2017.11.09

IDG 블로그 | 구글 플레이 프로텍트가 실패하면

JR Raphael | Computerworld
필자는 지난 몇 년 동안 안드로이드 보안에 관한 글을 많이 썼고 그 때마다 같은 이야기를 반복했다.

모바일 보안 소프트웨어를 판매하는 업체는 이론적인 위협 요소를 찾는다. 이론적인 위협 요소란 1) 실제 환경에서 실제 사용자에게 영향을 미친 적이 없고 2) 모든 기본 보안 수단이 비활성화되고 사용자가 수상한 포르노 포럼에 올라온 수상한 앱을 다운로드한다는, 한 마디로 도무지 있을 법하지 않은 시나리오를 제외한 실제 환경의 실제 사용자에게는 영향을 미칠 수 없는 위협 요소를 의미한다.

기억하기 쉬운 무서운 바이러스 이름이 난무하고 특정 보안 소프트웨어만이 사용자를 안전하게 보호할 수 있다는 이야기로 마무리되는 공포스러운 이야기를 써놓고, 정작 이러한 중요한 조건을 잘 보이지 않는 각주로 달아둔다.

효과적인 마케팅 형식은 분명하지만 동시에 몹시 선정적이기도 하다.



이 칼럼의 오랜 독자라면 안드로이드 보안의 현실을 잘 알고 대중을 향한 이러한 종류의 과장된 캠페인을 대부분 걸러 들어야 한다는 점도 잘 알 것이다. 그러나 이 범주에 속하지 않는, 진짜 맬웨어 위험 상황들이 최근 발생하고 있다. 예를 들어 수백 개의 인터넷 트래픽 생성 앱이 플레이 스토어를 거쳐 사용자 기기로 침투한 잘 알려진 와이어엑스(WireX) 봇넷 사건, 또는 왓츠앱(WhatsApp)을 가장해 이를 설치한 기기에 광고를 뿌린 더 최근의 가짜 왓츠앱 사건 등이다.

이 두 가지는 실질적 위협이었는데, 기본 구글 플레이 프로텍트(Google Play Protect) 보안 시스템은 침해를 전혀 파악하지 못했고 결과적으로 많은 수의 안드로이드 기기 소유자가 피해를 입는 상황을 막지도 못했다. 최종 사용자가 입은 직접적인 피해의 수준은 미미했지만(웹 트래픽을 발생시키거나 광고가 표시되는 정도로, 문제의 앱을 제거하는 즉시 사라짐) 이러한 유형의 프로그램은 당연히 구글 심사를 통과해 플레이 스토어에 들어가서는 안 된다.

한 가지 더 재미있는 점은 그럼에도 공포에 떨 이유는 여전히 없다는 것이다. 안전을 위해 서드파티 보안 앱을 설치할 필요도 여전히 없다. 사실 그런 서드파티 보안 앱을 설치해봐야 최선의 경우 아무런 효과도 없고 최악의 경우 개인적 또는 업무적 측면에서 오히려 생산성에 역행한다는 의견이 많다.

여기서는 구글 플레이 프로텍트가 보호에 실패한 와이어엑스와 같은 상황에서 실제로 어떤 일이 발생하며, 그러한 실수가 어떻게 일어나는지에 대해 그 플랫폼을 좌우하는 구글의 관점에서 좀더 깊이 살펴보고자 한다.

필자는 구글의 안드로이드 보안 이사인 아드라인 루드윅에게 이 부분에 대해 물은 적이 있다. 당시 오간 이야기에는 필자가 전하고자 하는 주제에서 다소 벗어난 부분도 있지만 흥미롭게 읽어볼 가치는 있다고 생각해 옮긴다.

여러 보호 계층의 존재에도 불구하고 이러한 악성 앱이 종종 심사를 통과해 탐지되지 않은 채로 장시간 활동하는 이유
"구글 플레이 프로텍트를 포함한 모든 탐지 기술이 직면하는 과제는 다른 환경에서 유입되는 완전히 새로운 유형의 제품군이다. 특히 앱의 동작이 잠재적으로 유해할 가능성과 그렇지 않을 가능성의 경계에 있는 경우 대처가 어렵다."

성공률 대 실패율
"이러한 변형을 발견하는 경우 자동화된 시스템이 탐지해서 신속하게 조치할 수 있다. 사실 지난 1년~6개월 동안 기존 맬웨어 군에서 나온 새로운 변형을 찾는 데 머신러닝의 개선을 집중했고 매우 효과적인 결과를 얻었다."

