가짜 안드로이드 백신 판별법

"구글플레이 평점-다운로드 수는 소용 없어"

컴퓨팅입력 :2017/03/12 10:58    수정: 2017/03/13 07:56

악성 소프트웨어의 위협을 막으려면 제 역할을 하는 보안 애플리케이션(이하 '앱') 사용이 필수다. 공식 앱 장터에서조차 악성 소프트웨어가 유통되는 안드로이드 기기 사용자에겐 특히 중요하다.

가급적 안티바이러스 앱 가운데 품질이 괜찮은 걸 찾아 써야 한다. 이게 어렵다면 적어도 사용자에게 오히려 해롭거나 효과가 없는 가짜 앱을 식별하고 걸러내야 할 필요가 있다.

[사진=Pixabay 원본 편집] 보안앱. 안티바이러스. 안티맬웨어. 시큐리티. 사용자보호.

이런 목적으로 참고할만한 자료가 있다. 보안솔루션 평가기관 'AV컴패러티브'가 지난달말 인터넷을 통해 공개한 2017년 1월 안드로이드용 안티바이러스 앱 평가 테스트 보고서다.

[☞원문: Anti-Virus Comparatives Android Test(PDF)]

AV컴패러티브는 '구글플레이' 앱 장터에 등록된 모바일 보안 앱 110건을 대상으로 악성코드 탐지 테스트를 진행했다. 앱 개발업체에는 테스트 관련 사전고지를 하지 않았다.

테스트는 각 보안 앱의 탐지 성능을 측정하는 방식이었다. 안드로이드6.0.1 기반 넥서스5 기기에서 구동되는 보안 앱이 2016년 출현 빈도가 높았던 악성 앱 샘플 1천건 중 악성으로 탐지된 비율을 측정했다.

모든 보안 앱은 테스트 과정에서 다음 4단계에 걸쳐 샘플 악성 앱(apk)을 찾아낼 수 있는 기회를 갖고 있었다. 악성 앱을 내려받을 때, 이를 파일 관리자 앱에서 열 때, 설치할 때, 실행할 때.

AV컴패러티브 측은 보고서에서 "이런 샘플을 통해 90~100% 사이의 탐지율을 기록한 것이 실질적이고 효과적인 안티맬웨어(보안) 앱으로 기록될만할 것"이라는 기준을 제시했다.

■ "탐지율 90~100% 앱 50개, 30~90% 앱 15개"

AV컴패러티브 측은 '믿을만한 개발업체의 (보안) 제품' 가운데 샘플 탐지율 30%를 넘는 보안 앱(65개)과 30%에 못 미친 앱(23개)을 구분지었다. 탐지율 100%를 기록한 보안 앱도 있었다.

탐지율 100%를 기록한 보안 앱은 안랩, 어베스트, AVG, 아비라, 바이두, 비트디펜더, 치타모바일, 이셋, 카스퍼스키랩, 맥아피, 시만텍, 텐센트, 트렌드마이크로 등의 제품(24개)이었다.

안랩 측은 지난 10일 AV컴패러티브 테스트 결과를 인용한 보도자료를 배포해 탐지율 100%를 기록한 자사 'V3모바일시큐리티' 제품의 신뢰성이 검증됐다고 강조했다.

권치중 안랩 대표는 "이번 테스트 결과로 사용자가 구글 플레이 스토어에서 신뢰할 수 있는 모바일 보안 제품을 선택하는 데 도움이 될 것"이라며 "앞으로도 안랩은 검증된 글로벌 수준의 기술력을 바탕으로 V3 모바일 고객에게 높은 보안과 편의를 제공할 것"이라고 말했다.

그러나 AV컴패러티브 측은 안랩을 포함한 24개 앱에 대해 "(샘플이 2016년 사용된 일반적인 악성 앱"이었으므로 "(마땅히) 샘플 탐지율 100%를 기록했어야 하는 것"이라고 지적했다.

AV컴패러티브 2017년 1월 안드로이드 안티바이러스 앱 테스트 보고서 결과 그래프.

