KR20120090160A - The smart phone comprising anti-virus ability and anti-virus method thereof - Google Patents

The smart phone comprising anti-virus ability and anti-virus method thereof Download PDF

Info

Publication number
KR20120090160A
KR20120090160A KR1020110010409A KR20110010409A KR20120090160A KR 20120090160 A KR20120090160 A KR 20120090160A KR 1020110010409 A KR1020110010409 A KR 1020110010409A KR 20110010409 A KR20110010409 A KR 20110010409A KR 20120090160 A KR20120090160 A KR 20120090160A
Authority
KR
South Korea
Prior art keywords
app
malicious
unit
information
malicious app
Prior art date
Application number
KR1020110010409A
Other languages
Korean (ko)
Other versions
KR101264102B1 (en
Inventor
조성환
Original Assignee
조성환
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 조성환 filed Critical 조성환
Priority to KR1020110010409A priority Critical patent/KR101264102B1/en
Publication of KR20120090160A publication Critical patent/KR20120090160A/en
Application granted granted Critical
Publication of KR101264102B1 publication Critical patent/KR101264102B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • G06F11/0742Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function in a data processing system embedded in a mobile device, e.g. mobile phones, handheld devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Telephone Function (AREA)

Abstract

PURPOSE: A smart phone and a security method thereof having a security function are provided to increase detection efficiency of malicious application by inspecting a digital signature for the distribution of an application. CONSTITUTION: A storing unit(250) stores malicious application detection data including decision basis data and electronic signature information for the detection of a malicious application. A behavior analyzing unit(110) analyzes a function performed by the application based on the decision basis data. A signature detecting unit(140) compares an electronic signature of a developer who develops the application.

Description

보안 기능을 가지는 스마트 폰 및 이의 보안방법{The smart phone comprising anti-virus ability and anti-virus method thereof}Smartphone with security function and its security method {The smart phone comprising anti-virus ability and anti-virus method

본 발명은 보안 기능을 가지는 스마트 폰 및 이의 보안방법에 관한 것으로 특히, 악성앱의 특정정보를 악성앱 데이터베이스와 비교하고, 앱의 권한을 지정된 룰에 의해 판단하는 방법 외에 악성앱이 실제로 수행하는 행위를 분석하고, 앱의 배포를 위해 기록되는 디지털 싸인을 검사하여 악성앱의 검출 및 치료 효율을 향상시킴과 아울러, 유사 정보을 가지는 바이러스 및 피싱 공격을 방지 및 치료가 가능한 보안기능을 가지는 스마트폰 및 이의 보안방법에 관한 것이다.The present invention relates to a smart phone having a security function and a security method thereof, in particular, the act of actually performing the malicious app in addition to the method of comparing the specific information of the malicious app with the malicious app database, and determines the permissions of the app by a specified rule Smart phone and its security function that can prevent and treat viruses and phishing attacks with similar information while improving the efficiency of detection and treatment of malicious apps by inspecting digital signs recorded for distribution of apps. It relates to a security method.

최근, 컴퓨터와 비슷한 기능이 모바일 폰에서 구현될 수 있도록 한 스마트 폰의 개발 및 이용이 활발해지고 있다. 이러한 스마트폰은 컴퓨터와 같이 운영시스템(OS)에 의해 동작하고, 사용자가 필요로 하는 어플리케이션(이하 '앱'이라 함)을 선택하여 스마트폰에 설치할 수 있어 기존의 휴대폰과는 차별화된 기능을 제공한다. 이와 같은 특징으로 인해 많은 사용자들이 자신이 필요로하는 앱을 설치하여 인터넷 뱅킹, 주식투자와 같은 금융서비스, 소셜네트워킹 서비스(SNS), 인터넷 접속, 멀티미디어 서비스 이용과 같은 다양한 목적으로 이용하고 있다.In recent years, the development and use of smart phones, which enable a computer-like function to be implemented in a mobile phone, has become active. These smartphones are operated by the operating system (OS) like a computer, and can be installed on a smartphone by selecting an application (hereinafter referred to as an 'app') that a user needs, thus providing a distinctive feature from a conventional mobile phone. do. Because of these features, many users install their own apps and use them for various purposes such as Internet banking, financial services such as stock investment, social networking services (SNS), Internet access, and multimedia services.

이러한 스마트폰에는 윈도우 모바일, 아이폰 운영체제, 안드로이드 및 기타 일부 운영체제가 설치되어 이용되고 있다. 이 중 안드로이드 운영체제의 경우 운영체제의 정보가 개발자들에게 공개되어 다양한 앱이 개발되어 배포될 수 있는 환경을 제공하여 시장 점유율이 급격히 상승되고 있다. 또한, 이와 함께 이러한 스마트폰 특히 운영체제의 장점을 악용하는 사례도 기하 급수적으로 증가하고 있다.These smartphones come with Windows Mobile, the iPhone operating system, Android, and some other operating systems. In the case of the Android operating system, the market share of the operating system is rapidly increasing because the information of the operating system is disclosed to the developers to provide an environment in which various apps can be developed and distributed. In addition, the number of cases of exploiting the advantages of such a smartphone, especially the operating system is increasing exponentially.

대표적인 것으로 기존 컴퓨터에서와 같이 바이러스, 피싱(fishing)과 같은 악성프로그램의 확신을 예로 들 수 있다. 하지만, 스마트 폰에서의 악성프로그램은 기존의 컴퓨터 환경에서 발견되는 악성프로그램과는 다소 다른 특징을 가진다. 구체적으로 이들을 비교하면, 기존 컴퓨터 환경에서는 바이러스가 시스템을 파괴하거나 무용하게 만들기 위해 쓰기(Write) 연산을 증가시켜 컴퓨터 시스템의 부하를 크게 증가시키는 것을 주된 특징으로 한다. 반면에 스마트폰에서는 기존 컴퓨터 시스템에서와 같은 형태의 바이러스가 생존 및 번식하기 어려운 구조로 인해 정상적인 앱으로 위장하여 사용자가 인식하지 못하는 사이에 악의적인 기능을 수행하는 형태로 만들어지고 있다. 스마트 폰의 경우 금융정보, 신상정보와 같은 개인정보가 많이 저장되어 있고, 스마트 폰 자체로 복잡한 인증과정 없이 과금되는 서비스를 이용할 수 있는 경우가 많다. 때문에, 스마트 폰을 대상으로 만들어지는 바이러스의 경우 개인정보의 유출 목적, 사용자의 인가 없는 과금을 위한 읽기연산(read) 위주의 기능을 가지도록 개발되고 있다.A typical example is the confidence of malicious programs such as viruses and phishing, as in conventional computers. However, malicious programs in smart phones have somewhat different characteristics from malicious programs found in existing computer environments. Specifically, in comparison with the conventional computer environment, the main feature is that the virus increases the load of the computer system by increasing the write operation in order to destroy or use the system. On the other hand, in the smartphone, the virus of the same type as in a conventional computer system is disguised as a normal app due to a structure that is difficult to survive and reproduce, and is being made to perform malicious functions without the user's recognition. In the case of a smart phone, a lot of personal information such as financial information and personal information is stored, and the smart phone itself can often use a service that is charged without a complicated authentication process. Therefore, in the case of a virus made for a smartphone, it has been developed to have a read-oriented function for the purpose of personal information leakage and charging without the user's permission.

최근에 이러한 스마트 폰 바이러스의 출현으로 인해 컴퓨터 시스템을 위한 바이러스 백신 개발/공급업체 또는 개발자에 의해 스마트 폰용 바이러스 백신을 개발하여 제공하고 있다. 하지만, 스마트 폰과 컴퓨터 시스템의 차이점을 고려하지 않고 컴퓨터 시스템용 백신을 답습하는 형태로 백신이 개발되어 스마트 폰에서 보안성은 여전히 안정적이지 못하고 취약한 실정이다. 일례로 기존에 개발된 스마트 폰용 바이러스 백신은 악성앱의 특정 정보를 기존 악성앱 데이터베이스와 비교하여 바이러스를 검출하거나, 스마트 폰에서의 민감한 행위 즉, 외장메모리 포맷, 과금 서비스 이용, 개인정보의 외부 전송과 같은 앱이 가지는 권한만을 지정된 룰에 맞춰 판단하고 판단결과에 따라 바이러스 인식하여 대처하는 수준이다. 때문에, 이를 회피하도록 개발된 바이러스의 경우 백신에 의한 검출 및 치료가 불가능한 문제점이 있다. 즉, 스마트 폰의 특징에 맞게 개발되어 스마트 폰의 보안성을 향상시킬 수 있는 보안제공방법의 개발이 절실한 실정이다.
Recently, due to the emergence of smartphone viruses, antivirus for smartphones has been developed and provided by antivirus developers / vendors or developers for computer systems. However, since the vaccine was developed in the form of following the vaccine for the computer system without considering the difference between the smartphone and the computer system, the security of the smartphone is still not stable and vulnerable. For example, the previously developed antivirus for smartphones can detect viruses by comparing specific information of malicious apps with existing malicious app databases, or use sensitive behaviors such as external memory format, billing service, and external transmission of personal information on smartphones. Only the permissions of the app, such as judges according to the specified rule, and the level of recognition and dealing with the virus according to the determination result. Therefore, in the case of a virus developed to avoid this, there is a problem in that detection and treatment by a vaccine are impossible. That is, the development of a security providing method that can be developed according to the characteristics of the smart phone to improve the security of the smart phone is urgently needed.

