WO2015046655A1

WO2015046655A1 - 자가변환 기반 애플리케이션 코드 난독화 장치 및 그 방법

Info

Publication number: WO2015046655A1
Application number: PCT/KR2013/008750
Authority: WO
Inventors: 이정현; 정진혁
Original assignee: 숭실대학교 산학협력단
Priority date: 2013-09-27
Filing date: 2013-09-30
Publication date: 2015-04-02
Also published as: EP2897074A4; EP2897074B1; KR101490047B1; JP2016503543A; EP2897074A1; JP5996810B2; US9230123B2; US20150154407A1

Abstract

본 발명은 자가변환 기반 애플리케이션 난독화 장치 및 그 방법에 관한 것이다. 본 발명에 따르면, 애플리케이션을 구성하는 코드를 중요 코드와 일반 코드로 분리하여 서로 다른 환경에서 암호화를 적용함으로써 기존의 매니지드 코드에 존재하는 역공학 취약성을 보완하여 애플리케이션의 위조 내지 변조에 대한 보안성을 높일 수 있다. 또한, 중요 코드를 호출하기 위한 중요 코드 호출부가 애플리케이션의 비실행시에는 더미 코드를 호출하는 형태로 저장되어 있고, 애플리케이션의 실행시 자가변환 기법을 이용해 실제 중요 코드를 호출하도록 변환하기 때문에 공격자의 정적 및 동적 분석을 방지한다.

Description

자가변환 기반 애플리케이션 코드 난독화 장치 및 그 방법

본 발명은 애플리케이션 코드 난독화 장치 및 그 방법에 관한 것으로서, 더욱 상세하게는 자가변환 기반 난독화 기법을 이용한 애플리케이션 코드 난독화 장치 및 그 방법에 관한 것이다.

Java 언어 대상의 기존의 애플리케이션 난독화 장치 및 그 방법은, 자바 가상 머신(Java Virtual Machine)에서 동작하는 애플리케이션을 대상으로 애플리케이션을 구성하는 코드 구조를 변경함으로써 난독화를 적용한다. 여기서 난독화가 적용된 애플리케이션은 난독화 적용 전과 동일하게 자바 가상 머신에서 동작하는 명령어 집합과 목적파일 구조로 구성된다.

하지만, 기존의 난독화 장치 또는 방법에 의하는 경우, 가상 머신에서 동작하는 매니지드 코드(Managed Code)가 가지는 역공학 취약성은 난독화 이후에도 동일하게 남아있게 되어 문제가 된다.

매니지드 코드가 가지는 역공학 취약성은 다음과 같은데, 컴파일 된 목적 코드에 클래스 명, 멤버 변수 명, 메소드 명 등 소소 코드 정보가 포함되며 코드가 명시적으로 구조화되어 있어서 역공학을 통해 특정 로직을 찾거나 분석하는 것이 용이하다.

안드로이드 애플리케이션도 상기 자바 머신에서 동작하는 애플리케이션과 비슷하게 달빅 가상머신(Dalvik Virtual Machine)에서 동작하는 매니지드 코드로 구성되며 DEX(Dalvik Executable) 파일 형식으로 저장된다. 따라서 안드로이드 애플리케이션도 자바 애플리케이션과 동일한 매니지드 코드의 역공학 취약성을 내포하고 있다.

본 발명의 배경이 되는 기술은 대한민국 등록특허공보 제10-1234591호(2013.2.19. 공고)에 기재되어 있다.

본 발명이 해결하고자 하는 과제는, 안드로이드 애플리케이션 보호를 위한 자가변환 기반 애플리케이션 코드 난독화 장치 및 그 방법을 제공하는 것이다.

상기한 바와 같은 목적을 달성하기 위한 본 발명의 하나의 실시예에 따른 애플리케이션 코드 난독화 장치는, 애플리케이션에 사용되는 코드를 입력받는 입력부, 상기 입력된 코드를 분석하여 애플리케이션 위조 내지 변조 공격으로부터 보호될 필요가 있는 중요 코드 및 상기 중요 코드를 호출하기 위한 중요 코드 호출부를 포함하는 일반 코드로 분리하는 코드 분리부, 상기 중요 코드를 암호화하고, 상기 중요 코드 각각의 주소 정보를 저장하고 있는 중요 코드 연결부의 주소 정보를 삽입하는 암호화부, 상기 일반 코드에 더미 코드를 삽입하여 상기 중요 코드 호출부가 상기 더미 코드를 호출하도록 변환하고, 상기 중요 코드의 벡터 정보가 포함된 벡터 테이블을 생성하기 위한 벡터 테이블 생성부를 상기 중요 코드에 삽입하며, 상기 애플리케이션 실행 시에 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 하는 중요 코드 호출부 변환부를 상기 중요 코드에 삽입하는 제어부, 그리고 상기 일반 코드와 중요 코드를 결합하여 상기 애플리케이션을 생성하는 코드 결합부를 포함한다.

