[보안칼럼]앱마켓 '안전지대' 아니야...'가짜 백신'도 주의

앱을 내려받을 때 운용체계(OS) 기업이나 믿을 만한 제조사의 정식 앱 마켓을 이용하라는 보안 수칙이 있다. 당연한 말이지만 한편으론 이 때문에 '정식 앱 마켓은 안전하다'는 믿음이 생겼다.

여기에는 함정이 있다. 정확히 말하면 '불법 앱 마켓보다는 정식 앱 마켓이 안전하다'는 것이지 '정식 앱 마켓에서 내려받는 앱은 100% 안전하다'는 의미가 아니다.

시큐리온은 2020년 3월부터 2022년 2월까지 24개월 동안 정식 앱 마켓에 등록된 악성 앱을 탐지하는 '클린마켓 프로젝트'를 진행했다. 이름 그대로 많은 사람이 안심하고 앱 마켓을 이용할 수 있도록 깨끗한 마켓 환경을 조성하자는 취지다.

공인된 앱 마켓에 얼마나 많은 악성 앱이 등록되는지 프로젝트를 통해 파악했다.

구글, 텐센트, 알리바바 9Apps, 샤오미 등 글로벌 앱 마켓의 정책을 준수하면서 2년 동안 수집한 앱 수는 29만4853개였다. 이 가운데 악성 앱은 4295개였다. 어떤 글로벌 보안기업도 찾아내지 못한 신종 악성 앱도 671개 나왔다. 시큐리온은 신종 악성 앱을 '바이러스 토털'이라는 검색 서비스에 등록, 마켓에서 삭제될 수 있도록 했다.

클린마켓 프로젝트 결과에 따르면 분석 대상이 된 앱의 약 1.46%가 정식 마켓의 보안 시스템을 뚫고 업로드된 악성 앱이었다. 적은 수처럼 보이지만 마켓에 등록된 전체 앱의 개수에 비례한다고 생각하면 결코 적은 게 아니다.

이런 악성 앱은 유명 앱을 사칭하거나 무료 서비스 제공 등 방식으로 많은 사람의 다운로드를 유도한다. 단 1개의 악성 앱이 대규모 피해를 발생시킬 수 있다.

마켓은 이용자에게 안전한 환경 제공을 위해 큰 노력을 하고 있다. 구글은 2021년 한 해 플레이스토어에서 120만개에 이르는 악성 앱을 차단했다.

반대로 해커는 악성 앱을 마켓에 등록할 수 있는 수법을 꾸준히 발전시키고 있다. 해커는 정상 앱을 내려받아 악성 코드를 삽입한 후 다시 올린다. 일부 악성 앱은 구글의 플레이프로텍트를 회피할 수 있는 코드가 적용된 것으로 알려져 있다.

시큐리온이 클린마켓 프로젝트를 위해 수집한 앱 약 30만개 가운데 66.7%가 분석과 탐지를 어렵게 만든 난독화 앱 또는 패킹 앱이었다.

정식 앱 마켓도 안전하지 않은 상황을 생각하면 모바일 보안 솔루션 사용은 필수다. 그렇다면 앱마켓에서 '모바일 백신'을 검색해 평가가 좋은 솔루션을 설치하면 모든 문제가 해결될까.

지난 2014년 '바이러스 쉴드'라는 앱이 발견됐다. 바이러스 쉴드는 발견 당시 1만회 이상 다운로드 된 유료 앱으로, 5점 만점에 4.7점이라는 높은 평점을 기록하고 있었다. 알고 보니 이 앱은 바이러스 백신 기능이 전혀 없는 '가짜 백신'이었다.

글로벌 보안제품 성능평가기관(AV-Comparatives)이 2017~2019년 3년 동안 '가짜 백신 찾기' 프로젝트를 진행했다. 보안 솔루션 개발사에 사전 고지 없이 구글 플레이스토어에 등록된 앱에 대해 보안 성능을 테스트한 것이다. 테스트 결과 가짜 백신으로 판명된 앱은 삭제됐다.

2019년 AV-Comparatives는 250개의 모바일 백신을 테스트, 오·탐지 없이 악성 앱을 30% 이상 잡아낸 백신은 약 30% 수준인 80개에 불과했다. 나머지 138개 가짜 백신은 아마추어 개발자나 비보안 업체가 광고 또는 홍보를 목적으로 만든 앱이었다.

가짜 백신을 걸러내는 손쉬운 방법은 AV-TEST, AV-Comparatives 같은 글로벌 인증 획득 여부를 확인하는 것이다. 국내외 다양한 보안 기업이 이 같은 평가에 참여해 검증을 받고 있으니 리스트의 제품 가운데에서 본인과 잘 맞는 솔루션을 택해 이용하면 된다. 바이러스 쉴드 사례와 같이 실제 성능보다 이용자 느낌 중심으로 작성된 평점보다는 개발자 및 개발사 정보를 꼼꼼히 확인하는 편이 좋다. 믿을 수 있는 모바일 안티바이러스 솔루션 사용으로 안전한 모바일 환경을 누리기를 바란다.

이성권 시큐리온 대표 sklee@securion.co.kr