따라서, 본 발명의 목적은 악성앱의 특정정보를 악성앱 데이터베이스와 비교하고, 앱의 권한을 지정된 룰에 의해 판단하는 방법 외에 악성앱이 실제로 수행하는 행위를 분석하고, 앱의 배포를 위해 기록되는 디지털 싸인을 검사하여 악성앱의 검출 및 치료 효율을 향상시킴과 아울러, 유사 정보을 가지는 바이러스 및 피싱 공격을 방지 및 치료가 가능한 보안기능을 가지는 스마트폰 및 이의 보안방법을 제공하는 것이다.Accordingly, an object of the present invention is to compare specific information of a malicious app with a malicious app database, analyze the actions actually performed by the malicious app in addition to the method of judging the permission of the app by a specified rule, and record the distribution of the app. In addition to improving the efficiency of detection and treatment of malicious apps by inspecting digital signatures, a smartphone and a security method having security functions capable of preventing and treating viruses and phishing attacks with similar information are provided.

상기 목적을 달성하기 위하여 본 발명에 따른 보안기능을 가지는 스마트 폰은 운영체제와, 상기 운영체제에 어플리케이션을 부가하여 설치되는 앱을 포함하며 상기 앱 중 악성앱을 검출하는 스마트 폰에 있어서, 복수의 상기 앱 및 상기 악성앱의 검출을 위한 판단근거데이터 및 전자싸인정보를 포함하는 악성앱 검출 데이터가 저장되는 저장부; 상기 악성앱의 검출을 위해 상기 판단근거데이터를 이용하여 상기 앱의 실행시 상기 앱에 의해 수행되는 기능을 분석하여 상기 앱의 악성앱 여부를 판단하는 행위분석부 및 상기 앱을 개발한 개발자의 전자싸인을 상기 전자싸이정보와 비교하여 상기 앱의 악성앱 여부를 판단하는 싸인검출부를 포함하는 제어부;를 포함하여 구성된다.In order to achieve the above object, a smartphone having a security function according to the present invention includes an operating system and an app installed by adding an application to the operating system, wherein the smartphone detects a malicious app among the plurality of apps. And a storage unit for storing malicious app detection data including determination basis data and electronic signature information for detecting the malicious app. Behavior analysis unit for determining whether the app is a malicious app by analyzing the function performed by the app when the app is executed using the determination evidence data to detect the malicious app and the electronics of the developer who developed the app And a control unit including a sign detection unit that determines whether the app is a malicious app by comparing the sign with the electronic sign information.

상기 악성앱 검출데이터는 이전의 상기 악성앱에 대한 기본정보가 기록된 악성앱 정보 및 상기 앱의 권한에 따른 악성앱 판단을 위한 정보를 포함하는 권한정보를 더 포함하여 구성되고, 상기 제어부는, 상기 악성앱 정보와 상기 앱의 기본정보를 비교하여 상기 앱의 악성앱 여부를 판단하는 앱검사부; 상기 앱에 선언된 권한을 상기 권한정보에 따라 비교하여 상기 앱의 악성앱 여부를 판단하는 권한분석부;를 더 포함하여 구성된다.The malicious app detection data further includes permission information including malicious app information in which basic information about the malicious app was previously recorded and information for determining a malicious app according to the permission of the app, wherein the controller includes: An app inspecting unit comparing the malicious app information with basic information of the app to determine whether the app is a malicious app; And a permission analyzer for comparing the permission declared in the app according to the permission information to determine whether the app is a malicious app.

상기 스마트 폰은 네트워크 또는 타 장치와의 통신채널 형성을 위한 무선통신부; 사용자의 명령, 음성 및 영상 중 어느 하나 이상의 입력을 위한 입력부; 상기 스마트 폰의 상태, 위치, 방위, 가속/감속 및 물체 근접여부 중 어느 하나 이상을 감지하기 위한 감지부; 상기 앱의 실행에 따른 결과를 출력하는 출력부; 및 상기 스마트폰의 동작을 위한 전원을 공급하는 전원부; 중 어느 하나 이상을 구비하는 단말기능부를 더 포함하여 구성된다.The smart phone wireless communication unit for forming a communication channel with the network or other devices; An input unit for inputting any one or more of a user's command, voice, and video; A sensing unit for sensing any one or more of the state, position, orientation, acceleration / deceleration, and proximity of the smart phone; An output unit for outputting a result according to the execution of the app; And a power supply for supplying power for the operation of the smartphone; It further comprises a terminal capability unit having any one or more of them.

상기 제어부는, 상기 앱검사부, 상기 싸인검출부, 상기 행위분석부 및 상기 권한분석부 중 어느 하나 이상으로부터 제공되는 상기 악성앱 검출결과를 상기 출력부를 통해 출력하며, 상기 검출결과는 검출된 상기 악성앱의 처리를 사용자로 하여금 결정하도록 하는 선택항목을 포함한다.The control unit outputs the malicious app detection result provided from any one or more of the app inspecting unit, the sign detection unit, the behavior analysis unit, and the authority analysis unit through the output unit, and the detection result is the detected malicious app. It includes an option that allows the user to determine the processing of.

본 발명에 따른 스마트 폰의 보안방법은 운영체제와, 상기 운영체제에 어플리케이션을 부가하여 설치되는 복수의 앱을 포함하며 상기 앱 중 악성앱을 검출하는 스마트 폰의 보안방법에 있어서, 상기 악성앱의 검출을 위한 판단근거데이터 및 상기 앱을 제작한 개발자의 전자싸인정보를 포함하는 악성앱 검출데이터를 작성되어 상기 스마트 폰의 저장부에 저장되는 단계; 상기 스마트폰의 제어부가 상기 스마트 폰에 설치 또는 설치 대기 중인 상기 앱을 확인하는 단계; 상기 제어부에 의해 상기 앱이 악성앱인지 여부를 검사하기 위한 검사가 실행되는 검사실행단계; 상기 제어부에 의해 상기 검사실행에 따라 상기 악성앱의 검출여부를 판단하는 검출여부 판단단계; 및 상기 제어부가 검출된 상기 악성앱을 치료하는 악성앱처리단계;을 포함하여 구성되고, 상기 검사실행단계는 상기 제어부의 행위분석부가 상기 스마트 폰에 설치되어 실행되는 상기 앱이 수행하는 기능을 분석하고, 상기 분석결과를 상기 판단근거데이터와 비교하는 행위분석단계, 또는 상기 제어부의 싸인검출부가 상기 앱에 포함된 전자싸인과 상기 전자싸인정보를 비교하여 상기 앱의 상기 개발자가 상기 악성앱 제작 이력이 있는지 분석하는 싸인확인단계를 포함하여 구성된다.The security method of a smart phone according to the present invention includes an operating system and a plurality of apps installed by adding an application to the operating system, and in the security method of a smart phone detecting a malicious app among the apps, detecting the malicious app. Creating malicious app detection data including judgment basis data for the electronic signature and the electronic signature information of the developer who produced the app and stored in the storage unit of the smart phone; Checking, by the controller of the smartphone, the app that is installed or waiting to be installed on the smartphone; A test execution step of executing a test for checking whether the app is a malicious app by the controller; A detection or not determining step of determining whether the malicious app is detected according to the test execution by the controller; And a malicious app processing step of treating the malicious app detected by the controller; wherein the execution of the test is performed by the behavior analysis unit of the controller to analyze a function performed by the app installed and executed on the smart phone. A behavior analysis step of comparing the analysis result with the determination basis data, or a signature detection unit of the control unit compares the electronic signature included in the app with the electronic signature information and the developer of the app makes the malicious app production history; It consists of a sign verification step of analyzing if there is any.

상기 악성앱 검출데이터는 이전의 상기 악성앱에 대한 기본정보가 기록된 악성앱 정보 및 상기 앱의 권한에 따른 악성앱 판단을 위한 정보를 가지는 권한정보를 더 포함하여 구성되고, 상기 검사실행단계는 상기 제어부의 앱검사부가 상기 악성앱정보와 상기 앱의 기본정보를 비교하여 상기 앱의 악성앱 여부를 판단하는 앱분석단계; 또는 상기 제어부의 권한분석부가 상기 앱에 선언된 권한을 상기 권한정보와 비교하여 상기 앱의 악성앱 여부를 판단하는 권한분석단계;를 더 포함하여 구성된다.The malicious app detection data further includes the malicious app information in which basic information about the malicious app is recorded and the permission information having information for determining the malicious app according to the permission of the app, wherein the execution of the scan is performed. An app analysis step of determining whether the app is malicious by comparing the malicious app information with basic information of the app; Or a permission analysis step of determining whether the app is a malicious app by comparing a permission declared by the control unit with the permission information of the app with the permission information.