상기 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부가 추가된 중요 코드를 네이티브 환경에서 컴파일하는 제 1컴파일부, 그리고 상기 중요 코드 호출부가 더미 코드를 호출하도록 변환된 일반 코드를 매니지드 환경에서 컴파일하여 실행 파일을 생성하는 제 2컴파일부를 더 포함할 수 있다.

상기 암호화부는, 상기 컴파일된 중요 코드에 자가변환 기반의 코드 보호기법을 적용하여 바이너리 코드를 암호화할 수 있다.

상기 코드 변환부는, 상기 일반 코드에 상기 중요 코드와 연동하여 로딩하기 위한 개시 루틴(Startup Routine)을 추가할 수 있다.

상기 중요 코드 및 일반 코드에서 정의된 중요 식별자(sensitive identifier)를 의미 없는 문자 또는 문자열로 교체하여 스크램블하는 스크램블러를 더 포함할 수 있다.

상기 애플리케이션을 전송받은 클라이언트가 상기 개시 루틴을 이용하여 상기 애플리케이션을 실행하는 경우, DEX 파일 형태의 상기 일반 코드가 최적화된 ODEX(Optimized DEX) 파일 형태로 변환되어 달빅 가상 머신(DVM)에 로딩될 수 있다.

상기 암호화된 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부 및 중요 코드가 복호화되며, 상기 벡터 테이블 생성부는 상기 벡터 테이블을 생성하고, 상기 중요 코드 호출부 변환부는 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 변환시키며, 상기 중요 코드 호출부는 상기 벡터 테이블에 기록된 벡터 값을 통해 중요 코드를 호출하면, 상기 중요 코드 연결부는 상기 벡터 테이블과 상기 중요 코드의 주소 정보를 이용하여, 상기 벡터 값에 대응되는 중요 코드를 호출하여 실행시킬 수 있다.

본 발명의 다른 실시예에 따르면, 애플리케이션 난독화 장치를 이용한 애플리케이션 난독화 방법에 있어서, 상기 애플리케이션에 사용되는 코드를 입력받는 단계, 상기 입력된 코드를 분석하여 애플리케이션 위조 내지 변조 공격으로부터 보호될 필요가 있는 중요 코드 및 상기 중요 코드를 호출하기 위한 중요 코드 호출부를 포함하는 일반 코드로 분리하는 단계, 상기 중요 코드를 암호화하고, 상기 중요 코드 각각의 주소 정보를 저장하고 있는 중요 코드 연결부의 주소 정보를 삽입하는 단계, 상기 일반 코드에 더미 코드를 삽입하여 상기 중요 코드 호출부가 상기 더미 코드를 호출하도록 변환하고, 상기 중요 코드의 벡터 정보가 포함된 벡터 테이블을 생성하기 위한 벡터 테이블 생성부를 상기 중요 코드에 삽입하는 단계, 상기 애플리케이션 실행 시에 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 하는 중요 코드 호출부 변환부를 상기 중요 코드에 삽입하는 단계, 그리고 상기 일반 코드와 중요 코드를 결합하여 상기 애플리케이션을 생성하는 단계를 포함한다.

이와 같이 본 발명에 따르면, 애플리케이션을 구성하는 코드를 중요 코드와 일반 코드로 분리하여 서로 다른 환경에서 암호화를 적용함으로써 기존의 매니지드 코드에 존재하는 역공학 취약성을 보완하여 애플리케이션의 위조 내지 변조에 대한 보안성을 높일 수 있다.

또한, 중요 코드를 호출하기 위한 중요 코드 호출부가 애플리케이션의 비실행시에는 더미 코드를 호출하는 형태로 저장되어 있고, 애플리케이션의 실행시 자가변환 기법을 이용해 실제 중요 코드를 호출하도록 변환하기 때문에 공격자의 정적 및 동적 분석을 방지한다.

