KR20150059882A - 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법 - Google Patents

스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법 Download PDF

Info

Publication number
KR20150059882A
KR20150059882A KR1020130143518A KR20130143518A KR20150059882A KR 20150059882 A KR20150059882 A KR 20150059882A KR 1020130143518 A KR1020130143518 A KR 1020130143518A KR 20130143518 A KR20130143518 A KR 20130143518A KR 20150059882 A KR20150059882 A KR 20150059882A
Authority
KR
South Korea
Prior art keywords
malicious
url
smartphone
application
app
Prior art date
Application number
KR1020130143518A
Other languages
English (en)
Other versions
KR102185000B1 (ko
Inventor
김광립
안창현
유현나
최지훈
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020130143518A priority Critical patent/KR102185000B1/ko
Publication of KR20150059882A publication Critical patent/KR20150059882A/ko
Application granted granted Critical
Publication of KR102185000B1 publication Critical patent/KR102185000B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템과 이를 이용한 스마트폰용 악성앱 차단 서비스 방법으로서, URL을 통해 스마트폰에 설치되는 악성 앱을 실시간 분석하여 최신의 악성 앱 정보와 이를 배포하는 악성 URL 정보를 제공하는 방안을 개시하고, 더 나아가서 이를 통해 스마트폰용 악성 앱을 실시간 차단하는 서비스 방안을 개시한다.