상기 검출여부 판단단계 또는 상기 악성앱 처리단계는 상기 앱검사부, 상기 싸인검출부, 상기 행위분석부 및 상기 권한분석부 중 어느 하나 이상으로부터 제공되는 상기 악성앱 검출결과를 상기 출력부를 통해 출력하는 단계와 상기 검출결과는 검출된 상기 악성앱의 처리를 사용자로 하여금 결정하도록 하는 선택항목을 출력하는 단계를 더 포함한다.The detecting whether the detection step or the malicious app processing step is the step of outputting the malicious app detection result provided from any one or more of the app inspection unit, the sign detection unit, the behavior analysis unit and the permission analysis unit through the output unit; The detection result may further include outputting a selection item for allowing a user to determine the processing of the detected malicious app.

본 발명에 따른 보안기능을 가지는 스마트폰 및 이의 보안방법은 악성앱의 특정정보를 악성앱 데이터베이스와 비교하고, 앱의 권한을 지정된 룰에 의해 판단하는 방법 외에 악성앱이 실제로 수행하는 행위를 분석하고, 앱의 배포를 위해 기록되는 디지털 싸인을 검사하여 악성앱의 검출 및 치료 효율을 향상시킴과 아울러, 유사 정보을 가지는 바이러스 및 피싱 공격을 방지 및 치료가 가능하다.Smartphones and security methods having a security function according to the present invention compares the specific information of the malicious app with the malicious app database, and analyzes the actual behavior of the malicious app in addition to the method of judging the permissions of the app by a specified rule. In addition, the digital signatures recorded for distribution of the app can be inspected to improve the efficiency of detecting and treating malicious apps, and to prevent and treat viruses and phishing attacks with similar information.

도 1은 본 발명에 따른 보안기능을 가지는 스마트 폰의 구성을 도시한 예시도.
도 2는 본 발명에 따른 악성앱 검출방법을 도시한 순서도.1 is an illustration showing the configuration of a smart phone having a security function according to the present invention.
Figure 2 is a flow chart illustrating a malicious app detection method according to the present invention.

이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 당해 분야의 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 설명하기로 한다. 첨부된 도면들에서 구성에 표기된 참조번호는 다른 도면에서도 동일한 구성을 표기할 때에 가능한 한 동일한 도면번호를 사용하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어 관련된 공지의 기능 또는 공지의 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고 도면에 제시된 어떤 특징들은 설명의 용이함을 위해 확대 또는 축소 또는 단순화된 것이고, 도면 및 그 구성요소들이 반드시 적절한 비율로 도시되어 있지는 않다. 또한, 장치 또는 요소의 방향에 있어서, 전후좌우, 상하, 종횡은 본 발명의 설명을 용이하게 하기 위한 것으로 관련된 장치 또는 요소가 특정 방향을 가져야 함을 의미하지 않는다. 아울러, "제1", "제2"와 같은 용어는 설명의 편의를 위해 사용되는 것으로 상세한 설명 및 청구항들에서 상대적인 주요성 또는 취지 또는 순서를 의미하는 것은 아니다. 이러한 사항은 당업자라면 이에 대한 상세 사항들을 쉽게 이해할 것이다.Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. In the accompanying drawings, it should be noted that the same reference numerals are used in the drawings to designate the same configuration in other drawings as much as possible. In addition, in describing the present invention, when it is determined that a detailed description of a related known function or known configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. And certain features shown in the drawings are enlarged or reduced or simplified for ease of description, the drawings and their components are not necessarily drawn to scale. In addition, in the direction of the device or element, front and rear, right and left, up and down, vertical and horizontal do not mean that the associated device or element should have a specific direction to facilitate the description of the present invention. In addition, terms such as “first” and “second” are used for convenience of description and do not mean a relative majority or spirit or order in the detailed description and the claims. Such matters will be readily understood by those skilled in the art.

한편, 본 발명에 따른 스마트 폰은 다양한 형태로 구현될 수 있으며, 노트북 컴퓨터, 이북리더, 디지털방송용 단말기, 휴대용 멀티미디어 플레이어 및 이의 등가장치를 포함한다. 특히, 본 발명에서 지칭하는 스마트 폰은 스마트 폰의 동작을 위한 운영시스템이 설치되고, 이러한 운영시스템을 기반으로 사용자가 필요로하는 어플리케이션(이하 '앱'이라 함)을 설치하여 사용자의 편의에 따라 사용할 수 있는 기능을 가진 휴대용 단말기를 지칭한다. Meanwhile, the smart phone according to the present invention may be implemented in various forms, and includes a notebook computer, an e-book reader, a digital broadcasting terminal, a portable multimedia player, and an equivalent device thereof. In particular, the smart phone referred to in the present invention is installed with an operating system for the operation of the smart phone, based on the user's convenience by installing an application (hereinafter referred to as "app") that the user needs based on the operating system Refers to a portable terminal having a usable function.

또한 본 발명에서 악성앱 또는 바이러스는 악성앱으로 통칭하며, 스마트 폰의 데이터를 파괴하거나, 사용자가 원하지 않는 스마트 폰의 과부하를 유도하여 스마트 폰의 기능 상실, 손상을 야기하거나, 사용자가 원하지 않는 정보의 외부 유출 및 사용자가 원하지 않는 과금서비스의 무단이용을 야기하는 프로그램 또는 코드를 의미한다.
In addition, in the present invention, a malicious app or a virus is collectively referred to as a malicious app, and destroys data on a smartphone, or induces an overload of a smartphone that is not desired by a user, resulting in loss of function or damage to the smartphone, or information desired by the user. Means a program or code that causes an external leak of a user and unauthorized use of a billing service that the user does not want.

도 1은 본 발명에 따른 보안기능을 가지는 스마트 폰의 구성을 도시한 예시도이다.1 is an exemplary view showing the configuration of a smart phone having a security function according to the present invention.

도 1을 참조하면, 본 발명에 따른 보안기능을 가지는 스마트 폰은 제어부(100), 단말기능부(200) 및 저장부(250)를 포함하여 구성된다. 한편, 본 발명의 상세한 설명에 있어서, 도 1은 다양한 형태의 스마트 폰 중 일례로써의 구성이며, 도시된 구성요소가 필수 구성요소를 도시한 것은 아니다. Referring to FIG. 1, a smart phone having a security function according to the present invention includes a control unit 100, a terminal function unit 200, and a storage unit 250. Meanwhile, in the detailed description of the present invention, FIG. 1 is a configuration as an example of various types of smart phones, and the illustrated components do not show essential components.

제어부(100)는 단말기능부(200)를 제어하여 스마트 폰에 의해 제공되는 기능을 사용자가 이용할 수 있게 각 기능을 제어한다. 또한, 이러한 과정에서 제어부(100)는 외부에서 설치되는 앱 또는 통신망에 의한 인터넷 또는 외부 장치 접속시 감염될 수 있는 악성앱을 검출하고, 검출된 악성앱에 대한 정보를 사용자에게 통보하거나 미리 정해진 절차에 의해 제거하는 역할을 한다. 이를 위해 제어부(100)는 악성앱의 판단정보가 저장된 저장부(250)로부터 악성앱에 대한 데이터를 제공받아 새로 설치되는 앱의 기본정보, 실행상태, 권한을 비교하고, 비교결과에 따라 악성앱 여부를 판단하게 된다. 이러한 제어부(100)는 악성앱을 검출하고 검출된 악성앱에 대한 처리를 수행하는 행위분석부(110), 권한분석부(120), 앱검사부(130) 및 싸인검출부(140)를 포함하여 구성된다. 이러한 행위분석부(110), 권한분석부(120), 앱검사부(130) 및 싸인검출부(140)는 하나의 패키지화 된 앱형태로 스마트 폰에 설치되어 이용될 수도 있다.The controller 100 controls the terminal function unit 200 to control each function so that a user can use the function provided by the smart phone. In addition, in this process, the control unit 100 detects a malicious app that may be infected when an externally installed app or a communication network accesses the Internet or an external device, and notifies the user of information about the detected malicious app or a predetermined procedure. Serves to remove by. To this end, the control unit 100 receives data on the malicious app from the storage unit 250 in which the judgment information of the malicious app is stored, compares basic information, execution status, and permissions of the newly installed app, and compares the malicious app according to the comparison result. It will be judged. The controller 100 includes a behavior analyzer 110, a permission analyzer 120, an app inspector 130, and a sign detector 140 that detect malicious apps and perform processing on the detected malicious apps. do. The behavior analysis unit 110, the authority analysis unit 120, the app inspection unit 130 and the sign detection unit 140 may be installed and used in a smartphone in the form of a packaged app.