도 1은 본 발명의 실시예에 따른 애플리케이션 난독화 장치의 구성도이다.

도 2는 본 발명의 실시예에 따른 애플리케이션 난독화 방법의 순서도이다.

도 3은 본 발명의 실시예에 따른 중요 코드의 파일 구조를 설명하기 위한 도면이다.

도 4는 본 발명의 실시예에 따른 난독화된 중요 코드의 파일 구조를 설명하기 위한 도면이다.

도 5는 본 발명의 실시예에 따른 클라이언트 단말이 애플리케이션을 실행시키는 과정을 설명하기 위한 순서도이다.

도 6a 및 도 6b는 본 발명의 실시예에 따른 클라이언트 단말이 난독화된 애플리케이션을 실행하는 과정을 설명하기 위한 도면이다.

도 7은 본 발명의 실시예에 따른 벡터 테이블을 설명하기 위한 도면이다.

이하에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.

먼저 본 발명의 실시예에 따른 애플리케이션 난독화 장치에 대하여 설명한다.

도 1은 본 발명의 실시예에 따른 애플리케이션 난독화 장치를 설명하기 위한 도면이다.

도 1을 참조하면, 본 발명의 실시예에 따른 애플리케이션 난독화 장치(100)는 입력부(110), 코드 분리부(120), 코드 변환부(130), 스크램블러(140), 암호화부(145), 제어부(150) 및 코드 결합부(160)를 포함하고, 컴파일부(170)를 더 포함할 수 있다.

먼저, 입력부(110)는 애플리케이션의 코드를 입력받는다. 여기서, 입력되는 코드는 애플리케이션을 생성하기 위한 코드로서, 소스 코드(Source Code) 또는 매니지드 코드(Managed Code) 형식의 코드일 수 있다.

코드 분리부(120)는 입력부(110)로부터 입력된 코드를 분석하여 애플리케이션 위조 내지 변조 공격으로부터 보호될 필요가 있는 중요 코드와 상기 중요 코드 이외의 일반 코드로 분리한다.

코드 변환부(130)는 코드 분리부(120)에서 분리된 중요 코드를 매니지드 코드(Managed Code)에서 네이티브 코드(Native Code)로 변환한다.

스크램블러(140)는 중요 코드와 일반 코드에서 정의된 중요 식별자(Sensitive Identifier)를 의미 없는 문자 또는 문자열로 교체하여 스크램블(Scramble)한다.

암호화부(145)는 컴파일된 중요 코드에 자가변환 기반의 코드 보호기법을 적용하여 바이너리 코드를 암호화한다.

제어부(150)는 일반 코드에 더미 코드를 삽입하여 중요 코드 호출부가 더미 코드를 호출하도록 변환시킨다. 또한, 중요 코드의 벡터 정보가 포함된 벡터 테이블을 생성하기 위한 벡터 테이블 생성부를 중요 코드에 삽입한다. 그리고, 제어부(150)는 애플리케이션 실행 시에 중요 코드 호출부가 중요 코드를 호출하도록 하는 중요 코드 호출부 변환부를 중요 코드에 삽입한다.

코드 결합부(160)는 암호화된 일반 코드와 중요 코드를 결합하여 클라이언트에 배포가 가능한 형태의 결합 파일을 생성한다. 본 발명에 따른 하나의 실시예로서 안드로이드 애플리케이션의 경우 확장자가 apk(Android package)인 파일이 결합 파일에 해당한다.

컴파일부(170)는 중요 파일을 컴파일 하기 위하여 네이티브 환경에서 동작하는 제1 컴파일부(171)와 일반 코드를 컴파일 하기 위하여 매니지드 환경에서 동작하는 제2 컴파일부(172)를 포함할 수 있다.

제1 컴파일부(171)는 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부가 추가된 중요 코드를 네이티브 환경에서 컴파일한다. 그리고 제2 컴파일부(172)는 중요 코드 호출부가 더미 코드를 호출하도록 변환된 일반 코드를 매니지드 환경에서 컴파일 하여 실행 파일을 생성한다.

이하, 본 발명의 실시예에 따른 애플리케이션 난독화 방법에 대하여 설명한다.

입력부(110)는 애플리케이션의 코드를 입력 받는다(S210). 입력부(110)는 키패드 형태로서 입력 인터페이스부가 구비될 수 있다. 입력되는 코드는 소스 코드이거나 자바 가상 머신(Java Virtual Machine: JVM) 또는 달빅 가상 머신(Dalvik Virtual Machine, DVM)에서 실행될 수 있는 매니지드 코드(Managed Code) 형식의 코드일 수 있다.

