모바일 전용 안티바이러스(백신)이란?
모바일 전용 안티바이러스를 설명하기에 앞서 우리가 흔히 알고 있는 안티바이러스(백신)는 컴퓨터(데스크탑)에서 악성 소프트웨어를 찾아 제거(치료)하는 컴퓨터 소프트웨어를 말합니다. 컴퓨터 전용 안티바이러스에 대해 좀 더 자세한 알아보고자 한다면 “안티바이러스 기능 및 성능 분석“ 1부를 참고해주세요. 그렇다면 모바일 전용 안티바이러스는 무엇일까요? 모바일 안티바이러스 컴퓨터가 아닌 스마트폰에서 동작하며, 스마트폰 운영체제 또는 설치되어 있는 앱, 저장 데이터를 대상으로 정보탈취, 스미싱 등 악성 행위를 하는 나쁜 앱을 탐지하여 제거하는 소프트웨어를 말합니다.
오늘날의 스마트폰은 전화나 문자 등 예전 피처폰의 단순 통신 수단이 아닌 카메라, 미디어, 인터넷, 금융 서비스 등을 이용할 수 있는 다양한 소프트웨어가 탑재되어 있고, 하드웨어 사양은 이미 컴퓨터 수준에 도달하였습니다. 이러한 이유로 스마트폰에 익숙한 현대인들은 이미 컴퓨터보다 스마트폰 내에 개인정보와 극히 민감한 정보를 자연스럽게 저장하게 되었고, 해커들은 이러한 스마트폰을 공격 대상으로 삼으면서 지속적으로 악성 앱이 늘어나는 추세를 보이고 있습니다.
최초의 모바일 악성코드는 현재 스마트폰의 악성 앱이 아닌 옛 휴대전화(피처폰)에서 블루투스 기능을 이용한 웜 바이러스인 ‘SymbOS/Cabir’이었습니다. 이후 간간이 모바일 악성코드가 발견되었지만 큰 이슈는 되지 못했습니다. 하지만 2010년 스마트폰이 보급되면서 본격적으로 모바일 악성코드(악성 앱)가 출현하기 시작했고, 우리나라의 첫 스마트폰용 악성코드는 같은 해인 2010년에 발생한 ‘트레드다이얼’이라는 이름의 무단으로 국제전화를 걸도록 유도해 비싼 요금을 내도록 하는 악성 앱이었습니다. 이 초기 ‘트레드다이얼’은 빠르게 치료 방법이 공개되어 큰 피해 없이 사라졌지만, 그것으로 완전히 소멸하지 않고 모바일 게임과 같은 정상 앱에 결합되어 사용자가 인지하지 못하는 사이 50초마다 불특정 국제전화 번호로 전화를 걸어 과금을 유도하는 방법으로 변신하여 많은 사람들을 괴롭혔습니다.
2015년 기점으로 PC 사용보다 스마트폰 사용률이 높아지자 자연스럽게 모바일 악성 앱의 활동은 더욱 증가하였고, 다양한 앱을 쉽게 배포할 수 있는 모바일 환경을 기반으로 악성 앱 출현은 해마다 꾸준히 증가하고 있습니다. 또한, 날로 지능화되고 있는 모바일 악성 앱들은 택배 문자, 사칭, 청첩장 등 사회공학적 공격 기법을 이용하여 쉽게 악성 앱에 감염되도록 유도하고 있습니다. 이러한 모바일 악성 앱(악성코드)을 차단 및 예방하기 위해서는 모바일 전용 안티바이러스(백신) 설치가 효과적인데, 악성 앱 예방 및 차단 기능뿐만 아니라 메모리 정리, 임시 파일 정리 등 스마트폰 최적화 정리 기능도 갖추고 있어 유용한 스마트폰 소프트웨어로 자리 매김하고 있습니다.
그림 1. 모바일 안티바이러스(출처 : 카카오뱅크)
악성앱은 어떻게 스마트폰에 설치되며, 어떤 특징을 가질까?