Description

스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법 {System and method for analyzing malicious application of smart-phone and service system and service method for blocking malicious application of smart-phone}
본 발명은 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템과 이를 이용한 스마트폰용 악성앱 차단 서비스 방법에 관한 것으로서, 보다 상세하게는 URL 접속을 통해 배포되는 스마트폰용 어플리케이션의 악성 여부를 실시간 분석하여 최신의 악성 앱과 이를 배포하는 URL 정보를 제공할 수 있는 시스템과 방법을 개시하며, 또한 이와 같은 스마트폰용 악성앱 분석 시스템과 방법을 통해 구축된 악성 앱 정보 및 악성 URL 정보를 기초로 무의식적으로 사용자의 스마트폰이 악성 앱에 노출되는 것을 실시간 차단하는 악성 앱 차단 서비스를 제공할 수 있는 시스템과 방법을 개시한다.
스마트폰이 일반 휴대폰과 근본적으로 다른 부분은 용도에 따라 다양한 응용프로그램인 어플리케이션(application)을 추가 설치해 활용할 수 있다는 점이며, 이와 같은 활용 이점으로 인해 스마트폰의 사용 인구는 전세계적으로 폭발적으로 증가하고 있다.
특히 스마트폰의 활용은 디지털 금융으로 이어지고 있는데, 디지털 금융은 디지털 기술을 응용한 금융상품 또는 서비스라는 의미로 전자화폐, 전자지급 결제, 인터넷 뱅킹 등 다양한 형태로 이루어지고 있다.
이와 같은 디지털 금융이 스마트폰과 결합됨에 따라서 다양한 신종 금융 사기 수법들이 기승을 부리기 시작하여 사회적으로 큰 피해를 야기하고 있는 실정인데, 최근에는 스마트폰을 통한 스미싱 사기나 피싱 사기가 급격하게 확산되어 스마트폰 사용자는 속수무책으로 신종 디지털 금융 사기에 노출되고 있는 실정이다.
피싱(Phishing) 사기란 금융기관 등의 웹사이트나 거기서 보내온 메일 또는 문자메시지로 위장하여 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기수법이며, 스미싱(Smishing) 사기란 문자 메세지를 이용한 새로운 스마트폰 해킹 기법으로서, 웹사이트를 링크하는 단축 URL이 포함된 문자 메시지를 보내 스마트폰 사용자가 단축 URL을 클릭하면 트로이목마 등의 악성 앱을 스마트폰으로 주입해 범죄자가 스마트폰을 통제할 수 있게 되는 신종 사기 수법으로서, 도 1은 스마트폰을 통한 디지털 금융 사기의 개념도를 도시한다.
스마트폰 사용자(10)에게 무료 쿠폰, 모바일 상품권, 스마트 청구서 등으로 위장한 문자 메시지(20)에 URL을 삽입하여 전송하고, 스마트폰 사용자(10)가 URL을 클릭하여 해당 URL에 접속하는 순간 스마트폰을 통제할 수 있는 악성 앱(30)이 스마트폰(10)에 설치되게 된다. 상황에 따라서는 스마트폰에 전송되는 문자수를 고려하여 일반적인 URL을 단축 URL로 변환하여 전송된다.
사용자는 이와 같은 악성 앱이 스마트폰에 설치된 것을 의식하지 못하며, 사기범(40)은 스마트폰(10)을 통한 소액 결제(50)로 사용자에게 금전적 피해를 주거나 또는 파밍 등의 수법으로서 전자금융 서버로 위장한 위장 서버(60)로 접근을 유도해 사용자의 금융관련 정보를 가로채 이로 인한 금융 거래 피해가 발생된다.
최근에는 모바일 청첩장, 동호회나 동창회 가입 안내 등으로 문자 메시지의 문구가 더욱 치밀하고 악랄해져 사용자가 전혀 의심 없이 클릭하도록 그 수법이 진화되고 있다.
이와 같은 스마트폰을 통한 신종 디지털 금융 사기 수법에 대한 방지책으로서 주로 사용자의 수동적 예방책이 제시되고 있는데, 스마트폰 사용자가 해당 통신사에 소액 결제를 원천적으로 차단 신청하거나 결제 금액을 제한하여 디지털 금융 사기를 방지하는 수동적인 방안이나 스미싱과 관련된 문구를 사전에 스팸 문구로 미리 등록하여 스미싱 문자 전송을 차단하는 방안 등이 제시되고 있지만, 이와 같은 방안의 경우에 사용자가 실제 스마트폰을 통한 결제를 수행하고자 하는 경우 해당 통신사에 소액 결제 차단 신청을 다시 해제하거나 결제 금액을 조정한 후 스마트폰을 통한 결제를 수행하고 다시 차단이나 금액 조정을 재차 신청해야 되므로 상당히 번거로운 과정을 사용자가 직접 수행해야 되는 문제점이 있어 사용의 편리성을 도모하는 스마트폰의 사용 효과를 제한하게 되며, 스팸 문자 처리 방안의 경우 다양하게 변형되는 스미싱 문구를 적절하게 반영하는 것이 불가능하며 나아가서 스미싱 사기와 관련 없는 정상적인 문자 메시지마저도 차단되는 경우가 발생된다.
이외에도 스마트폰에 악성 앱을 검색하거나 차단하기 위한 백신을 설치하는 방안도 강구되고 있지만, 사용자가 수시로 백신 업데이트를 수행하지 않는 경우에 변종 악성 앱에 대해서는 백신이 적절하게 대응하지 못하는 문제가 있고, 나아가서 실시간 다양하게 변종되어 발생하는 신종 악성 앱에 대해서는 피해가 발생된 후에야 백신을 통한 대응 방안이 보강되므로 신종 악성 앱에 대한 실시간 방어에는 한계가 있다.
본 발명은 상술한 바와 같은 종래 기술의 문제점을 해결하고자 하는 것으로서, 스마트폰용 악성 앱을 통한 신종 디지털 금융 사기 수법을 방지하기 위한 실시간 스마트폰용 악성 앱 분석 방안을 제시하고 이를 통해 스마트폰용 악성 앱을 실시간 차단하는 서비스 방안을 제시하는 것을 주된 목적으로 한다.
특히 스마트폰용 악성 앱을 통한 신종 디지털 금융 사기 수법에 대하여 사용자의 수동적 예방책으로 인해 발생되는 사용자의 불편함과 수동적 예방책의 한계 등 다양한 제반 문제를 해결하여 보다 신뢰성 높고 안전하게 사용자를 보호할 수 있는 디지털 금융 사기 수법의 방지 방안을 제시하고자 한다.
또한 백신을 스마트폰에 설치하여 디지털 금융 사기 수법을 방지하는 방안의 경우에 사용자가 수시로 백신 업데이트를 수행하지 않으며 변종 악성 앱에 대해서는 백신이 적절하게 대응하지 못하는 문제점을 해결하고, 나아가서 실시간 다양하게 변종되어 발생하는 신종 악성 앱에 대해서는 피해가 발생된 후에야 백신을 통한 대응 방안이 보강됨에 따라 신종 악성 앱에 대한 실시간 방어에는 한계가 있는 문제점을 해결하고자 한다.
상기 기술적 과제를 달성하고자 본 발명에 따른 스마트폰용 악성앱 분석 시스템은, 스마트폰을 통해 접속 가능한 URL을 실시간 수집하고, 수집된 URL에서 스마트폰용 앱의 다운로드와 연계된 URL을 의심 URL로 분류하여 추출하는 URL 수집모듈; 상기 의심 URL과 연계된 스마트폰용 앱을 다운로드 받고, 상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에 대한 악성 여부를 판단하여 그 결과에 따라 상기 의심 URL을 악성 URL로 등록하는 스마트폰용 앱 분석 모듈; 및 악성 URL에 대한 정보를 저장하는 악성 URL DB를 포함할 수 있다.
바람직하게는 상기 URL 수집모듈은, IP 네트워크 상의 IPS(Intrusion Prevention System) 또는 이동통신망 상의 SMSC(Short Message Service Center)와 연동하여 특정 문자열을 포함하는 URL 또는 단축 URL을 실시간으로 수집하는 URL 모니터링부; 수집된 URL을 통해 접속되는 최종 지점에 대한 스마트폰용 앱의 다운로드와 연계 여부를 판단하여 의심 URL을 추출하는 의심 URL 판단부; 및 스마트폰용 앱의 다운로드와 연계된 의심 URL을 추출하는 URL 추출부를 포함할 수 있다.
나아가서 스마트폰용 악성 앱에 대한 주요인자를 포함하는 악성앱 정보를 보유한 악성앱 DB를 더 포함하며, 상기 스마트폰용 앱 분석 모듈은, 상기 URL 수집모듈에서 추출된 의심 URL의 최종 지점에 접속하여 연계된 스마트폰용 앱을 다운로드하는 앱 다운로드부; 상기 앱 다운로드부가 다운로드한 스마트폰용 앱에 대한 정적 분석을 통해 주요 인자를 추출하고, 상기 악성앱 DB와 연동하여 스마트폰용 앱의 악성 여부를 판단하는 악성 판단부; 및 악성으로 판단된 의심 URL을 악성 URL로 상기 악성 URL DB에 등록하는 악성 URL 등록부를 포함할 수 있다.
한걸음 더 나아가서 상기 스마트폰용 앱 분석 모듈은, 상기 악성 판단부에서 악성 여부가 판단되지 않는 미확인 스마트폰용 앱의 주요인자 정보를 관리자에게 제공하고, 상기 관리자의 판단 결과를 상기 악성 판단부 및 상기 악성앱 DB에 전송하는 수동 분석부를 더 포함할 수도 있다.
본 발명에 따른 스마트폰용 악성앱 분석 시스템을 이용하여 스마트폰용 악성앱을 분석하는 방법은, 스마트폰을 통해 접속 가능한 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 수집하고 수집된 상기 URL 중 스마트폰용 앱의 다운로드와 연계된 URL을 의심 URL로 분류하여 추출하는 URL 수집 단계; 상기 의심 URL을 통해 연계된 스마트폰용 앱을 다운로드 받고, 악성앱 DB에 보유된 악성앱 정보를 근거로 상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에 대한 악성 여부를 판단하는 스마프폰 앱 분석 단계; 및 악성으로 판단된 스마트폰용 앱의 다운로드와 연계된 의심 URL을 악성 URL로 악성 URL DB에 등록하는 악성 URL 등록 단계를 포함할 수 있다.
바람직하게는 URL 수집 모듈이 상기 URL 수집 단계를 수행하되, 상기 URL 수집 단계는, 스마트폰을 통해 접속 가능한 URL을 실시간 수집하는 단계; 수집된 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 추출하는 단계; 추출된 상기 URL의 최종 경로에 대한 스마프폰용 앱의 다운로드 연계 여부를 확인하여 의심 URL을 분류하는 단계; 및 스마프폰용 앱의 다운로드와 연계된 의심 URL을 추출하여 URL DB에 저장하는 단계를 포함할 수 있다.
여기서 상기 URL을 실시간 수집하는 단계는, IP 망에 기설치된 IPS를 통해 스마트폰이 접속하는 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 실시간 모니터링하여 URL을 수집할 수 있다.
또는 상기 URL을 실시간 수집하는 단계는, 이동통신망에 기설치된 SMSC를 통해 스마트폰에 전송되는 URL을 포함하는 문자메시지를 실시간 모니터링하고 상기 문자메시지에 포함된 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 추출하여 URL을 수집할 수도 있다.
