악성 앱 판단 기준은 액티비티, 권한, 개발자
안드로이드 앱의 악성 여부 판별해주는 서비스 주목

[보안뉴스 민세아] 글로벌 보안기업 시만텍이 지난해 발표한 ‘2014 모바일 플랫폼별 보안 취약점’ 보고서에 따르면 지난해 iOS 취약점은 140개로, 발견된 모바일 취약점 중 84%를 차지했다. 반면, 안드로이드는 19개로 전체 취약점의 11% 정도다. 이렇듯 iOS가 안드로이드OS보다 취약점이 훨씬 더 많은데도 실질적인 보안사고나 악성코드 유포는 안드로이드OS에서 많이 발생한다. 왜 그런 걸까?


안드로이드 스마트폰이 iOS 기반 스마트폰에 비해 악성 앱을 배포하기 쉽고, iOS 스마트폰은 탈옥을 하지 않는 이상 ‘앱 스토어’를 통해서만 애플리케이션(이하 앱)을 다운로드 받을 수 있다. iOS 스마트폰이 폐쇄적인 운영체제를 갖고 있는 것이 가장 큰 이유다.

안드로이드 기반 스마트폰은 여러 마켓을 통해 앱을 다운로드 받을 수 있는데, 대표적인 것이 구글 플레이 스토어(Google Play Store)다. 구글 플레이 스토어는 악성 앱을 상대적으로 쉽게 올릴 수 있어 문제가 심각하다. 자체적인 심사를 거치고 있다고 하지만 수없이 올라오는 악성 앱을 모두 세세하게 확인하기는 역부족이라는 것.

일반적으로 안드로이드 마켓의 앱은 윈도우10 미만 버전의 PC에서 다운로드 받을 수 없는 구조다. 앱은 모바일 환경에서만 다운로드 받을 수 있기 때문에 악성 앱을 분석하기 위해서는 모바일 단말기나 가상머신에서 모바일 환경을 구축한 후 안드로이드 구글 플레이 스토어에서 앱을 설치한 다음, ADB(Android Debug Bridge)라는 툴로 APK파일을 추출하고, 추출된 APK파일을 PC로 옮겨 분석해야 한다.

그런데 이러한 일련의 복잡한 과정을 한번에 손쉽게 만들어주는 서비스가 최근 출시됐다. ExploitFor.me의 박건 씨와 대전대학교 재학 중인 홍종근 씨가 개발한 PULLer(http://puller.exploitfor.me/)가 그 주인공이다.

‘뽑아낸다’는 의미를 가진 PULLer는 PC에서 안드로이드 앱을 APK 형태로 다운로드 받을 수 있게 해준다. 구글 플레이스토어에서 악성 앱으로 의심되는 앱의 URL에서 패키지명을 복사해 PULLer에서 검색하면 앱 이름, 패키지 명, 해쉬값(MD5, SHA1), 파일 크기 등의 정보를 확인할 수 있고, 생성된 URL 링크를 통해 APK를 다운로드 받을 수 있다.


사용자는 다운로드 받은 APK파일을 바이러스토탈(https://www.virustotal.com/)이나 멀웨어스닷컴(https://malwares.com) 등에 업로드해 악성 앱 여부를 확인할 수 있다. 바이러스토탈과 멀웨어스닷컴은 의심스러운 파일과 URL을 분석하고, 바이러스, 웜 등의 악성코드를 탐지할 수 있는 무료 서비스다.

PULLer를 개발한 박건 씨는 다운로드된 APK파일을 가지고 악성 앱 여부를 판단하는 기준에 대해 다음과 같이 설명했다. “통상적으로 악성 앱을 판단하는 기준은 그 앱이 사용자에게 설치된 후 사용자 기기에서 앱이 수행하는 동작(액티비티)을 바탕으로 판단합니다. 그 다음 앱이 실제 수행할 때 필요한 권한과 요구하는 권한이 일치하는지 살펴봅니다. 악성 앱 개발자가 마켓에 올린 다른 앱도 판단기준 중 하나가 될 수 있습니다.”

박건 씨와 홍종근 씨는 안드로이드 환경에서 악성 앱이 기승을 부리면서 일반인들을 대상으로 한 개인정보 탈취 범죄를 막기 위해 해당 서비스를 제공하게 됐다고 밝혔다. 유료 앱의 경우 PULLer를 이용해 악성 앱 여부를 판단하기는 힘들다.

박건 씨는 “향후 PULLer 서비스를 악성코드 자동분석 플랫폼인 멀웨어스닷컴과 연동시켜 구글 플레이 스토어에 게시된 앱의 악성유무를 판단해 정보를 제공할 예정”이라고 덧붙였다.

본지에서 악성 앱 직접 확인해보니...
본지는 박건 씨와 홍종근 씨의 도움을 받아 PULLer를 통해 악성 앱을 확인해 봤다. ‘바이러스 제거’로 구글 플레이 스토어에서 검색한 결과 찾을 수 있는 ‘바이러스 제거 도구’ 앱을 PULLer에서 검색, APK 파일을 다운로드받아 바이러스토탈에서 검사한 결과 다음과 같은 정보를 확인할 수 있었다.

안티바이러스 솔루션 56개 중 11개가 해당 앱에 포함된 파일을 악성파일로 분류하고 있었으며, 위치정보, 녹음, 주소록, 카메라 권한 등 바이러스 탐지를 위해 작동하는데 아무런 관계가 없는 권한까지 요구하는 것을 볼 수 있다. 해당 앱은 현재 5만 건 이상의 다운로드 수를 기록하고 있다.


해당 앱의 개발자가 업로드한 다른 앱을 추가적으로 살펴봤다. ‘과학 사전’이라는 앱도 마찬가지로 PULLer를 통해 APK 파일을 추출하고, 바이러스토탈에서 확인한 결과 8개의 안티바이러스 솔루션이 악성 파일로 분류하고 있었다. 더욱이 해당 앱은 과학관련 정보를 제공하는 앱이지만 주소록, 위치 정보, 문자 메시지, 사진 파일, 카메라 등의 권한을 요구하고 있었다.

이렇듯 정식 구글 플레이 스토어에 있는 앱 가운데서도 악성 앱이라고 판단할 수 있는 앱들이 아주 많은 것으로 드러났다. 구글 측의 보다 세밀한 심사와 함께 사용자들의 각별한 주의가 요구되는 상황이다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>