해로부터 개인 정보 보호의 삭제 명령을 위하여 피싱 서버(310)의 주소가 입력된다.
삭제 명령의 실행을 위하여 해당 서버의 정보 값(330)을 입력한다.
해당 서버의 정보 값(330)은 서버 규격에 해당하는 다음의 값을 포함한다 : Accpt :, Accept language:, Connection :, Cookie :, Referrer :, User-agent :,
Request.
삭제 명령(340)을 실행함으로써 피싱 서버의 ID:600번에 저장된 사용자의 피싱 서버가 삭제된다.
도 4는 본 발명에 따른 피싱 피해로부터 개인 정보 보호의 추가 명령의 실행을 보여주는 도면이다.
도 4는 피싱 피해로부터 개인 정보 보호의 추가 명령의 실행을 캡처한 화면이다.
더미 정보의 추가를 위해 서버 주소(410), 서버 타입(420), 더미 생성 갯수(430) 및 더미 핸드폰 번호(440)를 정보를 입력한다.
요구된 정보 입력을 입력하고 추가 명령을 실행한다.
도 5는 본 발명에 따른 개인 정보 보호 시스템의 개략도를 도시한다.
개인 정보 보호 시스템은 피싱 앱 수집부(510), 디컴파일링부(530), 데이터 우회 전송부(550), 리버싱부(570) 및 피싱 서버 검출부(570)를 포함한다. 추가적으로, 본 발명의 개인 정보 보호 시스템은 삭제부(591), 추가부(592) 및 삭제 및 추가부(593)를 포함한다.
피싱 앱 수집부(510)는 사용자 디바이스 예를 들어, 핸드폰으로부터 피싱 앱을 검출하여 수집한다.
디컴파일링부(530)는 피싱 앱을 디컴파일(decompile)한다.
데이터 우회 전송부(550)는 피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림의 전송이 가상 시뮬레이터를 거쳐 수행될 수 있도록 조작한다.
데이터 전송 우회부(550)는 가상 시뮬레이터를 이용하여 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성한다. 데이터 전송 우회부(550)는 서브 컴포넌트로서 플래그 삽입부(미도시)를 포함할 수 있다. 플래그 삽입부는 가상 시뮬레이터를 통하여 전송되는 데이터 스트림에 임의의 플래그를 삽입한다.
리버싱부(570)는 가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 피싱 앱의 구조를 디버깅한다.
피싱 서버 검출부(570)는 디컴파일링 및 디버깅 결과를 이용하여 피싱 앱이 데이터 스트림을 전송하는 피싱 서버를 검출한다.
또한, 본 발명의 개인 정보 보호 시스템은 삭제부(591), 추가부(592) 및 삭제 및 추가부(593)를 포함한다.
삭제부(591)는 삭제 명령을 수행하여 피싱 서버에 저장된 개인 정보를 삭제한다.
추가부(592)는 추가 명령을 수행하여 피싱 서버에 저장된 개인 정보를 더미 정보로 교체 및 추가한다.
삭제 및 추가부(593)는 삭제 명령을 수행하여 피싱 서버에 저장된 개인 정보를 삭제하고, 개인 정보 삭제 후 추가 명령을 수행하여 피싱 서버에 저장된 개인 정보를 상기 더미 정보로 교체 및 추가한다.
본원 발명의 개인 정보 보호 시스템은 스트림 분석기(미도시) 및 피싱 여부 결정부(미도시)를 더 포함하여, 사용자가 피싱 앱의 설치 여부를 용이하게 인지할 수 있도록 하는 것이 가능하다.
본원 발명의 개인 정보 보호 시스템은 분산 시스템으로 구성될 수도 있다. 일 실시예로서, 스트림 분석기(미도시), 피싱 여부 결정부(미도시)는 별도의 앱 또는 하드웨어 부품으로서 사용자 디바이스에 설치되고, 한편 데이터 우회 전송부(550), 리버싱부(570) 및 피싱 서버 검출부(590)는 별개의 컴포넌트로서 사용자 디바이스와 원격에 위치된 원격 디바이스로 구성될 수 있다.
상기에서 분산 시스템 구성의 일 예는 예시를 위한 것으로, 다른 수정되거나 변형된 시스템의 구성도 가능한 것은 당업자에게 자명하다.
스트림 분석기는 사용자 디바이스(예를 들어, 핸드폰)에서의 임의의 개인 정보를 포함하는 데이터 스트림을 모니터링한다.
모니터링은 특정 앱을 활성화함으로써 수행될 수도 있고, 특정 부품을 핸드폰에 추가함으로써 수행될 수도 있다.
다른 실시예로서, 개인 정보 보호 시스템은 로컬 영역 내에 통합되어 구성될 수 있다.
피싱 여부 결정부는 일정 시간을 초과하여 지속적으로 데이터 스트림의 전송이 수행되거나, 임계치 이상의 크기의 데이터 스트림의 전송시 데이터 스트림이 사용자의 의도에 의한 것인지를 프롬프팅(prompting)하고, 데이터 스트림의 전송이 사용자의 의도와 무관한 것임을 확인한 것에 응답하여, 데이터 스트림이 피싱 앱(app)에 의한 것임을 결정한다.
일 실시예로서, 스트림 분석기, 피싱 여부 결정부를 별도의 앱 또는 하드웨어 부품으로서 사용자 디바이스에 직접 설치한 경우에, 사용자는 자신의 핸드폰에 불법 피싱 앱이 설치된 것을 쉽게 인지할 수 있다.
본원 발명의 개인 정보 보호 시스템은 데이터 검색부(미도시)를 더 포함할 수 있다.
데이터 검색부는 피싱 서버에 저장된 개인 정보를 포함하는 데이터를 검색한다. 데이터 검색부의 검색은 플래그 삽입부에서 삽입된 플래그를 갖는 데이터가 저장된 저장 위치에 대하여 수행될 수 있다. 데이터 검색을 플래그를 갖는 저장 위치로 일단 제한함으로써 개인 정보 삭제, 추가 또는 삭제 및 추가 프로세스 시에 검색 시간을 현저히 줄일 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 명세서에서는 본 발명자들이 수행한 다양한 실시예 가운데 몇 개의 예만을 들어 설명하는 것이나 본 발명의 기술적 사상은 이에 한정하거나 제한되지 않고,당업자에 의해 변형되어 다양하게 실시될 수 있음은 물론이다.

