다중계층 안드로이드 권한 관리와 동적 정책 기반 제어

초록

본 논문은 안드로이드 시스템의 하부 Linux 사용자 권한을 MLS 기반 다중 수준 모델로 변환하고, 프레임워크 레이어에 정책 결정점(PDP), 정책 저장소(PIP), 정책 시행점(PEP)을 삽입해 실행 시 권한 요청을 동적으로 평가한다. 구현 결과, 루트 도구에 의한 권한 상승을 차단하고, 애플리케이션 권한을 98 % 정확도로 회수하며, 시스템 오버헤드는 140 µs 수준에 불과함을 보인다.

상세 분석

이 연구는 안드로이드 보안의 두 가지 핵심 약점을 동시에 해결한다. 첫 번째는 Linux 커널 레벨에서의 권한 모델이 DAC(Discretionary Access Control)만을 사용해 과도하게 관대하다는 점이다. 저자는 15개의 프로세스 UID를 대상으로 “사용자 권한 관계 트리”를 구성하고, < p > 라는 포함 관계를 정의한다. 이를 기반으로 세 가지 규칙(사용자‑파일 읽기·실행 제한, 파일 쓰기 제한, 프로세스 도메인 전이 제한)을 도출한다. 이후, 이 트리를 MLS(Multi‑Level Security) 형식으로 변환하는 알고리즘을 제시한다. 루트에서 시작해 깊이‑우선으로 민감도(sensitivity)를 할당하고, 리프 노드에 카테고리 집합을 부여함으로써 기존 SELinux 정책에 직접 삽입할 수 있는 보안 레이블을 생성한다. 이 과정은 기존 Android 5.x에서 사용되는 단일 s0 레벨을 다중 레벨(s2, s1, s0)로 확장함으로써, 실제 권한 포함 관계를 강제할 수 있게 만든다.

두 번째는 애플리케이션 레이어에서 동적 권한 관리가 부재하다는 점이다. 저자는 XACML‑유사 XML 정책 파일을 설계하고, 정책 파일에 서명 기반 화이트리스트·블랙리스트·전체 허용(allow‑all) 구조를 도입한다. PDP는 PEP(프레임워크 권한 체크 포인트)에서 전달받은 요청 {패키지명, 서명, 권한}을 파싱하고, 이진 탐색을 이용해 정책 파일 내 해당 엔트리를 찾는다. 알고리즘은 O(m · n) 복잡도를 가지며, 여기서 n은 애플리케이션 수, m은 평균 권한 수이다. 정책 평가 결과에 따라 허용 또는 차단을 반환하고, 차단 시 호출 스택을 즉시 종료한다.

구현 측면에서 저자는 두 가지 실험 플랫폼(UT4412 · Android 4.4, Nexus 5 · Android 5.1)을 사용해 검증하였다. 커널 레벨에서는 5개의 유명 루트 툴(KingRoot, 360 One‑Click Root 등)을 테스트했으며, KingRoot와 “刷机大师”는 화이트리스트에 포함돼 설치는 가능했지만 실제 루트 권한을 이용한 파일 접근은 차단되었다. 나머지 세 툴은 APK 설치 자체가 차단되어 권한 상승이 불가능했다. 애플리케이션 레이어에서는 50개의 정상·악성 앱을 대상으로 핵심 권한 1개씩을 차단했으며, 98 %의 정확도로 권한 회수를 확인했다. 유일한 실패 사례인 “百度地图”는 GPS 외에 셀룰러·Wi‑Fi 기반 위치 추적을 사용해 GPS 권한만 회수해도 위치 기능이 유지되었으며, 추가로 네트워크 권한을 회수함으로써 완전 차단이 가능했다.

성능 평가에서는 권한 체크 포인트를 8개의 주요 API(연락처, SMS, 마이크, 카메라, 위치 등)에 삽입했으며, 평균 오버헤드가 140 µs에 불과함을 측정했다. 이는 기존 시스템 호출 비용(최소 1.7 ms)과 비교해 무시할 수준이며, 사용자 경험에 영향을 주지 않는다.

이 논문의 주요 기여는 (1) 기존 DAC 기반 안드로이드 커널 권한을 MLS로 확장한 실용적인 변환 알고리즘, (2) 프레임워크 레이어에 정책 기반 동적 권한 평가 메커니즘을 삽입한 설계, (3) 루트 툴 및 악성 앱에 대한 실증적 차단 효과와 낮은 시스템 부하를 동시에 달성한 구현이다. 다만, 정책 파일 자체에 대한 무결성 보호와 MLS 레벨 관리의 복잡성, 그리고 일부 앱이 권한 회수 후에도 대체 경로를 통해 기능을 수행할 수 있는 점은 향후 연구 과제로 남는다.