글로벌 칼럼 | 무료 안드로이드 안티바이러스 절반 이상이 실패, 이 결과는 IT 부서에게 유용하다

Computerworld
BYOD 환경에서 사용자는 무료 버전으로 기업 보안 프로그램을 보완하는 경향이 있다. 이는 매우 나쁜 생각으로, 한 분석 보고서는 이를 막을 방법을 제안했다. 
 
ⓒ Getty Images Bank 

엔터프라이즈 모바일 BYOD 문제점 가운데 하나는 직원이 개인용으로 다운로드하도록 선택한 것과 동일한 기기에 기업 앱과 민감한 지적 재산권을 포함한 많은 기업 데이터가 공존하고 있다는 사실이다. 더욱이 직원이 두 번째 안티바이러스 프로그램을 다운로드하기로 선택했다면 상황은 더 나빠진다. 

대부분의 앱(VPN 2개, 워드 프로세서 2개, 이메일 프로그램 2개 등)을 2배로 늘리는 것과 달리 안티바이러스 프로그램은 종종 충돌하고 서로 싸우면서 오탐(false positive)과 기타 나쁜 결과를 초래한다.  

하나를 더 설치하면 보안을 2배로 늘릴 수 있는 자물쇠와는 달리 안티 바이러스는 제대로 작동하지 않을뿐만 아니라 실제로 보안을 크게 약화시킬 수 있다. 2가지 안티바이러스 프로그램이 모두 전문적이고 효과적이라고 해도 그러하다. 

게다가 무료 안티바이러스 프로그램은 상당히 많으며 종종 직원들은 이를 불균형적으로 다운로드한다. 기업이 이미 직원의 휴대전화에 고급 안티바이러스 프로그램을 설치해놨다면 직원은 두 번째 안티바이러스를 설치하기 위해 비용을 지불해야 하는 이유가 없다. 그래서 무료 안티바이러스 프로그램은 훨씬 더 유혹적이다. 

필자가 컴페리테크(Comparitech)의 새로운 보고서에서 발견한 것이 걱정스러운 이유다. 무료 안티바이러스는 애드웨어로 가득 차 있을 뿐만 아니라 개인정보 보호를 많이 위반하고, 심지어 그들의 존재 이유인 바이러스 탐지에 능숙하지도 않다. 실제로 컴페리테크 테스트에 따르면, 테스트 한 21개 무료 안티바이러스 제품 가운데 거의 절반(47%)인 21개 제품이 실패했다. 

컴페리테크는 블로그를 통해 “테스트 한 3개 앱에서 심각한 보안 결함을 발견했으며, 8개 앱이 테스트 바이러스를 탐지할 수 없었다. 테스트 한 공급업체 가운데 47%가 어떤 방식으로든 실패했다”고 말했다. 컴페리테크는 세부 사항에 대해서는 말하지 않는 이 분야에서의 관행과는 달리 공급업체 이름을 특정했다.  
 
8개 무료 안티바이러스는 알려진 바이러스의 존재조차 탐지하지 못했다. 컴페리테크는 “우리가 사용했던 메타스플로잇 페이로드는 난독화(obfuscation) 없이 기기에서 리버스 셸(Reverse Shell)을 열려고 시도했다. 이 메타스플로잇은 정확히 이런 유형의 테스트를 위해 개발됐다"고 말했다. 

컴페리테크에 따르면, 메타스플로잇(Metasploit)을 탐지하지 못한 앱은 ▲이지스랩 안티바이러스 프리(AEGISLAB Antivirus Free) ▲안텐 AVL 프로 안티바이러스 & 시큐리티(Antiy AVL Pro Antivirus & Security) ▲브레이니악 안티바이러스 시스템(Brainiacs Antivirus System) ▲포토블 슈퍼 클리너(Fotoable Super Cleaner) ▲멜웨어폭스 안티멜웨어(MalwareFox Anti-Malware) ▲NQ 모바일 시큐리티 & 안티바이러스 프리(NQ Mobile Security & Antivirus Free) ▲탭 테크놀로지 안티바이러스 모바일(Tap Technology Antivirus Mobile) 그리고 ▲제마나 안티바이러스 & 시큐리티(Zemana Antivirus & Security)다. 

컴페리테크 수석 연구원 폴 비쇼프는 "무료라는 것으로 사람들을 유도한다"고 말했다. 모든 앱이 다 그런 것은 아니지만 대부분의 앱이 광고 판매와 민감한 사용자 정보를 결합하는 것으로 수익을 창출하고 있다. 비쇼프는 "이는 개인정보보호 문제를 야기한다"고 말했다. 

