WO2014098387A1

WO2014098387A1 - 악성 애플리케이션 진단장치 및 방법

Info

Publication number: WO2014098387A1
Application number: PCT/KR2013/010994
Authority: WO
Inventors: 주설우
Original assignee: 주식회사 안랩
Priority date: 2012-12-17
Filing date: 2013-11-29
Publication date: 2014-06-26

Abstract

본 발명에서는 안드로이드 OS 기반의 스마트폰 등의 휴대용 단말기에서 악성 애플리케이션을 진단함에 있어서, 애플리케이션의 설치파일인 apk 파일내 애플리케이션의 실행코드가 포함되어 있는 DEX 파일을 추출하고, DEX 파일내 DEX 파일을 검증하기 위한 해쉬 정보를 포함하고 있는 DEX 파일 헤더의 일부 영역만을 압축해제하여 DEX 파일 헤더에 기록된 해쉬 정보와 시그니처 해쉬 정보를 비교하는 것을 통해 악성 애플리케이션 여부를 검사함으로써 단말기의 성능 저하를 방지하면서도 악성 애플리케이션을 보다 신속하고 정확하게 진단할 수 있도록 한다.

Description

악성 애플리케이션 진단장치 및 방법

본 발명은 악성 애플리케이션의 진단에 관한 것으로, 특히 안드로이드 OS 기반의 스마트폰 등의 휴대용 단말기에서 악성 애플리케이션을 진단함에 있어서, 최소한의 하드웨어 리소스(hardware resource)를 사용하면서 악성 애플리케이션을 보다 신속하고 정확하게 진단할 수 있도록 하는 악성 애플리케이션 진단장치 및 방법에 관한 것이다.

근래에 들어, 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로, 단순히 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰(smartphone)은 멀티미디어 재생기능 등의 다양한 기능의 응용프로그램의 설치가 가능하여, 사용자들이 여러 용도로 스마트폰을 이용하고 있다.

일반적으로 스마트폰은 휴대전화와 개인휴대단말기(personal digital assistant : PDA)의 장점을 합친 것으로, 휴대 전화기에 일정관리, 팩스 송수신 및 인터넷 접속 등의 데이터 통신기능이 통합되어 구현된다. 통상 스마트폰에는 와이파이(wifi)와 같은 무선통신모듈이 장착되어 인터넷망을 통한 데이터 송수신도 가능하며, 인터넷 정보검색은 물론 액정디스플레이에 전자펜으로 문자를 입력하거나 약도 등 그림 정보를 송수신할 수 있다.

이러한 스마트폰은 저마다의 운영체제가 존재하며, 해당 운영체제에 의해 실행 가능한 응용프로그램의 개발이 활발히 이루어지고 있다.

위와 같은 스마트폰의 운영체제 중 안드로이드(Android) 플랫폼은 구글(Google) 사가 주도하는 OHA(Open Handset Alliance)에서 공개한 오픈 소스 플랫폼으로, 리눅스(Linux) 커널, 가상머신(VM : Virtual Machine), 프레임워크(Framework), 응용프로그램을 모두 포함하는 소프트웨어 패키지를 의미한다.

현재 안드로이드 플랫폼에 대한 사용자들의 기대가 상승하고, 단말 제조사와 이동 통신 서비스 제공사의 높은 호응으로 안드로이드 플랫폼을 탑재하는 스마트폰 등의 휴대용 단말기가 점점 늘어남에 따라 안드로이드 응용프로그램 시장이 활성화되기 시작하였고, 양질의 안드로이드 응용프로그램 공급에 대한 요구가 높아지고 있다.

한편, 위와 같이 안드로이드 플랫폼을 탑재한 스마트폰 사용자가 늘어남에 따라 안드로이드 OS를 타겟으로 하는 악성코드 또한 급격히 증가하고 있으며, 안드로이드 악성코드 제작자들은 기존의 PC환경에서 익혔던 다양한 기술을 안드로이드 악성 애플리케이션의 제작에 반영하여 PC에서의 것보다 빠르게 발전시켜 나가고 있다.