행위분석부(110)는 설치된 앱이 구동되면서 수행하는 실제 프로세스를 감시하고, 감시상태에서 사용자 정보 접근, 과금 서비스의 접속과 같은 민감한 행위를 수행하는지 여부를 판단하게 된다. 이를 위해 저장부(250)에는 앱의 행위에 따른 위험도를 나타내는 데이터와 위험도를 산출하여 악성앱 여부를 판단하는 판단근거 데이터가 저장되며, 행위분석부(110)는 판단근거 데이터에 따라 앱의 행위를 판단하여 악성앱 여부를 판단하게 된다. 그리고, 행위분석부(110)는 악성앱으로 판단되면 단말기능부(200)의 출력부(260)를 통해 악성앱으로 판단되는 앱이 존재하며, 해당 앱을 악성앱으로 판단한 이유를 출력하여 제공하게 된다. 또한, 행위분석부(110)는 이때 사용자가 대응을 선택할 수 있는 선택항목을 제공하여, 사용자에 의해 해당 앱의 유지 또는 삭제를 선택하도록 하는 것이 가능하다. The behavior analysis unit 110 monitors the actual process that is performed while the installed app is running, and determines whether to perform a sensitive action such as accessing user information and accessing a billing service in the monitoring state. To this end, the storage unit 250 stores the data representing the risk according to the behavior of the app and the determination basis for determining whether the malicious app is malicious by calculating the risk, and the behavior analyzer 110 determines the behavior of the app according to the determination basis. It will determine whether the malicious app. And, if the behavior analysis unit 110 is determined to be a malicious app, there is an app that is determined to be a malicious app through the output unit 260 of the terminal function unit 200, and outputs the reason for determining the app as a malicious app. Done. In addition, the behavior analysis unit 110 may provide a selection item for the user to select a corresponding response, so that the user may select to maintain or delete the app.

권한분석부(120)는 대상 앱이 개인정보를 유출, 무단 과금 서비스 이용, 스마트 폰의 기능 소손을 야기할 수 있는 권한을 선언하고 있는지 검사하여, 판단결과에 따라 대응하게 된다. 스마트폰의 운영체제 중 안드로이드의 경우 앱 개발자로 하여금 앱의 설치 및 실행을 위해 스마트폰의 기능을 사용할 수 있는 권한을 선언하도록 되어 있다. 때문에 권한분석부(120)는 앱의 기본정보 중 권한 정보를 확인하고, 이를 미리 저장부(250)에 저장된 권한판단정보와 비교하여, 위험적인 행동을 할 수 있는 조건을 충족하는 경우 이를 행위분석부(110)와 마찬가지로 사용자에게 통지하게 된다. 예를 들어, 권한분석부(120)는 새로 설치되는 앱이 개인정보 읽기/수정, 과금 서비스 접근와 같은 민간한 행위를 자유롭게 수행할 수 있는 권한을 가지는 경우 이러한 권한 정보를 사용자에게 제공하고 정상앱인지 악성앱인지를 확인하도록 할 수 있다. 또한, 사용자의 판단에따라 권한분석부(120)는 해당 앱의 설치를 진행하거나 설치된 앱을 계속 사용할 수 있게 하거나, 삭제하여 제거하는 것이 가능하다.The authority analyzing unit 120 checks whether the target app is declaring a right to cause personal information leakage, unauthorized billing service use, or a function loss of the smart phone, and responds according to the determination result. Android, among the operating systems of smartphones, allows app developers to declare permission to use smartphone features to install and run apps. Therefore, the permission analysis unit 120 checks the permission information of the basic information of the app, and compares it with the permission judgment information stored in the storage unit 250 in advance, and if it meets the conditions for dangerous behavior, this behavior analysis Like the unit 110, the user is notified. For example, the permission analysis unit 120 provides the user with such permission information when the newly installed app has a right to freely perform private acts such as reading / modifying personal information and accessing a billing service, and whether the app is a normal app. You can check whether it is a malicious app. In addition, according to the judgment of the user, the permission analysis unit 120 may proceed with the installation of the corresponding app or continue to use the installed app, or may be removed by deleting.

앱검사부(130)는 앱의 패키지명과 같은 기본정보를 미리 작성되어 저장부(250)에 저장된 악성앱 정보와 비교하여, 악성앱 정보에 기록된 앱인지 여부를 판단한다. 또한, 앱검사부(130)는 판단결과에 따란 악성앱이라고 판단되면, 미리 정해진 악성앱의 처리 절차에 따라 사용자에게 악성앱 발견에 따른 정보를 제공하고, 그에 따른 사용자의 확인 과정을 거쳐 악성앱을 제거하게 된다. The app inspecting unit 130 determines whether the app is recorded in the malicious app information by comparing basic information, such as the package name of the app, with previously prepared malicious information stored in the storage unit 250. In addition, if it is determined that the malicious app based on the determination result, the app inspecting unit 130 provides the user with information regarding the discovery of the malicious app according to a predetermined process of processing the malicious app, and accordingly confirms the malicious app by the user. Will be removed.

싸인검출부(130)는 앱에 기록된 개발자의 전자싸인을 악성앱 정보와 비교하여 악성앱 여부를 판단하고, 그에 따른 처리를 수행한다. 이러한 싸인검출부(130)는 과거에 악성앱으로 판단된 개발자가 변종앱을 개발하여 배포함으로써 권한분석, 기본정보 비교를 통해 검출되지 않는 악성앱을 검출하는 역할을 한다. 즉, 싸인검출부(130)는 앱개발자가 앱의 배포를 위해 수행하는 디지털사인 정보를 추출하고, 이를 과거의 악성앱 개발자 정보와 비교함으로써, 동일한 개발자에 의해 개발된 앱의 위험도를 사전 공지함으로써 악성앱의 설치 및 이용을 방지하게 된다. 이를 위해 싸인검출부(130)는 악성앱 정보와 앱의 전자싸인 정보를 비교하고 비교결과에 따라 악성앱 정보에 기록된 전자싸인 정보와 앱의 전자싸인 정보가 일치하는 경우 이를 사용자에게 공지하고 앱의 제거와 같은 후처리를 수행하게 된다. 특히, 싸인검출부(130)는 사용자에게 악성앱 개발 이력이 있는 전자싸인의 개발자 정보와 해당 악성앱의 정보를 제공함으로써 미리 사용자가 악성앱의 사용에 따른 피해 정도를 예측하고 그에 따라 악성앱의 이용 여부를 결정하도록 하는 것이 가능하다.The sign detection unit 130 compares the developer's electronic signature recorded in the app with malicious app information to determine whether the app is a malicious app, and performs the processing accordingly. The sign detection unit 130 detects malicious apps that are not detected through permission analysis and basic information comparison by developing and distributing variant apps determined by the developer as malicious apps in the past. That is, the sign detection unit 130 extracts the digital sign information that the app developer performs to distribute the app, and compares the information with the past malicious app developer information, thereby pre-notifying the risk of the app developed by the same developer. This prevents the installation and use of the app. To this end, the sign detection unit 130 compares the malicious app information with the electronic sign information of the app and if the electronic sign information recorded in the malicious app information matches the electronic sign information of the app according to the comparison result to the user and the Post-processing such as removal is performed. In particular, the sign detection unit 130 provides the user with the developer information of the electronic sign that has a history of malicious app development and the information of the malicious app in advance to predict the degree of damage caused by the user's use of the malicious app and accordingly use the malicious app. It is possible to make a decision.

단말기능부(200)는 스마트폰의 각종 기능을 수행하며, 이를 위한 각종 구성이 포함된다. 일례로 단말기능부(200)는 도 1에 도시된 바와 같이 무선통신부(210), 입력부(220), 감지부(230), 인터페이스부(240), 출력부(260) 및 전원부(270)을 포함하여 구성된다. 이러한 단말기능부(200)의 구성은 일례로써 도시한 것으로 이외에도 다양한 구성이 추가되거나 생략되어 구성될 수 있다.The terminal function unit 200 performs various functions of the smartphone, and includes various configurations for this. For example, the terminal function unit 200 may include the wireless communication unit 210, the input unit 220, the sensing unit 230, the interface unit 240, the output unit 260, and the power supply unit 270 as shown in FIG. 1. It is configured to include. The configuration of the terminal function unit 200 is illustrated as an example and various configurations may be added or omitted.