비쇼프는 "우리의 분석에서 DFNDR 시큐리티는 최악의 범죄자에 가까웠다. 앱과 함께 제공되는 광고 추적기 수는 엄청나다. 우리가 아는 한, DFNDR는 모든 광고 거래에서 사용자의 검색과 브라우저 습관을 판매할 수 있다. 또한 사용자의 위치 데이터에 액세스하고 카메라에 엑세스하며 연락처를 읽고 쓰는 권한을 요청한다. 주소록을 살펴보고 기기의 IMEI(고유 ID)와 전화번호를 가져온다"고 설명했다.
 
컴페리테크에 따르면, 또 다른 개인정보보호 문제를 갖고 있는 앱은 바이퍼(VIPRE)다. 비쇼프는 "온라인 대시보드를 사용해 우리는 공격자가 클라우드 동기화를 통해 바이퍼 모바일 사용자의 주소록에 액세스할 수 있음을 발견했다. 우리의 개념 증명과 이 앱의 인기도를 감안한다면 100만 명 이상의 연락처가 웹에 보안이 되지 않은 채 놓여있을 것으로 추정한다"고 말했다. 

이 결함은 바이퍼 모바일의 백엔드에서 IDOR(Insecure Direct Object Reference, 불안전 직접 객체 참조) 취약점으로 나타나는 액세스 제어가 깨지거나 잘못 구현됐기 때문에 발생한다. 비쇼프는 "이 스크립트는 공격자가 로그인했는 지까지만 확인했으며 추가 점검은 수행하지 않았다. 올바른 기기 또는 요청을 수행했는지 좀더 확인해야 한다"고 말했다.    

컴페리테크는 "불가드(BullGuard) 또한 테스트에서 문제가 많았던 안티바이러스 프로그램이다. 해당 업체와 협력해 문제를 해결했다"고 덧붙였다.
   
불가드 모바일 시큐리티는 IDOR 취약점에 영향을 받아 원격 공격자가 안티바이러스 보호를 비활성화할 수 있었다. 공격자가 고객 ID를 통해 모든 기기에서 불가드를 비활성화하는 것은 흔한 일임을 알았다. 컴페리테크 테스트 결과, 사용자가 안티바이러스 보호를 종료할 때 생성된 요청을 캡처하고 변경할 수 있는 것으로 나타났다.  

컴페리테크는 “이 요청에서 사용자 ID를 변경하면 모든 기기에서 안티바이러스 보호를 비활성화할 수 있다. 올바른 사용자가 요청을 수행할 수 있도록 엑세스 제어가 설정되지 않은 것 같다. 새로운 사용자를 처리하는 스크립트 중 하나를 발견했다. 불가드 웹 사이트는 XSS에 취약하기도 하다. 해당 스크립트는 전달된 매개 변수를 삭제하지 않기 때문에 공격자가 악성코드를 실행할 수 있다. 이 경우, 페이지에 경고를 표시하는 것이 쉽지 않다. 공격자는 이 취약점을 이용해 세션을 가로채거나 개인 데이터를 수집하거나 여러가지 다른 공격을 수행할 수 있다. 예를 들어, 불가드와 같은 신뢰도가 높은 웹 사이트는 피싱 캠페인을 위한 이상적인 플랫폼이다"고 분석했다. 

컴페리테크는 "불가드의 문제는 매우 나쁜 상황이었다. IDOR 취약점은 안티바이러스 공급업체로서는 상당히 당혹스러운 것이다. 사용자는 기기에 대한 방어선으로 안티바이러스 소프트웨어를 사용하므로 자동 및 원격으로 비활성화할 수 있는 경우, 엄청난 파괴적인 피해를 야기할 것이다. 불가드는 2가지 취약점을 모두 해결했다. 이제 사용자와의 자신들의 평판을 해결하는 데 노력해야 한다"고 덧붙였다. 

비쇼프는 "이번 연구 결과가 모두 나쁜 것은 아니었다"며, "무료 안티바이러스 업체 가운데 어느 것이 가장 우수한지 테스트를 했으며, 그 결과, 멜웨어바이츠(MalwareBytes)와 코모노(Komono)가 좋았다"고 말했다.
 
이 보고서는 엔터프라이즈 IT 부서가 설득 문제로 힘들 때 유용하게 사용될 것이다. BYOD 환경에서 두 번째 안티바이러스 프로그램을 설치하는 것(어떤 안티바이러스 프로그램이라도)은 매우 좋지 않다는 주장이 설득하는 데 충분치 않았다면 '많은 프로그램 가운데 상당수가 해롭다'는 주장을 할 수도 있다. editor@itworld.co.kr