성공과 실패에 관한 사람들의 인식
"우리가 제공하는 보호 기능에 대한 기대 수준은 매우 높다. 모든 애플리케이션을 스캔하고 모든 잠재적 악성 활동을 발견하고 실수는 절대 없어야 한다. 실제로 그 수준에 매우 근접했다. 목표는 사용자에게 위험한 앱이 구글 플레이 프로텍트를 통과할 확률을 100만 분의 1 미만으로 줄이는 것이다. 아직 그 목표에는 이르지 못했지만 탐지 측면에서 99.9%에 도달했고 계속해서 향상되고 있다."

위험 신호가 바로 포착되지 않는 패턴을 탐지하는 데 따르는 어려움
"모든 앱이 우리가 봐온 유형으로 분류되지는 않는다. 예를 들어 비교적 위험도가 낮은 성가신 광고 또는 명확히 해롭지는 않은 네트워크 연결 등이 있는데, 이 경우 추가로 추적해서 문제가 무엇인지 알아볼 수 있다."

와이어엑스 조사의 경우와 같이 파트너와의 협력이 탐색 과정에서 갖는 중요성
"이들은 맬웨어 네트워크의 서버 측에서 일어나는 일을 볼 수 있는 시야를 갖추고 있다. 경우에 따라서는 파트너십을 통해 이 파트너가 그러한 환경에서 직접 수집한 데이터를 사용해야만 악성 행동을 볼 수 있다. 안드로이드에서는 사용자에게 명확히 유해한 트래픽에 대해 아무런 정보도 없는 경우가 간혹 있다."

안드로이드 맬웨어와 관련한 묘한 홍보 캠페인 시점
"이러한 맬웨어 군 중 하나에 대한 언론 보도가 시작될 때쯤이면 이미 정리가 된 상황이다. 따라서 이에 대한 캠페인은 보안 업체와 그 업체가 만든 제품에 대한 관심을 끌기 위한 수단인 경우가 많다. 무언가가 대중에게 알려질 때쯤이면 구글 플레이 프로텍트가 이미 그에 대한 보호책을 마련한 시점이고 문제의 애플리케이션은 포착되어 제거된 상태다."  editor@itworld.co.kr

2017.11.09

IDG 블로그 | 구글 플레이 프로텍트가 실패하면

JR Raphael | Computerworld
필자는 지난 몇 년 동안 안드로이드 보안에 관한 글을 많이 썼고 그 때마다 같은 이야기를 반복했다.

모바일 보안 소프트웨어를 판매하는 업체는 이론적인 위협 요소를 찾는다. 이론적인 위협 요소란 1) 실제 환경에서 실제 사용자에게 영향을 미친 적이 없고 2) 모든 기본 보안 수단이 비활성화되고 사용자가 수상한 포르노 포럼에 올라온 수상한 앱을 다운로드한다는, 한 마디로 도무지 있을 법하지 않은 시나리오를 제외한 실제 환경의 실제 사용자에게는 영향을 미칠 수 없는 위협 요소를 의미한다.

기억하기 쉬운 무서운 바이러스 이름이 난무하고 특정 보안 소프트웨어만이 사용자를 안전하게 보호할 수 있다는 이야기로 마무리되는 공포스러운 이야기를 써놓고, 정작 이러한 중요한 조건을 잘 보이지 않는 각주로 달아둔다.

효과적인 마케팅 형식은 분명하지만 동시에 몹시 선정적이기도 하다.



이 칼럼의 오랜 독자라면 안드로이드 보안의 현실을 잘 알고 대중을 향한 이러한 종류의 과장된 캠페인을 대부분 걸러 들어야 한다는 점도 잘 알 것이다. 그러나 이 범주에 속하지 않는, 진짜 맬웨어 위험 상황들이 최근 발생하고 있다. 예를 들어 수백 개의 인터넷 트래픽 생성 앱이 플레이 스토어를 거쳐 사용자 기기로 침투한 잘 알려진 와이어엑스(WireX) 봇넷 사건, 또는 왓츠앱(WhatsApp)을 가장해 이를 설치한 기기에 광고를 뿌린 더 최근의 가짜 왓츠앱 사건 등이다.

이 두 가지는 실질적 위협이었는데, 기본 구글 플레이 프로텍트(Google Play Protect) 보안 시스템은 침해를 전혀 파악하지 못했고 결과적으로 많은 수의 안드로이드 기기 소유자가 피해를 입는 상황을 막지도 못했다. 최종 사용자가 입은 직접적인 피해의 수준은 미미했지만(웹 트래픽을 발생시키거나 광고가 표시되는 정도로, 문제의 앱을 제거하는 즉시 사라짐) 이러한 유형의 프로그램은 당연히 구글 심사를 통과해 플레이 스토어에 들어가서는 안 된다.

한 가지 더 재미있는 점은 그럼에도 공포에 떨 이유는 여전히 없다는 것이다. 안전을 위해 서드파티 보안 앱을 설치할 필요도 여전히 없다. 사실 그런 서드파티 보안 앱을 설치해봐야 최선의 경우 아무런 효과도 없고 최악의 경우 개인적 또는 업무적 측면에서 오히려 생산성에 역행한다는 의견이 많다.

여기서는 구글 플레이 프로텍트가 보호에 실패한 와이어엑스와 같은 상황에서 실제로 어떤 일이 발생하며, 그러한 실수가 어떻게 일어나는지에 대해 그 플랫폼을 좌우하는 구글의 관점에서 좀더 깊이 살펴보고자 한다.

필자는 구글의 안드로이드 보안 이사인 아드라인 루드윅에게 이 부분에 대해 물은 적이 있다. 당시 오간 이야기에는 필자가 전하고자 하는 주제에서 다소 벗어난 부분도 있지만 흥미롭게 읽어볼 가치는 있다고 생각해 옮긴다.

여러 보호 계층의 존재에도 불구하고 이러한 악성 앱이 종종 심사를 통과해 탐지되지 않은 채로 장시간 활동하는 이유
"구글 플레이 프로텍트를 포함한 모든 탐지 기술이 직면하는 과제는 다른 환경에서 유입되는 완전히 새로운 유형의 제품군이다. 특히 앱의 동작이 잠재적으로 유해할 가능성과 그렇지 않을 가능성의 경계에 있는 경우 대처가 어렵다."

성공률 대 실패율
"이러한 변형을 발견하는 경우 자동화된 시스템이 탐지해서 신속하게 조치할 수 있다. 사실 지난 1년~6개월 동안 기존 맬웨어 군에서 나온 새로운 변형을 찾는 데 머신러닝의 개선을 집중했고 매우 효과적인 결과를 얻었다."

성공과 실패에 관한 사람들의 인식
"우리가 제공하는 보호 기능에 대한 기대 수준은 매우 높다. 모든 애플리케이션을 스캔하고 모든 잠재적 악성 활동을 발견하고 실수는 절대 없어야 한다. 실제로 그 수준에 매우 근접했다. 목표는 사용자에게 위험한 앱이 구글 플레이 프로텍트를 통과할 확률을 100만 분의 1 미만으로 줄이는 것이다. 아직 그 목표에는 이르지 못했지만 탐지 측면에서 99.9%에 도달했고 계속해서 향상되고 있다."

위험 신호가 바로 포착되지 않는 패턴을 탐지하는 데 따르는 어려움
"모든 앱이 우리가 봐온 유형으로 분류되지는 않는다. 예를 들어 비교적 위험도가 낮은 성가신 광고 또는 명확히 해롭지는 않은 네트워크 연결 등이 있는데, 이 경우 추가로 추적해서 문제가 무엇인지 알아볼 수 있다."

와이어엑스 조사의 경우와 같이 파트너와의 협력이 탐색 과정에서 갖는 중요성
"이들은 맬웨어 네트워크의 서버 측에서 일어나는 일을 볼 수 있는 시야를 갖추고 있다. 경우에 따라서는 파트너십을 통해 이 파트너가 그러한 환경에서 직접 수집한 데이터를 사용해야만 악성 행동을 볼 수 있다. 안드로이드에서는 사용자에게 명확히 유해한 트래픽에 대해 아무런 정보도 없는 경우가 간혹 있다."

안드로이드 맬웨어와 관련한 묘한 홍보 캠페인 시점
"이러한 맬웨어 군 중 하나에 대한 언론 보도가 시작될 때쯤이면 이미 정리가 된 상황이다. 따라서 이에 대한 캠페인은 보안 업체와 그 업체가 만든 제품에 대한 관심을 끌기 위한 수단인 경우가 많다. 무언가가 대중에게 알려질 때쯤이면 구글 플레이 프로텍트가 이미 그에 대한 보호책을 마련한 시점이고 문제의 애플리케이션은 포착되어 제거된 상태다."  editor@itworld.co.kr

X