그림 2. 악성 앱 설치 유도 및 실행 과정(스미싱 예, 출처 : 금융보안원)
스미싱 악성 앱은 그림 2와 같이 사용자에게 택배 또는 정부를 사칭한 문자 메시지(SMS)를 보내 링크 연결을 유도합니다. 링크에 연결되면 APK가 다운로드되어 설치되고 설치된 이후에는 악성앱이 실행 되어 시스템에 대한 권한을 요청을 하게 됩니다. 사용자는 아무 의심 없이 권한을 허용하게 되고, 이후 악성 앱은 아무런 제약 없이 스마트폰 내부의 정보를 확인할 뿐만 아니라 스마트폰 제어권을 장악하여 그림 3과 같은 다양한 악성 행위를 하게 됩니다. 대표적으로 몇 가지 악성 앱의 행위에 대해서 살펴보면 스마트폰에 있는 개인정보를 탈취하는 것, 보이스피싱, 문자스미싱, 인증 우회, 몸캠, 도청하는 앱 등을 말합니다. 특히 이러한 악성 앱은 정상적인 앱을 위장하여 사용자를 속인 후 스스로 설치되거나 사용자가 모르는 사이 설치되는데, 위장한 정상적인 앱은 공공기관에서 배포한 앱인 은행, 학교, 정부24, 경찰청 등 실제로 존재하는 금융기관이나 공공기관 앱으로 위장합니다.
그림 3. 모바일 악성코드 주요 키워드(출처 : 금융보안원, 빅카인즈)
악성 앱은 기존 악성코드처럼 모바일 전용 안티바이러스를 회피하고 사용자에게 들키지 않도록 특정한 패턴과 실행 흐름을 기반으로 동작합니다. 그림 4와 같이 먼저 시스템 권한을 요청해 배터리 최적화와 자기 자신에 대한 아이콘을 숨기도록 동작합니다. 이후 ‘Google Play’와 같은 악성 앱 설치를 탐지하는 앱에 대한 설정을 변경해 동작을 비활성화시킵니다. 또한, 실제 디바이스 환경인지 분석 환경인지 등을 확인하기 위해 모션 센서 등을 활용해 지능적으로 앱을 실행할지를 결정합니다. 마지막으로 인터넷 접속 환경이 되어있는지 확인하고 설치된 앱 리스트를 확인 후 악성 앱을 백그라운드로 실행하여 악성 행위를 수행합니다.
그림 4. 모바일 악성 앱의 일반적인 실행 흐름(출처 : 금융보안원)
악성 앱의 가장 큰 특징은 스미싱(Smishing)을 주로 이용하여 사용자에게 접근하는데, 악성 앱이 설치된 스마트폰에서 수집한 전화번호부 정보를 바탕으로 특정 기업을 사칭하거나 택배, 청첩장 등에 관한 내용을 배포하여 다단계적으로 악성 앱 감염 수를 기하급수적으로 늘려나갑니다.
악성 앱은 리패키징을 통해 정상적인 앱을 분석(디컴파일) 후 악성 행위를 삽입하여 정상적인 앱으로 위장해 배포하는 특징도 있는데, 이 경우는 기존 앱의 기능뿐만 아니라 아이콘이 그대로 사용되어 실행 및 설치 정보만 봐서는 악성으로 판별하기 쉽지 않은 문제점이 있어 일반 사용자는 감쪽같이 속을 수 밖에 없습니다. 또한, 기업에서 배포하는 정상적인 앱은 분석(디컴파일)될 경우 기업의 기술이 유출될 수 있어 대부분 난독화하는 경우가 많은데, 이 또한 정상적인 앱과 악성 앱의 차이를 모호하게 만들기 때문에 사실상 악성 앱과 정상 앱을 구분하여 탐지하는 것은 매우 어려운 문제를 가지고 있습니다.
모바일 안티바이러스 인증 기관
우리나라의 대표적인 모바일 안티바이러스 인증 기관은 한국인터넷진흥원(KISA)으로 2018년부터 정보보호제품 성능평가 제도를 운용하면서 정보보안 제품의 보안 및 각종 성능을 측정하여 솔루션의 품질을 향상에 기여하고, 솔루션의 경쟁력과 기업의 신뢰도를 확보할 수 있는 기반을 마련하였습니다. DDoS 장비, 소스 코드 보안 약점 분석 도구, PC 기반의 안티바이러스뿐만 아니라 모바일 기반의 안티바이러스 제품도 평가 기준을 통해 성능평가를 진행하고 있습니다. 우리나라뿐만 아니라 국외에서도 모바일 기반의 안티바이러스 인증 기관이 존재하는데, 대표적인 나라는 영국, 오스트리아, 중국입니다. 인증 기관들은 모바일 전용 안티바이러스 성능과 신뢰성을 테스트를 위해 체계적인 시험평가를 진행하고 있습니다.