코드 분리부(120)는 입력부(110)로부터 입력된 코드를 분석하여 애플리케이션 위조 내지 변조 공격으로부터 보호될 필요가 있는 중요 코드와 상기 중요 코드 이외의 일반 코드로 분리한다(S220).

여기서 일반 코드는, 일반 코드 영역에서 중요 코드 또는 중요 코드가 변환된 네이티브 코드를 호출할 수 있는 중요 코드 호출부(Sensitive Method Calling Routine)를 포함한다. 중요 코드란 사용자의 관점에서 공격자의 위조 내지 변조 행위로부터 보호될 필요가 있는 코드를 나타낸다. 중요 코드와 반대되는 개념으로 중요 코드 이외의 코드를 일반 코드로 칭한다. 핵심 코드는 중요 코드와 동의어로 사용될 수 있다.

코드 구분을 위해 코드 분리부(120)는 기 저장된 중요 코드 모델을 이용하여 상기 입력된 실행 코드에서 중요 코드 모델과 매칭되는 코드를 중요 코드로 판단할 수 있다.

코드 변환부(130)는 코드 분리부(120)에서 분리된 중요 코드를 매니지드 코드(Managed Code)에서 네이티브 코드(Native Code)로 변환한다(S230). 즉 코드 변환부(130)는 매니지드 코드(Managed Code) 형태의 중요 코드를 네이티브 코드(Native Code) 형태로 변환한다. 네이티브 코드(Native Code)는 JVM 또는 DVM에서 실행되는 매니지드 코드(Managed Code)와 달리 CPU 환경에서 실행되며 매니지드 코드보다 바이너리 코드에 가까운 코드이다.

본 발명에 따른 하나의 실시예로서 코드 변환부(130)는 중요 코드를 C 코드로 변환 할 수 있다. 이하 본 발명의 실시예에서 중요 코드는 네이티브 코드 또는 C 코드와 동의어로 사용될 수 있다.

중요 코드는 ELF(Executable and Linkable Format) 형태로 네이티브 코드 섹션에 저장된다. ELF 형태는 코드의 구조가 명시적으로 구분되지 않아 DEX 형태에 비해 코드 위조 내지 변조를 위한 동적 분석 또는 정적 분석에 상대적으로 쉽게 노출되지 않는 장점이 있다. 또한, ELF 형태는 명령어 구성이 달빅(Dalvik) 명령어에 비해 기계어에 가까운 낮은 수준의 CPU 명령어로 구성되어 있어서 공격자의 동적 분석 및 정적 분석을 어렵게 한다.

또한 코드 변환부(130)는 일반 코드에 중요 코드와 연동하여 로딩하기 위한 개시 루틴(Startup Routine)을 추가할 수 있다(S235). 본 발명에 따른 하나의 실시예로서 개시 루틴은 JNI(Java Native Interface) 함수를 포함할 수 있다.

스크램블러(140)는 중요 코드와 일반 코드에서 정의된 중요 식별자(Sensitive Identifier)를 의미 없는 문자 또는 문자열로 교체하여 스크램블(Scramble)한다(S240). 식별자 변환(Scramble Identifier)은 코드 내의 식별자(Identifier)를 하나 또는 그 이상의 알파벳 나열로 바꾸어 역공학을 어렵게 하는 배치 난독화의 일종이다.

S240과 같이 스크램블 과정을 거치면 중요 코드는 도 3의 좌측 도면과 같은 네이티브 파일 구조를 가지게 된다.

도 3은 본 발명의 실시예에 따른 중요 코드의 파일 구조를 설명하기 위한 도면이고, 도 4는 본 발명의 실시예에 따른 난독화된 중요 코드의 파일 구조를 설명하기 위한 도면이다.

도 3의 좌측 도면을 살펴보면, Export Table은 복수의 중요 코드(중요 코드A, 중요 코드 B, … ) 각각의 어드레스를 포함하고 있는데, 각각의 어드레스는 네이티브 코드 섹션에 라이브러리 형태로 저장된 해당 중요 코드(중요 코드 A, 중요 코드 B, …)에 각각 대응된다.