이외에도 상기 URL을 실시간 수집하는 단계는, 관리자에 의해 입력되는 URL을 수집할 수도 있다.
바람직하게는 스마트폰용 앱 분석 모듈이 상기 스마트폰용 앱 분석 단계를 수행하되, 상기 스마트폰용 앱 분석 단계는, 상기 의심 URL을 통해 연계된 스마트폰용 앱을 다운로드 받는 단계; 상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에서 주요 인자를 추출하는 단계; 및 추출된 상기 주요 인자를 상기 악성앱 DB에 저장된 악성앱 정보와 대비하여 상기 스마트폰용 앱에 대한 악성 여부를 판단하는 단계를 포함할 수 있다.
여기서 상기 스마트폰용 앱을 다운로드 받는 단계는, 상기 의심 URL을 통해 접속되는 중계지점을 경유하여 최종지점에 접속하여 연계된 스마트폰용 앱을 다운로드 받을 수 있다.
그리고 상기 주요 인자를 추출하는 단계는, 상기 스마트폰용 앱에서 md5와 패키지 네임(Package Name), 서비스명(Service Name), 콘텐츠 제공자(content provider), 브로드케스트리시버(Broadcast receiver), 해당앱에 부여된 권한을 나타내는 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API) 또는 원본소스 코드에 포함된 IP 형태나 인터넷 접속을 시도하는 문자열 중 적어도 하나 이상을 추출할 수도 있다.
바람직하게는 상기 악성 여부를 판단하는 단계는, 상기 주요 인자 중 md5를 상기 악성앱 DB에 저장된 악성앱 정보와 대비하여 상기 스마트폰용 앱에 대한 악성 여부를 1차 판단하는 단계; 및 상기 1차 판단으로 상기 스마트폰용 앱의 악성 여부가 판단되지 않는 경우, 상기 주요 인자 중 패키지 네임(Package Name), 서비스명(Service Name), 콘텐츠 제공자(content provider), 브로드케스트리시버(Broadcast receiver), 해당앱에 부여된 권한을 나타내는 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API) 또는 원본소스 코드에 포함된 IP 형태나 인터넷 접속을 시도하는 문자열 중 추출된 적어도 하나 이상의 인자를 상기 악성앱 DB에 저장된 악성앱 정보와 대비하여 상기 스마트폰용 앱에 대한 악성 여부를 2차 판단하는 단계를 포함할 수도 있다.
나아가서 상기 스마프폰용 앱 분석 단계는, 상기 악성 여부를 판단하는 단계의 수행 결과 상기 스마트폰용 앱의 악성 여부가 판단되지 않을 경우, 상기 스마트폰용 앱을 미확인 스마트폰용 앱으로 분류하는 단계; 상기 미확인 스마트폰용 앱에 대한 주요 인자를 관리자에게 제공하는 단계; 및 상기 관리자에 의해 악성으로 판단된 미확인 스마트폰용 앱에 대한 주요 인자를 악성앱 정보로 상기 악성앱 DB에 업데이트하는 단계를 더 포함할 수도 있다.
본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템은, 이동통신망 상에서 전송되는 문자 메시지 중 URL을 포함하는 문자 메시지를 식별하는 악성 메시지 감시부; 본 발명에 따른 스마트폰용 악성앱 분석 시스템과 연동하여 상기 악성 URL DB가 보유한 악성 URL 정보를 근거로 상기 문자 메시지에 포함된 URL에 대한 악성 여부를 판단하는 악성 메시지 판단부; 및 상기 악성 메시지 판단부의 판단 결과를 기초로 스마트폰으로 전송될 악성 URL을 포함하는 문자 메시지를 차단하는 악성 메시지 차단부를 구비하는 악성 앱 차단 모듈을 포함할 수 있다.
여기서 상기 악성 메시지 감시부는, 이동통신망 상의 SMSC(Short Message Service Center)와 연동하거나 상기 SMSC에 구비되며, 상기 악성 메시지 차단부는, 이동통신망 상에서 스팸 문자 메시지를 차단하는 SMS 스팸 차단 시스템과 연동하거나 상기 SMS 스팸 차단 시스템에 구비될 수 있다.
나아가서 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템을 이용하여 스마트폰용 악성앱을 차단하는 서비스 방법은, 스마트폰으로 전송되는 문자 메시지를 실시간 모니터링하고 URL을 포함하는 문자메시지를 식별하여 상기 문자 메시지에서 URL을 추출하는 단계; 본 발명에 따른 스마트폰용 악성앱 분석 방법의 수행을 통해 상기 악성 URL DB에 저장된 악성 URL 정보를 기초로 추출된 상기 URL의 악성 여부를 판단하고, 상기 URL의 악성 여부에 따라 상기 문자 메시지를 악성 문자 메시지로 분류하는 단계; 및 상기 스마트폰으로 상기 악성 문자 메시지의 전송을 차단하는 단계를 포함할 수 있다.
바람직하게는 상기 악성 문자 메시지의 차단 정보 메시지를 생성하는 단계; 및 상기 스마트폰으로 상기 차단 정보 메시지를 전송하는 단계를 더 포함할 수도 있다.
본 발명에 따른 또 다른 스마트폰용 악성앱 차단 서비스 시스템은, IP 네트워크를 통해 스마트폰이 접속을 시도하는 URL을 감시하는 악성 URL 접속 감시부; 본 발명에 따른 스마트폰용 악성앱 분석 시스템과 연동하여 상기 악성 URL DB가 보유한 악성 URL 정보를 근거로 접속이 시도되는 URL에 대한 악성 여부를 판단하는 악성 URL 판단부; 및 상기 악성 URL 판단부의 판단 결과를 기초로 상기 스마트폰의 악성 URL 접속을 차단하는 악성 URL 접속 차단부를 구비하는 악성 앱 차단 모듈을 포함할 수 있다.
여기서 상기 악성 URL 접속 감시부는, IP 네트워크 상의 IPS(Intrusion Prevention System)와 연동하거나 상기 IPS에 구비되며, 상기 악성 URL 접속 차단부는, IP 네트워크 상에서 단말기의 특정 IP 접속을 차단하는 불법 싸이트 접속 차단 시스템과 연동하거나 상기 불법 싸이트 접속 차단 시스템에 구비될 수도 있다.
또한 본 발명에 따른 또 다른 스마트폰용 악성앱 차단 서비스 시스템을 이용하여 스마트폰용 악성앱을 차단하는 서비스 방법은, 스마트폰의 URL을 통한 접속 시도를 모니터링하여 접속이 시도되는 URL을 추출하는 단계; 본 발명에 따른 스마트폰용 악성앱 분석 방법의 수행을 통해 상기 악성 URL DB에 저장된 악성 URL 정보를 기초로 추출된 URL에 대한 악성 URL과의 관련 여부를 판단하는 단계; 및 상기 URL에 대한 악성 URL과의 관련 여부 판단 결과에 따라 상기 스마트폰의 상기 URL에 대한 접속을 차단하는 단계를 포함할 수 있다.
바람직하게는 상기 스마트폰이 접속을 시도하는 URL에 대한 경고 메시지를 생성하는 단계; 및 상기 스마트폰으로 상기 경고 메시지를 전송하는 단계를 더 포함할 수도 있다.
이와 같은 본 발명에 의하면, 스마트폰용 악성 앱을 통한 신종 디지털 금융 사기 수법을 실시간 방지하기 위한 스마트폰용 악성 앱과 이를 배포하는 악성 URL을 분석하여 최신 악성앱 정보 및 악성 URL 정보를 제공하고, 나아가서 이를 통해 스마트폰의 악성 앱 접근을 사전에 차단할 수 있게 된다.
특히 스마트폰으로 전송되는 문자 메시지에 포함된 URL이나 스마트폰이 접속을 시도하는 URL을 실시간 모니터링하고 URL에 연계된 스마트폰용 앱을 분석함으로써 새로 등장하거나 변종된 악성 앱에 대한 정보를 실시간 제공할 수 있고 이를 통해 신종 악성 앱에 대하여 즉각적으로 차단 서비스를 제공할 수 있게 된다.
나아가서 본 발명에 의한 스마트폰용 악성앱 분석 정보는 IP 망이나 이동통신망에서 실시간 수행되고 있는 URL을 분석한 결과이므로 아직 공지되지 않은 악성 앱과 연계된 악성 URL 정보를 실시간 빠르게 분석하여 제공함으로써 악성앱에 대한 백신이나 보안책을 마련하기 위한 최신 악성앱 정보로 백신 제작 회사나 기타 통신 회사뿐만 아니라 더 넓게는 일반 회사나 개인의 보안정책 수립에 유용하게 제공될 수 있다.
한 걸음 더 나아가서 본 발명에서는 URL이 나타내는 경유 지점을 거쳐 최종 지점까지 추적이 수행됨으로써 단순히 URL이 스마트폰용 앱의 설치 유도와는 관계없는 일반적인 URL을 나타내고 있을지라도 이를 경유하여 또 다른 URL로 접근시켜 앱의 설치를 유도하는 경우까지도 색출이 가능해진다.
도 1은 스마트폰을 통한 디지털 금융 사기의 개념도를 도시하며,
도 2는 본 발명에 따른 본 발명에 따른 스마트폰용 악성앱 분석 및 차단 방안의 개념도를 도시하며,
도 3은 본 발명에 따른 스마트폰용 악성앱 분석 시스템의 실시예에 대한 구성도를 도시하며,
도 4는 본 발명에 따른 스마트폰용 악성앱 분석 시스템에서 악성 판단부의 실시예에 대한 구성도를 도시하며,
도 5는 본 발명에 따른 스마트폰용 악성앱 분석 시스템을 이용한 스마트폰용 악성앱 분석 방법의 실시예에 대한 흐름도를 도시하며,
도 6은 본 발명에 따른 스마트폰용 악성앱 분석 방법에서 URL을 실시간 수집하는 실시예에 대한 흐름도를 도시하며,
도 7은 본 발명에 따라 URL 수집 모듈이 추출한 스마트폰의 URL 접속 정보에 대한 일례를 나타내며,
도 8은 본 발명에 따라 URL 수집 모듈이 추출한 스마트폰용 앱의 다운로드와 연계된 URL 정보에 대한 일례를 나타내며,
도 9는 본 발명에 따라 스마트폰용 앱 분석 모듈이 분석한 악성 앱 및 악성 URL 정보에 대한 일례를 나타내며,
도 10은 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템으로서 하나의 실시예에 대한 구성도를 도시하며,
도 11은 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템을 이용한 스마트폰용 악성앱 차단 서비스 방법에 대한 하나의 실시예의 흐름도를 도시하며,
도 12는 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템으로서 다른 하나의 실시예에 대한 구성도를 도시하며,
도 13은 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템을 이용한 스마트폰용 악성앱 차단 서비스 방법에 대한 다른 하나의 실시예의 흐름도를 도시한다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명은, URL을 통해 스마트폰에 설치되는 악성 앱을 실시간 분석하여 최신의 악성 앱 정보와 이를 배포하는 악성 URL 정보를 제공하는 방안을 개시하고, 더 나아가서 이를 통해 스마트폰용 악성 앱을 실시간 차단하는 서비스 방안을 개시한다.