무선통신부(210)는 스마트폰과 무선 통신시스템 또는 장치 간의 무선통신을 위한 구성을 포함하여 구성된다. 예를들어 무선통신부(210)는 방송 수신부, 이동통신부, 무선통신부, 근거리데이터통신부, 위치정보 수신부와 같은 구성을 포함할 수 있다. 방송수신부는 방송 주파수를 수신하며, 이러한 방송수신부의 종류에 따라 위성 방송, 지상파 방송, 라디오를 수신할 수 있다. 이동통신부는 이동통신 시스템(또는 네트워크)와 연결되어 이동통신시스템을 통해 음성통화 또는 데이터통신을 수행한다. 무선통신부는 이동통신시스템을 통한 데이터통신과는 달리 무선랜, 와이브로와 같은 회선과 연결되어 데이터 통신을 수행한다. 또한, 근거리데이터통신부는 블루투스, 근거리 적외선 통신를 이용하여 주변의 장치 또는 시스템과 통신을 수행하여 외부의 데이터를 수신하거나, 스마트폰의 데이터를 외부에 전달하는 역할을 한다. 그리고, 위치정보수신부는 위성 또는 이동통신 시스템의 기지국과 같은 지표장치로부터 전달되는 위치정보를 수신하여 스마트폰의 현재위치에 관한 정보를 작성한다. 이러한 무선통신부는 외부와 스마트폰간의 데이터 송신 또는 수신을 담당하여 스마트폰이 외부 시스템과 연결되도록 하고, 연결에 의해 각종 서비스를 이용할 수 있게 한다.The wireless communication unit 210 is configured to include a configuration for wireless communication between a smartphone and a wireless communication system or device. For example, the wireless communication unit 210 may include a configuration such as a broadcast receiving unit, a mobile communication unit, a wireless communication unit, a short range data communication unit, and a location information receiving unit. The broadcast receiver receives a broadcast frequency, and may receive satellite broadcast, terrestrial broadcast, and radio according to the type of the broadcast receiver. The mobile communication unit is connected to a mobile communication system (or a network) to perform voice call or data communication through the mobile communication system. Unlike the data communication through the mobile communication system, the wireless communication unit is connected to a line such as a wireless LAN and WiBro to perform data communication. In addition, the short-range data communication unit communicates with a nearby device or system using Bluetooth or near-infrared communication, and receives external data or transmits data of the smart phone to the outside. The location information receiver receives location information transmitted from an indicator device such as a base station of a satellite or mobile communication system and creates information on the current location of the smartphone. The wireless communication unit is responsible for data transmission or reception between the outside and the smart phone so that the smart phone is connected to the external system, and by using a variety of services by the connection.

입력부(220)는 사용자가 단말기의 동작 제어를 위한 입력 데이터를 발생시키는 사용자 입력부와 각종 영상, 음향을 수집하는 카메라 및 마이크를 포함하여 구성될 수 있다. 사용자입력부는 키패드, 돔 스위치, 터치 패드, 조그 휠, 조그 스위치, 트랙볼, 광학 트랙볼, 각종 버튼으로 구성될 수 있다. 아울러 사용자입력부는 출력부(260)의 스크린 상에 구현될 수 있다.The input unit 220 may include a user input unit for generating input data for controlling the operation of the terminal, a camera and a microphone for collecting various images and sounds. The user input unit may include a keypad, a dome switch, a touch pad, a jog wheel, a jog switch, a track ball, an optical track ball, and various buttons. In addition, the user input unit may be implemented on the screen of the output unit 260.

감지부(230)는 스마트폰의 각종 상태를 감지하여 스마트폰이 감지결과에 따라 지정된 기능을 수행하거나, 앱에 감지정보를 전달하도록 감지정보를 작성한다. 이러한 감지부(230)는 스마트폰의 위치, 사용자 접촉 유무, 방위, 가속/감속과 같은 현상태를 감지하고 이에 따른 감지정보를 작성한다. 이를 위해 감지부(230)는 근접센서, 가속도 센서, 자이로센서, 광센서 및 이의 등가장치를 포함하여 구성될 수 있다. 이러한 감지부(230)의 역할 중 일부는 무선통신부(210)의 구성과 동조하여 수행될 수도 있다.The detection unit 230 detects various states of the smartphone to perform the designated function according to the detection result, or to create the detection information to deliver the detection information to the app. The sensing unit 230 detects the current status such as the position of the smartphone, the presence or absence of the user's contact, the orientation, the acceleration / deceleration, and creates the sensing information accordingly. To this end, the detector 230 may include a proximity sensor, an acceleration sensor, a gyro sensor, an optical sensor, and an equivalent device thereof. Some of the roles of the detector 230 may be performed in synchronization with the configuration of the wireless communication unit 210.

출력부(260)는 스마트폰에서 처리된 결과를 출력한다. 이러한 출력부(260)는 영상출력부와 음향출력부를 포함하여 구성된다. 특히, 영상출력부(260)의 경우 입력부(220)의 일부 기능을 겸하는 터치스크린 또는 터치패드에 의해 구현이 가능하다.The output unit 260 outputs the result processed by the smartphone. The output unit 260 is configured to include an image output unit and a sound output unit. In particular, the image output unit 260 may be implemented by a touch screen or a touch pad that also functions as a part of the input unit 220.

전원부(270)는 스마트폰의 동작을 위한 전원을 제공한다.The power supply unit 270 provides power for the operation of the smartphone.

저장부(250)는 각종 데이터가 저장되며, 제어부(100) 및 단말기능부(200)의 요청에 따라 저장된 데이터를 제공한다. 이러한 저장부(250)에는 실행프로르램인 앱, 앱데이터, 유저데이터 외에 제어부(250)에서 악성앱을 검출하기 위한 데이터들이 저장되어 유지된다. 특히, 저장부(250)에는 악성앱의 행위를 분석하여 판단하기 위한 판단근거 데이터, 권한정보, 악성앱정보 및 전자싸인 정보가 저장되며, 단말기능부에 의해 선택적으로 업데이트 된다. 이러한 악성앱 검출 데이터들은 제어부(250)의 앱검사부(130), 싸인검출부(140), 행위분석부(110) 및 권한분석부(120)의 요청에 따라 제공되어 악성앱의 검출에 이용된다.
The storage unit 250 stores various data, and provides the stored data at the request of the controller 100 and the terminal function unit 200. The storage unit 250 stores and maintains data for detecting malicious apps in the controller 250 in addition to the app, the app data, and the user data, which are execution programs. In particular, the storage unit 250 stores judgment basis data, authority information, malicious app information, and electronic signature information for analyzing and determining the behavior of the malicious app, and is selectively updated by the terminal function unit. The malicious app detection data is provided at the request of the app inspecting unit 130, the sign detecting unit 140, the behavior analyzing unit 110, and the permission analyzing unit 120 of the controller 250 and used to detect the malicious app.

도 2는 본 발명에 따른 악성앱 검출방법을 도시한 순서도이다.2 is a flow chart illustrating a malicious app detection method according to the present invention.

도 2를 참조하면 본 발명에 따른 악성앱 검출방법은 악성앱 검출 데이터 수집단계(S100), 스마트 폰 앱 확인단계(S200), 검사실행단계(S300), 악성앱발견 여부 판단단계(S500), 악성앱 정보 출력단계(S600) 및 악성앱 처리단계(S700)를 포함하여 구성된다.Referring to Figure 2, the malicious app detection method according to the present invention is a malicious app detection data collection step (S100), smart phone app confirmation step (S200), scan execution step (S300), determining whether or not malicious app discovery step (S500), It comprises a malicious app information output step (S600) and malicious app processing step (S700).

악성앱 검출 데이터 수집단계(S100)는 악성앱 검출을 위한 악성앱 검출 데이터를 작성 또는 수집하는 단계이다. 이 악성앱 검출 데이터 수집단계(S100)에서는 악성앱 검출을 위한 판단근거데이터, 권한정보, 악성앱정보 및 싸인정보가 스마트폰의 저장부(250)에 저장되거나, 저장된 데이터가 업데이트 되는 단계이다. 아울러, 제어부(100)의 기능 중 앱검사부(130), 싸인검출부(140), 행위분석부(110), 권한분석부(120)가 하나의 패키지화된 검사앱 형태로 제공되는 경우, 검사앱의 설치단계를 더 포함하여 구성된다.Malicious app detection data collection step (S100) is a step of creating or collecting malicious app detection data for malicious app detection. In the malicious app detection data collection step (S100), judgment basis data, permission information, malicious app information, and signature information for detecting malicious apps are stored in the storage unit 250 of the smartphone, or the stored data is updated. In addition, if the app inspection unit 130, the signature detection unit 140, the behavior analysis unit 110, the permission analysis unit 120 is provided in the form of a packaged inspection app of the function of the control unit 100, It further comprises an installation step.

