WO2013042802A1 - 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 - Google Patents

Abstract

본 발명은 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체에 관한 것으로, 안드로이드 앱을 유선단말에서 실행시, 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 행위정보를 기반으로 데이터를 수집 분석하여 안드로이드 앱에 악의적인 코드의 내재 여부를 분석함으로써, 안드로이드 앱을 실행시킨 뒤, 단말 상에서의 중요정보의 수집, 변경, 그리고 유출을 탐지하고 알려주며 악의적인 행위가 포함된 코드가 내재 되어 있는지 분석 가능한 효과를 제공한다.

Description

안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 기록된 컴퓨터 판독 가능한 기록매체

본 발명은 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체에 관한 것으로, 더욱 상세하게는 안드로이드 애플리케이션(이하, '안드로이드 앱')을 윈도우 또는 리눅스 운영체제와 같은 유선단말에서 실행시키고, 당해 안드로이드 앱의 실행에 따른 행위를 모니터링함으로써, 행위정보에 대한 분석을 기반으로 데이터를 수집 분석하여 악의적인 코드의 내재, 그리고 실제 동작여부를 분석할 수 있는 환경을 제공하기 위한 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체에 관한 것이다.

안드로이드 플랫폼은 Google사가 주도하는 OHA(Open Handset Alliance)에서 공개한 소프트웨어 스택이다. 안드로이드 플랫폼은 리눅스 커널(Linux Kernel), 가상머신(Virtual Machine: VM), 프레임워크, 어플리케이션(applicatoin)을 모두 포함하는 소프트웨어 패키지이며, 안드로이드 앱을 개발하기 위한 소프트웨어 개발 키트(Software Development Kit: SDK)를 제공한다.

그리고 안드로이드 플랫폼에서 실행할 어플리케이션(안드로이드 앱)을 유통하기 위한 안드로이드 마켓(android market)이 마련되어 있는데, 안드로이드 마켓은 특별한 검증 절차 없이 개발자가 자유롭게 안드로이드 앱을 등록할 수 있고 사용자도 특별한 확인 절차 없이 자유롭게 안드로이드 앱을 다운로드 받아서 사용할 수 있는 개방형 구조이다.

현재 안드로이드 운영체제를 사용하는 단말장치(스마트폰, 스마트패드)와 이를 위한 안드로이드 앱의 사용도 계속해서 증가하고 있다. [도 1]은 종래기술에 따른 안드로이드 에뮬레이터의 구조를 개념적으로 나타낸 도면인데, 단순히 프로세서를 에뮬레이션하는 구조로서 안드로이드 앱을 실행하는 기능만 제공한다. 안드로이드 운영체제를 탑재한 스마트폰을 사용하는 사용자는 개인정보 수집 및 유출, 시스템 변경, 그리고 악성코드 내재 등의 악의적인 의도를 가진 안드로이드 앱을 자신도 모르게 설치할 가능성과, 이를 통해 자신의 개인정보와 같은 중요한 정보가 외부로 노출되어 악용될 가능성이 있다.

그러나 현재까지 안드로이드 플랫폼은 [도 1]를 참조하여 전술한 바와 같이 단순히 단말장치에서 안드로이드 앱을 실행하는 기능만 제공할 뿐으로, 안드로이드 마켓을 통해 배포되는 안드로이드 앱에서 개인정보를 수집하고 외부로 유출하거나 시스템을 변경하는 등의 악의적인 행위를 포함하는 코드의 내재 여부를 분석하기 위한 툴이나 방법을 제공하지 않고 있으며, 더 나아가 그 실행되는 안드로이드 앱의 코드 커버리지(code coverage)를 확인할 수 있는 방법도 제공하지 않는 문제점이 있다.

본 발명의 목적은 스마트폰과 같은 무선단말뿐만 아니라, 일반 퍼스널 컴퓨터(PC)와 같은 유선단말 환경에서 안드로이드 앱을 동작시키고 그 행위를 모니터링 하여 중요정보의 수집, 외부 유출, 시스템 변경 등을 탐지하고 분석하여 실시간 알림을 제공하며, 최종 분석에 따른 결과 리포트를 제공하기 위한 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체를 제공함에 있다.

이러한 과제를 달성하기 위한 본 발명에 따른 안드로이드 앱의 행위정보 동적분석 에뮬레이터는, 안드로이드 앱을 유선단말에서 실행시, 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 행위정보를 기반으로 데이터를 수집 분석하여 안드로이드 앱에 악의적인 코드의 내재 여부를 분석한다.