본 발명에 따른 스마트폰용 악성앱 분석 및 차단 방안에 대한 개략적인 구성도로서 도 2를 참조하여 본 발명에 따른 스마트폰용 악성앱 분석 및 차단 방안을 살펴보기로 한다.
본 발명에 따른 스마트폰용 악성앱 분석 시스템(100)은, 실시간 스마트폰(10)으로 전송되는 문자 메시지 중 URL을 포함하는 문자 메시지나 스마트폰(10)이 접속하는 URL을 실시간 모니터링하여 스마트폰(10) 상에 앱이 설치되도록 유도하는 URL을 추출하고, 해당 URL에 대한 악성 여부를 판단한다.
본 발명은 실시간으로 악성앱을 분석할 수 있다는 점이 특징 중 하나인데, 이를 위해 스마트폰용 악성앱 분석 시스템(100)은, IP 네트워크(400) 상에서 단말기의 IP 접속을 항시 감시하는 침입탐지시스템인 IPS(Intrusion Prevention System)(410)나 3G 또는 4G 등의 이동통신망(500) 상에서 실시간 문자 메시지를 처리하는 SMSC(Short Message Service Center)(510) 등과 연동할 수 있으며, 나아가서 IPS(410) 또는 SMSC(510)의 일부 구성을 포함하여 구성될 수 있다. 기설치된 각종 네트워크 보안 시스템이나 이동통신 시스템과 연동하거나 이들 시스템의 일부 구성을 포함함으로써 IP 네트워크(400)를 통해 접속을 시도하는 스마트폰(10)이나 이동통신망을 통해 스마트폰(10)으로 전송되는 문자 메시지를 실시간 감시하여 URL과 관련된 수행이 발생되는 경우를 모니터링 할 수 있다. 그리고 모니터링 중 발생되는 URL 관련 수행이 앱(30)의 다운로드와 연계되는 경우에 해당 URL을 별도로 추출한다.
이와 같이 본 발명에 따른 스마트폰용 악성앱 분석 시스템(100)은 IPS(410) 또는 SMSC(510)의 기능을 활용하여 실시간으로 스마트폰과 관련된 URL 중 앱의 설치를 유도하는 URL을 실시간으로 추출할 수 있다.
그리고 스마트폰용 악성앱 분석 시스템(100)은 앱의 설치를 유도하는 URL에 대한 분석을 수행하여 상기 URL이 악성 앱을 배포하는지 판단하게 된다. 본 발명에서 스마트폰용 앱에 대한 악성 여부는 다양한 방식으로 수행될 수 있는데, 가령 스마트폰용 앱을 다운로드 받고 해당 앱에 대한 검파일(compile) 과정이나 디버킹(debugging) 과정을 통해 악성 여부를 판단하거나 또는 해당 앱을 실행시켜 실행되는 과정을 동적 분석 방식으로 분석하여 악성 여부를 판단할 수도 있는데, 보다 바람직하게는 해당 앱을 실행하지 않고 단지 정적 분석을 통해 주요 인자를 추출하고 추출된 주요 인자를 통한 해당 앱의 악성 여부를 판단할 수도 있다.
스마트폰용 악성앱 분석 시스템(100)은 스마트폰용 앱에 대한 분석 결과 악성 앱으로 판단되면 악성 스마트폰용 앱의 설치를 유도하는 URL을 악성 URL로 등록한다. 악성 URL에 대한 정보는 악성 URL DB(150)에 저장되는데, 상기 도 2에서는 악성 URL DB(150)가 스마트폰용 악성앱 분석 시스템(100)과 별도로 분리되어 구성되는 것으로 도시되어 있지만, 상황에 따라서는 스마트폰용 악성앱 분석 시스템(100)에 악성 URL DB(150)가 포함되어 구성될 수도 있다.
이와 같이 악성 URL DB(150)에 축적되는 악성 URL 정보는 IP 망이나 이동통신망에서 실시간 수행되고 있는 URL을 분석한 결과이므로 본 발명에서는 아직 공지되지 않은 스마트폰용 악성 앱과 연계된 악성 URL 정보를 실시간 빠르게 수집할 수 있게 된다.
나아가서 본 발명에서는 스마트폰용 악성앱 분석 시스템(100)을 통해 실시간으로 수집된 악성 URL 정보를 근거로 사용자의 스마트폰(10)에 배포되는 악성 앱을 차단하는 방안을 개시하는데, 이를 위해 스마트폰용 악성앱 차단 서비스 시스템(200)은, 스마트폰(10)의 URL을 통한 IP 접속이나 스마트폰(10)으로 전송될 URL을 포함하는 문자 메시지를 실시간 모니터링하고, 스마트폰용 악성앱 분석 시스템(100)과 연동하여 악성 URL DB(150)가 보유한 최신의 악성 URL 정보를 근거로 스마트폰(10)의 악성 URL 접속을 차단하거나 악성 URL을 포함하는 문자메시지가 스마트폰(10)으로 전송되는 것을 차단하게 된다.
나아가서 일반 URL은 스마트폰의 특성에 맞춰서 단축 URL로서 변환되어 이용되고 있는데, 본 발명에서는 스마트폰을 대상으로 하는 URL을 분석하여 악성 여부를 판단하므로 여기서 URL은 일반적인 모든 URL을 포함하는 의미가 될 수도 있지만 바람직하게는 스마트폰용 단축 URL로 한정될 수도 있다.
이하에서는 본 발명에 따른 스마트폰용 악성앱 분석 시스템과 방법에 대한 실시예를 통해 구체적으로 살펴보고 또한 스마트폰용 악성앱 분석 시스템과 방법을 통해 구축된 최신의 악성 앱 정보 및 악성 URL 정보를 기초로 스마트폰용 악성앱을 차단하는 서비스 시스템과 방법에 대하여 그 실시예를 통해 살펴보기로 한다.
도 3은 본 발명에 따른 스마트폰용 악성앱 분석 시스템의 실시예에 대한 구성도를 도시한다.
본 발명에 따른 스마트폰용 악성앱 분석 시스템은 개략적으로 URL 수집 모듈(110)과 스마트폰용 앱 분석 모듈(120)로 구성될 수 있는데, 여기서 URL 수집 모듈(110)과 스마트폰용 앱 분석 모듈(120)에 대한 구성을 모듈로서 명명하여 설명하지만 이에 국한되지 않고 각각 별도의 서버나 장치 등에 포함되어 구성되거나 또는 각각이 하나의 서버나 장치로 구성될 수 있다.
URL 수집 모듈(110)은, 스마트폰을 통해 접속 가능한 URL을 실시간 수집하고, 수집된 URL에서 스마트폰용 앱의 다운로드와 연계된 URL을 추출하는데, 보다 구체적으로는 URL 모니터링부(111), 의심 URL 판단부(113) 및 URL 추출부(115)를 포함하여 구성될 수 있고 나아가서 추가적으로 URL 저장부(117)를 포함할 수도 있다.
URL 모니터링부(111)는 IP 네트워크 상 또는 이동통신망 상에서 전송되거나 접속되는 URL을 실시간 수집하는데, 이를 위해 URL 모니터링부(111)는 IPS(410)나 SMSC(510)와 연동하거나 IPS(410)나 SMSC(510)의 일부 구성을 포함하여 IP 네트워크 상에서 스마트폰이 접속을 시도하는 URL이나 스마트폰으로 전송될 문자메시지에 포함된 URL을 실시간 모니터링할 수 있다.
바람직하게는 URL 모니터링부(111)는 수집되는 URL 중에서 특정 문자열을 포함하는 URL이나 단축 URL을 별도로 추출하여 수집할 수 있는데, 일반적으로 악성 앱을 배포하는 URL의 경우에 해외 서버로 접속을 유도하는 경우가 많으며 또한 스마트폰 사용자로부터 의심받지 않고 접속을 유도하기 위해서 공공기관이나 비영리 저명 단체로 오인할 수 있는 명칭을 사용하는 경우가 다반사이므로, URL 모니터링부(111)는 수집되는 URL 중 해외 도메인으로 판단되는 URL이나 경찰, 법원 등의 공공기관명을 포함하는 URL 또는 비영리 저명 단체명을 포함하는 URL 등을 추출할 수 있으며, 또한 스마트폰의 특성을 고려하여 단축 URL이 주로 사용되므로 단축 URL을 추출할 수 있다.
의심 URL 판단부(113)는, URL 모니터링부(111)의 모니터링 중 수집되는 URL이 스마트폰용 앱의 설치를 유도하는 URL인지를 판단하는데, 이를 판단하기 위해 의심 URL 판단부(113)는 수집된 URL을 통해 해당 지점에 접속하여 스마트폰용 앱의 설치가 유도되는지를 확인하고, 스마트폰용 앱의 설치를 유도하는 URL을 의심 URL로 분류한다.
URL 추출부(115)는 의심 URL 판단부(113)에 의해 의심 URL로 판단된 URL을 추출하는데, 여기서 URL 추출부(115)는 추출된 URL을 바로 스마트폰용 앱 분석 모듈(120)로 제공할 수도 있으나, 바람직하게는 추출된 URL을 URL 저장부(117)에 저장할 수도 있다.
다음으로 스마트폰용 앱 분석 모듈(120)은, URL 수집모듈(110)에서 추출한 URL과 연계된 스마트폰용 앱을 다운로드 받고, 상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에 대한 악성 여부를 판단하는데, 스마트폰용 앱 분석 모듈(120)은 앱 다운로드부(121), 악성 판단부(123) 및 악성 URL 등록부(125)로 구성될 수 있다.
추가적으로 악성앱 DB(130)와 악성 URL DB(150)는 스마트폰용 앱 분석 모듈(120)에 포함되어 구성될 수도 있고 별도의 서버로 구성될 수도 있다.
스마트폰용 앱 분석 모듈(120)의 구성에 대하여 살펴보자면, 앱 다운로드부(121)는 URL 수집모듈(110)에서 앱의 다운로드와 연계된 URL로 판단되어 추출된 URL의 최종 지점에 접속하여 연계된 스마트폰용 앱을 다운로드한다.
그리고 악성 판단부(123)는 앱 다운로드부(121)가 다운로드한 스마트폰용 앱에 대한 정적 분석을 통해 주요 인자를 추출하고, 악성앱 DB(130)와 연동하여 스마트폰용 앱의 악성 여부를 판단한다. 여기서 악성앱 DB(130)는 사전에 공지된 악성앱에 대한 주요 인자 등의 정보를 보유하고 있으며 나아가서 본 발명으로 분석되는 악성앱에 대한 정보를 실시간 업데이트하여 최신의 악성앱 정보를 보유할 수 있다.
본 발명의 특징적 구성 중 하나인 악성 판단부에 대하여 그 실시예에 대한 구성도인 도 4를 참조하여 좀더 자세히 살펴보자면, 악성 판단부(123)는 주요 인자 추출부(123a), 주요 인자 분석부(123b) 및 악성앱 DB 관리부(123c)를 포함하여 구성될 수 있다.
주요 인자 추출부(123a)는 다운로드한 스마트폰용 앱에 대한 정적 분석을 통해 주요 인자를 추출하는데, 여기서 주요 인자는 기본적으로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용하는 md5를 포함하며 추가적으로 해당 앱의 패키지명인 패키지 네임(Package Name), 해당 앱에서 구현된 서비스명(Service Name), 해당 앱에 대한 콘텐츠를 제공하는 콘텐츠 제공자(content provider), 해당 앱에서 구현되는 브로드케스트리시버(Broadcast receiver), 해당앱에 부여된 권한을 나타내는 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API), 원본소스 코드에 포함된 IP 형태나 http, https, ftp, smtp 등 인터넷 접속을 시도하는 문자열 등을 포함할 수 있다.