스마트 폰 앱 확인단계(S200)는 제어부(100)에 의해 스마트 폰에 설치되고, 실행 또는 실행대기 중인 앱의 종류, 수를 확인하는 단계이다. 이 스마트 폰 앱 확인단계(S200)는 악성앱 검사 기능이 실행되는 동안 추가 또는 종료되는 앱의 현황이 계속 업데이트 된다. Smartphone app confirmation step (S200) is a step of checking the type, the number of apps that are installed on the smartphone by the control unit 100, or waiting to run. This smartphone app confirmation step (S200) is updated while the status of the app being added or terminated while the malicious app scan function is running.

검사실행단계(S300)는 스마트 폰에 설치하려고 하는 앱 또는 스마트 폰에 설치되어 실행중이거나 실행대기중인 앱이 악성앱인지 검사하는 단계이다. 이를 위해 검사실행단계(S300)는 행위분석단계(S410), 싸인확인단계(S420), 권한분석단계(S430) 및 앱 분석단계(S440)를 포함하여 구성된다. 이러한 행위분석단계(S410) 내지 앱 분석단계(S440)는 동시에 수행 될 수도 있고 각각 상황에 따라 선택적으로 수행될 수 있다.Scan execution step (S300) is a step that checks whether the app that is installed on the smartphone or the app that is being installed or running on the smartphone is running malicious apps. To this end, the inspection execution step (S300) is configured to include a behavior analysis step (S410), autograph confirmation step (S420), authority analysis step (S430) and app analysis step (S440). Such behavior analysis step (S410) to app analysis step (S440) may be performed at the same time or may be selectively performed according to the situation.

행위분석단계(S410)는 설치된 앱이 실행중인 경우 앱이 이용 또는 접근하는 스마트 폰의 기능 또는 데이터를 분석하는 단계이다. 행위분석단계(S410)에서 행위분석부(110)는 앱이 실행되면서 과금서비스 접속, 개인정보 읽기, 저장부의 데이터 삭제, 특정 단말기능부(200)의 과도한 데이터 집중과 같이 데이터 유출 또는 스마트 폰의 소손을 야기시킬 수 있는 행위를 수행하는지 파악하는 단계이다. 이를 위해 행위분석단계(S410)에서 행위분석부(110)는 저장부(250)에 저장된 판단근거데이터를 통해 앱의 행위에 대한 평가를 수행하고 판단근거데이터에 기재된 조건을 충족하는 경우 악성앱 대상으로 판단하게 된다.Behavior analysis step (S410) is a step of analyzing the function or data of the smart phone that the app uses or accesses when the installed app is running. In the behavior analysis step (S410), the behavior analysis unit 110 is running the app, access the billing service, read personal information, delete data of the storage unit, data leakage or concentration of data such as excessive concentration of the specific terminal function unit 200 of the smart phone This step is to determine whether you are performing an action that may cause burnout. To this end, in the behavior analysis step (S410), the behavior analysis unit 110 performs an evaluation of the behavior of the app through the determination evidence data stored in the storage unit 250 and targets the malicious app when the conditions described in the determination evidence data are met. Will be judged.

싸인확인단계(S420)는 미리 설치된 앱 또는 설치하려고 하는 앱에 포함된 정보로부터 개발자의 전자싸인을 검출하여 이를 저장부(250)에 저장된 싸인정보와 비교하는 단계이다. 싸인정보는 전술한 바와 같이 과거 악성앱을 개발하여 배포한 이력이 있는 개발자의 전자 싸인 정보가 기재되며, 싸인확인단계(S420)에서는 이러한 전자싸인 정보와 앱의 전자싸인 정보를 비교하여 일치되는 전자싸인이 존재하는 지 확인하는 단계이다.Sign confirmation step (S420) is a step of detecting the electronic sign of the developer from the information contained in the pre-installed app or the app to be installed and compare it with the sign information stored in the storage unit 250. As described above, the electronic signature information of a developer having a history of developing and distributing a malicious app in the past is described as described above. In the signature checking step (S420), the electronic signature information is matched by comparing the electronic signature information of the app. It is a step to check if a sign exists.

권한분석단계(S430)는 미리 스마트폰에 설치된 앱 또는 설치하려고 하는 앱에 포함된 정보로부터 앱의 권한에 관한 사항을 검출하고 이를 저장부(250)에 저장된 권한정보와 비교하는 단계이다. 이 권한분석단계(S420)에서 권한분석부(120)는 앱을 개발한 개발자에 의해 선언된 앱의 권한을 권한정보에 기록된 판단 근거에 따라 판단하고, 과도한 권한이 선언된 경우 악성앱 대상으로 판단하게 된다.The permission analysis step (S430) is a step of detecting a matter regarding the permission of the app from information included in the app installed in the smartphone or the app to be installed in advance, and comparing it with the permission information stored in the storage unit 250. In this permission analysis step (S420), the permission analysis unit 120 determines the permission of the app declared by the developer who developed the app according to the judgment basis recorded in the permission information, and if excessive permission is declared, it is targeted to the malicious app. You will be judged.

앱분석단계(S440)는 스마트폰에 설치된 앱 또는 설치하려고 하는 앱에 포함된 정보로부터 앱의 기본정보, 예를 들어 패키지명과 같은 정보를 저장부(250)에 저장된 악성앱정보와 비교하는 단계이다. 앱분석단계(S440)에서 앱검사부(130)는 앱의 기본정보와 악성앱정보를 비교하여, 기본정보에 기재된 항목이 악성앱과 일치하는 사항이 있는지 확인하게 된다. App analysis step (S440) is a step of comparing the information, such as the basic information of the app, for example, the package name from the information contained in the app installed on the smartphone or the app to be installed to the malicious app information stored in the storage unit 250 . In the app analysis step (S440), the app inspection unit 130 compares the basic information of the app and malicious app information, and checks whether the items described in the basic information match the malicious app.

악성앱발견 여부 판단단계(S500)는 행위분석단계(S410) 내지 앱분석단계(S450) 중 어느 하나 이상이 실행되면, 그 결과에 따라 악성앱으로 판단할 수 있는 앱이 존재하는지 여부를 판단하게 된다. 이러한 판단은 제어부(100)에 의해 수행되며, 스마트 폰에 설치 또는 설치 예정인 모든 앱에 대해 수행된다. 이와 같은 과정에서 제어부(100)는 스마트 폰에 존재하는 각 앱에 대해 순차적으로 검사를 실행하게 되며, 모든 앱에 대한 검사가 이루어질 때까지 검사 과정을 반복하거나, 미리 정해진 조건에 의해 검사과정을 반복하게 된다. 또한, 행위분석단계(S410)Determining whether or not malicious app discovery step (S500), if any one or more of the behavior analysis step (S410) to app analysis step (S450) is executed, to determine whether there is an app that can be determined to be a malicious app according to the result. do. This determination is performed by the controller 100 and is performed for all apps that are to be installed or installed on the smartphone. In this process, the control unit 100 sequentially executes the inspection for each app existing in the smartphone, and repeats the inspection process until the inspection of all the apps is made, or repeats the inspection process by a predetermined condition. Done. In addition, behavior analysis step (S410)

악성앱 정보 출력단계(S600)는 악성앱 발견여부 판단단계(S500)에서 악성앱이 발견되면, 제어부(110)가 악성앱을 발견한 앱검사부(130), 싸인검출부(140), 행위분석부(110) 및 권한분석부(120) 중 어느 하나 이상으로부터 전달받아 출력부(260)를 통해 출력하게 된다. 이때, 제어부(100)는 악성앱의 정보와 함께 사용자로 하여금 악성앱을 삭제 또는 치료할 것인지 또는 그대로 유지할 것인지 선택할 수 있도록 선택항목을 제공하게 된다. 이 악성앱 정보 출력단계(S600)는 악성앱을 사용자 동의없이 처리하도록 되어 있는 경우 생략될 수 있으며, 악성앱 처리단계(S700)에서 처리된 악성앱에 대한 정보를 제공하는 것으로 대치될 수 있다.In the malicious app information output step (S600), if a malicious app is found in the malicious app discovery step (S500), the control unit 110 detects the malicious app, the app checker 130, the sign detector 140, and the behavior analyzer Received from any one or more of the 110 and the authority analysis unit 120 is output through the output unit 260. At this time, the control unit 100 provides a selection item so that the user can select whether to delete or treat the malicious app or maintain the same as the malicious app information. The malicious app information output step (S600) may be omitted when the malicious app is to be processed without user consent, and may be replaced by providing information about the malicious app processed in the malicious app processing step (S700).

악성앱 처리단계(S700)는 사용자가 악성앱의 삭제를 선택하거나, 미리 정해진 조건에 따라 악성앱을 자동 삭제 또는 치료하는 단계이다. 또한, 악성앱 처리단계(S700)에서는 악성앱의 처리결과를 출력부(260)를 통해 출력하는 단계와, 악성앱 정보를 외부 통신망을 통해 서버 또는 다른 스마트 폰에 전달하는 단계를 더 포함하여 구성될 수 있다.Malicious app processing step (S700) is a step in which the user selects the deletion of the malicious app, or automatically delete or clean the malicious app according to a predetermined condition. In addition, the malicious app processing step (S700) comprises the step of outputting the processing result of the malicious app through the output unit 260, and further comprising the step of delivering the malicious app information to the server or other smart phone through an external communication network Can be.

