보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[벤치마크] 모바일 안티바이러스 10종 집중 파헤치기

입력 : 2024-03-18 02:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안뉴스×카이스트, 모바일 안티바이러스(백신) 기능 및 성능 분석
사용자 경험은 물론 호환성과 성능 최적화, 악성 앱 탐지 성능과 업데이트 중요
‘PC 및 모바일 안티바이러스 성능 분석 연구’ 주제로 21일 ‘시큐리티월드 콘퍼런스’에서 발표


[보안뉴스 원병철 기자] 이제는 우리 생활 속에서 절대 없어 설 안될 생필품 중의 하나가 스마트폰이다. 전화와 문자, SNS와 인터넷을 넘어 각종 페이(Pay) 서비스를 이용한 금융, 네이버나 카카오, PASS 등 민간인증서를 활용한 본인확인 등 스마트폰은 다방면에서 우리 생활을 편리하고 안전하게 만들고 있다. 그래서 일까? PC와 서버, 네트워크를 노리는 사이버 공격이 이제는 모바일을 노리고 있으며, 이를 막기 위한 움직임 역시 모바일 기기에서도 활발하다. 바로 모바일 안티바이러스다.

[이미지=gettyimagesbank]


모바일 안티바이러스의 필요성
모바일 안티바이러스는 모바일 기기에서 악성 앱이나 의심스러운 위협 행위를 탐지 및 차단하기 위한 용도로 사용되는 제품을 말한다. 안드로이드(Android)는 모바일 기기의 운영체제 중에서 가장 많이 사용되고 있으며, 심지어 전 운영체제 시장에서도 가장 높은 점유율을 보인다(웹 트래픽 분석 사이트 ‘StatCounter’). 이렇게 안드로이드가 가장 많이 사용되는 이유는 다른 운영체제와 달리 GPL 라이선스의 오픈소스 플랫폼으로 개발자들이 소스 코드를 자유롭게 수정하거나 개선할 수 있어 다양한 기능이 탑재될 수 있었고, 운영체제의 최적화를 통해 많은 사용자를 확보할 수 있었기 때문이다.

▲그림 1. 전체 운영체제 시장 점유율[자료=StatCounter]


카이스트 사이버보안연구센터(KAIST CSRC)에 따르면 안드로이드가 시장 점유율이 높고 오픈소스 기반의 운영체제인 만큼 해커들에게는 더할 나위 없이 좋은 먹잇감으로 인식되고 있다고 설명한다. 아울러 이렇게 안드로이드 스마트폰을 위협하는 악성 앱은 다양한 형태와 목적으로 개발되고 있으며, 공격하는 방식에 따라 크게 6가지 종류로 나눌 수 있다고 분석했다.

①트로이 목마(Trojan) : 알려진 앱에 숨겨져 사용자의 기기에 설치되어 정보를 수집하거나 악성 행위를 수행
②랜섬웨어(Ransomware) : 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구
③스파이웨어(Spyware/Worm) : 사용자의 행동을 모니터링하고 민감한 정보를 수집
④안드로이드 뱅킹 트로이 목마(Banking Trojan) : 금융 거래에 관여하여 사용자의 은행 계좌 정보를 탈취
⑤안드로이드 다운로더(Downloader on Android) : 악성 앱을 설치한 후에 추가적인 악성코드를 다운로드하고 실행
⑥앱 스토어 및 유명 앱 모방(Fake App) : 공식적인 앱 스토어를 모방하거나 인기 있는 앱을 모방하여 사용자로 하여금 악성 앱을 다운로드하게 유도

이러한 다양한 유형의 악성 앱을 방어하기 위한 모바일 안티바이러스의 탐지 방식은 기존 PC용 안티바이러스와 크게 다르지 않다. 다만 모바일 안티바이러스는 모바일 기기의 부족한 배터리와 제한된 리소스 등의 문제로 인해 PC용 안티바이러스보다 경량화한 탐지 방식이나 악성 앱의 메타 데이터를 클라우드 분석 서버로 전송하는 중앙 집중 탐지 방식을 따르고 있다. 이에 오탐 문제와 악성 앱의 특성에 따라 잘못된 메타 데이터 전송으로 인한 미탐과 같은 문제가 종종 발생하고 있다. 따라서 KAIST CSRC는 이러한 문제점과 모바일 기기라는 특징을 기반으로 테스트 시나리오를 개발(수립)해 모바일 안티바이러스의 기능 및 성능 분석을 진행했다.