주요 인자 분석부(123b)는 주요 인자 추출부(123a)가 추출한 스마트폰용 앱의 주요 인자를 분석하여 악성 여부를 판단하는데, 이를 위해 주요 인자 분석부(123b)는 악성 앱에 대한 정보를 보유하고 있는 악성앱 DB(130)와 연동하여 해당 앱에 대한 악성 여부를 판단한다.
나아가서 악성앱 DB(130)가 보유하고 있는 악성앱 정보로 해당 앱에 대한 악성 여부가 판단되지 않는 미확인 스마트폰용 앱의 경우, 주요 인자 분석부(123b)는 관련 주요 인자 정보를 수동 분석부(127)에 제공하여 관리자에 의해 악성 여부를 판단받게 된다. 여기서 수동 분석부(127)는 주요 인자 분석부(123b)로부터 제공된 관련 주요 인자 정보가 시현되고 관리자로부터 악성 여부에 대한 정보를 입력받을 수 있는 PC 등의 단말기가 될 수 있다.
악성 앱 DB 관리부(123c)는 주요 인자 분석부(123b)에서 분석된 스마트폰용 앱에 대한 악성 정보를 악성앱 DB(130)에 업데이트하여 악성앱 DB(130)를 관리한다.
다시 도 3으로 회귀하여 스마트폰용 앱 분석 모듈(120)에 대하여 계속하여 살펴보면, 악성 URL 등록부(125)는 악성 판단부(123)에 의해 악성으로 판단된 스마트폰용 앱의 다운로드와 연계된 URL을 악성 URL로 분류하고 악성 URL DB(150)에 등록하여 악성 URL DB(150)를 업데이트하고 관리한다. 여기서 악성 URL DB(150)는 앞서 살펴본 바와 같이 스마트폰용 앱 분석 모듈(120)에 포함되어 구성될 수도 있고 별도의 데이터베이스 서버로 구성될 수도 있다.
이와 같이 본 발명에서는 URL을 통해 배포되는 악성 스마트폰용 앱을 실시간 감시하여 최신의 악성앱 정보와 이를 배포하는 악성 URL에 대한 정보를 제공할 수 있는데, 본 발명에 따른 스마트폰용 악성앱 분석 시스템을 이용하여 스마트폰용 악성앱을 분석하는 방법에 대하여 그 실시예를 통해 살펴본다.
도 5는 본 발명에 따른 스마트폰용 악성앱 분석 시스템을 이용한 스마트폰용 악성앱 분석 방법의 실시예에 대한 흐름도를 도시한다.
URL 수집 모듈(110)이 스마트폰이 접속하는 URL이나 스마트폰으로 전송되는 문자 메시지에 포함된 URL을 실시간 모니터링(S110)하여, 특정 문자열을 포함하는 URL이나 단축 URL을 추출하는데, 이를 위해 URL 수집 모듈(110)은 IP 네트워크 상의 IPS나 이동통신망 상의 SMSC와 연동할 수 있다. URL을 모니터링하는 과정에 대한 실시예로서 도 6은 본 발명에 따른 스마트폰용 악성앱 분석 방법에서 URL을 실시간 수집하는 실시예에 대한 흐름도를 도시한다.
상기 도 6의 (a)는 URL 수집 모듈(110)이 IPS(410)와 연동하는 과정을 도시하는데, IPS(410)가 IP 네트워크 상에서 스마트폰이 접속하는 URL을 실시간 감시하고 이에 대한 로그(log) 기록 생성(S122)하여 URL 수집 모듈(110)에 제공한다. 그러면 URL 수집 모듈(110)은 상기 로그 기록을 기반으로 특정 문자열을 포함하는 URL 또는 단축 URL로 스마트폰이 접속했는지를 판단(S123)하여 특정 문자열을 포함하는 URL 정보 또는 단축 URL 정보가 아닌 경우에는 일반적인 정상 URL로 처리(S124)하고 특정 문자열을 포함하는 URL 또는 단축 URL로 접속하는 경우만을 별도로 분류하여 분석할 대상 URL을 추출(S125)한다.
그리고 상기 도 6의 (b)는 URL 수집 모듈(110)이 SMSC(510)와 연동하는 과정을 도시하는데, SMSC(510)가 이동통신망을 통해 스마트폰으로 전송되는 문자 메시지를 실시간 모니터링(S131)하여 URL을 포함하는 문자메시지가 발견(S132)되면 이를 URL 수집 모듈(110)로 제공하고, URL 수집 모듈(110)은 상기 문자 메시지가 특정 문자열을 포함하는 URL 또는 단축 URL이 포함하는지를 판단(S133)하여 특정 문자열을 포함하는 URL 정보 또는 단축 URL 정보가 아닌 경우에는 일반적인 정상 URL로 처리(S134)하고 특정 문자열을 포함하는 URL 또는 단축 URL로 접속하는 경우만을 별도로 분류하여 분석할 대상 URL을 추출(S135)한다.
여기서 상기 특정 문자열은 해외 도메인으로 판단되는 문자열이나 경찰, 법원 등의 공공기관명을 포함하는 문자열 또는 비영리 저명 단체명을 포함하는 문자열 등을 포함한다. 가령, http://bgve.pw라는 URL은 팔라우라는 해외 국가의 최상위 도메인의 문자열을 포함하므로 추출될 수 있고, http://suncheon-police.co.kr이라는 URL은 공공기관명의 문자열을 포함하므로 URL로 추출될 수 있다.
도 7은 URL 수집 모듈이 추출한 스마트폰의 URL 접속 정보를 나타낸다. 상기 도 7에서 보는 바와 같이 URL 수집 모듈(110)이 IPS(410)와 연동하여 스마트폰이 단축 URL로 접속을 수행한 정보만을 추출하였는데, 이와 같이 URL 수집 모듈(110)은 IPS(410)와 연동하여 실시간으로 스마트폰이 접속한 URL 정보의 추출이 가능하다. 나아가서 상기 도 7에서는 단축 URL과 관련된 URL만 추출하였지만 URL 수집 모듈(110)은 특정 문자열을 포함하는 URL도 추출할 수 있다.
다시 상기 도 5로 회귀하여, URL 수집 모듈(110)은 추출한 URL에 접속하여 해당 URL이 스마트폰용 앱의 다운로드와 연계되는지를 판단(S150)한다. 가령 URL의 접속 지점에 일반적인 pdf 파일, 워드 파일 HTML 등이 포함된 경우에는 정상적인 URL로 분류하지만 만약 URL의 접속 지점에 apk 파일 등 스마트폰용 앱의 설치를 유도하는 파일이 포함된 경우에는 이를 의심 URL로 분류하게 된다.
더욱 바람직하게는 본 발명의 특징 중 하나로서, URL 수집 모듈(110)은 URL의 경로를 최종 지점까지 추적하는데, 악성 앱을 배포하는 서버의 경우에 보통 다양한 접속 경로를 경유하여 접근하도록 유도하는 경우가 다반사이므로 URL 수집 모듈(110)의 의심 URL 판단부(113)는 단순히 URL이 나타내고 있는 접속 지점에 그치지 않고 URL을 통해 접속되는 지점을 경유하여 최종 지점에 이를 때까지 추적을 수행한다.
이와 같이 본 발명에서는 URL이 나타내는 경유 지점을 거쳐 최종 지점까지 추적이 수행됨으로써 단순히 URL이 스마트폰용 앱의 설치 유도와는 관계없는 일반적인 URL을 나타내고 있을지라도 이를 경유하여 또 다른 URL로 접근시켜 앱의 설치를 유도하는 경우까지도 색출이 가능해진다.
도 8은 본 발명에 따라 URL 수집 모듈이 추출한 스마트폰용 앱의 다운로드와 연계된 URL 정보에 대한 일례를 나타내는데, 상기 도 8에서 보는 바와 같이 스마트폰이 접속하는 URL 중 스마트폰용 앱의 다운로드와 연계된 URL(A)을 추출하여 이를 의심 URL로 분류하게 된다.
그리고 의심 URL로 분류된 URL만을 추출(S170)하여 URL 저장부(117)에 저장한다.
상기 도 5에서는 스마트폰용 앱의 다운로드와 연계된 URL을 URL 저장부(117)에 저장하는 것으로 도시되어 있으나 상황에 따라서는 추출된 의심 URL을 별도로 URL 저장부(117)에 저장하지 않고 바로 스마트폰용 앱 분석 모듈(120)로 전송할 수도 있다.
만약 스마트폰용 앱의 다운로드와 연계된 의심 URL을 URL 저장부(117)에 저장하는 경우, 상기 도 5에 도시되어 있지는 않으나 URL 수집 모듈(110)은 IPS(410)로부터 제공받은 로그(log) 기록에서 이미 예전에 분석된 URL에 대해서는 다시 분석을 수행하지 않고 새롭게 추출되는 URL에 대해서만 분석이 수행될 수 있게 된다.
URL 수집 모듈(110)에서 스마트폰용 앱의 다운로드와 연계된 의심 URL이 수집되면 수집된 의심 URL은 스마트폰용 앱 분석 모듈(120)로 제공된다.
스마트폰용 앱 분석 모듈(120)은 스마트폰용 앱의 다운로드와 연계된 의심 URL의 최종 지점에서 해당 스마트폰용 앱을 다운로드(S220)하고 다운로드한 스마트폰용 앱에 대한 정적 분석을 수행(S230)한다.
상기 정적 분석은 앞서 스마트폰용 앱 분석 모듈(120)의 악성 판단부(123)에 대한 설명에서 살펴본 바와 같이 우선 스마트폰용 앱의 주요 인자를 추출하며, 여기서 추출하는 주요인자는 기본적으로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용하는 md5를 포함하며 해당 앱의 패키지명인 패키지 네임(Package Name), 해당 앱에서 구현된 서비스명(Service Name), 해당 앱에 대한 콘텐츠를 제공하는 콘텐츠 제공자(content provider), 해당 앱에서 구현되는 브로드케스트리시버(Broadcast receiver), 해당 앱에 부여된 권한인 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API), 원본소스 코드에 포함된 IP 형태나 http, https, ftp, smtp 등 인터넷 접속을 시도하는 문자열 등의 다양한 인자들이 포함될 수도 있다.
이와 같은 주요 인자들이 추출되면, 악성앱 DB(130)가 보유한 악성앱 정보와 추출된 주요 인자를 대비하여 악성 여부를 판단(S240)한다. 악성앱 DB(130)는 앞서 살펴본 바와 같이 악성 앱에 대한 주요인자 등의 정보를 보유하고 있으며, 여기서 악성앱 DB(130)가 보유하는 악성앱 정보는 기공지된 악성 앱에 대한 정보뿐만 아니라 본 발명에 따른 스마트폰용 악성앱 분석 시스템 및 방법을 통해 분석된 악성앱에 대한 정보가 업데이트된다.
악성 여부를 판단(S240)하는 과정은 추출된 주요 인자 중 md5를 악성앱 DB(130)에 저장된 악성앱 정보와 대비하여 스마트폰용 앱에 대한 악성 여부를 1차적으로 판단하고, 만약 상기 1차 판단으로 스마트폰용 앱의 악성 여부가 판단되지 않는 경우에 md5 외에 추출된 패키지 네임(Package Name), 서비스명(Service Name), 콘텐츠 제공자(content provider) 또는 브로드케스트리시버(Broadcast receiver), 해당앱에 부여된 권한을 나타내는 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API), 원본소스 코드에 포함된 IP 형태나 인터넷 접속을 시도하는 문자열 등의 주요 인자 중 선택된 주요 인자를 악성앱 DB(130)에 저장된 악성앱 정보와 대비하여 스마트폰용 앱에 대한 악성 여부를 2차적으로 판단하게 된다.