다음으로, 암호화부(145)는 문자열에 대하여 암호화를 한다(S245). 즉, 암호화부(145)는 네이티브 환경에서 중요 코드 내의 문자열에 대하여 저장장소(Data Storage) 변환, 인코딩(Data Encoding) 변환, 순서(Data Ordering) 변환과 같은 자료 난독화 기법을 사용하여 문자열을 암호화를 할 수 있다.

그리고, 암호화부(145)는 도 3의 우측 도면과 같이 네이티브 코드 섹션에 코드 형태의 중요 코드 연결부를 생성하는데, 이때 중요 코드 연결부는 도 3의 좌측 도면의 Export Table에 정의된 네이티브 코드 각각에 대한 어드레스 정보를 포함한다.

그리고, 암호화부(145)는 도 3의 좌측 도면의 Export Table에 정의된 네이티브 코드 각각에 대한 어드레스를 병합(Merge)하여, 도 3의 우측 도면과 같이 중요 코드 연결부의 어드레스를 생성한다(S250).

그 결과, 도 3의 우측 도면과 같이 Export Table에는 중요 코드 연결부의 위치를 나타내는 어드레스 정보가 저장된다.

다음으로, 제어부(150)는 Java 코드 형태의 일반 코드에 더미 코드(Dummy code, 쓰레기 코드)를 삽입하고(S255), 중요 코드를 호출하기 위한 중요 코드 호출부가 더미 코드를 호출하도록 중요 코드 호출부를 변환한다(S260). 이와 같이 더미 코드를 호출하도록 변환함으로써, 공격자로부터 정적 공격을 방지하고, 애플리케이션 실행 시에 자가변환 기법을 통해 중요 코드를 호출하도록 변환하여 정상적인 실행이 되도록 한다.

그리고, 제어부(150)는 중요 코드에 벡터 테이블을 생성하기 위한 벡터 테이블 생성부를 삽입한다(S270). 여기서 벡터 테이블은 추후 애플리케이션이 클라이언트 단말에서 로딩될 때 중요 코드를 호출하기 위해 사용된다.

다음으로 제어부(150)는 중요 코드에 중요 코드 호출부 변환부를 삽입한다(S275). 중요 코드 호출부 변환부는 애플리케이션 실행 시에 더미 코드를 호출하는 중요 코드 호출부들이 중요 코드를 호출하도록 변환하여 정상적으로 애플리케이션이 실행되도록 한다.

다음으로 제 1 컴파일부(171)는 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부가 추가된 중요 코드를 컴파일하고, 암호화부(145)는 컴파일된 중요 코드에 자가변환 기반의 코드 보호기법을 적용하여 바이너리 코드를 암호화할 수 있다(S280).

도 4는 S280 과정을 통해 난독화된 중요 코드의 구조를 나타낸 것으로, 도 4에서 보는 바와 같이 중요 코드들은 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부와 함께 암호화되며, 복호화 루틴이 결합된 구조를 가진다.

제 2컴파일부(172)는 S260 단계를 통해 중요 코드 호출부가 더미 코드를 호출하도록 변환된 일반 코드를 컴파일하여 실행 파일을 생성한다(S290). 본 발명에 따른 실시예로서 실행 파일은 JVM 또는 DVM에서 동작하는 파일이며, 구체적으로는 DEX파일이다.

결합부(160)는 각각 암호화된 일반 코드와 중요 코드를 결합하여 결합 파일 형태의 난독화된 애플리케이션을 생성한다(S295). 그리고 결합부(160)에 의해 생성된 애플리케이션은 앱 스토어, 안드로이드 마켓 등에 업로드되며, 추후 네트워크 연결된 클라이언트 단말로 다운로드 된다.

이하에서는, 도 5 내지 도 7을 통하여 애플리케이션을 다운로드 받은 클라이언트 단말이 애플리케이션을 실행시키는 과정에 대하여 설명한다.

도 5는 본 발명의 실시예에 따른 클라이언트 단말이 애플리케이션을 실행시키는 과정을 설명하기 위한 순서도이고, 도 6a 및 도 6b는 본 발명의 실시예에 따른 클라이언트 단말이 난독화된 애플리케이션을 실행하는 과정을 설명하기 위한 도면이다. 도 7은 본 발명의 실시예에 따른 벡터 테이블을 설명하기 위한 도면이다.

먼저 클라이언트 단말은 안드로이드 마켓이나 앱 스토어를 통하여 난독화된 애플리케이션을 다운로드 받는다(S510).

그러면, 난독화된 애플리케이션이 클라이언트 단말에 설치되는데, 난독화된 애플리케이션은 달빅 가상 머신에서 동작하는 일반 코드 부분과 네이티브 환경에서 동작하는 ELF 형태의 중요 코드 부분으로 나뉘어 진다.

여기서, 일반 코드 부분은 도 6a와 같은 구조를 가진다. 즉, 일반 코드 부분은 DEX 파일 형태로 이루어지며, 더미 코드와 복수의 중요 코드 호출부, 개시 루틴(Startup Routine)을 포함한다. 그리고, 앞에서 설명한 바와 같이, 중요 코드 호출부는 공격자의 정적 분석 방지를 위하여 더미 코드를 호출하도록 설계된다.

사용자가 다운로드 받은 애플리케이션을 실행시키면(S520), 클라이언트의 제어부(미도시)는 도 6b와 같이 일반 코드에 포함된 개시 루틴(Startup Routine)을 이용하여 일반 코드를 달빅 가상 머신(DVM)에 로딩시킨다. 여기서, 일반 코드는 DEX 파일 형태로 바로 실행되지 않고, DEX 최적화(Optimization) 과정을 거쳐 ODEX(Optimized DEX) 파일 형태로 변환되어 달빅 가상 머신(DVM)에 로딩된다.

이와 같은 최적화 과정을 통해 DEX 파일에서는 문자열 데이터인 디스크립터을 이용한 중요 코드 호출 방식이 ODEX 파일에서는 Vtable이라는 자료구조의 어드레스를 통한 중요 코드 호출 방식으로 변환된다.

한편, 사용자가 다운로드 받은 애플리케이션을 실행시키면 중요 코드는 CPU가 제어하는 메모리 영역에 로딩된다.

그러면, 중요 코드에 포함된 복호화 루틴은 네이티브 코드 자가 변환 기법을 이용하여 암호화된 중요 코드 부분(중요 코드 A, 중요 코드 B, …, 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부)을 복호화시킨다(S530).

이와 같이 중요 코드 부분이 복호화되면 벡터 테이블 생성부는 벡터 테이블을 생성한다(S540). 여기서, 벡터 테이블은 중요 코드 호출부와 호출되는 중요 코드 간을 연결하는 벡터 정보의 집합으로, 도 7과 같이 동적 벡터 각각은 호출될 중요 코드와 각각 매칭이 된다. 도 7에 따른 벡터 테이블에서는 동적 벡터 V1은 중요 코드 A와, 동적 벡터 V2는 중요 코드 C와 동적 벡터 V3은 중요 코드 B와 각각 매칭되는 것을 예로 들었다.

다음으로 중요 코드 호출부 변환부는 더미 코드를 호출하던 중요 코드 호출부가 중요 코드를 호출하도록 중요 코드 호출부를 변환시킨다(S550). 즉, 중요 코드 호출부 변환부는 생성된 벡터 테이블에 대응하여, 각 중요 코드 호출부의 벡터 값을 변환시킨다. 도 7과 연관하여 예를 들면, 애플리케이션 실행 전에 더미 코드를 호출하던 중요 코드 호출부(A_dummy)가 중요 코드 A를 호출할 수 있도록 merged_V1과 같은 방식으로 변환된다.

이와 같이 중요 호출부 변환부가 더미 코드를 호출하던 중요코드 호출부를 중요 코드를 호출하도록 변환시킬 수 있는 이유는 ODEX(Optimized DEX) 파일에서 중요 코드 호출시 사용되는 Vtable과 어드레스를 더미 코드용에서 중요 코드용 Vtable과 어드레스로 변환하기 때문이다.

즉, 중요 코드 호출부 변환부가 실행되면, 메모리에 적재된 ODEX에서 변환된 중요 코드 호출부를 검색하여, 자가변환 기법을 통해 더미 코드 호출용 Vtable과 어드레스를 중요 코드 호출용 Vtable과 어드레스로 변환하고, 호출에 필요한 벡터 값 역시 변환한다. 이때 자가변환 기법에 의해 복원된 중요코드 호출부에서 사용되는 호출 벡터는 동적으로 생성된 벡터 테이블에 의해 결정되며 벡터 테이블은 네이티브 코드로 구성된 생성자에 의해 생성된다. 따라서 벡터 매핑은 매 실행시마다 변하게 되며 이를 생성하기 위한 별도의 서버를 요구하지 않아 경제적인 장점이 있다.

따라서, 본 발명의 실시예에 따르면 ODEX에 포함되어 있는 Vtable을 이용하여, 애플리케이션 실행 전에 더미 코드를 호출하였던 중요코드 호출부가 중요 코드를 호출하도록 변환된다.

이와 같이 복원된 중요 코드 호출부는 벡터 테이블에 기록된 벡터 값을 통해 중요 코드를 호출하게 되고, 중요 코드 연결부는 벡터 테이블을 통해 인자로 넘어오는 벡터 값에 매핑되는 중요 코드를 호출하게 된다(S560). 즉, 중요 코드 호출부가 merged_V1과 같은 방식으로 중요 코드 A를 요청하면, 중요 코드 연결부는 벡터 테이블을 참조하여 V1에 대응하는 중요 코드 A를 호출하게 된다.

이와 같이 중요 코드 호출부 변환부에 의해 중요 코드 호출부의 변환이 완료되어 애플리케이션에 포함된 모든 루틴은 정상적인 실행이 가능하게 된다.

이와 같이 본 발명의 실시예에 따르면, 중요 코드는 ELF 형태로 저장되며 중요 코드의 구조가 명시적으로 구분되지 않아 DEX 형태에 비해 상대적으로 적은 분석 정보를 노출시키게 되며, 명령어 구성이 달빅(Dalvik) 명령어에 비해 낮은 수준의 CPU 명령어로 구성되어 공격자의 분석을 방해한다. 또한 공격자는 낮은 수준의 CPU 명령어와 명시적이지 않은 중요 코드 구조로 인해 분석 복잡도가 증가하게 되고 달빅 가상 머신(Dalvik VM)의 매니지드 환경과 네이티브 환경에서 동작하는 코드를 동시에 분석해야 함과 동시에 각 환경에 맞는 난독화 기법을 적용해야 하므로 코드 분석을 난해하게 할 수 있다. 또한, 중요 코드를 호출하는 중요 코드 호출부가 애플리케이션의 비실행시에는 더미 코드를 호출하는 형태로 저장되어 있고, 애플리케이션의 실행시 자가변환 기법을 이용해 실제 중요 코드를 호출하도록 변환하기 때문에 공격자의 정적 및 동적 분석을 방지한다.

이제까지 본 발명에 대하여 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 따라서 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허청구범위에 기재된 내용 및 그와 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.

Claims

애플리케이션에 사용되는 코드를 입력받는 입력부,

상기 입력된 코드를 분석하여 애플리케이션 위조 내지 변조 공격으로부터 보호될 필요가 있는 중요 코드 및 상기 중요 코드를 호출하기 위한 중요 코드 호출부를 포함하는 일반 코드로 분리하는 코드 분리부,

상기 중요 코드를 암호화하고, 상기 중요 코드 각각의 주소 정보를 저장하고 있는 중요 코드 연결부의 주소 정보를 삽입하는 암호화부,

상기 일반 코드에 더미 코드를 삽입하여 상기 중요 코드 호출부가 상기 더미 코드를 호출하도록 변환하고, 상기 중요 코드의 벡터 정보가 포함된 벡터 테이블을 생성하기 위한 벡터 테이블 생성부를 상기 중요 코드에 삽입하며, 상기 애플리케이션 실행 시에 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 하는 중요 코드 호출부 변환부를 상기 중요 코드에 삽입하는 제어부, 그리고

상기 일반 코드와 중요 코드를 결합하여 상기 애플리케이션을 생성하는 코드 결합부를 포함하는 애플리케이션 난독화 장치.
제1항에 있어서,

상기 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부가 추가된 중요 코드를 네이티브 환경에서 컴파일하는 제 1컴파일부, 그리고

상기 중요 코드 호출부가 더미 코드를 호출하도록 변환된 일반 코드를 매니지드 환경에서 컴파일하여 실행 파일을 생성하는 제 2컴파일부를 더 포함하는 애플리케이션 난독화 장치.
제2항에 있어서,

상기 암호화부는,

상기 컴파일된 중요 코드에 자가변환 기반의 코드 보호기법을 적용하여 바이너리 코드를 암호화하는 애플리케이션 난독화 장치.
제3항에 있어서,

상기 코드 변환부는,

상기 일반 코드에 상기 중요 코드와 연동하여 로딩하기 위한 개시 루틴(Startup Routine)을 추가하는 애플리케이션 난독화 장치.
제4항에 있어서,

상기 중요 코드 및 일반 코드에서 정의된 중요 식별자(sensitive identifier)를 의미 없는 문자 또는 문자열로 교체하여 스크램블하는 스크램블러를 더 포함하는 애플리케이션 난독화 장치.
제5항에 있어서,

상기 애플리케이션을 전송받은 클라이언트가 상기 개시 루틴을 이용하여 상기 애플리케이션을 실행하는 경우,

DEX 파일 형태의 상기 일반 코드가 최적화된 ODEX(Optimized DEX) 파일 형태로 변환되어 달빅 가상 머신(DVM)에 로딩되는 애플리케이션 난독화 장치.
제6항에 있어서,

상기 암호화된 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부 및 중요 코드가 복호화되며,

상기 벡터 테이블 생성부는 상기 벡터 테이블을 생성하고,

상기 중요 코드 호출부 변환부는 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 변환시키며,

상기 중요 코드 호출부는 상기 벡터 테이블에 기록된 벡터 값을 통해 중요 코드를 호출하면, 상기 중요 코드 연결부는 상기 벡터 테이블과 상기 중요 코드의 주소 정보를 이용하여, 상기 벡터 값에 대응되는 중요 코드를 호출하여 실행시키는 애플리케이션 난독화 장치.
애플리케이션 난독화 장치를 이용한 애플리케이션 난독화 방법에 있어서,

상기 애플리케이션에 사용되는 코드를 입력받는 단계,

상기 입력된 코드를 분석하여 애플리케이션 위조 내지 변조 공격으로부터 보호될 필요가 있는 중요 코드 및 상기 중요 코드를 호출하기 위한 중요 코드 호출부를 포함하는 일반 코드로 분리하는 단계,

상기 중요 코드를 암호화하고, 상기 중요 코드 각각의 주소 정보를 저장하고 있는 중요 코드 연결부의 주소 정보를 삽입하는 단계,

상기 일반 코드에 더미 코드를 삽입하여 상기 중요 코드 호출부가 상기 더미 코드를 호출하도록 변환하고, 상기 중요 코드의 벡터 정보가 포함된 벡터 테이블을 생성하기 위한 벡터 테이블 생성부를 상기 중요 코드에 삽입하는 단계,

상기 애플리케이션 실행 시에 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 하는 중요 코드 호출부 변환부를 상기 중요 코드에 삽입하는 단계, 그리고

상기 일반 코드와 중요 코드를 결합하여 상기 애플리케이션을 생성하는 단계를 포함하는 애플리케이션 난독화 방법.
제8항에 있어서,

상기 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부가 추가된 중요 코드를 네이티브 환경에서 컴파일하는 단계, 그리고

상기 중요 코드 호출부가 더미 코드를 호출하도록 변환된 일반 코드를 매니지드 환경에서 컴파일하여 실행 파일을 생성하는 단계를 더 포함하는 애플리케이션 난독화 방법.
제9항에 있어서,

상기 암호화부는,

상기 컴파일된 중요 코드에 자가변환 기반의 코드 보호기법을 적용하여 바이너리 코드를 암호화하는 애플리케이션 난독화 장치.
제10항에 있어서,

상기 애플리케이션을 전송받은 클라이언트가 개시 루틴을 이용하여 상기 애플리케이션을 실행하는 경우,

DEX 파일 형태의 상기 일반 코드가 최적화된 ODEX(Optimized DEX) 파일 형태로 변환되어 달빅 가상 머신(DVM)에 로딩되는 애플리케이션 난독화 방법.
제11항에 있어서,

상기 애플리케이션을 전송받은 클라이언트가 개시 루틴을 이용하여 상기 애플리케이션을 실행하는 경우,

상기 암호화된 중요 코드 연결부, 벡터 테이블 생성부, 중요 코드 호출부 변환부 및 중요 코드가 복호화되는 단계,

상기 벡터 테이블 생성부는 상기 벡터 테이블을 생성하는 단계,

상기 중요 코드 호출부 변환부는 상기 중요 코드 호출부가 상기 중요 코드를 호출하도록 변환시키는 단계, 그리고

상기 중요 코드 호출부는 상기 벡터 테이블에 기록된 벡터 값을 통해 중요 코드를 호출하면, 상기 중요 코드 연결부는 상기 벡터 테이블과 상기 중요 코드의 주소 정보를 이용하여, 상기 벡터 값에 대응되는 중요 코드를 호출하여 실행시키는 단계를 포함하는 애플리케이션 난독화 방법.