Claims (8)

  1. 개인 정보 보호 방법에 있어서,
    사용자 디바이스에서의 임의의 개인 정보를 포함하는 데이터 스트림(stream)을 모니터링하는 스트림 분석 단계;
    일정 시간을 초과하여 지속적으로 데이터 스트림의 전송이 수행되거나, 임계치 이상의 크기의 데이터 스트림의 전송시 상기 데이터 스트림이 사용자의 의도에 의한 것인지를 프롬프팅하는 단계(prompting);
    상기 데이터 스트림의 전송이 사용자의 의도와 무관한 것임을 확인한 것에 응답하여, 상기 데이터 스트림이 피싱 앱((phishing app)에 의해 발생된 것임을 결정하는 단계;
    상기 피싱 앱을 수집하는 단계;
    상기 피싱 앱을 디컴파일(decompile)하는 디컴파일링 단계;
    상기 피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 상기 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림(stream)의 전송이 상기 가상 시뮬레이터를 거쳐 수행될 수 있도록 하는 데이터 우회 전송 단계로서, 상기 가상 시뮬레이터를 이용하여 상기 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성하는, 상기 우회 전송 단계;
    상기 가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 상기 피싱 앱의 구조를 디버깅하는 리버싱(reversing) 단계; 및
    상기 디컴파일링 단계 및 상기 리버싱 단계의 결과를 이용하여 상기 피싱 앱이 상기 데이터 스트림을 전송하는 피싱 서버를 검출하는 피싱 서버 검출 단계;를 포함하는, 개인 정보 보호 방법.
  2. 청구항 1에 있어서,
    상기 피싱 서버 검출 단계 이후에,
    삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하는 삭제 단계를 더 포함하는, 개인 정보 보호 방법.
  3. 청구항 1에 있어서,
    상기 피싱 서버 검출 단계 이후에,
    추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 추가 단계;를 더 포함하는, 개인 정보 보호 방법.
  4. 청구항 1에 있어서,
    상기 피싱 서버 검출 단계 이후에,
    삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하고, 상기 개인 정보 삭제 후 추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 삭제 및 추가 단계;를 더 포함하는, 개인 정보 보호 방법.
  5. 개인 정보 보호 시스템에 있어서,
    사용자 디바이스에서의 임의의 개인 정보를 포함하는 데이터 스트림을 모니터링하는 스트림 분석기;
    일정 시간을 초과하여 지속적으로 데이터 스트림의 전송이 수행되거나, 임계치 이상의 크기의 데이터 스트림의 전송시 상기 데이터 스트림이 사용자의 의도에 의한 것인지를 프롬프팅(prompting)하고, 상기 데이터 스트림의 전송이 사용자의 의도와 무관한 것임을 확인한 것에 응답하여, 상기 데이터 스트림이 피싱 앱(app)에 의해 발생된 것임을 결정하는 피싱 여부 결정부;
    상기 피싱 앱을 수집하는 피싱 앱 수집부;
    상기 피싱 앱을 디컴파일(decompile)하는 디컴파일링부;
    상기 피싱 앱이 난독화된 경우 가상 시뮬레이터를 생성하고, 상기 피싱 앱에 의한 개인 정보를 포함하는 데이터 스트림의 전송이 상기 가상 시뮬레이터를 거쳐 수행될 수 있도록 조작하는 데이터 전송 우회부로서, 상기 가상 시뮬레이터를 이용하여 상기 개인 정보의 확인을 방지할 수 있는 더미(dummy) 정보를 생성하는, 상기 데이터 전송 우회부;
    상기 가상 시뮬레이터를 통하여 전송되는 데이터 스트림을 인터셉트(intercept)하여, 상기 피싱 앱의 구조를 디버깅하는 리버싱부; 및
    상기 디컴파일링 및 상기 디버깅 결과를 이용하여 상기 피싱 앱이 상기 데이터 스트림을 전송하는 피싱 서버를 검출하는 피싱 서버 검출부;를 포함하는, 개인 정보 보호 시스템.
  6. 청구항 5에 있어서,
    삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하는 삭제부를 더 포함하는, 개인 정보 보호 시스템.
  7. 청구항 5에 있어서,
    추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 추가부;를 더 포함하는, 개인 정보 보호 시스템.
  8. 청구항 5에 있어서,
    삭제 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 삭제하고, 상기 개인 정보 삭제 후 추가 명령을 수행하여 상기 피싱 서버에 저장된 상기 개인 정보를 상기 더미 정보로 교체 및 추가하는 삭제 및 추가부;를 더 포함하는, 개인 정보 보호 시스템.
KR1020220110431A 2022-09-01 2022-09-01 개인 정보 보호 방법, 장치 및 시스템 KR102531240B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220110431A KR102531240B1 (ko) 2022-09-01 2022-09-01 개인 정보 보호 방법, 장치 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220110431A KR102531240B1 (ko) 2022-09-01 2022-09-01 개인 정보 보호 방법, 장치 및 시스템