나아가서 상기 도 5에 도시되지 않았으나, 자동 수행에 따른 악성 여부 판단(S240) 결과 해당 스마트폰용 앱에 대한 악성 여부가 판단되지 않는 경우에는 스마트폰용 앱의 주요 인자 정보를 관리자에게 제공하고 관리자가 판단하여 악성으로 분류할 수도 있다. 만약 관리자가 악성 스마트폰용 앱으로 판단하는 경우에 스마트폰용 앱 분석 모듈(120)은 해당 스마트폰용 앱의 주요 인자를 포함하는 정보를 악성앱 정보로 분류하여 악성앱 DB(130)를 업데이트한다.
도 9는 본 발명에 따라 스마트폰용 앱 분석 모듈이 분석한 악성 앱 및 악성 URL 정보에 대한 일례를 나타내는데, 상기 도 9에서 보는 바와 같이 스마트폰용 앱 분석 모듈(120)이 자동으로 URL과 연계된 스마트폰용 앱에 대한 분석한 결과가 상기 도 9의 B에 나타나 있으며, 스마트폰용 앱 분석 모듈(120)이 해당 스마트폰용 앱에 대한 악성 여부를 자동으로 판단하지 못하는 경우 상기 도 9의 C와 같이 미확인(unknown)으로 분류되어 있다. 관리자는 미확인으로 분류된 스마트폰용 앱을 확인하여 악성 여부를 수동으로 판단한 후 그 결과를 입력할 수 있으며, 관리자의 판단 결과가 상기 도 9에 도시된 자동 분석 결과에 합쳐져 최종적인 결과로 제공된다.
다시 도 5로 회귀하여 이후 과정을 계속하여 살펴보면, 해당 스마트폰용 앱에 대한 악성여부를 판단(S240)하여 악성으로 판단되면, 스마트폰용 앱의 다운로드와 연계된 의심 URL을 악성 URL로 분류하여 악성 URL DB(150)에 등록한다.
이와 같이 본 발명에 따른 스마트폰용 악성앱 분석 방법을 통해 실시간 새로 등장하게나 변종된 악성 앱에 대한 정보를 제공할 수 있게 되며, 본 발명에 따른 스마트폰용 악성앱 분석 방안으로 분석된 최신 악성앱 정보는 악성앱에 대한 백신이나 보안책을 마련하기 위한 유용한 정보로 제공될 수 있다.
또한 본 발명에 따른 스마트폰용 악성앱 분석 시스템과 방법을 이용하여 스마트폰용 악성앱 차단 서비스 시스템과 방법을 제시할 수 있는데, 이하에서는 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템과 방법에 대하여 그 실시예를 통해 살펴보기로 한다.
먼저 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템은 앞서 살펴본 본 발명에 따른 스마트폰용 악성앱 분석 시스템과 연동되거나 상기 스마트폰용 악성앱 분석 시스템을 포함하여 구성될 수 있는데, 상기 스마트폰용 악성앱 분석 시스템에 대해서는 앞서 살펴보았으므로 자세한 설명은 생략하기로 한다.
도 10은 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템으로서 하나의 실시예에 대한 구성도를 도시한다.
상기 도 10에 도시된 실시예에는 악성 URL DB(150)만 도시되어 있으나, 상기 도 10에서의 악성 URL DB(150)는 앞서 살펴본 본 발명에 따른 스마트폰용 악성앱 분석 시스템 자체를 의미하거나 스마트폰용 악성앱 분석 시스템의 구성을 의미할 수도 있다.
상기 도 10의 실시예에서는 스마트폰용 악성앱을 배포하는 문자 메시지를 차단하는 서비스 시스템에 대한 실시예로서, 스마트폰용 악성앱 차단 서비스 시스템은 기본적으로 악성앱 차단 모듈(210)을 포함하며, 악성앱 차단 모듈(210)은 악성 메시지 감시부(211), 악성 메시지 판단부(212) 및 악성 메시지 차단부(213)를 포함하여 구성될 수 있다.
악성 메시지 감시부(211)는 이동통신망의 SMSC(510)를 통해 스마트폰으로 전송될 문자 메시지 중 URL을 포함하는 문자 메시지를 모니터링하는데, 여기서 악성 메시지 감시부(211)는 SMSC(510)와 연동하는 구성이거나 SMSC(510)의 일부 구성이 될 수도 있다. 악성 메시지 감시부(211)는 이동통신망을 통해 전송될 문자 메시지를 모니터링하며 URL을 포함하는 문자 메시지가 식별되면 URL을 포함하는 문자 메시지에서 URL을 추출한다.
악성 메시지 판단부(212)는 기본적으로 스마트폰용 악성앱 분석 시스템과 연동하거나 스마트폰용 악성앱 분석 시스템의 일부 구성을 포함할 수 있으며, 악성 URL DB(150)가 보유한 악성 URL 정보에 기초하여 악성 메시지 감시부(211)가 추출한 URL에 대한 악성 여부를 판단한다.
그리고 악성 메시지 차단부(213)는 악성 메시지 판단부(212)가 악성 URL로 판단한 URL을 포함하는 문자 메시지의 전송을 차단하는데, 여기서 악성 메시지 차단부(213)는 이동통신망에서 스팸 메시지를 차단하기 위해 기설치된 SMS 스팸 차단 시스템(550)과 연동하거나 SMS 스팸 차단 시스템(550)의 일부 구성을 포함함으로써 악성 URL을 포함하는 문자 메시지의 전송을 중간에서 차단할 수 있다. 나아가서 악성 메시지 차단부(213)는 차단할 악성 문자 메시지에 대한 차단 정보 메시지를 생성하고 SMSC(510)에 차단 정보 메시지를 해당 스마트폰으로 전송하도록 요청할 수도 있다.
상기 도 10의 실시예에 따른 스마트폰용 악성앱 차단 서비스 시스템을 이용한 스마트폰용 악성앱 차단 서비스 방법에 대한 하나의 실시예를 도 11에 도시한다.
이동통신망의 SMSC(510)는 해당 이동통신망을 통해 전송되는 문자 메시지를 항시 모니터링(S310)하여 감시할 수 있으며, 해당 이동통신망을 통해 전송될 문자 메시지 중 URL을 포함하는 문자 메시지를 식별(S320)하여 악성앱 차단 모듈(210)에 제공한다.
그러면 악성앱 차단 모듈(210)은 SMSC(510)가 식별하여 전송한 문자 메시지에서 URL을 추출(S330)하고, 악성 URL DB(150)가 보유한 악성 URL 정보를 기초로 추출된 URL의 악성 여부를 판단(S340)한다.
추출된 URL이 악성 URL이 아닌 경우에는 정상적으로 처리(S350)하도록 SMSC(510)에 정상 처리를 요청하지만, 만약 추출된 URL이 악성 URL로 판단되는 경우에는 해당 문자 메시지를 악성 문자 메시지로 분류(S360)하고, SMS 스팸 차단 시스템(550)에 해당 문자 메시지의 차단을 요청한다. SMS 스팸 차단 시스템(550)은 악성앱 차단 모듈(210)부터 차단이 요청된 문자 메시지의 전송을 차단하여 스마트폰으로 악성 앱을 배포하는 문자 메시지 자체가 전송되지 않게 된다.
나아가서 상기 도 11에는 도시되지 않았으나, 악성앱 차단 모듈(210)이 해당 문자 메시지를 악성 문자 메시지로 분류(S360)하는 과정에서 차단할 악성 문자 메시지에 대한 차단 정보 메시지를 생성하고, 상기 차단 정보 메시지를 해당 스마트폰으로 전송하도록 SMSC(510)에 요청하는 과정을 수행할 수도 있다.
도 12는 본 발명에 따른 스마트폰용 악성앱 차단 서비스 시스템에 대한 다른 하나의 실시예에 대한 구성도를 도시한다.
상기 도 12에 도시된 실시예에서는 사용자가 악성 URL 등을 클릭하여 무의식적으로 자신의 스마트폰이 IP 네트워크를 통해 악성 URL에 접속되는 것을 차단하는 서비스 시스템으로서, 스마트폰용 악성앱 차단 서비스 시스템의 악성 앱 차단 모듈(220)은 악성 URL 접속 감시부(221), 악성 URL 판단부(222) 및 악성 URL 접속 차단부(223)을 포함하여 구성될 수 있다.
악성 URL 접속 감시부(221)는 IP 네트워크 상의 IPS(410)를 통해 스마트폰이 접속을 시도하는 URL을 모니터링하는데, 여기서 악성 URL 접속 감시부(221)는 IPS(410)와 연동하는 구성이거나 IPS(410)의 일부 구성이 될 수도 있다. 악성 URL 접속 감시부(221)는 IP 네트워크를 통해 스마트폰이 URL의 접속 시도를 모니터링하며 스마트폰이 URL로 접속을 시도하는 경우를 식별하여 접속이 시도되는 URL을 추출한다.
악성 URL 판단부(222)는 앞서 살펴본 상기 도 19의 실시예와 유사하게 기본적으로 스마트폰용 악성앱 분석 시스템과 연동하거나 스마트폰용 악성앱 분석 시스템의 일부 구성을 포함할 수 있으며, 악성 URL DB(150)가 보유한 악성 URL 정보에 기초하여 악성 URL 접속 감시부(221)가 추출한 URL에 대한 악성 여부를 판단한다.
그리고 악성 URL 접속 차단부(223)는 악성 URL 판단부(222)가 악성 URL로 판단한 URL을 통한 스마트폰의 접속을 차단하는데, 여기서 악성 URL 접속 차단부(223)는 IP 네트워크 상에서 도박이나 음란 싸이트 등을 차단하기 위해 기설치된 불법 싸이트 접속 차단 시스템(450)과 연동하거나 불법 싸이트 접속 차단 시스템(450)의 일부 구성을 포함함으로써 스마트폰의 악성 URL로의 접속을 차단할 수 있다. 나아가서 악성 URL 접속 차단부(223)는 스마트폰이 접속을 시도하는 악성 URL 대한 경고 메시지를 생성하고 상기 경고 메시지를 해당 스마트폰으로 전송할 수도 있다.
이상에서 살펴본 본 발명에 따른 스마트폰용 악성앱 분석 시스템과 방법 및 스마트폰용 악성앱 차단 서비스 시스템과 방법에 의하면, 스마트폰용 악성 앱을 통한 신종 디지털 금융 사기 수법을 방지하기 위한 실시간 스마트폰용 악성 앱과 이를 배포하는 악성 URL을 분석하여 최신 악성앱 정보 및 악성 URL 정보를 제공하고, 나아가서 이를 통해 스마트폰의 악성 앱 접근을 사전에 차단할 수 있게 된다.
특히 스마트폰으로 전송되는 문자 메시지에 포함된 URL이나 스마트폰이 접속을 시도하는 URL을 실시간 모니터링하고 URL에 연계된 스마트폰용 앱을 분석함으로써 새로 등장하거나 변종된 악성 앱에 대한 정보를 바로 제공할 수 있고 나아가서 신종 악성 앱에 대하여 즉각적으로 차단 서비스를 제공할 수 있게 된다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10 : 스마트폰,
100 : 스마트폰용 악성앱 분석 시스템,
110 : URL 수집 모듈, 111 : URL 모니터링부,
113 : 의심 URL 판단부, 115 : URL 추출부,
117 : URL 저장부,
120 : 스마트폰용 앱 분석 모듈,
121 : 앱 다운로드부, 123 : 악성 판단부,
125 : 악성 URL 등록부,
130 : 악성앱 DB, 150 : 악성 URL DB,
200 : 스마트폰용 악성 차단 서비스 시스템,
210, 220 : 악성앱 차단 모듈,
211 : 악성 메시지 감시부, 212 : 악성 메시지 판단부,
213 : 악성 메시지 차단부, 221 : 악성 URL 접속 감시부,
222 : 악성 URL 판단부, 223 : 악성 URL 접속 차단부,
400 : IP 네트워크, 410 : IPS,
500 : 이동통신망, 510 : SMSC.