위와 같은 안드로이드 악성 애플리케이션 제작에 있어서 종래에는 안드로이드 애플리케이션 APK 파일에 포함된 classes.dex와 AndroidManifest.xml 파일을 일부 수정하는 방식으로 악성 애플리케이션을 제작하는 것이 대표적이다.

이에 따라, 위와 같은 안드로이드 악성 애플리케이션을 탐지하기 위해서는 안드로이드 애플리케이션의 apk 파일을 압축해제하여 모든 apk 압축 해제 파일에 대해 해쉬값을 검출하여 악성 애플리케이션에 대한 시그니처를 가지고 있는 DB와 비교하여 탐지를 수행하게 된다.

그러나, 애플리케이션의 apk 파일을 모두 압축해제하여 압축해제된 전체 파일에 대해 해쉬정보를 구하고, 이를 토대로 시그니처 해쉬정보와 비교하여 악성 애플리케이션을 진단하는 종래의 방법에서는 apk 파일을 압축해제 하는데 시간이 많이 소요되며, 그에 따른 휴대용 단말기의 성능 저하 등의 문제점이 있었다.

따라서, 본 발명은 안드로이드 OS 기반의 스마트폰 등의 휴대용 단말기에서 악성 애플리케이션을 진단함에 있어서, 애플리케이션의 설치파일인 apk(application package) 파일내 애플리케이션의 실행코드가 포함되어 있는 DEX 파일의 헤더(header)상 일부 영역만을 압축해제하여 진단 대상 애플리케이션의 해쉬 정보를 추출한 후, 추출된 해쉬 정보와 미리 저장된 시그니처(signature) 해쉬 정보를 비교하는 것을 통해 악성 애플리케이션 여부를 검사함으로써 최소한의 하드웨어 리소스를 사용하면서 악성 애플리케이션을 보다 신속하고 정확하게 진단할 수 있도록 하는 악성 애플리케이션 진단장치 및 방법을 제공하고자 한다.

상술한 본 발명은 악성 애플리케이션 진단장치로서, 휴대용 단말기에 설치될수 있는 애플리케이션에 대한 정상 또는 악성의 시그니처 해쉬정보가 저장된 시그니처 DB와, 상기 애플리케이션의 APK 파일로부터 상기 애플리케이션의 실행코드와 해쉬정보를 포함하고 있는 특정 파일을 추출하는 파일 추출부와, 상기 파일 추출부에서 추출된 상기 특정 파일로부터 상기 애플리케이션의 해쉬정보를 추출하는 진단정보 추출부와, 상기 진단정보 추출부로부터 추출된 상기 애플리케이션의 해쉬정보를 상기 시그니처 DB에 기 저장된 시그니처 해쉬정보와 비교한 후, 해당 애플리케이션의 악성 여부를 진단하는 진단부를 포함한다.

또한, 상기 파일 추출부는, 상기 APK 파일로부터 상기 특정 파일만을 압축해제하여 추출하는 것을 특징으로 한다.

또한, 상기 진단정보 추출부는, 상기 특정 파일의 헤더를 파싱하여 상기 해쉬 정보를 추출하는 것을 특징으로 한다.

또한, 상기 해쉬 정보는, 상기 헤더상 기 설정된 일정 영역에 기록되는 것을 특징으로 한다.

또한, 상기 해쉬정보는, 상기 헤더상 0x0C부터 0x1F까지의 20 바이트에 기록되는 것을 특징으로 한다.

또한, 상기 특정 파일은, DEX 파일인 것을 특징으로 한다.

또한, 상기 진단부는, 상기 애플리케이션의 해쉬정보가 상기 시그니처 DB에 저장되어 있는 정상 시그니처 해쉬정보와 일치하는 경우 해당 애플리케이션을 정상 애플리케이션으로 진단하는 것을 특징으로 한다.