이때, 본 발명에서 안드로이드 앱의 행위정보 동적분석 에뮬레이터는 유선단말 환경에서 안드로이드 앱이 실행될 때 실시간 개인정보의 접근, 변형, 유출에 대한 행위정보를 추출하고 로깅하는 인포메이션 모니터와, 안드로이드 앱이 실행시 네트워크 송수신 데이터정보, 파일시스템 읽기/쓰기 정보, 달빅 콜 스택을 트레이스한 행위정보를 추출하고 로깅하는 시스템 리소스 로거와, 안드로이드 앱 실행시 발생하는 행위정보 중에서 GPS 이벤트, 터치 이벤트, 시스템 이벤트의 행위정보를 추출하고 로깅하는 이벤트 로거와, 인포메이션 모니터, 시스템 리소스 로거, 이벤트 로거에 의해 각각 수집된 행위정보를 기반으로 악의적인 행위를 수행하는 코드가 내재되어 있는 지를 분석하여 결과 리포트를 생성하는 분석엔진을 포함하는 것이 바람직하다.

또한, 분석엔진은 인포메이션 모니터, 시스템 리소스 로거, 이벤트 로거에 의해 수집된 로깅 정보와 동적분석 룰을 비교분석하여 악의적인 행위가 수행되는지를 분석하는 것이 바람직하다.

또한, 인포메이션 모니터는 안드로이드 앱 실행 중 유선단말 내장형 또는 외장형 저장소에 저장된 개인정보에 접근하여 데이터를 저장하는 행위정보를 감시하고, 개인정보의 타입 변경을 트레이스하여, 개인정보 값의 분산 또는 연산을 통해 외부로 유출되는 것을 모니터링하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 에뮬레이터는 다수의 독립된 동적분석 에뮬레이터에서 안드로이드 앱을 동시 실행, 반복 실행, 타임라인(timeline) 연계 실행이 가능하도록 하며, 스크립트 입력 없이 직접 구동하는 랜덤(random) 실행 기능을 지원하는 스트립트 플레이어와, 안드로이드 앱의 설치, 삭제, 실행에 대한 관리를 수행하고, 스트립트 플레이어에서 실행 가능한 앱 실행 스크립트를 제작을 제어하는 동적분석 관리자에 의한 관리 및 제어가 가능하도록 하기 위해 연동 기능을 제공하는 시스템 어답터를 더 포함하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 에뮬레이터는 안드로이드 앱을 수동으로 실행하도록 하여, 수동 실행에 따른 행위정보를 로깅하고 분석엔진을 통해 분석된 결과 리포트를 UI화면을 통해 제공하도록 제어하는 동적분석 UI 앱을 더 포함하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 에뮬레이터는 인포메이션 모니터, 시스템 리소스 로거, 이벤트 로거에서 각각 발생되는 로깅 정보를 큐(queue)로 입력받은 뒤, 비동기 방식으로 독립된 프로세스로 처리하여 각기 다른 DB로 저장하도록 하는 서비스 큐를 더 포함하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 에뮬레이터는 안드로이드 앱 실행 중 네트워크로의 데이터 전송 또는 SMS 전송에 의한 외부 유출을 인포메이션 모니터가 감지한 경우, UI화면을 통해 사용자에게 알려주는 실시간 개인정보 외부유출 노티피케이션을 더 포함하는 것이 바람직하다.

이러한 과제를 달성하기 위한 본 발명에 따른 안드로이드 앱의 행위정보 동적분석 시스템은, 안드로이드 앱을 유선단말에서 실행시, 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 행위정보를 기반으로 데이터를 수집 분석하여 안드로이드 앱에 악의적인 코드의 내재, 안드로이드 앱의 실제 동작 여부를 분석하는 동적분석 에뮬레이터와, 안드로이드 앱을 무선단말에서 실행시, 동적분석 에뮬레이터와 동일한 동작을 수행하는 동적분석 에이전트와, 안드로이드 앱의 설치, 삭제, 실행에 대한 관리를 수행하고, 동적분석 에뮬레이터 및 동적분석 에이전트에서 실행 가능한 앱 실행 스크립트를 제작하도록 제어하는 동적분석 관리자를 포함하여 이루어진다.

이때, 안드로이드 앱의 행위정보 동적분석 시스템은 안드로이드 앱에 포함된 실행 코드, 클래스 및 함수 호출, 클래스 상속관계를 분석해서 실제 사용되는 코드를 구분한 뒤, 동적분석 에뮬레이터 및 동적분석 에이전트에 의해 행위정보를 기반으로 데이터의 수집 분석이 수행될 때, 코드 커버리지를 분석한 결과를 제공하여 안드로이드 앱의 실제 동작 여부를 판단하도록 하는 코드 분석기를 더 포함하는 것이 바람직하다.

또한, 동적분석 에뮬레이터는 유선단말 환경에서 동작하는 어플리케이션 형태로 제공되며, 안드로이드 플랫폼에 내장된 에뮬레이터 코드를 기반으로 안드로이드 프레임워크(android framework), 코어 라이브러리(core library) 및 달빅 가상머신(Dalvik virtual machine)를 포팅한 뒤, 구성 컴포넌트를 추가하여 형성되는 것이 바람직하다.

또한, 동적분석 에이전트는, 안드로이드 운영체제를 탑재한 스마트폰에서 동작하는 어플리케이션 형태로 제공되며, 안드로이드 소스를 기반으로 안드로이드 프레임워크, 코어 라이브러리, 달빅 가상머신을 포팅한 뒤, 구성 컴포넌트를 추가하여 형성되는 것이 바람직하다.