Claims (22)

  1. 스마트폰을 통해 접속 가능한 URL을 실시간 수집하고, 수집된 URL에서 스마트폰용 앱의 다운로드와 연계된 URL을 의심 URL로 분류하여 추출하는 URL 수집모듈;
    상기 의심 URL과 연계된 스마트폰용 앱을 다운로드 받고, 상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에 대한 악성 여부를 판단하여 그 결과에 따라 상기 의심 URL을 악성 URL로 등록하는 스마트폰용 앱 분석 모듈; 및
    악성 URL에 대한 정보를 저장하는 악성 URL DB를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 시스템.
  2. 제 1 항에 있어서,
    상기 URL 수집모듈은,
    IP 네트워크 상의 IPS(Intrusion Prevention System) 또는 이동통신망 상의 SMSC(Short Message Service Center)와 연동하여 특정 문자열을 포함하는 URL 또는 단축 URL을 실시간으로 수집하는 URL 모니터링부;
    수집된 URL을 통해 접속되는 최종 지점에 대한 스마트폰용 앱의 다운로드와 연계 여부를 판단하여 의심 URL을 추출하는 의심 URL 판단부; 및
    스마트폰용 앱의 다운로드와 연계된 의심 URL을 추출하는 URL 추출부를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 시스템.
  3. 제 1 항에 있어서,
    스마트폰용 악성 앱에 대한 주요인자를 포함하는 악성앱 정보를 보유한 악성앱 DB를 더 포함하며,
    상기 스마트폰용 앱 분석 모듈은,
    상기 URL 수집모듈에서 추출된 의심 URL의 최종 지점에 접속하여 연계된 스마트폰용 앱을 다운로드하는 앱 다운로드부;
    상기 앱 다운로드부가 다운로드한 스마트폰용 앱에 대한 정적 분석을 통해 주요 인자를 추출하고, 상기 악성앱 DB와 연동하여 스마트폰용 앱의 악성 여부를 판단하는 악성 판단부; 및
    악성으로 판단된 의심 URL을 악성 URL로 상기 악성 URL DB에 등록하는 악성 URL 등록부를 포함하는 것을 특징으로 스마트폰용 악성앱 분석 시스템.
  4. 제 3 항에 있어서,
    상기 스마트폰용 앱 분석 모듈은,
    상기 악성 판단부에서 악성 여부가 판단되지 않는 미확인 스마트폰용 앱의 주요인자 정보를 관리자에게 제공하고, 상기 관리자의 판단 결과를 상기 악성 판단부 및 상기 악성앱 DB에 전송하는 수동 분석부를 더 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 시스템.
  5. 스마트폰을 통해 접속 가능한 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 수집하고 수집된 상기 URL 중 스마트폰용 앱의 다운로드와 연계된 URL을 의심 URL로 분류하여 추출하는 URL 수집 단계;
    상기 의심 URL을 통해 연계된 스마트폰용 앱을 다운로드 받고, 악성앱 DB에 보유된 악성앱 정보를 근거로 상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에 대한 악성 여부를 판단하는 스마프폰 앱 분석 단계; 및
    악성으로 판단된 스마트폰용 앱의 다운로드와 연계된 의심 URL을 악성 URL로 악성 URL DB에 등록하는 악성 URL 등록 단계를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  6. 제 5 항에 있어서,
    URL 수집 모듈이 상기 URL 수집 단계를 수행하되, 상기 URL 수집 단계는,
    스마트폰을 통해 접속 가능한 URL을 실시간 수집하는 단계;
    수집된 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 추출하는 단계;
    추출된 상기 URL의 최종 경로에 대한 스마프폰용 앱의 다운로드 연계 여부를 확인하여 의심 URL을 분류하는 단계; 및
    스마프폰용 앱의 다운로드와 연계된 의심 URL을 추출하여 URL DB에 저장하는 단계를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  7. 제 6 항에 있어서,
    상기 URL을 실시간 수집하는 단계는,
    IP 망에 기설치된 IPS를 통해 스마트폰이 접속하는 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 실시간 모니터링하여 URL을 수집하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  8. 제 6 항에 있어서,
    상기 URL을 실시간 수집하는 단계는,
    이동통신망에 기설치된 SMSC를 통해 스마트폰에 전송되는 URL을 포함하는 문자메시지를 실시간 모니터링하고 상기 문자메시지에 포함된 URL 중 특정 문자열을 포함하는 URL 또는 단축 URL을 추출하여 URL을 수집하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  9. 제 6 항에 있어서,
    상기 URL을 실시간 수집하는 단계는,
    관리자에 의해 입력되는 URL을 수집하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  10. 제 5 항에 있어서,
    스마트폰용 앱 분석 모듈이 상기 스마트폰용 앱 분석 단계를 수행하되, 상기 스마트폰용 앱 분석 단계는,
    상기 의심 URL을 통해 연계된 스마트폰용 앱을 다운로드 받는 단계;
    상기 스마트폰용 앱에 대한 정적 분석을 통해 상기 스마트폰용 앱에서 주요 인자를 추출하는 단계; 및
    추출된 상기 주요 인자를 상기 악성앱 DB에 저장된 악성앱 정보와 대비하여 상기 스마트폰용 앱에 대한 악성 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  11. 제 10 항에 있어서,
    상기 스마트폰용 앱을 다운로드 받는 단계는,
    상기 의심 URL을 통해 접속되는 중계지점을 경유하여 최종지점에 접속하여 연계된 스마트폰용 앱을 다운로드 받는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  12. 제 10 항에 있어서,
    상기 주요 인자를 추출하는 단계는,
    상기 스마트폰용 앱에서 md5와 패키지 네임(Package Name), 서비스명(Service Name), 콘텐츠 제공자(content provider), 브로드케스트리시버(Broadcast receiver), 해당앱에 부여된 권한을 나타내는 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API) 또는 원본소스 코드에 포함된 IP 형태나 인터넷 접속을 시도하는 문자열 중 적어도 하나 이상을 추출하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  13. 제 12 항에 있어서,
    상기 악성 여부를 판단하는 단계는,
    상기 주요 인자 중 md5를 상기 악성앱 DB에 저장된 악성앱 정보와 대비하여 상기 스마트폰용 앱에 대한 악성 여부를 1차 판단하는 단계; 및
    상기 1차 판단으로 상기 스마트폰용 앱의 악성 여부가 판단되지 않는 경우, 상기 주요 인자 중 패키지 네임(Package Name), 서비스명(Service Name), 콘텐츠 제공자(content provider), 브로드케스트리시버(Broadcast receiver), 해당앱에 부여된 권한을 나타내는 퍼미션(permission), 권한별 API의 호출 흐름에 대한 추적 정보(uses permission using API) 또는 원본소스 코드에 포함된 IP 형태나 인터넷 접속을 시도하는 문자열 중 추출된 적어도 하나 이상의 인자를 상기 악성앱 DB에 저장된 악성앱 정보와 대비하여 상기 스마트폰용 앱에 대한 악성 여부를 2차 판단하는 단계를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  14. 제 10 항에 있어서,
    상기 스마프폰용 앱 분석 단계는,
    상기 악성 여부를 판단하는 단계의 수행 결과 상기 스마트폰용 앱의 악성 여부가 판단되지 않을 경우, 상기 스마트폰용 앱을 미확인 스마트폰용 앱으로 분류하는 단계;
    상기 미확인 스마트폰용 앱에 대한 주요 인자를 관리자에게 제공하는 단계; 및
    상기 관리자에 의해 악성으로 판단된 미확인 스마트폰용 앱에 대한 주요 인자를 악성앱 정보로 상기 악성앱 DB에 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 스마트폰용 악성앱 분석 방법.
  15. 이동통신망 상에서 전송되는 문자 메시지 중 URL을 포함하는 문자 메시지를 식별하는 악성 메시지 감시부;
    제 1 항 내지 제 4 항 중 어느 한 항의 스마트폰용 악성앱 분석 시스템과 연동하여 상기 악성 URL DB가 보유한 악성 URL 정보를 근거로 상기 문자 메시지에 포함된 URL에 대한 악성 여부를 판단하는 악성 메시지 판단부; 및
    상기 악성 메시지 판단부의 판단 결과를 기초로 스마트폰으로 전송될 악성 URL을 포함하는 문자 메시지를 차단하는 악성 메시지 차단부를 구비하는 악성 앱 차단 모듈을 포함하는 것을 특징으로 하는 스마트폰용 악성앱 차단 서비스 시스템.
  16. 제 15 항에 있어서,
    상기 악성 메시지 감시부는,
    이동통신망 상의 SMSC(Short Message Service Center)와 연동하거나 상기 SMSC에 구비되며,
    상기 악성 메시지 차단부는,
    이동통신망 상에서 스팸 문자 메시지를 차단하는 SMS 스팸 차단 시스템과 연동하거나 상기 SMS 스팸 차단 시스템에 구비된 것을 특징으로 하는 스마트폰용 악성앱 차단 서비스 시스템.
  17. 스마트폰으로 전송되는 문자 메시지를 실시간 모니터링하고 URL을 포함하는 문자메시지를 식별하여 상기 문자 메시지에서 URL을 추출하는 단계;
    제 5 항 내지 제 14 항 중 어느 한 항의 스마트폰용 악성앱 분석 방법의 수행을 통해 상기 악성 URL DB에 저장된 악성 URL 정보를 기초로 추출된 상기 URL의 악성 여부를 판단하고, 상기 URL의 악성 여부에 따라 상기 문자 메시지를 악성 문자 메시지로 분류하는 단계; 및
    상기 스마트폰으로 상기 악성 문자 메시지의 전송을 차단하는 단계를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 차단 방법.
  18. 제 17 항에 있어서,
    상기 악성 문자 메시지의 차단 정보 메시지를 생성하는 단계; 및
    상기 스마트폰으로 상기 차단 정보 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는 스마트폰용 악성앱 차단 방법.
  19. IP 네트워크를 통해 스마트폰이 접속을 시도하는 URL을 감시하는 악성 URL 접속 감시부;
    제 1 항 내지 제 4 항 중 어느 한 항의 스마트폰용 악성앱 분석 시스템과 연동하여 상기 악성 URL DB가 보유한 악성 URL 정보를 근거로 접속이 시도되는 URL에 대한 악성 여부를 판단하는 악성 URL 판단부; 및
    상기 악성 URL 판단부의 판단 결과를 기초로 상기 스마트폰의 악성 URL 접속을 차단하는 악성 URL 접속 차단부를 구비하는 악성 앱 차단 모듈을 포함하는 것을 특징으로 하는 스마트폰용 악성앱 차단 서비스 시스템.
  20. 제 19 항에 있어서,
    상기 악성 URL 접속 감시부는,
    IP 네트워크 상의 IPS(Intrusion Prevention System)와 연동하거나 상기 IPS에 구비되며,
    상기 악성 URL 접속 차단부는,
    IP 네트워크 상에서 단말기의 특정 IP 접속을 차단하는 불법 싸이트 접속 차단 시스템과 연동하거나 상기 불법 싸이트 접속 차단 시스템에 구비된 것을 특징으로 하는 스마트폰용 악성앱 차단 서비스 시스템.
  21. 스마트폰의 URL을 통한 접속 시도를 모니터링하여 접속이 시도되는 URL을 추출하는 단계;
    제 5 항 내지 제 14 항 중 어느 한 항의 스마트폰용 악성앱 분석 방법의 수행을 통해 상기 악성 URL DB에 저장된 악성 URL 정보를 기초로 추출된 URL에 대한 악성 URL과의 관련 여부를 판단하는 단계; 및
    상기 URL에 대한 악성 URL과의 관련 여부 판단 결과에 따라 상기 스마트폰의 상기 URL에 대한 접속을 차단하는 단계를 포함하는 것을 특징으로 하는 스마트폰용 악성앱 차단 방법.
  22. 제 21 항에 있어서,
    상기 스마트폰이 접속을 시도하는 URL에 대한 경고 메시지를 생성하는 단계; 및
    상기 스마트폰으로 상기 경고 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는 스마트폰용 악성앱 차단 방법.
KR1020130143518A 2013-11-25 2013-11-25 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법 KR102185000B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130143518A KR102185000B1 (ko) 2013-11-25 2013-11-25 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130143518A KR102185000B1 (ko) 2013-11-25 2013-11-25 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법

