[1주차] 논문 분석_IoT 장치 취약점 분석을 위한 IoT Companion App 기반 SendMessage 식별 방법론

IoT 장치 취약점 분석을 위한 IoT Companion App 기반 SendMessage 식별 방법론.pdf

2.60MB

1. 논문 선정 이유

본 논문은 IoT 컴패니언 앱을 통한 블랙박스 기반 퍼징의 정밀도를 높이기 위한 접근 방식으로, 난독화 환경에서도 신뢰도 높은 트리거 함수 식별 기법을 제시하고 있다는 점에서 주목할 가치가 있다. 특히 정적 분석과 동적 분석을 선택적으로 결합한 하이브리드 기법을 적용함으로써, 기존 분석 도구의 한계를 극복하고 IoT 장치의 네트워크 경계 함수 식별 정확도를 획기적으로 향상시켰다.

---

2. 연구 목적

• 난독화된 IoT 컴패니언 앱에서도 핵심 함수를 정확히 탐지하기 위한 분석 프레임워크 제안.
• 정적 분석과 동적 분석을 결합하여 분석 정확도를 향상.
• 분석 결과를 통해 IoT 장치에 대한 사전적 취약점 탐지수행 가능성을 검증.

---

3. 연구 배경 및 관련 기술

• IoT 보안 위협의 증가: DDoS, 악성코드, 프라이버시 침해 등.
• SendMessage 함수는 IoT 컴패니언 앱에서 장치로 데이터를 전송하는 네트워크 트리거 함수로, 취약점 분석에서 핵심 타겟.
• 기존 도구(DIANE, IoTFuzzer 등)는 정적 분석에 지나치게 의존하며, 난독화 및 리플렉션, 네이티브 코드 은닉 등으로 인해 정확도 저하.

---

4. 연구 방법론

1) Target Activity 식별

• DroidBot 기반 UI 자동화 테스트를 수행하여 네트워크 트래픽 유발 액티비티를 탐지.
• Tcpdump로 실시간 네트워크 트래픽 수집 및 매핑.

2) SendMessage 후보군 식별

• 정적 분석: pysoot를 활용한 호출 그래프 생성.
• 동적 분석: Frida로 런타임 함수 호출 흐름을 후킹하여 실시간 동적 호출 그래프 생성.

3) 최종 식별

• 후보 함수 후킹 + Tcpdump 패킷 분석 → 실제 네트워크 요청을 유발하는 함수만을 SendMessage로 판별.

---

5. 실험 결과 및 정량적 분석

측정 항목 DIANE 제안 기법 향상률

탐지된 SendMessage 수	7개	9개	+29%
불필요한 후보군 수	높음	낮음 (91% 감소)	↑
True SendMessage Ratio (TSR)	0.06%	0.92%	약 15배 ↑

• DIANE은 네이티브 호출, 난독화 함수명을 제대로 추적하지 못해 탐지 누락이 발생함.
• 제안 기법은 Target Activity 중심의 분석을 통해 필터링 정확도 및 범용성 확보.
• 실험 대상: 상용 IoT 장치 5개 + 자체 구현 테스트 앱

---

6. 보안 대응 방안

• 동적 분석을 통한 실행 시점 정보 확보는 IoT 장치의 네트워크 취약점 탐지에 효과적.
• 난독화가 적용된 앱 분석 시, 정적 분석만으로는 탐지 불가한 흐름을 동적 분석으로 보완해야 함.
• 향후 비동기 처리까지 포괄할 수 있는 분석 모델로의 확장 필요.

---

7. 결론 및 향후 연구

• 제안된 기법은 난독화된 앱 환경에서도 SendMessage 함수 탐지의 정밀도와 커버리지를 동시에 향상.
• 메모리 사용량 및 응답 시간 오버헤드가 증가했지만, 보안 분석 성능 향상이 이를 상쇄.
• 향후 연구에서는 백그라운드 네트워크 요청 탐지와 퍼징 오케스트레이션 자동화가 핵심 과제가 될 전망.

---

8. 느낀 점

정적 분석 도구의 한계가 명확한 난독화된 앱 환경에서, 동적 분석 기반의 실시간 호출 그래프 생성 및 트래픽 분석은 매우 유효한 접근이었다. 특히 네트워크 경계 함수의 정확한 식별은 실질적인 취약점 탐지 자동화에 한 걸음 다가선 결과라 할 수 있다. 호출 그래프 기반의 함수 관계 분석은 난독화된 함수명을 극복할 수 있는 효과적인 방법이며, 실시간 UI 이벤트 기반 분석은 실무 IoT 분석에 그대로 적용 가능하다. 해당 논문은 IoT 보안 연구에서 앱 중심의 블랙박스 분석이 어떻게 진화하고 있는지를 기술적으로 잘 보여준 사례였다.