이러한 과제를 달성하기 위한 본 발명에 따른 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체는, 안드로이드 앱을 유선단말에서 실행시, 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 행위정보를 기반으로 데이터를 수집 분석하여 안드로이드 앱에 악의적인 코드의 내재 여부를 분석한다.

이때, 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체는 유선단말 환경에서 안드로이드 앱이 실행될 때 실시간으로 개인정보의 접근, 변형, 유출에 대한 행위정보를 추출하고 로깅하는 인포메이션 모니터 기능과, 안드로이드 앱이 실행시 네트워크 송수신 데이터정보, 파일시스템 읽기/쓰기 정보, 달빅 콜 스택을 트레이스한 행위정보를 추출하고 로깅하는 시스템 리소스 로거 기능과, 안드로이드 앱 실행시 발생하는 행위정보 중에서 GPS 이벤트, 터치 이벤트, 시스템 이벤트의 행위정보를 추출하고 로깅하는 이벤트 로거 기능과, 인포메이션 모니터 기능, 시스템 리소스 로거 기능, 이벤트 로거 기능에 의해 각각 수집된 행위정보를 기반으로 악의적인 행위를 수행하는 코드가 내재되어 있는 지를 분석하여 결과 리포트를 생성하는 분석엔진 기능을 실행한다.

또한, 분석엔진 기능은 인포메이션 모니터 기능, 시스템 리소스 로거 기능, 이벤트 로거 기능에 의해 수집된 로깅 정보와 동적분석 룰을 비교분석하여 악의적인 행위가 수행되는지를 분석하는 것이 바람직하다.

또한, 인포메이션 모니터 기능은 안드로이드 앱 실행 중 유선단말 내장형 또는 외장형 저장소에 저장된 개인정보에 접근하여 데이터를 저장하는 행위정보를 감시하고, 개인정보의 타입 변경을 트레이스하여, 개인정보 값의 분산 또는 연산을 통해 외부로 유출되는 것을 모니터링하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체는 다수의 독립된 동적분석 에뮬레이터에서 안드로이드 앱을 동시 실행, 반복 실행, 타임라인 연계 실행이 가능하도록 하며, 스크립트 입력 없이 직접 구동하는 랜덤 실행 기능을 지원하는 스트립트 플레이어 기능과, 안드로이드 앱의 설치, 삭제, 실행에 대한 관리를 수행하고, 스트립트 플레이어 기능에서 실행 가능한 앱 실행 스크립트를 제작을 제어하는 동적분석 관리자에 의한 관리 및 제어가 가능하도록 하기 위해 연동 기능을 제공하는 시스템 어답터 기능을 더 실행하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체는 안드로이드 앱을 수동으로 실행하도록 하여, 수동 실행에 따른 행위정보를 로깅하고 분석엔진을 통해 분석된 결과 리포트를 UI화면을 통해 제공하도록 제어하는 동적분석 UI 앱 기능을 더 실행한다.

또한, 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체는 인포메이션 모니터 기능, 시스템 리소스 로거 기능, 이벤트 로거 기능에서 각각 발생되는 로깅 정보를 큐로 입력받은 뒤, 비동기 방식으로 독립된 프로세스로 처리하여 각기 다른 DB로 저장하도록 하는 서비스 큐 기능을 더 실행하는 것이 바람직하다.

또한, 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체는 안드로이드 앱 실행 중 네트워크로의 데이터 전송 또는 SMS 전송에 의한 외부 유출을 인포메이션 모니터가 감지한 경우, UI화면을 통해 사용자에게 알려주는 실시간 개인정보 외부유출 노티피케이션 기능을 더 포함하는 것이 바람직하다.

본 발명에 따르면, 안드로이드 앱을 동적분석 에뮬레이터 및 동적분석 에이전트를 이용해 유/무선단말 상에서의 중요정보의 수집, 변경, 유출을 탐지하고 알려주며 악의적인 행위가 포함된 코드가 내재 되어 있는지 분석 가능한 효과를 제공한다.

본 발명을 응용함으로써, 안드로이드 앱을 판매하는 오픈 마켓에서 사용자에게 제공되기 전에 사전 검증을 통해 안드로이드 앱의 안정성을 검증할 수 있으며, 오픈 마켓의 신뢰성을 높일 수 있고, 나아가 사용자의 정보가 유출될 가능성을 사전에 차단에 따른 신뢰성을 제공하여 안드로이드 기반의 어플리케이션 시장을 활성화할 수 있다.

도 1은 종래기술에 따른 안드로이드 에뮬레이터의 구조를 개념적으로 나타낸 도면.

도 2는 본 발명의 실시예에 동적분석 에뮬레이터를 포함하는 안드로이드 앱의 행위정보 동적분석 시스템을 나타내는 도면.