또한, 상기 진단부는, 상기 애플리케이션의 해쉬정보가 상기 시그니처 DB에 저장되어 있는 악성 시그니처 해쉬정보와 일치하는 경우 해당 애플리케이션을 악성 애플리케이션으로 진단하는 것을 특징으로 한다.

또한, 상기 진단부는, 악성 애플리케이션으로 진단된 해당 애플리케이션에 대해서는 상기 휴대용 단말기로의 설치를 차단시키거나, 이미 설치된 애플리케이션에 대해서는 해당 애플리케이션을 삭제시키는 것을 특징으로 한다.

또한, 상기 휴대용 단말기는, 안드로이드 OS가 탑재된 전자기기 인 것을 특징으로 한다.

또한, 본 발명은 악성 애플리케이션 진단방법으로서, 휴대용 단말기에 존재하는 애플리케이션의 APK 파일로부터 상기 애플리케이션의 실행코드와 해쉬정보를 포함하고 있는 특정 파일을 추출하는 단계와, 상기 특정 파일로부터 상기 애플리케이션의 해쉬정보를 추출하는 단계와, 상기 애플리케이션의 해쉬정보를 기 저장된 정상 또는 악성 시그니처 해쉬정보와 비교하는 단계와, 상기 비교결과를 기반으로 상기 애플리케이션의 악성 또는 정상 여부를 진단하는 단계를 포함한다.

또한, 상기 진단하는 단계는, 상기 애플리케이션의 해쉬정보가 상기 정상 또는 악성 시그니처 해쉬정보와 일치하는지 검사하는 단계와, 상기 애플리케이션의 해쉬정보가 상기 정상 시그니처 해쉬정보와 일치하는 경우 상기 애플리케이션을 정상 애플리케이션으로 진단하는 단계와, 상기 애플리케이션의 해쉬정보가 상기 악성 시그니처 해쉬정보와 일치하는 경우 상기 애플리케이션을 악성 애플리케이션으로 진단하는 단계를 포함하는 것을 특징으로 한다.

또한, 상기 애플리케이션이 악성 애플리케이션으로 판단되는 경우, 상기 애플리케이션에 대해서는 상기 휴대용 단말기로의 설치를 차단시키는 단계와, 상기 애플리케이션이 상기 휴대용 단말기에 이미 설치된 경우에는 상기 애플리케이션을 삭제시키는 단계를 더 포함하는 것을 특징으로 한다.

또한, 상기 특정 파일을 추출하는 단계는, 상기 APK 파일로부터 상기 특정 파일만을 압축해제하여 추출하는 것을 특징으로 한다.

또한, 상기 해쉬정보는, 상기 특정 파일의 헤더에 포함되며, 상기 헤더의 파싱을 통해 추출되는 것을 특징으로 한다.

또한, 상기 특정 파일은, DEX 파일인 것을 특징으로 한다.

본 발명에서는 안드로이드 OS 기반의 스마트폰 등의 휴대용 단말기에서 악성 애플리케이션을 진단함에 있어서, 애플리케이션의 설치파일인 apk 파일내 애플리케이션의 실행코드가 포함되어 있는 DEX 파일을 추출하고, DEX 파일내 DEX 파일을 검증하기 위한 해쉬 정보를 포함하고 있는 DEX 파일 헤더의 일부 영역만을 압축해제하여 DEX 파일 헤더에 기록된 해쉬 정보와 시그니처 해쉬 정보를 비교하는 것을 통해 악성 애플리케이션 여부를 검사함으로써 단말기의 성능 저하를 방지하면서도 악성 애플리케이션을 보다 신속하고 정확하게 진단할 수 있는 이점이 있다.