Publications (1)

Publication Number Publication Date
KR102531240B1 true KR102531240B1 (ko) 2023-05-11

Family

ID=86378995

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220110431A KR102531240B1 (ko) 2022-09-01 2022-09-01 개인 정보 보호 방법, 장치 및 시스템

Country Status (1)

Country Link
KR (1) KR102531240B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256459B1 (ko) 2012-08-20 2013-04-19 주식회사 안랩 피싱 방지 장치 및 방법
KR101710796B1 (ko) * 2015-08-24 2017-02-28 숭실대학교산학협력단 난독화된 모바일 애플리케이션의 식별자 역난독화 장치 및 그 방법
KR102197005B1 (ko) * 2020-07-31 2020-12-30 (주)라바웨이브 피싱 어플리케이션에 의해 유출된 개인정보 보호장치 및 방법
KR102308800B1 (ko) * 2021-03-26 2021-10-06 임한빈 피싱에 의해 유출된 정보 보호 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101256459B1 (ko) 2012-08-20 2013-04-19 주식회사 안랩 피싱 방지 장치 및 방법
KR101710796B1 (ko) * 2015-08-24 2017-02-28 숭실대학교산학협력단 난독화된 모바일 애플리케이션의 식별자 역난독화 장치 및 그 방법
KR102197005B1 (ko) * 2020-07-31 2020-12-30 (주)라바웨이브 피싱 어플리케이션에 의해 유출된 개인정보 보호장치 및 방법
KR102308800B1 (ko) * 2021-03-26 2021-10-06 임한빈 피싱에 의해 유출된 정보 보호 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
이세영 외 5인, ‘APK에 적용된 난독화 기법 역난독화 방안 연구 및 자동화 분석 도구 구현’, 정보보호학회논문지 25권 5호, 2015.10.31, pp.1201-1215 *

Similar Documents

Publication Publication Date Title
Malik et al. CREDROID: Android malware detection by network traffic analysis
RU2595511C2 (ru) Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений
Li et al. Android malware forensics: Reconstruction of malicious events
Sadeghi et al. Analysis of android inter-app security vulnerabilities using covert
KR20150044490A (ko) 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
CN110071924B (zh) 基于终端的大数据分析方法及系统
CN110084064B (zh) 基于终端的大数据分析处理方法及系统
CN113177205B (zh) 一种恶意应用检测系统及方法
Luoshi et al. A3: automatic analysis of android malware
CN112749088B (zh) 应用程序检测方法、装置、电子设备和存储介质
CN108647517B (zh) 一种Android混合应用代码注入的漏洞检测系统及方法
JP5478390B2 (ja) ログ抽出システムおよびプログラム
KR101557455B1 (ko) 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법
Cao et al. Rotten apples spoil the bunch: An anatomy of Google Play malware
Wen et al. An empirical study of sdk credential misuse in ios apps
Choi et al. Large-scale analysis of remote code injection attacks in android apps
KR102531240B1 (ko) 개인 정보 보호 방법, 장치 및 시스템
CN115552401A (zh) 一种快应用检测方法、装置、设备及存储介质
CN111222122A (zh) 应用权限管理方法、装置及嵌入式设备
Zhang et al. Android Application Security: A Semantics and Context-Aware Approach
Zhang et al. Contextual approach for identifying malicious Inter-Component privacy leaks in Android apps
Nikale et al. Comparative analysis of Android application dissection and analysis tools for identifying malware attributes
Koala et al. Analysis of the Impact of Permissions on the Vulnerability of Mobile Applications
Shi et al. A hybrid analysis for mobile security threat detection
Hutchinson et al. A Survey of Privilege Escalation Detection in Android

Legal Events

Date Code Title Description
GRNT Written decision to grant