도 3은 도 2에서의 동적분석 에뮬레이터, 동적분석 에이전트, 동적분석 관리자의 관계를 나타내는 도면.

이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.

도 2는 본 발명의 실시예에 동적분석 에뮬레이터(10)를 포함하는 안드로이드 앱의 행위정보 동적분석 시스템을 나타내는 도면이다. 도 3은 도 2에서의 동적분석 에뮬레이터(10)와 동적분석 에이전트(20), 동적분석 관리자(40)의 관계를 나타내는 도면이다.

도 2 및 도 3을 참조하면, 안드로이드 앱의 행위정보 동적분석 시스템은 동적분석 에뮬레이터(10), 동적분석 에이전트(20), 코드 분석기(30), 동적분석 관리자(40)를 포함한다.

동적분석 에뮬레이터(10)는 안드로이드 플랫폼(android platform) 기반으로 동작하는 퍼스널 컴퓨터(PC)와 같은 유선단말(100) 기반의 에뮬레이터로, 스마트폰과 같은 무선단말(200)을 이용해 안드로이드 어플리케이션(이하, 안드로이드 앱)을 실행시킬 수 있는 것과 동일한 환경을 제공하기 위한 구성요소이다. 이에 따라, 동적분석 에뮬레이터(10)는 윈도우 운영체제(Windows OS)나 리눅스 운영체제(Linux OS) 기반의 유선단말(100)에서 동작한다. 이는 종래의 안드로이드 에뮬레이터가 CPU를 에뮬레이션하는 구조로 되어 있으며 안드로이드 앱을 실행하는 기능만 제공되는 것과 차이가 있다.

보다 구체적으로, 동적분석 에뮬레이터(10)는 유선단말 환경에서 동작하는 어플리케이션 형태로 제공가능하며, 안드로이드 플랫폼에 내장된 에뮬레이터 코드를 기반으로 안드로이드 프레임워크(2a), 코어 라이브러리(core library)(2b), 달빅 가상머신(이하 '달빅 VM')(2c)를 포팅하고 하기와 같은 필요 구성 컴포넌트를 추가한 형태로 구성된다.

동적분석 에뮬레이터(10)는 시스템 어답터(1a), 스크립트 플레이어(1b), 동적분석 UI 앱(1c), 상술한 포팅된 안드로이드 프레임워크(2a), 코어 라이브러리(2b), 달빅 VM(2c), 서비스 큐(3), 실시간 개인정보 외부유출 노티피게이션(4), 분석엔진(5), 인포메이션 모니터(6), 시스템 리소스 로거(7), 이벤트 로거(8), 분석결과 DB(9a), 데이터로그 DB(9b), I/O로그 DB(9c), 이벤트 DB(9d)와 같은 소프트웨어 모듈을 포함하여 이루어진다.

시스템 어답터(1a)는 동적분석 에뮬레이터(10)가 동적분석 관리자(40)와의 연동을 위한 컴포넌트이다.

보다 구체적으로 살펴보면, 시스템 어답터(1a)는 안드로이드 앱의 설치(install), 삭제(uninstall), 실행(execution)에 대한 동적분석 관리자(40)에 의한 관리, 그리고 후술할 스크립트 플레이어(1b)에서 실행 가능한 앱 실행 스크립트 제작에 대한 동적분석 관리자(40)에 의한 제어가 가능하도록 하는 연동 기능을 제공한다.

스크립트 플레이어(1b)는 안드로이드 앱을 시스템 어답터(1a)에 의해 동적분석 관리자(40)로부터 수신된 앱 실행 스크립트를 이용한 스크립트 기반으로 자동실행하기 위한 컴포넌트이다.

즉, 스크립트 플레이어(1b)는 동적분석 관리자(40)에서 제작된 안드로이드 앱을 실행시키는 처리 절차를 문자(텍스트)로 기술한 "스크립트"를 통해 안드로이드 앱을 실행하는 기능을 수행하는 컴포넌트이다.

또한, 스크립트 플레이어(1b)는 동적분석 관리자(40)의 제어를 통해 하나의 안드로이드 앱을 동적분석 에뮬레이터를 포함하는 다수의 독립된 동적분석 에뮬레이터 집단 또는 동적분석 에이전트를 포함하는 다수의 독립된 동적분석 에뮬레이터 에이전트 집단에서 동시 실행, 반복 실행, 타임라인 연계 실행 등이 가능하도록 구성된다. 또한, 스크립트 플레이어(1b)는 동적분석 관리자(40)에 의해 제작된 앱 실행 스크립트의 입력 없이 직접적 구동을 수행하는 랜덤 실행 기능도 지원하는 것이 바람직하다.

동적분석 UI 앱(1c)은 안드로이드 앱을 수동으로 실행하도록 하여 수동 실행에 따른 행위정보를 동작 상태에 따른 변화를 시간에 따라 기록하는 로깅(logging)을 수행하고, 분석엔진(5)을 통해 분석된 UI화면을 제공한다.