도 1은 본 발명의 실시예에 따른 악성 애플리케이션 진단장치의 상세 블록 구성도,

도 2a는 본 발명의 실시예가 적용되는 DEX 파일의 구조를 예시한 도면,

도 2b는 본 발명의 실시예가 적용되는 DEX 파일 헤더의 구조를 예시한 도면,

도 3은 본 발명의 실시예에 따른 악성 애플리케이션을 진단하는 동작 제어 흐름도.

이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.

도 1은 본 발명의 실시예에 따른 휴대용 단말기의 악성 애플리케이션을 진단하는 진단장치(100)의 상세 블록 구성을 도시한 것으로, 파일 추출부(104), 진단정보 추출부(106), 진단부(108), 시그니처(signature) DB(database)(102) 등을 포함한다. 이러한 휴대용 단말기는 스마트폰과 태블릿 PC 등의 단말기를 포함할 수 있다.

이하, 도 1을 참조하여 본 발명의 악성 애플리케이션 진단장치(100) 각 부에서의 동작을 상세히 살펴보기로 한다.

먼저, 시그니처 DB(102)는 휴대용 단말기에 설치되는 애플리케이션에 대한 정상 시그니처(white signature) 해쉬정보 및/또는 악성 시그니처(malware signature) 해쉬정보를 저장한다.

파일 추출부(104)는 휴대용 단말기에 새로이 다운로드(download)되어 설치되는 애플리케이션, 또는 이전에 설치된 애플리케이션의 APK 파일에서 DEX 파일(150)만을 추출한다. 이러한 DEX 파일(150)은 애플리케이션의 실행코드와 DEX 파일을 검증하기 위한 해쉬정보를 포함할 수 있다. 따라서, 본 발명에서는 APK의 모든 파일을 압축해제하여 검사하지 않고 DEX 파일(150)만을 추출하여 보다 빠르고 정확하게 애플리케이션의 악성 여부를 검사하는데 활용하도록 하는 것이다.

진단정보 추출부(106)는 파일 추출부(104)에서 추출된 DEX 파일(150)에서 애플리케이션의 실행코드에 대한 검증을 위해 포함된 해쉬정보를 추출한다. 이때, 위와 같은 해쉬정보는 DEX 파일(150)의 헤더(header)에 존재할 수 있으므로, 진단정보 추출부(106)는 DEX 파일(150) 전체를 압축해제하지 않고, 헤더상 해쉬정보가 기록된 일정 영역만을 압축해제하여 해쉬정보를 추출할 수 있다. 이러한 해쉬정보는, 예를 들어 SHA-1 해쉬가 될 수 있으며, DEX 파일(150)의 헤더상 0x0C부터 0x1F까지의 20 바이트에 기록될 수 있다.

진단부(108)는 진단정보 추출부(106)로부터 추출된 진단대상 애플리케이션의 해쉬정보와 시그니처 DB(102)에 기 저장된 정상 또는 악성의 시그니처 해쉬정보와 비교한 후, 해당 애플리케이션의 악성 여부를 진단한다.

즉, 진단부(108)는, 예를 들어 애플리케이션의 해쉬정보가 시그니처 DB(102)에 저장된 정상 시그니처 해쉬정보와 일치하는 경우 해당 애플리케이션을 정상 애플리케이션으로 판단할 수 있다. 또한, 진단부(108)는 애플리케이션의 해쉬정보가 악성 시그니처 해쉬정보와 서로 일치하는 경우 악성 애플리케이션으로 진단할 수 있다. 이때, 진단부(108)는 위와 같이 악성 애플리케이션으로 진단된 해당 애플리케이션에 대해서는 휴대용 단말기로의 설치를 차단시키거나, 이미 설치된 애플리케이션에 대해서는 해당 애플리케이션을 삭제시킬 수 있다.

도 2a와 도 2b는 DEX 파일(150)의 구조와 DEX 파일 헤더의 구조를 각각 도시한 것이다.

