Dalvik 바이트코드 빈도 정보를 이용한 안드로이드 악성코드 분류 기법

Abstract

스마트폰 사용량이 급속히 증가함에 따라 이를 이용한 많은 애플리케이션 개발과 다양한 분석들이 활발하게 이루어지고 있다. 하지만 이러한 스마트폰의 발전과 같이 악성 행위를 수행하는 애플리케이션들이 제작되고, 이를 유포하는 사례 또한 크게 증가하고 있다. 악성 애플리케이션들은 사용자의 금전적 피해, 개인정보 노출 등과 같이 다양한 방법으로 피해를 유도하고 있다. 그러므로 악성 애플리케이션을 미리 확인하고 그 행위를 미리 예측하고 분류함으로써 사용자들에 대한 피해를 사전에 방지하는 다양한 방법들이 필요한 상황이다. 본 논문에서는 실제로 스마트폰 사용자들에게 악의적으로 사용되었던 애플리케이션들을 이용하여 악성 패밀리에 대한 분류기법을 나타내었다. 악성 애플리케이션은 각 행위에 따라 패밀리로 구분되고 있으며, 그 패밀리에 속한 애플리케이션들은 유사한 악성 행위를 수행하고 있다. 이에 하나의 패밀리로 정의된 애플리케이션 간의 유사하게 판별되는 특징 정보들을 추출하여 이를 패밀리 분류기법에 적용하였다. 특징 정보는 안드로이드 애플리케이션의 경우 DEX파일을 통해 프로그램의 코드 정보들을 저장하고 있기 때문에 DEX파일에 대한 역어셈블 작업을 수행하여 Dalvik 바이트코드 명령어를 추출하였고, 명령어에 대한 빈도수를 이용하여 특징 정보로 정의하였다. 악성 애플리케이션의 분류작업을 수행하기 위해 약 500여개의 악성 샘플들을 사용하였고, 일부 악성 애플리케이션들을 이용하여 시그니처를 정의한 후 패밀리 분류 작업을 진행하였다. 이를 통해 본 실험에서는 약 20개를 제외한 480개의 샘플들에 대한 패밀리 분류를 성공하였다. 그리고 분류되지 않은 20여개의 원인 분석을 수행하였으며, 이를 통한 향후 연구계획을 나타내었다.