이와 같이 본 발명에 따른 보안 기능을 가지는 스마트 폰 및 이의 보안방법은 기존의 컴퓨터 바이러스와 다른 방식으로 작동하는 스마트 폰 바이러스 또는 악성앱을 악성앱의 특성에 맞게 검사하고 이를 통해 검출하여 처리함으로써 스마트 폰의 보안성을 종래에 비해 월등히 향상하는 것이 가능하다. 특히, 본 발명에 따른 보안 기능을 가지는 스마트 폰 및 이의 보안방법은 권한이나 앱의 기본정보외에도 실제로 앱의 동작을 분석하고 이를 통해 악성앱 여부를 판가름 할 뿐만 아니라 개발자 정보를 이용하여 악성앱일 가능성이 높은 앱 자체의 사용을 미연에 방지함으로써 고의적인 기만에 의한 악성앱 설치를 방지하고, 이를 통해 스마트 폰의 보안성을 향상시키는 것이 가능하다.
As described above, a smart phone having a security function and a security method thereof according to the present invention scan a smart phone virus or a malicious app that operates in a different manner from a conventional computer virus according to the characteristics of a malicious app, and detect and process it through the smart phone. It is possible to significantly improve the security of the conventional. In particular, the smart phone and security method having a security function according to the present invention, in addition to the basic information of the permissions or the app actually analyzes the operation of the app and determines whether it is a malicious app through this, as well as the possibility of malicious apps using the developer information By preventing the high use of the app itself, it is possible to prevent malicious app installations due to deliberate deception, and thereby improve the security of the smartphone.

이상에서 본 발명의 기술적 사상을 예시하기 위해 구체적인 실시예로 도시하고 설명하였으나, 본 발명은 상기와 같이 구체적인 실시예와 동일한 구성 및 작용에만 국한되지 않고, 여러 가지 변형이 본 발명의 범위를 벗어나지 않는 한도 내에서 실시될 수 있다. 따라서, 그와 같은 변형도 본 발명의 범위에 속하는 것으로 간주해야 하며, 본 발명의 범위는 후술하는 특허청구범위에 의해 결정되어야 한다.Although illustrated and described in the specific embodiments to illustrate the technical spirit of the present invention, the present invention is not limited to the same configuration and operation as the specific embodiment as described above, various modifications do not depart from the scope of the present invention It may be practiced within limits. Accordingly, such modifications are deemed to be within the scope of the present invention, and the scope of the present invention should be determined by the following claims.

100 : 제어부 110 : 행위분석부
120 : 권한분석부 130 : 앱검사부
140 : 싸인검출부 200 : 단말기능부
210 : 무선통신부 220 : 입력부
230 : 감지부 250 : 저장부
260 : 출력부 270 : 전원부100: control unit 110: behavior analysis unit
120: authority analysis unit 130: app inspection unit
140: sign detection unit 200: terminal capabilities
210: wireless communication unit 220: input unit
230: detection unit 250: storage unit
260: output unit 270: power unit

Claims (7)

운영체제와, 상기 운영체제에 어플리케이션을 부가하여 설치되는 앱을 포함하며 상기 앱 중 악성앱을 검출하는 스마트 폰에 있어서,
복수의 상기 앱 및 상기 악성앱의 검출을 위한 판단근거데이터 및 전자싸인정보를 포함하는 악성앱 검출 데이터가 저장되는 저장부;
상기 악성앱의 검출을 위해 상기 판단근거데이터를 이용하여 상기 앱의 실행시 상기 앱에 의해 수행되는 기능을 분석하여 상기 앱의 악성앱 여부를 판단하는 행위분석부 및 상기 앱을 개발한 개발자의 전자싸인을 상기 전자싸이정보와 비교하여 상기 앱의 악성앱 여부를 판단하는 싸인검출부를 포함하는 제어부;를 포함하여 구성되는 것을 특징으로 하는 보안 기능을 가지는 스마트 폰.In the smart phone including an operating system, an app installed by adding an application to the operating system and detects a malicious app of the app,
A storage unit for storing malicious app detection data including determination basis data and electronic signature information for detecting a plurality of the app and the malicious app;
Behavior analysis unit for determining whether the app is a malicious app by analyzing the function performed by the app when the app is executed using the determination evidence data to detect the malicious app and the electronics of the developer who developed the app And a control unit including a sign detecting unit to determine whether the app is a malicious app by comparing the sign with the electronic sign information. 제 1 항에 있어서,
상기 악성앱 검출데이터는
이전의 상기 악성앱에 대한 기본정보가 기록된 악성앱 정보 및
상기 앱의 권한에 따른 악성앱 판단을 위한 정보를 포함하는 권한정보를 더 포함하여 구성되고,
상기 제어부는,
상기 악성앱 정보와 상기 앱의 기본정보를 비교하여 상기 앱의 악성앱 여부를 판단하는 앱검사부;
상기 앱에 선언된 권한을 상기 권한정보에 따라 비교하여 상기 앱의 악성앱 여부를 판단하는 권한분석부;를 더 포함하여 구성되는 것을 특징으로 하는 보안 기능을 가지는 스마트 폰.The method of claim 1,
The malicious app detection data
Malicious app information recorded basic information about the previous malicious app and
It is configured to further include permission information including information for determining the malicious app according to the permissions of the app,
The control unit,
An app inspecting unit comparing the malicious app information with basic information of the app to determine whether the app is a malicious app;
Comprising a security function, characterized in that it further comprises; a permission analysis unit for determining whether the app is a malicious app by comparing the permissions declared in the app according to the permission information. 제 2 항에 있어서,
상기 스마트 폰은
네트워크 또는 타 장치와의 통신채널 형성을 위한 무선통신부;
사용자의 명령, 음성 및 영상 중 어느 하나 이상의 입력을 위한 입력부;
상기 스마트 폰의 상태, 위치, 방위, 가속/감속 및 물체 근접여부 중 어느 하나 이상을 감지하기 위한 감지부;
상기 앱의 실행에 따른 결과를 출력하는 출력부; 및
상기 스마트폰의 동작을 위한 전원을 공급하는 전원부; 중 어느 하나 이상을 구비하는 단말기능부를 더 포함하여 구성되는 것을 특징으로 하는 보안 기능을 가지는 스마트 폰.The method of claim 2,
The smart phone is
A wireless communication unit for establishing a communication channel with a network or another device;
An input unit for inputting any one or more of a user's command, voice, and video;
A sensing unit for sensing any one or more of the state, position, orientation, acceleration / deceleration, and proximity of the smart phone;
An output unit for outputting a result according to the execution of the app; And
A power supply unit supplying power for the operation of the smartphone; Smart phone having a security function characterized in that it further comprises a terminal function unit having any one or more of. 제 3 항에 있어서,
상기 제어부는,
상기 앱검사부, 상기 싸인검출부, 상기 행위분석부 및 상기 권한분석부 중 어느 하나 이상으로부터 제공되는 상기 악성앱 검출결과를 상기 출력부를 통해 출력하며,
상기 검출결과는 검출된 상기 악성앱의 처리를 사용자로 하여금 결정하도록 하는 선택항목을 포함하는 것을 특징으로 하는 보안 기능을 가지는 스마트 폰.The method of claim 3, wherein
The control unit,
Outputting the malicious app detection result provided from any one or more of the app checking unit, the sign detecting unit, the behavior analyzing unit, and the authority analyzing unit through the output unit,
The detection result is a smart phone having a security function, characterized in that it comprises a selection item for the user to determine the processing of the detected malicious app. 운영체제와, 상기 운영체제에 어플리케이션을 부가하여 설치되는 복수의 앱을 포함하며 상기 앱 중 악성앱을 검출하는 스마트 폰의 보안방법에 있어서,
상기 악성앱의 검출을 위한 판단근거데이터 및 상기 앱을 제작한 개발자의 전자싸인정보를 포함하는 악성앱 검출데이터를 작성되어 상기 스마트 폰의 저장부에 저장되는 단계;
상기 스마트폰의 제어부가 상기 스마트 폰에 설치 또는 설치 대기 중인 상기 앱을 확인하는 단계;
상기 제어부에 의해 상기 앱이 악성앱인지 여부를 검사하기 위한 검사가 실행되는 검사실행단계;
상기 제어부에 의해 상기 검사실행에 따라 상기 악성앱의 검출여부를 판단하는 검출여부 판단단계; 및
상기 제어부가 검출된 상기 악성앱을 치료하는 악성앱처리단계;을 포함하여 구성되고,
상기 검사실행단계는
상기 제어부의 행위분석부가 상기 스마트 폰에 설치되어 실행되는 상기 앱이 수행하는 기능을 분석하고, 상기 분석결과를 상기 판단근거데이터와 비교하는 행위분석단계, 또는
상기 제어부의 싸인검출부가 상기 앱에 포함된 전자싸인과 상기 전자싸인정보를 비교하여 상기 앱의 상기 개발자가 상기 악성앱 제작 이력이 있는지 분석하는 싸인확인단계를 포함하여 구성되는 것을 특징으로 하는 보안 기능을 가지는 스마트 폰의 보안방법.In the security method of the smart phone comprising an operating system and a plurality of apps installed by adding an application to the operating system, and detects a malicious app of the app,
Creating malicious app detection data including determination basis data for detecting the malicious app and electronic signature information of the developer who produced the app and storing the malicious app detection data;
Checking, by the controller of the smartphone, the app that is installed or waiting to be installed on the smartphone;
A test execution step of executing a test for checking whether the app is a malicious app by the controller;
A detection or not determining step of determining whether the malicious app is detected according to the test execution by the controller; And
And a malicious app processing step of treating the malicious app detected by the controller.
The test execution step
Behavior analysis step of the behavior analysis unit of the control unit analyzes the function performed by the app installed and executed on the smart phone, and compares the analysis result with the determination basis data, or
Security function characterized in that it comprises a sign confirmation step of comparing the sign auto electronic sign information contained in the app and the electronic sign information of the control unit for analyzing whether the developer of the malicious app production history Security method of having a smartphone. 제 5 항에 있어서,
상기 악성앱 검출데이터는
이전의 상기 악성앱에 대한 기본정보가 기록된 악성앱 정보 및
상기 앱의 권한에 따른 악성앱 판단을 위한 정보를 가지는 권한정보를 더 포함하여 구성되고,
상기 검사실행단계는
상기 제어부의 앱검사부가 상기 악성앱정보와 상기 앱의 기본정보를 비교하여 상기 앱의 악성앱 여부를 판단하는 앱분석단계; 또는
상기 제어부의 권한분석부가 상기 앱에 선언된 권한을 상기 권한정보와 비교하여 상기 앱의 악성앱 여부를 판단하는 권한분석단계;를 더 포함하여 구성되는 것을 특징으로 하는 보안 기능을 가지는 스마트 폰의 보안방법.The method of claim 5, wherein
The malicious app detection data
Malicious app information recorded basic information about the previous malicious app and
It further comprises permission information having information for determining the malicious app according to the permissions of the app,
The test execution step
An app analysis step of determining whether the app is malicious by comparing the malicious app information with basic information of the app; or
The authority analysis unit of the control unit compares the authority declared in the app with the authority information and the authority analysis step for determining whether the app is a malicious app; security of the smart phone having a security function, characterized in that further comprises a Way. 제 5 항에 있어서,
상기 검출여부 판단단계 또는 상기 악성앱 처리단계는
상기 앱검사부, 상기 싸인검출부, 상기 행위분석부 및 상기 권한분석부 중 어느 하나 이상으로부터 제공되는 상기 악성앱 검출결과를 상기 출력부를 통해 출력하는 단계와
상기 검출결과는 검출된 상기 악성앱의 처리를 사용자로 하여금 결정하도록 하는 선택항목을 출력하는 단계를 더 포함하는 것을 특징으로 보안 기능을 가지는 스마트 폰의 보안방법.
The method of claim 5, wherein
The detecting or determining step or the malicious app processing step
Outputting the malicious app detection result provided from any one or more of the app inspecting unit, the sign detecting unit, the behavior analyzing unit, and the authority analyzing unit through the output unit;
The detection result further comprises the step of outputting a selection item for the user to determine the processing of the detected malicious app security method of a smart phone having a security function.
KR1020110010409A 2011-02-07 2011-02-07 The smart phone comprising anti-virus ability and anti-virus method thereof KR101264102B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110010409A KR101264102B1 (en) 2011-02-07 2011-02-07 The smart phone comprising anti-virus ability and anti-virus method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110010409A KR101264102B1 (en) 2011-02-07 2011-02-07 The smart phone comprising anti-virus ability and anti-virus method thereof

