카이스트 사이버보안연구센터, 스마트폰 악성 앱의 특징과 확산 방지대책 연구
전 세계 모바일 안티바이러스 인증기관 및 주요 안티바이러스 제품 기능 소개

[보안뉴스 김영명 기자] 모바일 전용 안티바이러스는 스마트폰 운영체제 또는 설치된 애플리케이션, 저장 데이터를 대상으로 정보탈취, 스미싱 등 악성 행위를 하는 나쁜 앱을 탐지해 제거하는 소프트웨어다. 스마트폰이 고급 평준화되면서 사람들은 스마트폰에 개인정보와 함께 민감한 정보, 중요 자료를 저장하기 시작했다. 해커는 스마트폰을 공격 대상으로 삼으면서 악성 앱이 늘어나고 있다. 카이스트 사이버보안연구센터(CSRC)는 스마트폰 악성 앱의 특징과 함께 국내외 모바일 안티바이러스 인증기관을 소개했다.


최초의 모바일 악성코드는 스마트폰이 아닌 구형 피처폰(Feature phone)에서 블루투스를 이용한 ‘SymbOS/Cabir’ 웜 바이러스다. 우리나라의 첫 스마트폰용 모바일 악성코드는 2010년의 ‘트레드다이얼(TredDial)’로 무단으로 국제전화 발신을 유도해 비싼 요금을 과금했다. 해당 앱은 정상 앱과 결합해 50초마다 불특정 국제전화를 걸어 과금을 유도하도록 진화했다.

2015년 스마트폰 사용률이 PC를 넘어서면서 모바일 악성 앱은 더욱 빠르게 증가하며 진화하고 있다. 모바일 악성 앱은 택배 문자, 사칭 등 사회공학적 공격 기법으로 사람들을 쉽게 속인다. 모바일 전용 안티바이러스는 악성 앱 예방 및 차단 기능과 함께 메모리 정리, 임시 파일 정리 등 스마트폰 최적화 정리 기능도 갖췄다.

꾸준히 증가하는 악성 앱의 설치과정과 주요 특징
스마트폰은 기본적인 전화와 문자 기능을 포함해 인터넷, 쇼핑 등 기능이 확대되고 있다. 스마트폰에는 개인정보와 민감한 정보들이 많이 들어가 해커의 주요 표적이 되고 있다. 스마트폰을 대상으로 하는 주요 공격은 스팸 문자와 보이스피싱 등이며, 피해도 증가하고 있다. 스마트폰 보안의 첫 단계는 모바일 전용 안티바이러스 앱으로, 악성 앱 탐지, 스미싱, 악성 URL 및 스팸 문자 등을 차단한다. 먼저 악성 앱의 특징, 설치 과정, 확산 등을 살펴본다.


스미싱 악성 앱은 사용자에게 택배 또는 정부를 사칭한 문자 메시지(SMS)를 보내 링크 연결을 유도한다. 사용자가 링크를 클릭하면 링크에 연결되면 안드로이드 응용 프로그램 패키지(Android application package, APK)가 다운로드돼 설치되고, 악성 앱은 시스템 권한을 요청한다. 사용자가 권한을 허용하면 악성 앱은 스마트폰 내부 정보를 확인하고 제어권을 장악한다. 그리고 무선랜 파밍, PC를 통한 스마트폰 감염, 스파이 앱, 뱅킹 악성 앱, 앱카드 인증우회, 몸캠피싱, 포인트결제 악성 앱, 도청 앱 판매 등 악성 행위를 한다. 특히, 악성 앱은 정부24, 경찰청, 은행, 학교 등 공공·금융기관 앱을 위장해 사용자 모르게 설치되고 있다.


악성 앱은 모바일 전용 안티바이러스를 회피하고 사용자 모르게 특정한 패턴과 실행 흐름을 기반으로 동작한다. 먼저, 시스템 권한을 요청한 후 배터리 최적화와 악성 앱 아이콘을 숨기도록 설정하고, ‘Google Play’와 같은 악성 앱 설치를 탐지하는 앱의 동작을 비활성화시킨다. 이어서 모션센서 등을 활용해 앱 실행 여부를 결정한다. 마지막으로 인터넷 접속 여부와 설치된 앱 리스트를 확인한 후 악성 앱을 백그라운드로 실행해 악성 행위를 수행한다.

악성 앱의 대표적인 특징은 스미싱을 주로 이용해 사용자에게 접근하는데, 악성 앱이 설치된 스마트폰에서 수집한 전화번호부 정보를 바탕으로 특정 기업을 사칭하거나 택배, 청첩장 등의 내용을 배포해 다단계로 악성 앱 감염 스마트폰 수를 기하급수적으로 늘린다.

악성 앱은 리패키징을 통해 정상적인 앱에 악성 행위를 삽입한 후 정상 앱으로 위장, 배포해 악성으로 판별하기 쉽지 않다. 또한, 정상적인 앱은 분석될 경우 기술 유출 우려도 크다. 앱을 난독화하면 정상·악성 앱의 차이가 모호해져 두 종류의 앱을 구분하는 것은 매우 어렵다.


국내외 모바일 안티바이러스 인증기관의 소개와 역할
한국인터넷진흥원(KISA)은 2018년부터 정보보호제품 성능평가 제도를 운용하고 있다. 또한, DDoS 장비, 소스코드 보안 약점 분석 도구, PC·모바일 기반 안티바이러스 제품의 성능평가를 진행한다. 모바일 안티바이러스 인증기관이 있는 국가는 영국, 오스트리아, 중국 등이 있다.

KISA는 2018년부터 정보보호 제품 성능평가 제도를 도입, 모바일 기반 안티바이러스 이외에도 DDoS 대응 장비, 소스코드 보안약점 분석도구 등 13종의 제품 평가를 수행한다. KISA는 오프라인 환경 테스트를 통해 탐지율 70% 이상이면 인증서를 발급한다.

독일 기업인 AV-TEST의 AV-TEST는 모바일 전용 등 다양한 안티바이러스 제품군을 테스트하고 순위를 매기는 사이트로, 안티바이러스 탐지, 과탐, 자원사용량 등을 체크한다. 실제 디바이스로 온라인 테스트를 진행해 정확도가 99% 이상이면 인증서를 부여한다.

오스트리아의 독립 조직인 AV-comparatives는 주로 PC 안티바이러스 소프트웨어를 테스트하고 평가해 대중과 미디어에 정기적으로 보고서를 발표하며, 모바일 전용 안티바이러스 소프트웨어도 테스트한다. 과탐 10개 이하, 악성 정탐률이 99% 이상이면 인증서를 부여한다.

2009년 보안 소프트웨어 포럼으로 시작한 MRG-Effitas는 독립적인 IT 및 보안 테스트 전문기업으로 성장했다. 악성코드 분석 외에도 스마트폰, 맥OS, 온라인 은행 등 다방면에서 보안을 테스트하며, 악성코드 샘플 약 200개를 분석한 결과를 분기별로 홈페이지에 게시한다.

PC Security Labs(PCSL)는 2008년 중국에서 설립된 보안 소프트웨어 테스트 및 테스트 표준 개발에 중점을 둔 독립 연구기관이다. 중국에서 AMTSO(Anti-Malware Testing Standards Organization)에 합류했으며, 위협 연구 및 안티바이러스 제품을 연구한다.

SKD Labs는 정보보안 제품·서비스 기능 테스트, 성능 검증·인증이 전문인 ISO/IEC 17025 공인 연구소로, 제품의 평가와 신뢰성 보장을 위해 테스트 표준을 개발하고 있다. SKD Labs는 탐지율 98.5%, 시스템 앱 과탐 0개, 일반 앱 과탐률 0.05% 이하이면 인증이 가능하다.


국내외 대표적인 모바일 안티바이러스 제품 10종 특징
모바일 안티바이러스 제품은 안드로이드를 기준으로 사용 목적과 엔진(회사)으로 구분해 35개 이상 제품이 구글 플레이에 등록된 것을 파악했다. 여기서 같은 엔진을 그루핑하고, 사용 목적 등을 고려해 국내외 대표적인 10개의 모바일 전용 안티바이러스 소프트웨어를 선정했다.

V3 Mobile Plus는 안철수 박사가 개발한 V3 백신의 모바일 버전으로, 모바일 악성코드와 악성/스미싱/보이스피싱 위협 문자 탐지 등 보안성능에 다양한 개인정보보호 기능을 더한 안드로이드용 안드로이드용 스마트폰 백신이다.

이스트소프트가 개발한 알약M(Alyac M)은 모바일 전용 바이러스 검사 소프트웨어로, 안드로이드 기반 무료 모바일 백신·보안 앱이다. 비트디펜더 엔진과 이스트소프트가 자체 개발한 테라 엔진을 사용하며, 악성 앱 및 스미싱 문자 탐지, 금융사기 예방 등 부가 기능 등을 제공한다.

SK쉴더스의 모바일가드는 SK텔레콤의 ‘T가드’를 리브랜딩해 제공되며, 2021년 10월부터 통신사 구분 없이 이용하도록 했다. 스마트폰 내 신·변종 악성 앱, 원격 제어 앱 등을 실시간으로 탐지하고, 모바일 케어 플랫폼으로 발전하고 있는 모바일 전용 안티바이러스다.

Avast Mobile Security는 체코의 다국적 기업 어베스트 소프트웨어에서 만든 모바일 전용 안티바이러스 소프트웨어다. 디바이스에 감염된 앱이 다운로드되면 경고를 보낸다. 이메일, 전화 통화, 감염된 웹 사이트 또는 SMS 메시지를 통한 피싱 공격에서 보호가 가능하다.

미국 시만텍에서 만든 Norton 360은 PC 버전의 Norton 안티바이러스 기반의 모바일 버전용 안티바이러스 백신이다. Norton 360은 온라인 뱅킹, 검색 및 쇼핑 시 바이러스, 랜섬웨어, 멀웨어 및 기타 온라인 위협으로부터 안드로이드 장치에 대한 강력한 보호를 제공하고 있다.

비트디펜더(Bitdefender)는 루마니아의 인터넷 보안 소프트웨어 기업으로 100개국 이상에서 여러 지사와 파트너를 통해 운영되며, 2015년 7월 국내에 오픈했다. 오늘날 비트디펜더 기술은 전 세계 5억 곳 이상에서 사용하며 온라인 위협에서 스마트폰과 태블릿을 보호하고 있다.

ESET Mobile Security Antivirus는 슬로바키아 기업 이셋(ESET)이 개발했으며, 시스템 점유율과 함께 모든 솔루션 중 오진율이 가장 낮다. 머신러닝 등 최신의 보안 기술을 전체 안티바이러스 제품 중 최초로 VB100 성능평가 테스트 100회 인증을 통과했다.

유진 카스퍼스키가 개발한 모바일 전용 안티바이러스 소프트웨어 Kaspersky Security & VPN은 마이크로소프트 윈도, 애플 맥 OS X를 사용자를 악성코드에서 보호하도록 설계됐다. 강력한 엔진과 최적화 기술을 바탕으로 리소스에 영향을 최소화해 성능이 뛰어나다.

멀웨어바이트(MalwareBytes)는 PC전용 안티바이러스 소프트웨어를 개발하고 MalwareBytes Mobile Security 모바일 전용 안티바이러스를 출시했다. 악성 앱, 애드웨어, 스파이웨어를 포함한 악성 소프트웨어를 주로 검사하며, 개인정보보호 및 랜섬웨어 등에 대처할 수 있다.

미국 맥아피(McAfee Security)의 모바일 전용 안티바이러스 소프트웨어 Antivirus VPN은 안티바이러스, ID 보호, 안전 브라우징, 보안 VPN, 프록시, WiFi 검사, 바이러스 치료 도구를 통해 멀웨어, 스파이웨어, ID 침해로부터 데이터, 기기 및 개인정보를 보호한다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>