모바일 안티바이러스는 무엇이 중요할까
1. 사용자 경험(User Experience, UX) 중심의 설계

모바일 안티바이러스의 사용자 경험은 중요한 요소 중 하나다. 사용자들은 편리하고 직관적인 사용자 경험을 원하기 때문에 모바일 안티바이러스는 사용자의 요구사항을 고려해 직관적이고 효율적인 인터페이스를 제공하고 앱의 반응 속도와 안정성을 고려해야 한다.

2. 플랫폼 및 기기 호환성
모바일 안티바이러스는 다양한 운영체제(iOS, Android 등)와 기기(스마트폰, 태블릿 등)에서 동작하도록 제공돼야 한다. 다양한 플랫폼에 대한 호환성을 고려해 안정적으로 동작해야 하며, 다양한 기기의 화면 크기와 해상도에 대한 호환성도 고려해야 한다.

3. 성능 최적화
제한된 하드웨어 자원(메모리, 배터리, 네트워크 대역폭 등)을 가지고 동작하는 모바일 안티바이러스는 성능에 대한 최적화가 필요하다. 백그라운드 작업에 대한 리소스 점유를 최적화하고, 네트워크 요청을 최적화하는 등의 작업을 통해 불필요한 메모리 사용 및 배터리 소모를 최소화해야 한다.

4. 악성 앱 탐지 성능
악성 앱을 탐지하는 성능은 모바일 안티바이러스에서 가장 중요한 요소다. 사용자의 개인정보나 결제 정보 등 모바일 내에서 민감한 정보를 취급하는 경우가 매우 많기 때문에 이를 탈취하고 악성 행위를 수행하는 악성 앱을 차단하기 위한 탐지 성능은 필수적인 요소임에 틀림이 없다.

5. 지속적인 업데이트와 유지보수
새로운 악성 앱 및 보안 취약점에 대응하기 위하여 모바일 안티바이러스는 엔진을 업데이트하고 성능을 향상시키기 위한 지속적이고 자동화된 유지보수가 필요하다.

이처럼 모바일 안티바이러스는 다양한 중요 요소가 존재하기 때문에 KAIST CSRC는 최대한 이런 요소가 포함되도록 모바일 안티바이러스 기능 및 성능 평가 항목을 개발(수립)했다. 또한 금융 관련 기관과 보안 관련 기관, 자체 크롤링 시스템을 통해 확보된 악성 앱을 활용해 MicroSD 메모리 검사, 대량의 악성 앱 검사, 최근 수집된 악성 앱 검사 등 기존 모바일 안티바이러스 인증 기관 등에서 시도하지 않은 테스트 방식을 도입해 모바일 안티바이러스의 기능 및 성능 분석을 수행했다. 기능 및 성능 분석에 대상이 될 모바일 안티바이러스의 선택 기준은 다음과 같다.

기준 1. Google Play 내 국내 인지도 및 다운로드가 높은 안티바이러스 기준 선정
기준 2. 별점 3.5 이상의 신뢰성 있는 제품
기준 3. Android 운영체제 및 태블릿 설치가 가능한 제품

이 3가지의 선택 기준을 통해 국내에서 유통중인 10개의 모바일 전용 안티바이러스를 선정했다. 금융 관련 기관과 보안 관련 기관, 자체 크롤링 시스템에서 수집된 악성 앱은 평가 시나리오에 따라 다음과 같이 총 6개의 샘플 그룹으로 구성해 모바일 안티바이러스의 기능 및 성능을 분석했다.

샘플 1. 피싱, 스파이웨어, 금융 등 악성 유형별 수집된 악성 앱 1,000개
샘플 2. 랜덤 샘플링하여 선정한 최근 3년간 발생한 악성 앱 10,000개
샘플 3. 최근 1년 이내 발생 된 악성 앱 1,000개
샘플 4. 3년간 발생한 금융 피싱 관련 악성 앱 5,000개
샘플 5. 3개월 이내 발생 된 금융 관련 악성 앱 100개
샘플 6. 1개월 이내 발생 된 악성 앱 140개

▲그림 2. 모바일 안티바이러스 테스트 환경[자료=KAIST CSRC]


▲그림 3. 테스트 소프트웨어(Controller/Agent)[자료=KAIST CSRC]


모바일 안티바이러스의 테스트 환경은 보이는 그림 2와 같이 방화벽 2개를 통해 내·외부를 완벽히 분리(클라우드 등 분석을 위한 네트워크 허용)했고, 방화벽 내 네트워크 안에는 명령어 전달 및 악성 앱을 전달하는 컨트롤러와 각 모바일 디바이스에 연결된 PC 10대를 구축했다. 기능 및 성능 분석에 사용될 테스트 PC와 모바일 디바이스는 모두 동일한 스펙의 하드웨어와 OS를 사용하였고 자세한 사항은 다음 그림 3과 같다. 또한 사람의 개입을 최소화하기 위해 그림 3과 같이 컨트롤러부터 전달받은 명령어(ADB) 수행과 악성 앱 전달을 위한 명령 수행 소프트웨어(Controller/Agent)를 자체 개발해 테스트를 진행했다. Controller와 Agent는 PC를 통해 악성 앱에 대한 다운로드 및 설치 등을 각각의 모바일 디바이스 대상으로 동시에 진행할 수 있고, 각 PC가 수행한 명령어와 전송받은 파일에 대한 테스트 로그를 DB에 저장할 수 있다.

▲그림 4. 모바일 안티바이러스 성능 및 기능 평가 항목[자료=KAIST CSRC]


모바일 안티바이러스 성능 및 분석 결과
모바일 안티바이러스의 주요 분석 항목이며, 정량적 평가에 사용된 시나리오는 총 6개로 다음과 같다.

실험 1. 실시간 악성 앱 1,000개 설치를 통한 실시간 탐지 정확도 테스트
실험 2. 로드테스트 악성 앱 10,000개 수동 검사 탐지 정확도 테스트 (최근 3년)
실험 3. 업데이트 최근 1년 이내 발생 된 악성 앱(1,000개) 탐지 정확도 테스트 (22년 7월 ~)
실험 4. 금융 3년간 발생한 금융 피싱 관련 악성 앱(5,000개) 탐지 정확도 테스트
실험 5. 트랜드 3개월(23년 8월) 이내 발생 된 금융 관련 악성 앱(100개) 탐지 정확도 테스트
실험 6. 트랜드 1개월 이내(23년 11월) 발생 된 악성 앱(140개) 탐지 정확도 테스트

정량적 평가에 대한 분석 결과는 그림 5와 같으며, 10종의 모바일 안티바이러스 제품은 익명성을 위하여 순서 없이 A~J로 표기했다.

▲그림 4. 모바일 안티바이러스 정량적 평가 결과[자료=KAIST CSRC]


실험 1. 악성 앱 설치(1,000개)를 통한 실시간 탐지 정확도
Agent와 Controller를 통해 1,000개의 악성 앱을 장치에 실제 설치했을 경우 설치된 악성 앱을 얼마나 잘 탐지하는지를 테스트했다. 1,000개의 악성 앱 중 29개의 악성 앱은 앱 자체 문제로 설치되지 않았으며, 가장 많이 탐지된 악성 앱 유형은 트로이 목마와 스파이웨어였다. 또한 악성 앱 4개의 경우는 1개 혹은 2개의 안티바이러스 제품에서만 탐지되어 해당 악성 앱을 수동 분석한 결과 정상 앱으로 판단됐다. 이는 안티바이러스 제품의 오탐인 것으로 추정된다.

실험 2. 악성 앱 10,000개 수동 검사 탐지 정확도 테스트
최근 3년간 발생한 악성 앱 1만 개를 SD카드에 저장한 후 모바일 안티바이러스 SD카드 수동 검사를 실행해 악성 앱의 탐지 성능을 테스트하는 실험이다. 실험 결과 일부 모바일 안티바이러스의 경우 내부 메모리를 사용해 검사를 진행하는데, 내부메모리 부족으로 인해 앱이 종료되는 현상이 있었으며, SD카드 검사 자체를 할 수 없는 제품도 존재했다. 또한 일부 제품의 경우 실험 1의 악성 앱 설치시 탐지 정확도보다 상승하는 경우도 발생했습니다. 이는 실시간 검사와 수동 검사의 차이로 추정된다.

실험 3. 최근 1년 이내 발생한 악성 앱 1,000개 탐지 정확도 테스트
최근 1년 이내 발생한 악성 앱 1,000개에 대한 탐지 성능을 테스트해 모바일 안티바이러스의 엔진 업데이트가 얼마나 빠르게 이루어지는지를 확인하기 위한 실험이다. 실험결과 일부 모바일 안티바이러스의 경우 실험 2의 탐지 정확도와 현저하게 차이가 있는 제품도 있었다. 이는 모바일 안티바이러스 엔진에 대한 업데이트 주기가 길기 때문으로 추정된다.

실험 4. 3년간 발생한 금융 피싱 관련 악성 앱 5,000개 탐지 정확도 테스트
3년간 발생한 금융 피싱 관련 악성 앱 5,000개에 대한 탐지 성능을 테스트해 결제 정보 등 개인의 재산에 직접적으로 피해를 줄 수 있는 민감한 정보 탈취를 얼마나 잘 막을 수 있는지 확인하기 위한 실험으로 대부분의 모바일 안티바이러스 제품들이 높은 탐지율을 보였다.

실험 5. 3개월 이내 발생한 금융 관련 악성 앱 100개 탐지 정확도 테스트
해당 실험은 3개월 이내 금융 관련 기관에서 수집한 최근 발생한 금융 관련 악성 앱 100개에 대한 탐지 테스트다. 수집된 악성 앱은 알려지지 않거나 혹은 최근 국내에서 발생 된 금융 관련 악성 앱에 대한 탐지 정확도를 확인할 수 있는 실험이며, 방법은 실험 2와 동일하게 SD카드에 저장한 후 모바일 안티바이러스 SD카드 수동 검사를 통해 테스트를 진행했다. 실험결과 모든 안티바이러스 제품들이 탐지 정확도 100%를 보여 금융 관련 악성 앱에 대해서는 매우 빠른 대처가 이루어지는 것으로 보인다.

실험 6. 1개월 이내 발생된 악성 앱 140개 탐지 정확도 테스트
1개월 이내에 수집된 악성 앱에 대해 신속한 엔진 업데이트를 통해 효과적으로 탐지가 이루어지는지를 확인하기 위한 실험이다. 실험 3과 비교해 실험 6의 경우 대체로 탐지 정확도가 증가한 것을 볼 때 대부분 제품이 빠른 대처를 하는 것으로 나타났으나, 유독 한 제품의 경우는 탐지 정확도가 확연하게 낮아진 결과를 볼 수 있다. 이는 세부적으로 원인을 분석해 보아야겠지만, 단편적인 시각으로 볼 때 빠르게 엔진 업데이트가 되지 않아 발생한 결과로 추정된다.

모바일 디바이스 보안대책
모바일 안티바이러스 제품의 궁극적인 목표는 모든 악성 앱을 탐지하여 모바일 디바이스(핸드폰, 태블릿 등)를 효과적으로 보호하는 것이라 할 수 있다. 하지만 이번 실험을 통해 나온 분석 결과만 보더라도 모든 악성 앱을 완벽히 막아낼 수 없다는 것은 자명한 사실이다. 실험결과를 볼 때 제품마다 장단점이 존재하기 때문에 KAIST CSRC는 어떠한 제품이 가장 좋은 제품이라고 단정할 수 없지만, 탐지 성능 측면에서 볼 때 미세한 우열은 존재한다고 판단했다.

지속적으로 고도화 및 다양화되는 사이버 위협에서 모바일 디바이스를 보호하기 위해서는 사용자 스스로 다음과 같은 사항을 체크하는 것이 중요하다.

- 모바일 디바이스에 반드시 모바일 안티바이러스 제품을 설치하고 주기적으로 엔진 업데이트 및 검사할 것
- 비공식 소스나 불신할 만한 웹사이트에서 다운로드한 앱을 설치하지 말 것
- 앱이 적절한 기능과 관련없이 과도한 권한을 요구하는 경우 주의 깊게 검토할 것
- 불가피하게 공식 앱스토어 외의 사이트에서 앱을 설치할 경우 공식 앱의 이름과 아이콘을 비교하여 확인할 것
- 모바일 디바이스 부팅시 자동으로 시작되거나 백그라운드에서 실행되는 앱은 주의 깊게 확인할 것
- 앱의 개발자 정보, 평가, 리뷰가 부족할 경우 해당 앱의 설치를 다시 한번 고려해 볼 것
- 모바일 디바이스의 데이터 및 배터리 소모량이 급격히 증가한다면 모바일 안티바이러스 검사를 실행하여 확인할 것

한편, 이번 벤치마크 내용은 3월 20~22일 개최되는 국내 최대 통합보안 전시회인 ‘세계 보안 엑스포 & 제12회 전자정부 정보보호 솔루션 페어(SECON & eGISEC 2024)’에서 발표된다. 벤치마크를 진행한 KAIST 사이버보안연구센터의 신강식 연구원이 전시회 동시개최 행사인 ‘시큐리티월드 콘퍼런스 2024’에서 ‘PC 및 모바일 안티바이러스 성능 분석 연구’를 주제로 직접 강연한다. 시큐리티월드 콘퍼런스 2024는 3월 21일(목) 1시부터 일산 킨텍스 제1전시장 콘퍼런스룸 212호에서 개최되며, SECON & eGISEC 2024는 공식 홈페이지를 통해 사전등록하면 무료로 참관할 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)