이에 따라 동적분석 UI 앱(1c)은 동적분석 관리자(40)를 통하지 않고 동적분석 에뮬레이터(10)와 유선단말(100)의 연동에 의한 직접적으로 행동정보에 대한 분석 기능을 수행하도록 하는 애플리케이션이다.

서비스 큐(3)는 실시간 로거(logger)인 인포메이션 모니터(6), 시스템 리소스 로거(7) 및 이벤트 로거(8)가 수집한 정보를 시스템 성능에 영향을 최소화하며 저장하기 위한 컴포넌트이다.

보다 구체적으로 서비스 큐(3)는 인포메이션 모니터(6), 시스템 리소스 로거(7), 이벤트 로거(8)에서 각각 발생되는 안드로이드 앱 실행을 위한 행위 기반 데이터인 로깅 정보를 큐로 입력받는다. 이후, 서비스 큐(3)는 큐에 있는 로깅 정보를 안드로이드 프레임워크에서 제공하는 서비스와 동일하게 비동기 방식으로 처리함으로써 데이터로그 DB(9b), I/O로그 DB(9c), 이벤트로그 DB(9d)에 각각 저장하는 기능을 수행하는 컴포넌트이다.

서비스 큐(3)는 많은 양의 로깅 정보를 동기적으로 처리한 경우 발생가능한 부하와 시스템 성능 저하를 최소화하기 위해 독립된 프로세스로 작동하며 백그라운드 프로세스와 같이 동작하는 컴포넌트이다.

이에 따라, 서비스 큐(3)의 하위 모듈은 도시된 바와 같은 DB 커서(DB cursor)(3a), 이벤트 로그 큐(event log queue)(3b), I/O 로그 큐(I/O log queue)(3c), 데이터 로그 큐(data log queue)(3d)로 구성된다.

실시간 개인정보 외부유출 노티피케이션(4)은 안드로이드 앱 실행 중 개인정보와 같은 중요정보의 네트워크로의 데이터 전송 또는 SMS 전송 등을 통해 외부 유출이 인포메이션 모니터(6)에 의해 감지되었을 경우, 이를 UI화면 등을 통해 사용자에게 안드로이드 프레임워크의 노티피케이션(notification)과 같은 방법으로 알려주는 역할을 수행하는 컴포넌트이다.

한편, 분석엔진(5)은 인포메이션 모니터(6), 시스템 리소스 로거(7), 이벤트 로거(8)에 의해 수집된 각종의 프로세싱 관련 정보를 기반으로 악의적인 행위를 수행하는 코드를 분석한다.

보다 구체적으로 살펴보면, 분석엔진(5)은 안드로이드 앱을 실행하는 동안 인포메이션 모니터(6), 시스템 리소스 로거(7), 이벤트 로거(8)가 수집한 로깅(logging) 정보와 동적분석 룰(rule)을 비교분석함으로써 악의적인 행위를 수행하는 코드가 안드로이드 앱에 내재되어 있는 지를 판별하고 결과 리포트(result report)를 생성하는 컴포넌트이다.

한편, 각 로깅 정보 수집 컴포넌트인 인포메이션 모니터(6), 시스템 리소스 로거(7), 이벤트 로거(8)에서 생성된 정보는 로깅(logging) 필터를 통해 분석엔진(5)에 제공되며, 동적분석 룰은 파서(parser, 미도시)를 통해 분석엔진(5)에 제공된다. 이를 위해 분석엔진(5)의 하위 모듈은 도시된 바와 같이, 동적분석 룰(5a), 로깅 정보필터(5b), 결과 리포트(5c)로 구성된다.

인포메이션 모니터(6)는 유선단말 환경에서 안드로이드 앱이 실행될 때 실시간으로 개인정보의 접근, 변형, 유출에 대한 행위정보를 추출하고 로깅함으로써 UI화면 등을 통해 사용자에게 알려주는 역할을 수행하는 컴포넌트이다.

보다 구체적으로, 인포메이션 모니터(6)는 안드로이드 앱 실행 중 유선단말(100) 내의 내장형 대용량 저장소나 SD 카드 및 USB 카드 등의 외장형 저장소에 저장된 중요정보인 개인정보에 접근하여 파일 형태와 같은 형식으로 저장하는 행위정보를 감시한다. 또한, 인포메이션 모니터(6)는 개인정보의 타입 변형을 트레이스하여 개인정보 값의 분산 또는 연산 등을 통해 외부로 유출되는 행위를 실시간으로 모니터링하고 알려주는 역할을 한다.

인포메이션 모니터(6)는 데이터 접근과 데이터 변형을 트레이스 하기 위해 달빅 가상머신(2c)과 코어 라이브러리(2b)를 포팅한 컴포넌트, 그리고 안드로이드 프레임워크(2a)에서 동작하는 백그라운드 프로세스의 형태로 제공된다. 이를 위해 인포메이션 모니터(6)의 하위 모듈은 유출 감지(6a), 데이터 변형 트레이스(6b), 데이터 접근 감지(6c)로 구성된다.