Publications (2)

Publication Number Publication Date
KR20120090160A true KR20120090160A (en) 2012-08-17
KR101264102B1 KR101264102B1 (en) 2013-05-14

Family

ID=46883278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110010409A KR101264102B1 (en) 2011-02-07 2011-02-07 The smart phone comprising anti-virus ability and anti-virus method thereof

Country Status (1)

Country Link
KR (1) KR101264102B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388053B1 (en) * 2012-09-17 2014-04-22 주식회사 인프라웨어테크놀러지 Method of enhancing security based on permission detection for android applications, and computer-readable recording medium with android security program based on permission detection for the same
KR101507404B1 (en) * 2013-10-01 2015-04-07 주식회사 엘지유플러스 A mobile communication and an application program information management server and a control method thereof, a disposal method malignant application program
KR20160031590A (en) * 2014-09-12 2016-03-23 고려대학교 산학협력단 Malicious app categorization apparatus and malicious app categorization method
KR101986786B1 (en) * 2017-12-21 2019-06-07 충남대학교산학협력단 System for team project management based on gps information
US10380378B2 (en) 2015-09-24 2019-08-13 Samsung Electronics Co., Ltd. Apparatus and method for protecting information in communication system
KR20200041128A (en) * 2018-10-11 2020-04-21 아주대학교산학협력단 Method and apparatus for providing recommended applications
KR102237521B1 (en) * 2020-05-04 2021-04-07 남형종 terminal equipped with a recording medium that records security programs with privacy features and a system that links them

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388053B1 (en) * 2012-09-17 2014-04-22 주식회사 인프라웨어테크놀러지 Method of enhancing security based on permission detection for android applications, and computer-readable recording medium with android security program based on permission detection for the same
KR101507404B1 (en) * 2013-10-01 2015-04-07 주식회사 엘지유플러스 A mobile communication and an application program information management server and a control method thereof, a disposal method malignant application program
KR20160031590A (en) * 2014-09-12 2016-03-23 고려대학교 산학협력단 Malicious app categorization apparatus and malicious app categorization method
US10380378B2 (en) 2015-09-24 2019-08-13 Samsung Electronics Co., Ltd. Apparatus and method for protecting information in communication system
KR101986786B1 (en) * 2017-12-21 2019-06-07 충남대학교산학협력단 System for team project management based on gps information
KR20200041128A (en) * 2018-10-11 2020-04-21 아주대학교산학협력단 Method and apparatus for providing recommended applications
KR102237521B1 (en) * 2020-05-04 2021-04-07 남형종 terminal equipped with a recording medium that records security programs with privacy features and a system that links them

Also Published As

Publication number Publication date
KR101264102B1 (en) 2013-05-14

Similar Documents

Publication Publication Date Title
KR101264102B1 (en) The smart phone comprising anti-virus ability and anti-virus method thereof
US9832211B2 (en) Computing device to detect malware
US9596257B2 (en) Detection and prevention of installation of malicious mobile applications
US10419222B2 (en) Monitoring for fraudulent or harmful behavior in applications being installed on user devices
CN108932429B (en) Application program analysis method, terminal and storage medium
US20130333039A1 (en) Evaluating Whether to Block or Allow Installation of a Software Application
EP3610404B1 (en) Methods and apparatus to monitor permission-controlled hidden sensitive application behavior at run-time
US20120137369A1 (en) Mobile terminal with security functionality and method of implementing the same
KR101277517B1 (en) Apparatus and method for detecting falsified application
CN107122655B (en) Trust management based mobile application security setting recommendation system
US20190121959A1 (en) System, Method, and Apparatus for Computer Security
KR20120084184A (en) A smartphone malicious code blocking method based on white list and the recording medium thereof
KR102180098B1 (en) A malware detecting system performing monitoring of malware and controlling a device of user
US11017109B1 (en) Dynamic sandboxing of user data
US9348999B2 (en) User terminal, reliability management server, and method and program for preventing unauthorized remote operation
US9680853B2 (en) Apparatus and method for preventing malicious code in electronic device
KR101605783B1 (en) Malicious application detecting method and computer program executing the method
CN112788601A (en) Mobile terminal information safety protection system and method based on big data
Olorunshola et al. Android applications malware detection: A comparative analysis of some classification algorithms
KR20180094731A (en) Apparatus and method for detecting screen recoding in mobile device
KR20140075839A (en) Methods and Apparatus for Detecting Malicious Behavior
US10270784B1 (en) Systems, devices, software, and methods for location based device and application management
Teufl et al. Android-On-device detection of SMS catchers and sniffers
WO2023073822A1 (en) Backdoor detection device, backdoor detection method, and recording medium
Oh et al. Detection of Malware for Android Smartphones

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160420

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170506

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180503

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee