스마트폰을 노리는 악성코드가 안드로이드 백신을 간단하게 우회할 수 있는 것으로 드러났다. 모바일 보안 위협이 날로 높아지고 있어 대책 마련이 시급하다.
미국 노스웨스턴대학과 노스캐롤라이나주립대학 연구팀은 악성코드 이름을 바꾸는 매우 단순한 방법으로 모바일 백신 검사를 벗어날 수 있다고 8일 밝혔다.
연구팀은 2012년 2월부터 지난 2월까지 1년 간 `드로이드차메론(DroidChameleon)`이라는 악성코드를 수정할 수 있는 프로그램을 만들어 시만텍, 트랜드마이크로, 닥터웹 등 10개 상용 모바일 백신을 시험했다. 국내에서 많이 쓰는 안랩 `V3 모바일`은 포함되지 않았다.
연구팀은 안드로이드 백신 탐지를 피하기 위해 악성코드 애플리케이션실행파일(APK)을 풀고 다시 패키징하는 방법을 사용했다. 10개 백신은 대부분 악성코드 특징을 잡아내는 시그니처 데이터베이스(DB) 방식이다. 알려진 악성코드 샘플 DB로 탐지한다.
시험결과 일부 백신은 모바일 악성코드 메타데이터 패키지 이름만 바꿔도 정상 프로그램으로 판단했다. 악성코드 패키지 이름을 바꾸는 방법은 윈도 운용체계(OS)에서 널리 쓰였으며 일부 모바일 악성코드에서 사용이 증가했다.
연구팀은 1년 동안 시험하면서 10개 모바일 백신 성능이 개선됐다고 평가했다. 처음 조사를 시작했을 때 이들 모바일 백신 45%가 변형된 악성코드를 잡아내지 못했다. 시간이 흐르며 개발사들이 백신에 콘텐츠 기반 악성코드 탐지 기술을 적용한 결과 실패율은 16%로 낮아졌다.
연구진은 스마트폰 사용자들이 `알 수 없는 제공자`로 표기된 앱을 다운로드하지 않아야 모바일 악성코드 피해를 막을 수 있다고 조언했다. 대부분 악성코드는 구글 플레이 등 공식적인 앱 유통 경로가 아니라 개인적으로 파일을 공유하는 P2P나 포럼, 앱 포털에서 주로 유포된다.
시만텍이 최근 발표한 `인터넷 보안 위협 보고서`에 따르면 지난해 모바일 악성코드는 2011년보다 58% 급증했고 전체 악성코드의 59%를 차지했다. 모바일 OS에서 발견된 취약점도 415개로 전년 315개 대비 32% 증가했다. 안드로이드 스마트폰을 겨냥한 악성코드는 103개였다.
시험에 사용된 모바일 안티바이러스
김인순기자 insoon@etnews.com