다음으로, 시스템 리소스 로거(7)는 안드로이드 앱을 실행할 때 발생하는 행위정보 중에서 네트워크, 파일시스템, 달빅 콜 스택(Dalvik call stack)을 트레이스 한다.

좀더 구체적으로 살펴보면, 시스템 리소스 로거(7)는 안드로이드 앱을 실행할 때 발생하는 행위정보 중에서 분석엔진(5)에서 악의적인 행위를 분석하기 위한 기반 정보인 네트워크 송수신 데이터정보, 파일시스템 읽기/쓰기 정보, 달빅 콜 스택을 트레이스한 정보를 추출하고 로깅하는 역할을 담당하는 컴포넌트이다. 시스템 리소스 로거(7)는 코어 라이브러리(2b)와 안드로이드 프레임워크(2a)를 포팅한 컴포넌트이며, 도시된 바와 같이 하위모듈로, 네트워크 I/O(7a), 스토리지 I/O(7b), 콜 스택 트레이스(7c)로 구성된다.

이벤트 로거(8)는 GPS 이벤트, 터치 이벤트, 시스템 이벤트의 행위정보를 추출하고 로깅하는 컴포넌트이다.

보다 구체적으로, 이벤트 로거(8)는 안드로이드 앱 실행시 발생하는 행위정보 중에서 분석엔진(5)에서의 악의적인 행위를 분석하기 위한 기반 정보인 GPS 이벤트, 터치 이벤트, 시스템 이벤트를 로깅하며, 안드로이드 프레임워크(2a)를 포팅한 컴포넌트이다. 이를 위해 이벤트 로거(8)의 하위 모듈은 도시된 바와 같이, GPS(8a), 터치(8b), 시스템(8c)로 구성된다.

다음으로, 분석결과 DB(9a)는 분석엔진(5)에 의해 생성된 결과 리포트를 저장한다.

데이터로그 DB(9b)는 인포메이션 모니터(6)에서 발생되는 로깅 정보를 서비스 큐(3)의 제어에 따라 저장하며, I/O로그 DB(9c)는 시스템 리소스 로거(7)에서 발생되는 로깅 정보를 서비스 큐(3)의 제어에 따라 저장하며, 이벤트 DB(9d)는 이벤트 로거(8)에서 발생되는 로깅 정보를 서비스 큐(3)의 제어에 따라 저장하며, 각 저장되는 정보는 비동기식으로 저장되는 것을 특징으로 한다.

이하에서는, 동적분석 에뮬레이터(10) 외에 안드로이드 앱의 행위정보 동적분석 시스템을 살펴보도록 한다.

동적분석 에이전트(20)는 안드로이드 운영체제를 기반으로 하는 스마트폰과 같은 무선단말(200)에서 동작한다.

보다 구체적으로, 동적분석 에이전트(20)는 안드로이드 운영체제를 탑재한 스마트폰에서 동작하는 어플리케이션(application) 형태와 이미지로 제공되며, 기능 및 구성은 동적분석 에뮬레이터(10)와 동일하다.

그러나 동적분석 에이전트(20)는 안드로이드 소프트웨어 개발 키트(SDK) 코드를 기반으로 하지 않고 안드로이드 소스를 기반으로 안드로이드 프레임워크(2a), 코어 라이브러리(2b), 달빅 가상머신(2c)을 포팅하고 필요한 구성 컴포넌트를 추가한 형태로 구성된다.

코드 분석기(30)는 안드로이드 앱 실행시 실제 사용되는 코드를 측정한 코드 커버리지를 분석한다.

보다 구체적으로, 코드 분석기(30)는 안드로이드 앱에 포함된 실행 코드, 클래스 및 함수 호출, 클래스 상속관계를 분석해서 실제 사용되는 코드를 구분한다. 이에 따라, 코드 분석기(30)는 동적분석 에뮬레이터(10) 또는 동적분석 에이전트(20)에 의해 안드로이드 앱이 실행된 뒤, 행위정보를 기반으로 분석 엔진(5)에서 안드로이드 앱에 대한 데이터 수집 분석이 수행될 때, 코드 커버리지를 분석한 결과를 제공한다. 이에 따라, 코드 분석기(30)는 동적분석 에뮬레이터(10)에서 사용가능한 동적 연결 라이브러리로 제공된다.

한편, 동적분석 관리자(40)는 동적분석 에뮬레이터(10) 또는 동적분석 에이전트(20)와 연동하여 단말장치(100, 200)에서 안드로이드 앱의 설치, 삭제, 실행에 대한 관리를 수행한다.

또한, 동적 분석 관리자(40)는 스크립트 플레이어(1b)에서 실행 가능한 앱 실행 스크립트를 제작하도록 제어하는 기능을 수행하며 유선단말(100)을 위한 어플리케이션 형태로 제공된다.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 캐리어웨이브(예컨대, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다.