탐지율 90% 이상 100% 미만을 기록한 앱은 치후360, 닥터웹, F시큐어, NSHC, 판다, 존알람 등의 제품(26개)이었다. 30% 이상 90% 미만을 기록한 앱은 코모도, 고시큐리티, 라인 등의 제품(15개)이었다.

탐지율 30% 미만 앱(23개)은 안드로헬름, 아스칼, 바분, 비트인셉션, 블루스틸이펙트스튜디오, 브레이니악스앱스, 크로마, CT플레이트, 디펭크스, 인조이플러스, 파가, H2, 호넷, 인코드솔루션스, 이투스, 맥스시큐리티, NCN넷컨설팅, 플레이스튜디오앱스, 프로툴앱스, 시큐리티디펜드, 스마트데브스튜디오, 바사, VSAR다.

AV컴패러티브 측은 30% 미만 앱이 일반적인 안드로이드 위협 환경에서 안전하지 않으며 보안 앱으로서 전혀 받아들일 수 없는 사례라 여긴다고 지적했다.

■"구글플레이 평점-다운로드수, 믿지 마라"

AV컴패러티브 측은 보고서 결론에서 사용자가 제대로 된 안드로이드용 보안 앱을 식별하기 위한 조언을 몇 가지 전했다.

첫째, 사용자 평점(user ratings)은 거의 쓸모가 없다. 테스트 대상이었던 110개 앱은 전부 구글플레이 평점 4점 이상이었다. 이는 앱의 보호 능력보다 사용자 경험에 기반해 평점을 매기는 사용자가 많기 때문이다. 일부 평가는 사용자가 아니라 개발자 쪽에서 꾸며내기도 한다.

둘째, 다운로드건수 역시 유용한 지표로 삼을 수 없다. 평점과 비슷한 이유에서다. 사기성 앱이라도 그게 가짜임이 드러나기 전까지는 계속 사람들이 내려받는다. 사람들을 잘 속이면 많은 다운로드 건수를 기록할 수 있다. 대신 개발업체의 평판이나 신뢰성을 표시를 고려하라는 설명이다.

셋째, 믿을만한 보안 앱 개발업체는 외부 테스트에 참여하기도 하고, 자체 웹사이트에 연락처 정보와 개인정보보호정책을 게시하고 있기도 하다. 유료 앱 제품을 구매 전 몇 주간 쓸 수 있는 체험 기간을 제공하면서 사용성과 부가기능을 평가할 기회도 준다. 광고를 탑재한 무료 버전을 제공하기도 한다.

테스트에서 샘플 악성 앱을 거의 또는 전혀 잡아내지 못했음에도 추천 안티맬웨어 앱으로 표시된 것도 있었다. 그 일부는 업데이트가 중단된 앱일 텐데 이 경우 장터에서 앱을 내리지 않은 개발사가 무책임한 것이라고 지적됐다.

이름난 개발업체 제품인데도 탐지율이 별로인 경우가 있었다. 이는 기술개발보다는 마케팅 용도로 앱을 내놓은 사례로 묘사됐다. 안드로이드 보안 앱은 큰 돈이 되지 않지만 개발업체의 존재감을 드러낼 수 있는 영역이라서다. 여기엔 윈도용 보안 프로그램같은 수익이 되는 분야 제품을 알릴 때 도움을 얻을 목적이 있는 걸로 해석됐다.

보고서에 따르면 구글플레이 앱에 등재된 보안 앱 110개 중 버그가 많아 설치되지 않거나, 설치되더라도 너무 자주 오류를 일으켜 쓸 수 없을 지경인 앱이 있었다. CY Security, DevByMe, Gauraw Yadaw, Live multi Player Game, MediaCenterSocial, NguyenManh, REVE, SPAMfighter, SuperSoftDev, 9개였다.

관련기사

보안 앱이면서도 보안상 안전하지 않은 동작을 하는 앱도 있었다. Cora, Melodiu Ideas, Netlink, 3개였다.

구글이 테스트 결과 배포 시점에 이미 앱 장터에서 퇴출한 앱도 있었다. BuildOut Tech, Duc Nguyen, EveryZone, Perfect Tools, Playnos Yalp, Poke And Touch, Quicken, Stock, Taolee, TiTanTech, 10개였다.