| KISA |
| 한국인터넷진흥원(KISA)는 2018년부터 정보보호제품 성능평가 제도를 운영하면서 모바일 기반 안티바이러스 이외에도 DDoS 대응장비, 소스코드 보안약점 분석도구, APT 대응 장비 등 총 13종류의 제품 평가를 수행하고 있습니다. 한국인터넷진흥원의 경우 오프라인 환경에서 테스트를 진행하며 탐지율 70% 이상인 경우 인증을 받을 수 있습니다. |
| AV-TEST |
| 독일기업인 AV-TEST에서 모바일 전용 안티바이러스를 포함한 여러 안티바이러스 제품군을 테스트하고 순위를 매기는 사이트이며, 테스트의 범주는 탐지, 과탐, 자원사용량입니다. 각 부분별 합산 점수 10점 이상 획득해야 AV-TEST Certified 획득이 가능합니다. (각 범주에서 최소 1점 이상 획득) 테스트 기간은 약 한 달 동안 진행되며 온라인 환경에서의 실제 디바이스를 가지고 정상 앱과 악성 앱을 수집해 테스트를 진행하고 99% 이상의 정확도인 경우 인증서를 부여하고 있습니다. |
| AV-comparatives |
| 주로 PC 안티바이러스 소프트웨어를 테스트하고 평가하는 오스트리아의 독립 조직으로 대중과 미디어에 무료로 제공되는 차트와 보고서를 정기적으로 발표합니다. 모바일 전용 안티바이러스 소프트웨어 테스트도 진행하고 있으며, 샘플은 정상앱과 악성앱을 수집하여 테스트에 사용하고있으며 수집된 앱을 SdCard 저장 및 삽입해 APK 파일을 검사하는 형태로 테스트를 진행하고있습니다. 과탐 개수가 10개 이하, 악성 정탐율이 99% 이상 시 인증서를 부여하고 있습니다. |
| MRG-Effitas |
| 2009년 보안 전문가와 IT 연구원들이 모여 보안 소프트웨어에 대한 뉴스, 연구, 평가를 게시하기 위해 포럼으로 시작하여 현재 독립적인 IT 및 보안 테스트 전문 기업으로 성장하였습니다. 악성코드 탐지 및 분석 이외에도 평가 및 테스트에 대한 전문 지식을 기반으로 스마트폰, MacOS, 온라인 은행 등 다방면의 정보보안 관련 테스트 기업입니다. 9개의 모바일 AV 엔진 테스트를 실시하며, 220개의 악성코드 샘플을 수집해 테스트를 진행하고 그 결과를 보고서로 생성해 분기 별로 홈페이지에 게시합니다. 수집한 샘플과 직접 제작한 악성앱 약 200여개를 테스트 샘플로 사용하며 악성 정탐율 99% 이상인 경우 인증서를 부여합니다. |
| PC Security Labs(PCSL) |
| PC Security Labs(PCSL)는 2008년 중국에서 설립된 보안 소프트웨어 테스트 및 테스트 표준 개발에 중점을 둔 독립 연구 기관입니다. PCSL은 오랜 개발 기간을 통해 효율적인 바이러스 백신 테스트 시스템을 구축했으며 30개 이상의 보안 공급업체가 PCSL의 서비스를 사용하여 제품을 테스트하고 있습니다. 중국에서 AMTSO(Anti-Malware Testing Standards Organization)에 합류한 유일한 테스트 기관으로서 PCSL의 노력은 보안 업계에서 세계적인 인정을 받았습니다. 또한, 위협 연구 및 안티바이러스 제품에 관한 평가 연구를 지속해서 수행하고 있습니다. 악성 탐지율과 과탐 개수를 계산해 점수 구간별로 별 1개부터 5개까지 차등으로 평가합니다. |
| SKDLabs |
| SKD Labs는 정보보안 제품 및 서비스의 기능 테스트, 성능 검증 및 인증을 전문으로 하는 ISO/IEC 17025 공인 연구소입니다. 정보보안 제품의 기능 및 성능 평가와 신뢰성 보장을 위해 최고의 테스트 표준을 개발하고 구현하고 있습니다. SKD Labs의 독립적인 테스트 및 기술 컨설팅 서비스는 글로벌 시장에서 기존 브랜드와 경쟁할 수 있는 시장 이점을 제공하고, 해당 인증 기관은 탐지율 98.5%, 시스템 앱 과탐 0개 이어야 하며 일반 앱 과탐율 0.05% 이하일 경우 인증이 가능합니다. |
전 세계적으로 출시(공개)된 모바일 전용 안티바이러스는 안드로이드를 기준으로 사용 목적과 엔진(회사)으로 구분되어 약 35개 이상의 제품을 ‘Google Play’에서 다운로드 받아 설치할 수 있습니다. 저희는 그중에 같은 엔진을 그룹핑하고, 사용 목적 등을 고려하여 다음과 같이 국내외 대표적인 10개의 모바일 전용 안티바이러스 소프트웨어를 선정하고 기능 및 성능 분석 연구를 하고자 합니다.