또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산된 방식으로 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적 프로그램, 코드, 코드 세그먼트는 본 발명이 속하는 기술 분야의 프로그래머들에 의해 용이하게 추론될 수 있다.

Claims (17)

1. 안드로이드 앱을 유선단말에서 실행시, 상기 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 상기 행위정보를 기반으로 데이터를 수집 분석하여 상기 안드로이드 앱에 악의적인 코드의 내재 여부를 분석하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
2. 청구항 1에 있어서,

   상기 유선단말 환경에서 상기 안드로이드 앱이 실행될 때 실시간 개인정보의 접근, 변형, 유출에 대한 행위정보를 추출하고 로깅하는 인포메이션 모니터;

   상기 안드로이드 앱이 실행시 네트워크 송수신 데이터정보, 파일시스템 읽기/쓰기 정보, 달빅 콜 스택을 트레이스한 행위정보를 추출하고 로깅하는 시스템 리소스 로거;

   상기 안드로이드 앱 실행시 발생하는 행위정보 중에서 GPS 이벤트, 터치 이벤트, 시스템 이벤트의 행위정보를 추출하고 로깅하는 이벤트 로거;

   상기 인포메이션 모니터, 상기 시스템 리소스 로거, 상기 이벤트 로거에 의해 각각 수집된 행위정보를 기반으로 악의적인 행위를 수행하는 코드가 내재되어 있는 지를 분석하여 결과 리포트를 생성하는 분석엔진;

   을 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
3. 청구항 2에 있어서,

   상기 분석엔진은 상기 인포메이션 모니터, 상기 시스템 리소스 로거, 상기 이벤트 로거에 의해 수집된 로깅 정보와 동적분석 룰을 비교분석하여 악의적인 행위가 수행되는지를 분석하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
4. 청구항 2에 있어서,

   상기 인포메이션 모니터는 상기 안드로이드 앱 실행 중 상기 유선단말 내장형 또는 외장형 저장소에 저장된 상기 개인정보에 접근하여 데이터를 저장하는 행위정보를 감시하고, 상기 개인정보의 타입 변경을 트레이스하여, 상기 개인정보 값의 분산 또는 연산을 통해 외부로 유출되는 것을 모니터링하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
5. 청구항 2에 있어서,

   다수의 독립된 동적분석 에뮬레이터에서 상기 안드로이드 앱을 동시 실행, 반복 실행, 타임라인(Timeline) 연계 실행이 가능하도록 하며, 스크립트 입력 없이 직접 구동하는 랜덤 실행 기능을 지원하는 스트립트 플레이어;

   상기 안드로이드 앱의 설치, 삭제, 실행에 대한 관리를 수행하고, 상기 스트립트 플레이어에서 실행 가능한 앱 실행 스크립트를 제작을 제어하는 동적분석 관리자에 의한 관리 및 제어가 가능하도록 하기 위해 연동 기능을 제공하는 시스템 어답터;

   상기 안드로이드 앱을 수동으로 실행하도록 하여, 수동 실행에 따른 행위정보를 로깅하고 상기 분석엔진을 통해 분석된 상기 결과 리포트를 UI화면을 통해 제공하도록 제어하는 동적분석 UI 앱;

   를 더 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
6. 청구항 2에 있어서,

   상기 인포메이션 모니터, 상기 시스템 리소스 로거, 상기 이벤트 로거에서 각각 발생되는 로깅 정보를 큐(Queue)로 입력받은 뒤, 비동기 방식으로 독립된 프로세스로 처리하여 각기 다른 DB로 저장하도록 하는 서비스 큐;

   를 더 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
7. 청구항 6에 있어서,

   상기 안드로이드 앱 실행 중 네트워크로의 데이터 전송 또는 SMS 전송에 의한 외부 유출을 상기 인포메이션 모니터가 감지한 경우, UI화면을 통해 사용자에게 알려주는 실시간 개인정보 외부유출 노티피케이션;

   을 더 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 에뮬레이터.
8. 안드로이드 앱을 유선단말에서 실행시, 상기 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 상기 행위정보를 기반으로 데이터를 수집 분석하여 상기 안드로이드 앱에 악의적인 코드의 내재와 상기 안드로이드 앱의 실제 동작 여부를 분석하는 동적분석 에뮬레이터;

   상기 안드로이드 앱을 무선단말에서 실행시, 상기 동적분석 에뮬레이터와 동일한 동작을 수행하는 동적분석 에이전트;

   상기 안드로이드 앱의 설치, 삭제, 행에 대한 관리를 수행하고, 상기 동적분석 에뮬레이터와 상기 동적분석 에이전트에서 실행 가능한 앱 실행 스크립트를 제작하도록 제어하는 동적분석 관리자;

   를 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 시스템.
9. 청구항 8에 있어서,

   상기 안드로이드 앱에 포함된 실행 코드, 클래스 및 함수 호출, 클래스 상속관계를 분석해서 실제 사용되는 코드를 구분한 뒤, 상기 동적분석 에뮬레이터와 상기 동적분석 에이전트에 의해 상기 행위정보를 기반으로 데이터의 수집 분석이 수행될 때, 코드 커버리지를 분석한 결과를 제공하여 상기 안드로이드 앱의 실제 동작 여부를 판단하도록 하는 코드 분석기;

   를 더 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 시스템.
10. 청구항 8에 있어서,

    상기 동적분석 에뮬레이터는 상기 유선단말 환경에서 동작하는 어플리케이션 형태로 제공되며, 안드로이드 플랫폼에 내장된 에뮬레이터 코드를 기반으로 안드로이드 프레임워크(Android Framework), 코어 라이브러리(Core Library), 달빅 가상머신(Dalvik Virtual Machine)를 포팅한 뒤, 구성 컴포넌트를 추가하여 형성되는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 시스템.
11. 안드로이드 앱을 유선단말에서 실행시, 상기 안드로이드 앱 실행에 따라 행위정보를 모니터링하여, 상기 행위정보를 기반으로 데이터를 수집 분석하여 상기 안드로이드 앱에 악의적인 코드의 내재 여부를 분석하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.
12. 청구항 11에 있어서,

    상기 유선단말 환경에서 상기 안드로이드 앱이 실행될 때 실시간으로 개인정보의 접근, 변형, 유출에 대한 행위정보를 추출하고 로깅하는 인포메이션 모니터 기능과,

    상기 안드로이드 앱이 실행시 네트워크 송수신 데이터정보, 파일시스템 읽기/쓰기 정보, 달빅 콜 스택을 트레이스한 행위정보를 추출하고 로깅하는 시스템 리소스 로거 기능과,

    상기 안드로이드 앱 실행시 발생하는 행위정보 중에서 GPS 이벤트, 터치 이벤트, 시스템 이벤트의 행위정보를 추출하고 로깅하는 이벤트 로거 기능과,

    상기 인포메이션 모니터 기능, 상기 시스템 리소스 로거 기능, 상기 이벤트 로거 기능에 의해 각각 수집된 행위정보를 기반으로 악의적인 행위를 수행하는 코드가 내재되어 있는 지를 분석하여 결과 리포트를 생성하는 분석엔진 기능을 실행시키는 분석엔진 기능을 실행하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.
13. 청구항 12에 있어서,

    상기 분석엔진 기능은 상기 인포메이션 모니터 기능, 상기 시스템 리소스 로거 기능, 상기 이벤트 로거 기능에 의해 수집된 로깅 정보와 동적분석 룰을 비교분석하여 악의적인 행위가 수행되는지를 분석하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.
14. 청구항 12에 있어서,

    상기 인포메이션 모니터 기능은,

    상기 안드로이드 앱 실행 중 상기 유선단말 내장형 또는 외장형 저장소에 저장된 상기 개인정보에 접근하여 데이터를 저장하는 행위정보를 감시하고, 상기 개인정보의 타입 변경을 트레이스하여, 상기 개인정보 값의 분산 또는 연산을 통해 외부로 유출되는 것을 모니터링하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.
15. 청구항 12에 있어서,

    다수의 독립된 동적분석 에뮬레이터에서 상기 안드로이드 앱을 동시 실행, 반복 실행, 타임라인 연계 실행이 가능하도록 하며, 스크립트 입력 없이 직접 구동하는 랜덤 실행 기능을 지원하는 스트립트 플레이어 기능;

    상기 안드로이드 앱의 설치, 삭제, 실행에 대한 관리를 수행하고, 상기 스트립트 플레이어 기능에서 실행 가능한 앱 실행 스크립트를 제작을 제어하는 동적분석 관리자에 의한 관리 및 제어가 가능하도록 하기 위해 연동 기능을 제공하는 시스템 어답터 기능;

    상기 안드로이드 앱을 수동으로 실행하도록 하여, 수동 실행에 따른 행위정보를 로깅하고 상기 분석엔진을 통해 분석된 상기 결과 리포트를 UI화면을 통해 제공하도록 제어하는 동적분석 UI 앱 기능;

    을 더 실행하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.
16. 청구항 12에 있어서,

    상기 인포메이션 모니터 기능, 상기 시스템 리소스 로거 기능, 상기 이벤트 로거 기능에서 각각 발생되는 로깅 정보를 큐(Queue)로 입력받은 뒤, 비동기 방식으로 독립된 프로세스로 처리하여 각기 다른 DB로 저장하도록 하는 서비스 큐 기능;

    을 더 실행하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.
17. 청구항 12에 있어서,

    상기 안드로이드 앱 실행 중 네트워크로의 데이터 전송 또는 SMS 전송에 의한 외부 유출을 상기 인포메이션 모니터가 감지한 경우, UI화면을 통해 사용자에게 알려주는 실시간 개인정보 외부유출 노티피케이션 기능; 을 더 포함하는 것을 특징으로 하는 안드로이드 앱의 행위정보 동적분석 프로그램이 컴퓨터 판독 가능하게 기록된 기록매체.

Images