Publications (2)

Publication Number Publication Date
KR20150059882A true KR20150059882A (ko) 2015-06-03
KR102185000B1 KR102185000B1 (ko) 2020-12-01

Family

ID=53504640

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130143518A KR102185000B1 (ko) 2013-11-25 2013-11-25 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법

Country Status (1)

Country Link
KR (1) KR102185000B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101666176B1 (ko) 2015-06-25 2016-10-14 한국전자통신연구원 안드로이드 플랫폼 기반의 어플리케이션 모니터링 장치 및 방법
WO2017078197A1 (ko) * 2015-11-05 2017-05-11 주식회사 수산아이앤티 차단 대상 응용 프로그램의 다운로드를 차단하는 방법 및 장치
KR20180058158A (ko) * 2016-11-23 2018-05-31 숭실대학교산학협력단 구글 플레이 스토어 루팅 앱 탐지 방법, 이를 수행하기 위한 기록 매체, 클라우드 서버 및 시스템
WO2018124431A1 (ko) * 2016-12-30 2018-07-05 (주)엠더블유스토리 웹사이트 모니터링 시스템 및 모니터링 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120071827A (ko) * 2010-12-23 2012-07-03 한국인터넷진흥원 악성코드 경유-유포지 탐지를 위한 씨드 정보 수집 장치 및 수집 방법
KR20130005609A (ko) * 2011-07-07 2013-01-16 (주) 세인트 시큐리티 모바일 악성코드 자동 수집 및 분석 시스템
KR101286711B1 (ko) * 2013-03-28 2013-07-16 주식회사 이스턴웨어 모바일 단말기의 악성 프로그램 차단 시스템 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120071827A (ko) * 2010-12-23 2012-07-03 한국인터넷진흥원 악성코드 경유-유포지 탐지를 위한 씨드 정보 수집 장치 및 수집 방법
KR20130005609A (ko) * 2011-07-07 2013-01-16 (주) 세인트 시큐리티 모바일 악성코드 자동 수집 및 분석 시스템
KR101286711B1 (ko) * 2013-03-28 2013-07-16 주식회사 이스턴웨어 모바일 단말기의 악성 프로그램 차단 시스템 및 그 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101666176B1 (ko) 2015-06-25 2016-10-14 한국전자통신연구원 안드로이드 플랫폼 기반의 어플리케이션 모니터링 장치 및 방법
WO2017078197A1 (ko) * 2015-11-05 2017-05-11 주식회사 수산아이앤티 차단 대상 응용 프로그램의 다운로드를 차단하는 방법 및 장치
KR20180058158A (ko) * 2016-11-23 2018-05-31 숭실대학교산학협력단 구글 플레이 스토어 루팅 앱 탐지 방법, 이를 수행하기 위한 기록 매체, 클라우드 서버 및 시스템
WO2018124431A1 (ko) * 2016-12-30 2018-07-05 (주)엠더블유스토리 웹사이트 모니터링 시스템 및 모니터링 방법

Also Published As

Publication number Publication date
KR102185000B1 (ko) 2020-12-01

Similar Documents

Publication Publication Date Title
US9374386B2 (en) Application malware filtering for advertising networks
RU2744671C2 (ru) Система и способы для обнаружения сетевого мошенничества
Seo et al. Detecting mobile malware threats to homeland security through static analysis
RU2607229C2 (ru) Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества
CN108183900B (zh) 一种挖矿脚本检测的方法、服务器、系统、终端设备及存储介质
CN101356535B (zh) 一种检测和防止java脚本程序中不安全行为的方法和装置
US8608487B2 (en) Phishing redirect for consumer education: fraud detection
CN102110198B (zh) 一种网页防伪的方法
WO2015169158A1 (zh) 信息保护的方法和系统
CN109039987A (zh) 一种用户账户登录方法、装置、电子设备和存储介质
Hamandi et al. Android SMS malware: Vulnerability and mitigation
US20210051176A1 (en) Systems and methods for protection from phishing attacks
KR20120084184A (ko) 화이트 리스트 기반 스마트폰 악성 코드 차단 방법 및 그 기록매체
US20180374093A1 (en) Method for sending digital information
Seo et al. Analysis on maliciousness for mobile applications
Wang et al. MalRadar: Demystifying android malware in the new era
KR102185000B1 (ko) 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법
CN104640105A (zh) 手机病毒分析和威胁关联的方法和系统
CN108427884B (zh) 网页挖矿脚本的警示方法及装置
Wang et al. Characterizing cryptocurrency-themed malicious browser extensions
US20150066763A1 (en) Method and apparatus for cross channel monitoring
Hamandi et al. Messaging attacks on android: vulnerabilities and intrusion detection
Abiodun et al. Linkcalculator—An efficient link-based phishing detection tool
Kim et al. HearMeOut: detecting voice phishing activities in Android
Kim et al. SecureSMS: prevention of SMS interception on Android platform

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant