바이트코드 수정을 통한 안드로이드 앱의 개인정보 접근권한 개별 제어 기법

Abstract

안드로이드 개인정보권한은 꾸준한 사고사례를 통하여 계속해서 문제가 되어 왔다. 이는 안드로이드 마시멜로우 이전 버전에서는 앱 설치 시 개발자가 요구하는 모든 권한을 허용해야만 앱을 설치 할 수 있었기 때문이다. 권한을 설치 시 한 번만 허용하게 되면 사용자는 언제 권한이 쓰이는지 알 수 없게 되는 문제점이 있었고 악의적인 사용자는 이런 점을 계속해서 악용해왔다. 이를 방지하기 위해 안드로이드에서는 앱 설치 후 런타임 시에도 최초 접근에 한하여 사용자에게 승인 받도록 개인정보권한 획득과정을 강화하였다. 하지만 대다수의 서드파티 앱들은 개발의 편의를 위해 설치 후 최초 실행 시 필요한 모든 개인정보 권한을 요구하는 식으로 안드로이드 보안정책을 우회하고 있다. 따라서 사용자는 언제 권한이 쓰이는지 여전히 알 수 없는 문제점이 있다. 본 논문에서는 이 문제점을 해결하기 위한 방법으로 바이트코드 레벨에서 개인정보 API가 호출되기 전 지점에 코드를 삽입함으로써 사용자가 언제 어떤 권한이 쓰이는지 알 수 있도록 하고 개인정보권한을 개별적으로 제어할 수 있는 기법을 제안한다. 이 기법은 원본 APK파일의 바이트코드 수정을 통해 이루어지며 안드로이드의 보안정책을 보완하고 사용자들의 보안의식 향상에 기여할 것으로 보인다.