도 2a에 도시한 바와 같이, DEX 파일(150)의 구조에서 파일의 맨 앞 부분에 DEX 파일 헤더(200)가 위치하게 되며, DEX 파일 헤더(200)의 구조는 도 2b에 도시된다.

도 2b에 도시한 바와 같이, DEX 파일 헤더(200)의 일정 영역(250), 예를 들어 0x0C부터 0x1F까지의 20 바이트 영역에는 SHA-1 해쉬정보가 기록되어 있는 것을 알 수 있다.

따라서, DEX 파일 헤더(200)의 영역상 0x0C부터 0x1F까지의 20 바이트만 압축 해제하여 해쉬정보를 추출하고, 이와 같이 추출된 해쉬정보와 시그니처 DB(102)상에 미리 저장된 악성 또는 정상 시그니처 해쉬정보의 비교를 통해 애플리케이션의 악성 여부를 판단할 수 있는 것이다.

즉, 상술한 바와 같은 진단장치(100)에서는 DEX 파일(150) 전체를 압축해제 하지 않고, 예를 들어 해쉬정보가 기록되어 있는 DEX 파일 헤더(200)의 일정 영역(250) 즉, 0x0C부터 0x1F까지의 20 바이트만 압축 해제하여 진단을 수행함으로써, 최소한의 하드웨어 리소스(hardware resource)를 사용하고, 진단시간을 최소화할 수 있으며, 또한, SHA-1 해시의 특성상 중복율이 0에 가까우므로 오진 가능성을 크게 낮출 수 있게 된다.

이하, 상술한 구성과 함께, 본 발명의 실시예에 따른 악성 애플리케이션 진단장치(100)에서 악성 애플리케이션을 진단하는 동작 제어 과정을 첨부한 도 3의 흐름도를 참조하여 상세히 설명하기로 한다.

먼저, 휴대용 단말기에 대한 악성 애플리케이션 진단이 요청되는 경우 진단장치(100)내 파일 추출부(104)는 휴대용 단말기에 설치된 파일들에 대해 파일 유형 분석을 수행한다(S300).

이러한 파일 유형 분석에 따라 파일 추출부(104)는 분석대상 파일들에서 apk 파일 형식을 갖는 애플리케이션을 검색한다(S302).

이때, apk 파일 형식을 갖는 애플리케이션이 검색되는 경우 파일 추출부(104)는 해당 애플리케이션의 apk파일로부터 애플리케이션의 악성 여부 검증이 가능한 해쉬정보를 가지고 있는 특정 파일, 예를 들어 DEX 파일(150)을 추출한다(S304). 이러한 DEX 파일(150)은 애플리케이션의 실행코드와 DEX 파일(150)을 검증하기 위한 해쉬정보를 포함할 수 있다.

이어, 진단정보 추출부(106)는 파일 추출부(104)에서 추출된 DEX 파일(150)에서 애플리케이션의 실행코드에 대한 검증을 위해 포함된 해쉬정보를 추출한다(S306). 이때, 위와 같은 해쉬정보는 DEX 파일(150)의 헤더(200)에 존재할 수 있다.

즉, 진단정보 추출부(106)는 DEX 파일(150) 전체를 압축해제하지 않고, 헤더(200)상 해쉬정보가 기록된 DEX 파일 헤더(200)의 일정 영역(250)만을 압축해제하여 헤더(200)의 일정 영역(250)에 기록된 해쉬정보를 추출할 수 있다. 이때, 해쉬정보는, 예를 들어 SHA-1 해쉬가 될 수 있으며, DEX 파일 헤더(200)상 0x0C부터 0x1F까지의 20 바이트에 기록될 수 있다. 따라서, 진단정보 추출부(106)는 DEX 파일(150) 전체를 압축해제하지 않고, DEX 파일 헤더(200)상 0x0C부터 0x1F까지의 20 바이트에 대해서만 압축을 해제하여 해쉬정보를 추출하게 되는 것이다.

위와 같이, 진단정보 추출부(106)로부터 추출된 애플리케이션의 해쉬정보는 애플리케이션의 악성 여부 진단을 위해 진단부(108)로 제공될 수 있다.

그러면, 진단부(108)는 진단정보 추출부(106)로부터 추출된 진단대상 애플리케이션의 해쉬정보와 시그니처 DB(102)에 기 저장된 정상 또는 악성의 시그니처 해쉬정보를 비교하여 해당 애플리케이션의 악성 여부를 진단할 수 있다(S308).

즉, 진단부(108)는, 예를 들어 애플리케이션의 해쉬정보가 시그니처 DB(102)에 저장된 정상 시그니처 해쉬정보와 일치하는 경우 해당 애플리케이션을 정상 애플리케이션으로 판단할 수 있다. 또한, 진단부(108)는 애플리케이션의 해쉬정보가 악성 시그니처 해쉬정보와 서로 일치하는 경우 악성 애플리케이션으로 진단할 수 있다.

위와 같은 애플리케이션의 악성 여부 진단 결과에 따라, 진단부(108)는 진단 대상 애플리케이션이 악성 애플리케이션으로 진단된 경우에는(S310) 휴대용 단말기로의 설치를 차단시키거나, 이미 설치된 애플리케이션에 대해서는 해당 애플리케이션을 삭제시킬 수 있다(S312).

상기한 바와 같이, 본 발명에서는 안드로이드 OS 기반의 스마트폰 등의 휴대용 단말기에서 악성 애플리케이션을 진단함에 있어서, 애플리케이션의 설치파일인 apk 파일내 애플리케이션의 실행코드가 포함되어 있는 DEX 파일을 추출하고, DEX 파일내 DEX 파일을 검증하기 위한 해쉬 정보를 포함하고 있는 DEX 파일 헤더의 일부 영역만을 압축해제하여 DEX 파일 헤더에 기록된 해쉬 정보와 시그니처 해쉬 정보를 비교하는 것을 통해 악성 애플리케이션 여부를 검사함으로써 단말기의 성능 저하를 방지하면서도 악성 애플리케이션을 보다 신속하고 정확하게 진단할 수 있도록 한다.

한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.

Claims

휴대용 단말기에 설치 가능한 애플리케이션에 대한 정상 시그니처 해쉬정보 또는 악성 시그니처 해쉬정보가 저장된 시그니처 DB와,

상기 애플리케이션의 APK(application package) 파일로부터 상기 애플리케이션의 실행코드와 해쉬정보를 포함하고 있는 특정 파일을 추출하는 파일 추출부와,

상기 파일 추출부에서 추출된 상기 특정 파일로부터 상기 애플리케이션의 해쉬정보를 추출하는 진단정보 추출부와,

상기 진단정보 추출부로부터 추출된 상기 애플리케이션의 해쉬정보를 상기 시그니처 DB에 기 저장된 시그니처 해쉬정보와 비교한 후, 해당 애플리케이션의 악성 여부를 진단하는 진단부

를 포함하는 악성 애플리케이션 진단장치.
제 1 항에 있어서,

상기 파일 추출부는,

상기 APK 파일로부터 상기 특정 파일만을 압축해제하여 추출하는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 1 항에 있어서,

상기 진단정보 추출부는,

상기 특정 파일의 헤더를 파싱하여 상기 해쉬 정보를 추출하는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 3 항에 있어서,

상기 해쉬 정보는,

상기 헤더상의 기 설정된 일정 영역에 기록되는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 4 항에 있어서,

상기 해쉬 정보는,

상기 헤더상의 0x0C부터 0x1F까지의 20 바이트에 기록되는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 1 항에 있어서,

상기 특정 파일은,

DEX 파일인 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 1 항에 있어서,

상기 진단부는,

상기 애플리케이션의 해쉬 정보가 상기 시그니처 DB에 저장되어 있는 상기 정상 시그니처 해쉬 정보와 일치하는 경우 해당 애플리케이션을 정상 애플리케이션으로 진단하는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 1 항에 있어서,

