Android에서 SELinux의 역할과 필요성

Android에서 SELinux의 역할과 필요성

1. 서론

Android는 다양한 애플리케이션과 시스템 서비스가 동작하는 복잡한 운영체제입니다. 보안 위협이 증가함에 따라 Android는 보안을 강화하기 위해 SELinux(Security-Enhanced Linux)를 도입하였습니다. SELinux는 Android 4.3(Jelly Bean)부터 적용되었으며, Android 5.0(Lollipop)부터는 강제 적용(enforcing mode)되었습니다. 본 포스팅에서는 SELinux가 Android에서 수행하는 역할과 그 필요성에 대해 설명하겠습니다.

2. SELinux란 무엇인가?

SELinux는 미국 국가안보국(NSA)이 개발한 보안 프레임워크로, 강력한 접근 제어 정책을 적용하여 시스템의 보안을 강화하는 역할을 합니다. 기존의 UNIX/Linux 기반 보안 모델은 사용자의 권한을 기반으로 동작했지만, SELinux는 MAC(Mandatory Access Control, 강제 접근 제어)을 활용하여 더욱 세밀한 보안 정책을 적용합니다.

SELinux의 주요 개념

• MAC(Mandatory Access Control): 운영체제가 설정한 보안 정책에 따라 모든 리소스 접근을 통제함
• DAC(Discretionary Access Control): 파일 소유자가 권한을 설정하는 기존 Linux 보안 모델
• 정책 기반 접근 제어: 미리 정의된 정책을 통해 실행 가능한 동작을 제한함

Android는 이러한 SELinux의 개념을 활용하여 시스템과 애플리케이션이 수행할 수 있는 작업을 엄격하게 관리합니다.

3. Android에서 SELinux의 역할

3.1 시스템 프로세스 보호

Android는 다양한 시스템 프로세스가 동작하며, 각 프로세스는 서로 다른 기능을 수행합니다. SELinux는 이러한 프로세스가 무단으로 접근하거나 영향을 미치는 것을 방지합니다.

예를 들어, Zygote 프로세스는 모든 Android 앱의 부모 프로세스 역할을 합니다. 만약 공격자가 악성 앱을 통해 Zygote에 접근할 수 있다면, 전체 시스템이 손상될 수 있습니다. SELinux는 이러한 위험을 방지하기 위해 프로세스 간의 격리를 강화합니다.

3.2 파일 시스템 보호

Android의 파일 시스템에는 중요한 시스템 설정 파일과 사용자 데이터가 저장됩니다. SELinux는 파일에 대한 접근 권한을 엄격하게 관리하여, 불필요한 접근을 차단합니다.

예를 들어, SELinux 정책이 적용된 경우, 일반 앱이 /data/system 디렉터리에 접근하는 것이 제한됩니다. 정책이 적용되지 않은 경우, 악성 앱이 루트 권한을 획득하고 시스템 파일을 변조할 가능성이 높아집니다.

SELinux 정책 예제 (sepolicy 파일):

allow untrusted_app system_data_file:file { read open };
deny untrusted_app system_data_file:file { write }; // 쓰기 권한 차단

위 정책에서는 untrusted_app(신뢰할 수 없는 앱)이 system_data_file을 읽을 수 있지만, 쓰기는 금지됩니다.

3.3 악성 코드 실행 방지

Android에서는 악성 코드가 루트 권한을 얻고 시스템을 손상시키는 것을 방지해야 합니다. SELinux는 데몬 프로세스 및 시스템 바이너리의 실행을 제한하여 공격자가 임의의 코드를 실행하는 것을 방지합니다.

예를 들어, SELinux 정책이 없으면 공격자는 /system/bin/sh 또는 su 바이너리를 실행하여 루트 권한을 획득할 수 있습니다. 하지만 SELinux 정책을 적용하면 시스템 바이너리를 보호할 수 있습니다.

neverallow untrusted_app system_file:file execute;

위 정책은 신뢰할 수 없는 앱이 시스템 파일을 실행하는 것을 차단합니다.

3.4 IPC(Inter-Process Communication) 보호

Android의 애플리케이션과 시스템 서비스는 Binder IPC를 통해 통신합니다. SELinux는 Binder 트랜잭션에 대한 보안 정책을 적용하여, 악성 앱이 시스템 서비스에 무단 접근하는 것을 방지합니다.

예를 들어, 보안이 적용되지 않은 경우, 악성 앱이 system_server 프로세스에 접근하여 중요한 시스템 기능을 조작할 수 있습니다. 하지만 SELinux가 적용되면, 허용된 프로세스만 특정 IPC 트랜잭션을 수행할 수 있도록 설정할 수 있습니다.

SELinux 정책 예제:

allow untrusted_app system_server:service_manager find;
deny untrusted_app system_server:service_manager call;

위 정책은 신뢰할 수 없는 앱이 system_server를 찾을 수는 있지만, 직접 호출하는 것은 차단하는 역할을 합니다.

4. SELinux의 필요성

4.1 루트 권한 획득(Privilege Escalation) 방지

SELinux가 적용되지 않은 경우, 악성 앱이 루트 권한을 획득하는 것이 상대적으로 쉬워집니다. 하지만 SELinux를 적용하면, 시스템이 공격자의 조작을 제한하여 보안을 강화할 수 있습니다.

4.2 시스템 무결성 보호

SELinux는 시스템 파일을 보호하여 변조를 방지합니다. 따라서 악성 코드가 설치되거나 루트킷이 시스템을 감염시키는 것을 효과적으로 차단할 수 있습니다.

4.3 공격 표면 감소

SELinux는 접근 가능한 리소스를 최소화하여 공격 표면(Attack Surface)을 줄이는 역할을 합니다. 즉, 애플리케이션이나 시스템 서비스가 불필요한 리소스에 접근하는 것을 방지하여 보안 위협을 줄일 수 있습니다.

4.4 안드로이드 보안 모델 강화

Android는 다양한 제조사와 개발자가 함께 개발하는 개방형 플랫폼입니다. 따라서 보안이 중요한 요소이며, SELinux는 이러한 개방형 환경에서도 강력한 보안 모델을 유지할 수 있도록 도와줍니다.

5. 결론

SELinux는 Android의 보안을 강화하는 핵심 기술로, 시스템 프로세스 보호, 파일 시스템 보안, 악성 코드 실행 방지, IPC 보호 등의 중요한 역할을 수행합니다. SELinux를 적용함으로써 Android는 루트 권한 탈취 방지, 시스템 무결성 보호, 공격 표면 감소와 같은 보안 강화를 이루고 있습니다.

따라서 Android 시스템을 개발하거나 보안 관련 작업을 수행하는 경우, SELinux의 정책을 이해하고 적절하게 적용하는 것이 필수적입니다. 앞으로 SELinux 정책을 직접 수정하고 적용하는 방법에 대해서도 자세히 다룰 예정이므로, 지속적인 학습을 권장합니다.