모바일 안티바이러스 제품 종류
V3 Mobile Security
1988년 6월 당시 의대 박사 과정에 있던 안철수는 국내에 처음 발견된 세계 최초 컴퓨터 바이러스인 ‘브레인’을 치료하기 위해 만들어진 안랩(구 안철수연구소)로 유명한 우리나라에서 가장 인지도 있고 유명한 제품입니다. ‘V3’라는 이름의 보안 프로그램은 미켈란젤로 바이러스의 기승으로 대중적 인지도를 얻은 1991년에 처음 발표되어 현재까지도 국내에서 대표적으로 많이 사용되는 안티바이러스 소프트웨어로써 모바일 버전인 V3 Mobile Security는 악성코드 실시간 탐지는 물론 클리너, 정보 유출, URL 검사 등을 스마트폰 의 보안을 위협하는 모바일 보안 솔루션입니다.
알약M
이스트소프트가 ‘전 국민 보안 업그레이드’라는 가치 아래 개발한 모바일 전용 바이러스 검사 소프트웨어입니다. 모바일 버전은 2,000만에 육박하는 다운로드 수를 자랑하는 안드로이드 기반의 모바일 백신·보안 앱이며 무료로 제공되고 있습니다. 비트디펜더 엔진과 이스트소프트가 자체 개발한 테라 엔진을 사용하고 있으며, 악성 앱 탐지 이외에도 스미싱 문자 탐지, 금융사기 예방 등 부가 기능 등을 제공합니다.
SK쉴더스 모바일가드
SKT의 ‘T가드’를 리브랜딩하여 제공 드리는 서비스로, SKT 고객이 안전하게 스마트폰을 사용할 수 있도록 사전에 설치(선탑재)된 모바일 전용 백신 서비스였으나, 2021년 10월부터 통신사 구분 없이 이용할 수 있도록 오픈하였습니다. 스마트폰 내 신·변종 악성 앱, 원격 제어 앱 등을 실시간으로 탐지하고, 금융보안원과 함께 대국민 보이스피싱 예방 및 대응을 위한 모바일 케어 플랫폼으로 발전하고 있는 모바일 전용 안티바이러스입니다.
Avast Mobile Security
체코 프라하에 본사를 둔 체코의 다국적 사이버보안 소프트웨어 기업이 만든 모바일 전용 안티바이러스 소프트웨어입니다. 스파이웨어 또는 애드웨어에 감염된 앱이 디바이스에 다운로드되면 백신으로부터 경고를 수신하여 개인 정보를 보호할 수 있습니다. 이메일, 전화 통화, 감염된 웹 사이트 또는 SMS 메시지를 통한 피싱 공격으로부터 디바이스를 보호할 수 있습니다. 무료 외산 안티바이러스 소프트웨어로 많이 알려져 있으며, Avast는 약 1억건 이상의 누적 다운로드를 한 제품이며. 세계에서 가장 많이 다운받은 모바일 전용 악성 소프트웨어 앱으로써 가장 많은 시장 점유율을 차지하고 있습니다.
Norton 360
미국에서 1990년 Symantec에 의해 설립 되었으며, 현재는 독립적인 기업으로 운영중에 있습니다. 해당 제품은 PC 버전의 Norton 안티바이러스 소프트웨어를 기반으로 모바일 버전용 안티바이러스 백신입니다. 2014년 9월경 출시된 모바일 버전의 안티바이러스 앱인 Norton 360은 온라인 뱅킹, 검색 및 쇼핑 시 바이러스, 랜섬웨어, 멀웨어 및 기타 온라인 위협으로부터 안드로이드 장치에 대한 강력한 보호를 제공하고 있습니다. 모바일 전용 안티바이러스 성능 테스트에서 최상위권의 성능을 보여주고 있습니다.
Bitdefender
루마니아에 위치한 인터넷 보안 소프트웨어 기업으로, 100개국 이상의 지역에서 여러 지사와 파트너를 통해 운영되고 있습니다. 2001년 이후로 온라인 보호 기능을 개발해왔으며, 2015년 7월 정식으로 국내에 오픈하였습니다. 오늘날 비트디펜더 기술들은 전 세계 500,000,000곳 정도의 가정 및 기업 사용자들이 사용하고 있고, 바이러스, 멀웨어, 온라인 위협 등으로부터 스마트폰과 태블릿을 보호하고 있습니다.
ESET Mobile Security Antivirus
슬로바키아의 기업 ESET가 개발한 모바일 전용 안티바이러스 소프트웨어입니다. 가벼운 시스템 점유율에 비해 다른 솔루션과 비교하여 최저 수준의 오진율을 유지하고 있어, 최소의 리소스를 가지고 안정적인 보호를 하는 것이 특징입니다. 머신 러닝 등 최신의 보안 기술들을 제품에 적용하고 있는 회사이며, 다른 안티바이러스 제품 중 최초로 VB100 성능 평가 테스트 100회 인증을 통과 하여 그 품질을 인정받고 있습니다.
Kaspersky Security & VPN
유진 카스퍼스키가 개발한 모바일 전용 안티바이러스 소프트웨어입니다. 주로 마이크로소프트 윈도우, 맥 OS X를 사용하는 사람들을 악성코드로부터 보호하도록 설계되었으며 대부분 유료로 제공되고 있습니다. 모바일 전용 안티바이러스의 경우 무료 버전도 제공하고 있지만 유료 버전과 기능의 차이를 두어 판매 중에 있습니다. 200개 국가 및 지역에서 사업을 운영하고 있으며 30개 이상의 국가에 34개 사무실이 존재합니다. 강력한 엔진과 최적화 기술을 바탕으로 리소스에 영향을 최소화하여 높은 성능을 나타내고 있으며, 세계적으로 가장 잘 알려진 안티바이러스 소프트웨어 중 하나입니다.
MalwareBytes Mobile Security
2006년 설립된 회사로써 기존에는 PC전용 안티바이러스 소프트웨어를 개발하고 이후 모바일 전용 안티바이러스를 출시했습니다. 악성 앱, 애드웨어, 스파이웨어를 포함한 악성 소프트웨어를 주로 검사하고 제거하는 스캐너이며, 열려 있는 모든 파일을 검사하지 않고 일괄 모드로 스캔하며 다른 주문형 악성 소프트웨어 방지 소프트웨어가 컴퓨터에 실행되어 있더라도 간섭을 줄일 수 있으며 개인 정보 보호 기능을 제공하여 랜섬웨어 등을 대처할 수 있습니다.
McAfee Security: Antivirus VPN
미국 거대 정보보호 업체의 모바일 전용 안티바이러스 소프트웨어입니다. McAfee Security의 올인원 온라인 보안 솔루션은 수상 경력에 빛나는 안티바이러스, ID 보호, 안전 브라우징, 보안 VPN, 프록시, WiFi 검사, 바이러스 치료 도구를 통해 맬웨어, 스파이웨어, ID 침해로부터 데이터, 기기 및 개인정보를 보호하고 있습니다.
글을 마치며
이번 포스팅에서는 모바일 전용 안티바이러스가 무엇인지 그리고 해커들이 왜 스마트폰으로 눈을 돌려 해킹 타겟으로 삼으려는지에 대한 이유와 악성 앱의 설치과정 및 특징에 대해서 알아보았습니다. 저희 연구팀은 모바일 전용 안티바이러스에 대한 기능 및 성능 분석 연구를 준비하고 있으며, 다음 포스팅에서 모바일 전용 안티바이러스의 기능 및 성능 분석 연구 결과(1차, 23년 4분기)를 저희 센터 블로그를 통해 발표할 예정이며, 이후 추가적인 기능 및 성능 분석 연구를 진행한 후 SECON & eGISEC 2024 에서 2차 연구 결과를 발표할 예정이니 많은 관심 부탁드립니다.
참고문헌
[1] https://www.f-secure.com/v-descs/cabir.shtml
[2] https://zdnet.co.kr/view/?no=20100422134531
[3] https://www.hellot.net/news/article_print.html?no=26530
[4] 금융보안원, 이강석, ‘금융 모바일 악성코드의 현재와 미래’, 2021
[5] 고려대학교, KISA, ‘악성 앱 분석 보고서’, 2014
[6] KISA, ‘KISA, AI 활용한 사이버보안 대응체계 고도화 이끈다’, 2022
[7] https://www.kisa.or.kr
[8] https://www.av-test.org/
[9] https://www.av-comparatives.org/
[10] https://www.mrg-effitas.com/
[11] https://www.pitci.com
[12] https://www.skdlabs.com
[13] https://kr.norton.com/
[14] https://www.kaspersky.co.kr/android-security
[15] https://www.bitdefenderkorea.co.kr/solutions/mobile-security-android.asp
[16] https://www.malwarebytes.com/
[17] https://www.mcafee.com/ko-kr/index.html
[18] https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=19
[19] https://www.estsecurity.com/public/product/alyacm
[20] https://www.skshieldus.com/kor/service/care/adt-caps-mobile.do
[21] https://www.eset.com/kr/
[22] https://www.avast.com/ko-kr/free-mobile-security#pc
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.