상기 진단부는,

상기 애플리케이션의 해쉬 정보가 상기 시그니처 DB에 저장되어 있는 상기 악성 시그니처 해쉬 정보와 일치하는 경우 해당 애플리케이션을 악성 애플리케이션으로 진단하는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 8 항에 있어서,

상기 진단부는,

악성 애플리케이션으로 진단된 해당 애플리케이션에 대해서는 상기 휴대용 단말기로의 설치를 차단시키거나, 이미 설치된 애플리케이션에 대해서는 해당 애플리케이션을 삭제시키는 것을 특징으로 하는 악성 애플리케이션 진단장치.
제 1 항에 있어서,

상기 휴대용 단말기는,

안드로이드 OS가 탑재된 전자기기인 것을 특징으로 하는 악성 애플리케이션 진단장치.
휴대용 단말기에 존재하는 애플리케이션의 APK 파일로부터 상기 애플리케이션의 실행코드와 해쉬 정보를 포함하고 있는 특정 파일을 추출하는 단계와,

상기 특정 파일로부터 상기 애플리케이션의 해쉬 정보를 추출하는 단계와,

상기 애플리케이션의 해쉬 정보를 기 저장된 정상 시그니처 해쉬 정보 또는 악성 시그니처 해쉬 정보와 비교하는 단계와,

상기 비교결과를 기반으로 상기 애플리케이션의 악성 또는 정상 여부를 진단하는 단계

를 포함하는 악성 애플리케이션 진단방법.
제 11 항에 있어서,

상기 진단하는 단계는,

상기 애플리케이션의 해쉬 정보가 상기 정상 시그니처 해쉬 정보 또는 악성 시그니처 해쉬 정보와 일치하는지 검사하는 단계와,

상기 애플리케이션의 해쉬 정보가 상기 정상 시그니처 해쉬 정보와 일치하는 경우 상기 애플리케이션을 정상 애플리케이션으로 진단하는 단계와,

상기 애플리케이션의 해쉬 정보가 상기 악성 시그니처 해쉬 정보와 일치하는 경우 상기 애플리케이션을 악성 애플리케이션으로 진단하는 단계

를 포함하는 것을 특징으로 하는 악성 애플리케이션 진단방법.
제 12 항에 있어서,

상기 애플리케이션이 악성 애플리케이션으로 판단되는 경우, 상기 애플리케이션에 대해서는 상기 휴대용 단말기로의 설치를 차단시키는 단계와,

상기 애플리케이션이 상기 휴대용 단말기에 이미 설치된 경우에는 상기 애플리케이션을 삭제시키는 단계

를 더 포함하는 것을 특징으로 하는 악성 애플리케이션 진단방법.
제 11 항에 있어서,

상기 특정 파일을 추출하는 단계는,

상기 APK 파일로부터 상기 특정 파일만을 압축해제하여 추출하는 것을 특징으로 하는 악성 애플리케이션 진단방법.
제 11 항에 있어서,

상기 해쉬 정보는,

상기 특정 파일의 헤더에 포함되며, 상기 헤더의 파싱을 통해 추출되는 것을 특징으로 하는 악성 애플리케이션 진단방법.
제 15 항에 있어서,

상기 해쉬 정보는,

상기 헤더상의 기 설정된 일정 영역에 기록되는 것을 특징으로 하는 악성 애플리케이션 진단방법.
제 16 항에 있어서,

상기 해쉬 정보는,

상기 헤더상의 0x0C부터 0x1F까지의 20 바이트에 기록되는 것을 특징으로 하는 악성 애플리케이션 진단방법.
제 11 항에 있어서,

상기 특정 파일은,

DEX 파일인 것을 특징으로 하는 악성 애플리케이션 진단방법.