모바일 악성코드 대응 제품 평가 현황

[CCTV뉴스=이승윤 기자] 최근 모바일 스마트 플랫폼 환경과 함께 사물 인터넷 환경이 급속하게 발전함에 따라 과거 PC 환경과 유사한 초기 형태 악성코드부터 각 환경에 특화된 다양한 악성코드들이 등장하고 있는 상황이다. 이렇게 모바일 스마트 플랫폼의 보안을 위협하는 악성코드들이 증가하고 있는 상황에서 인증 평가 기관의 인증을 통과하지 않은 모바일 악성코드 대응 제품을 사용하는 것은 위험하다. 이번 리포트에서는 종래 모바일 환경에서 동작하는 악성코드 대응 제품을 객관적으로 평가 해주는 인증기관과 시험 절차에 대해 설명하고, 더 나아가 사용자 관점에서 기기를 안전하게 보호하기 위해 올바른 모바일 악성코드 대응 제품을 선택하는 방법을 소개하고자 한다.

글 | 아이넷캅 유동훈 기술이사

PC 기반 악성코드 대응 제품 인증 평가 기관 현황

과거 PC 시절부터 다양한 악성코드 대응 제품들은 사용자의 신뢰를 얻기 위해서 여러 인증기관을 통해 제품 품질이나 성능을 객관적으로 검증해왔다. 악성코드 대응 제품에 관한 인증은 시중에 판매되는 물건의 품질 보증 개념과 유사하면서도 한편으로는 약간의 차이가 존재한다. 일반적으로 제품의 디자인, 안정성, 기능면에서 일정 기준을 갖췄을 때 부여하는 품질 보증보다는 성능면에 초점을 두고 있다.

악성코드 대응 제품을 인증하는 평가 기관은 나름의 공신력을 가지면서 각 기관 성격에 맞게 엄격한 시험 절차를 갖추고 있는데, 대부분은 제품이 올바르게 악성코드를 탐지하는지 시험해 성능 평가 기준을 통과했을 때 마크를 부여하고 있다. 악성코드 대응 제품은 악성 샘플이 수집되는 채널의 특성에 따라 탐지 성능이 달라지기 때문에 각 나라 또는 지역별로 존재하는 다수의 인증을 통과한 제품이 객관적으로 더 넓은 탐지 범위를 가진다고 해석할 수 있다. 먼저 PC 기반 악성코드 대응 제품을 평가하고 있는 인증기관은 다음과 같다.

인증 평가 기관의 대다수는 각 기관별로 모인 악성코드 샘플에 대해 수동 검사, 휴리스틱 검사, 클라우드 검사를 진행해 얼마나 많은 악성코드를 올바르게 탐지했는지 여부를 확인하고 있다. 뿐만 아니라 정상적인 프로그램을 얼마나 과탐지하는지도 시험해 사용 편의성 여부를 함께 확인하고 있다.

모바일 안티바이러스 제품 인증 평가 기관 소개

앞서 언급된 PC 기반 악성코드 대응 제품 인증 평가 기관과 비교하면 절반도 안 되지만, 모바일 악성코드 위협이 증가하면서 제품에 대한 인증 평가 기관이 등장하기 시작했다. 모바일 악성코드 대응 제품 인증 평가 기관은 크게 4개 기관이 활발한 편인데, 독일의 AV-TEST, 오스트리아의 AV-comparatives, 영국의 MRG-Effitas, 중국의 PCSL가 대표적이라고 볼 수 있다.

과거 PC 기반의 제품 인증은 다양한 제품의 특성상 정적으로 수동 검사 결과만 확인하는 방식, 동적으로 휴리스틱 검사 결과까지 포함하는 방식, 온라인 클라우드 검사 결과를 포함시키는 방식 등으로 여러 가지 설정을 변경하면서 다양한 시험 결과를 제공한다. 반면, 모바일 제품 인증은 항시 온라인으로 연결돼 있고 동적 휴리스틱 탐지가 어려운 플랫폼 환경의 특성상 검사 기능 구분 없이 항시 온라인 상태에서 정적과 동적, 휴리스틱 기능을 포함한 검사 방식으로 시험 평가를 진행하고 있다.

AV-TEST 개요와 모바일 보안 제품 시험

안드레아스 마르크스(Andreas Marx)에 의해 시작된 독일의 AVTEST는 대표적인 모바일 인증기관 중 하나로 안드로이드 모바일 기반 안티바이러스 보안 제품에 대한 시험 결과를 격월로 공개하고 인증 자격을 부여하고 있다. AV-TEST가 본격적으로 모바일 제품에 대해 시험을 진행하기 시작한 것은 2013년부터이며, 이전에는 모바일 제품 검증에 관해 세 번의 공식 보고서를 발간했다.

첫 번째 보고서는 2011년 11월에 작성됐다. 이 보고서에서는 당시 잘 알려지지 않은 7가지 무료 안티 바이러스 제품과 2개의 상용 공급 업체의 안티 바이러스 제품을 비교 시험한 결과 효과적으로 사용자를 보호할 수 있는 무료 솔루션이 거의 없었다는 충격적인 내용을 담고 있다.

두 번째 보고서는 2012년 3월에 발표해 약 41가지의 안드로이드 보안 제품을 검사하고 악성 탐지율을 공개했으며, 첫번째 보고서 이후 6개월 동안 수집된 618개의 악성 샘플을 대상으로 검사한 결과를 다루고 있다. 마지막으로 발간된 보고서는 2012년도 말에 공개돼 모바일 기반 보안 제품에 대한 인증 시험이 기존 PC 기반의 인증 시험과는 다른 양상을 보이며 기존 시험보다 효과적인 검증을 위해 2개월 간격의 충분한 시험과 다양한 제품을 대상으로 진행돼야 한다고 설명했다. 또한, 명확한 시험 기준을 준수하고 풍부한 자료를 포함한 시험 보고서를 제공해야 한다고 강조했다.

AV-TEST는 시험 이전 보고서에서 다뤘던 모바일 검증 서비스에 대한 조사 결과를 적극 반영해 매월 짝수 월에는 비공개 시험을, 홀수 월에는 공개 시험을 수행해 지난 몇 년간 일관된 결과를 공개하고 있으며, 시험 과정은 크게 두 가지로 구분된다.

먼저 보호 시험은 지난 4주간 수집된 악성 샘플과 실시간으로 수집된 악성 샘플을 대상으로 검사해 악성 탐지율에 따라 총점 6점의 보호 점수를 부여하고 사용 편의성 시험은 정식 벤더가 운영하는 마켓과 비공식 벤더가 운영하는 마켓에서 수집된 정상 샘플을 과탐지하는지 검사해 총점 6점의 사용 편의성 점수를 부여하고 있다. 그 밖에도 안티 바이러스 탐지 기능 외로 부가 기능을 제공할 경우 추가 점수 1점을 부여하며 만점을 받으면 총점 13점으로 인증 자격이 부여된다.

인증 자격의 최소 기준은 8점 이상을 받아야 하고 몇 개의 샘플만 과탐지해도 낮은 점수를 부여하기 때문에 격월로 진행되는 시험의 인증 자격을 유지하기 까다로운 것으로 알려져 있다.

PCSL 모바일 보안 제품 시험

3개월에 한 번 분기별로 진행되는 중국의 PCSL 인증은 아시아에서 공신력 있는 인증 제도이며 2009년부터 본격적으로 진행돼 왔다. 안드로이드 모바일 제품군의 경우 2015년 12월부터 시험이 시작돼 현재까지 꾸준히 시험 결과를 외부에 무료로 공개하고 있다. 시험은 약 1000개의 아시아 지역에서 수집된 안드로이드 악성 샘플을 외장 SD카드에 복사해놓고 보안 제품을 통해 전체 검사를 수행하는 방식으로 진행하고 있다. 또한, 과탐지 시험에는 300~500개가량의 정상적인 앱을 검사에 포함시켜 보다 객관적인 탐지율 통계를 제공하기 위해 노력하고 있다.

PCLS 시험의 탐지율 계산식은 ‘(악성 샘플 개수 - 미탐지 개수)/악성 샘플 개수X100 = 탐지율’과 같은데, 실제 2019년 첫 시험 결과를 예를 들면 악성 앱 1032개와 정상 앱 481개의 샘플을 기준으로 시험한 결과, 악성 앱 2개 미탐지, 과탐지 3개가 나온 제품의 경우, (1032 - 2)/1032X100% = 99.81%로 계산되고 FP는 3으로 기록됨을 확인할 수 있다. PCSL 시험은 무엇보다 동아시아 지역에 분포하고 있는 모바일 악성코드에 대해 객관적인 탐지 성능 결과를 확인할 수 있다는 점에서 해당 지역에 위치한 나라들이 참고할 만한 인증이라고 할 수 있다.

MRG-Effitas 모바일 보안 제품 시험

MRG-Effitas는 영국에서 운영 중인 IT 보안 연구 기관으로 전통적인 PC 기반의 뱅킹용 악성 위협에 초점을 맞춘 인증 제도로 출발 했으며, 최근 2017년부터 안드로이드용 모바일 보안 앱을 대상으로 시험을 시작했다.

최초 검사인 2017년 보고서에 따르면, 약 200개의 악성 샘플과 20개의 정상 샘플을 대상으로 시험을 진행했다. MRG-Effitas의 시험 일정은 2018년 5월 이후부터 분기별로 진행하고 있다. 시험은 에뮬레이터와 실제 기기에서 수행하고 있으며, 과정은 크게 디스크 검사 시험과 설치 검사 시험으로 나누어 진행한다.

먼저 디스크 검사 시험은 외장 SD카드에 악성 APK를 삽입하고 검사를 진행하는 방식으로 진행된다. 일반적으로 다른 인증기관의 검사 방식과 동일하며 설치 검사 방식은 ADB 데몬을 통해 악성 앱을 설치한 후 제거하기 전까지 탐지하는지 확인하는 방식이다. 다른 인증기관과 비슷하게 공개 시험과 비공개 시험으로 나누고 있으며, 자체적으로 마련한 엄격한 기준에 따라 인증 자격 마크도 부여하고 있다.

AV-comparatives 모바일 보안 제품 시험

오스트리아의 AV-comparatives는 전반기와 하반기로 나누어 6개월마다 한 번씩 시험을 진행하는 공신력이 높은 안드로이드 모바일 안티바이러스 인증기관 중 하나이다. 1년에 총 두 번의 시험을 진행하는데 상반기 시험은 효과 없는 가짜 제품을 식별해내기 위한 목적으로 진행한다. 하반기 시험은 각 제품들끼리 탐지율을 비교해 높은 탐지율을 가지고 있는 제품에 대한 인증 자격을 부여하고 있다.

AV-comparatives 모바일 보안 제품 시험은 2010년 최초 상용 공급 업체의 모바일 보안 앱에 대한 리뷰를 시작했다. 이후 2012년부터 본격적으로 인증 자격을 부여하기 위한 탐지율 성능 비교 시험을 시작해 현재까지 진행하고 있다.

시험 방식은 먼저 각 보안 제품별로 기기 배터리를 얼마나 소비하는지 비교하고 75개의 유형으로 구분된 1만 8021개 악성 앱을 대상으로 시험을 진행한다. 또한, 마켓에 공개된 200개의 깨끗한 앱을 대상으로 가짜 알림 여부 시험도 진행했다. 이외에도 AV-comparatives는 2017년 이후부터 마켓에 공개된 AV 제품군을 대상으로 탐지율이 저조하거나 효과가 없는 제품을 가려내는 시험을 별도로 진행하고 있다.

가짜 보안 제품 검증 결과

가짜 보안 제품 검증은 2014년 4월에 안드로이드 폴리스에 의해 적발된 바이러스 쉴드 제품 사례가 유명하다. 특정 잡지사의 의뢰로 진행돼 적발된 이 사례는, 당시 1만 번 이상 다운로드 되었고 사용자 점수 5점 만점 중 4.7점으로 유료 앱 인기 3순위에 있던 보안 앱이 AV-comparatives의 가짜 AV 검증 서비스 조사 결과 악성 코드 탐지 기능이 전혀 없던 가짜 제품으로 밝혀진 바 있다. 결과적으로 AV-comparatives의 가짜 AV 검증 서비스 조사가 확대되는 계기를 만들었다.

결과 발표 이후 구글은 해당 앱을 삭제하고 개발자 계정을 일시 중지했으며, 앱 구매자들에게 환불 조치했다. 이렇게 사기성 앱을 공급 단계에서 검증하기란 매우 어렵기 때문에 AV-comparatives에서는 1년에 한 번 상반기마다 가짜 AV 검증을 수행해 결과를 발표하고 있다. 시험 과정은 실제 악성 탐지 여부를 검사해 효과가 없거나, 위장한 보안 앱을 적발하고 있다. 2017년에 110개, 2018년에 204개, 2019년에 250개의 보안 앱을 대상으로 검증을 진행했다. 결과를 요약하면 다음 표와 같다.

검사 결과를 종합해보면, 2017년 110개의 안드로이드용 모바일 보안 제품을 대상으로 시험했을 때 약 33%, 2018년은 204개 중 84개 앱인 약 41%, 2019년에는 250개 중 138개인 약 55%가 보안 효과가 없다는 충격적인 결론이 나온다. 이 외에도 시험 결과 중 이미지를 도용한 제품이나 동일한 엔진을 여러 앱에서 사용하는 일부 제품의 UI 화면을 비교하거나 버그가 있는 앱, 신규 기기를 지원하지 않는 앱, 효과 없는 가짜 루틴을 포함한 사례를 함께 다루고 있다