2019.06.26

'여전히 위험' 구글 플레이 스토어··· "인기앱 모방한 가짜앱 수천개 발견"

George Nott | Computerworld
안드로이드 앱 스토어인 구글 플레이에서 악성코드가 가득한 가짜 앱 2,040개가 발견됐다.
 
ⓒ Getty Images Bank

시드니대 연구팀과 CSIRO의 데이터61은 지난 2년간 구글 플레이에서 다운로드할 수 있는 100만 개 이상의 앱을 조사했다. 그 결과 엄청난 수의 인기 게임 모방 앱에 악성코드가 포함된 사실을 밝혀냈다. 이를 제외한 다른 가짜 앱에는 악성코드가 없었지만 '위험한' 데이터 액세스 권한을 요구했다. 템플 런(Temple Run), 프리 플로우(Free Flow), 힐 등반 레이싱(Hill Climb Racing)을 모방한 게임이 가장 많았다.

연구팀은 신경망을 이용해 플레이 스토어에서 상위 1만 개 인기 앱과 비교했을 때 아이콘이 시각적으로 유사하며 텍스트 설명을 모방한 앱을 식별했다. 이러한 '다중 모드 임베딩' 머신러닝 모델을 통해 4만 9,608개의 잠재적인 위조 앱을 발견했다. 그 후 온라인 악성코드 분석 툴 바이러스토탈(VirusTotal)의 API를 이용해 이들 앱에 악성코드가 있는지 확인했다. 최소한 한 개의 안티바이러스 툴이 7,246개를 태그 처리했지만 연구팀은 '느슨한 기준치'를 적용해 고위험 위조 앱 2,040개를 추렸다. 이번 연구에서는 권한 요청과 임베디드 광고 라이브러리 여부를 함께 검토했는데, 1,565개가 최소 5개의 위험한 권한을 요구했고 1,407개가 최소 5개의 임베디드 제3자 광고 라이브러리를 가진 것으로 나타났다.

이번 연구의 공동 저자인 시드니대 박사 수란자 세네비라트니는 "구글 플레이의 성공은 누구나 앱을 개발할 수 있는 유연성과 사용자 정의 가능한 기능 덕분이지만 문제가 있는 많은 앱이 그 틈을 파고들고 자동화된 조사 프로세스를 우회하고 있다. 우리 사회는 점차 스마트폰 기술에 의존하고 있으므로 악성 앱이 더 광범위한 스마트폰 사용자에 영향을 끼치기 전에 신속하게 감지해 격리하는 시스템을 구축해야 한다"라고 말했다.
 
연구팀은 유사한 앱 아이콘을 찾기 위해 다양한 기법을 사용했다. 플레이 스토어의 상위 10개 앱과 가장 유사한 것을 모았다. 참고로 그림의 모든 앱이 악성 앱은 아니다.

이번 연구 결과가 담긴 논문 <모바일 위조 앱을 감지하기 위한 다중 모드 신경 임베딩(A Multi-modal Neural Embeddings Approach for Detecting Mobile Counterfeit Apps)>은 지난 5월 캘리포니아에서 열린 WWWC(World Wide Web Conference)에서 공개됐다. 연구팀은 "이후 이들 앱은 플레이 스토어에서 퇴출됐다. 고객의 항의로 제거됐을 가능성도 있다"라고 말했다.

악성 앱과의 전쟁
구글은 플레이에서 악의적인 개발자를 점점 더 빨리 몰아내고 있다. 지난해에는 그 어느 때보다도 많은 악성 앱이 스토어에 진입하지 못하도록 차단했다. 등록을 위해 제출됐다가 거부된 앱 수가 2018년에 55% 이상 증가했으며 앱 사용 정지는 66% 이상 늘어났다.

구글 플레이 제품 관리자 앤드루 안은 지난 2월 블로그 게시물을 통해 "플레이 스토어에서 해로운 앱의 수를 줄이기 위해 더 엄격한 정책을 수립했다. 우리의 지속적인 노력뿐만 아니라 악성 앱을 찾아 몰아내는 데 중요한 역할을 담당한 자동화된 보호 및 인간 검토 프로세스에 대한 투자 덕분에 얻은 결과였다"라고 말했다.

구글에 따르면, 인기 앱을 모방해 사용자를 속이려 하는 것은 가장 보편적인 플레이 스토어 위반이다. 최신 자료를 보면, 2017년 구글이 몰아낸 위조 앱만 25만 개에 달한다. 안은 "악용 감지 기술을 개발하는 사람이 증가하고 있고 구글 역시 지난해 사용자 기기의 앱을 스캔해 '모든 것을 감지할 수 있도록 하는' 구글 플레이 프로텍트를 도입했다. 또한 권한에 대한 정책을 업데이트해 지난해에만 이를 준수하지 않는 앱 수만 개를 삭제했다. 우리는 올해도 장치 권한과 사용자 데이터에 대한 추가적인 정책을 도입할 계획이다"라고 말했다.

이어 "악성 앱에 대한 방어가 개선되고 추가됐음에도 불구하고 악당은 전략을 바꾸고 악의적인 행동을 숨기면서 시스템을 회피하려 지속해서 노력할 것이다. 우리는 이런 적대적인 행위에 대항하는 능력을 키우고 사용자에게 안전한 앱 스토어를 제공하기 위해 끊임없이 노력할 것이다. 우리는 플레이 스토어를 안전하고 가짜가 없는 환경으로 만드는 끊임없는 싸움을 이어 나갈 것이다"라고 덧붙였다.
 
지난 9월, ESET 연구팀은 플레이 스토어에서 정상적인 ANZ 및 코먼웰스 은행 앱을 모방한 악성 뱅킹 앱을 다운로드한 사람이 1000명이 넘었다고 밝혔다. 최근 구글은 버즈피드 조사를 통해 '권한을 남용하고 광고 사기를 수행했음'을 발견한 중국 개발사 두 글로벌(DO Global)의 앱 포트폴리오 일체를 차단했다.

데이터61과 시드니대 연구팀의 이번 연구는 구글의 FRA(Faculty Research Awards)뿐만 아니라 NSW CSN(NSW Cyber Security Network)과 연방 정부의 DST(Defence Science and Technology) 그룹의 재정 지원을 받았다. 세네비라트니는 "많은 위조 앱이 정상적으로 보여 스마트폰 사용자가 앱 위조의 피해자가 되기 쉽다. 기술에 능한 사용자라도 설치 전에 이를 감지하기 어렵다. 구글 플레이 같은 개방적인 앱 생태계는 진입 장벽이 낮아 가짜 앱이 시장에 침투하기가 상대적으로 쉬워 사용자가 해킹 위험에 노출된다"라고 말했다. ciokr@idg.co.kr



2019.06.26

'여전히 위험' 구글 플레이 스토어··· "인기앱 모방한 가짜앱 수천개 발견"

George Nott | Computerworld
안드로이드 앱 스토어인 구글 플레이에서 악성코드가 가득한 가짜 앱 2,040개가 발견됐다.
 
ⓒ Getty Images Bank

시드니대 연구팀과 CSIRO의 데이터61은 지난 2년간 구글 플레이에서 다운로드할 수 있는 100만 개 이상의 앱을 조사했다. 그 결과 엄청난 수의 인기 게임 모방 앱에 악성코드가 포함된 사실을 밝혀냈다. 이를 제외한 다른 가짜 앱에는 악성코드가 없었지만 '위험한' 데이터 액세스 권한을 요구했다. 템플 런(Temple Run), 프리 플로우(Free Flow), 힐 등반 레이싱(Hill Climb Racing)을 모방한 게임이 가장 많았다.

연구팀은 신경망을 이용해 플레이 스토어에서 상위 1만 개 인기 앱과 비교했을 때 아이콘이 시각적으로 유사하며 텍스트 설명을 모방한 앱을 식별했다. 이러한 '다중 모드 임베딩' 머신러닝 모델을 통해 4만 9,608개의 잠재적인 위조 앱을 발견했다. 그 후 온라인 악성코드 분석 툴 바이러스토탈(VirusTotal)의 API를 이용해 이들 앱에 악성코드가 있는지 확인했다. 최소한 한 개의 안티바이러스 툴이 7,246개를 태그 처리했지만 연구팀은 '느슨한 기준치'를 적용해 고위험 위조 앱 2,040개를 추렸다. 이번 연구에서는 권한 요청과 임베디드 광고 라이브러리 여부를 함께 검토했는데, 1,565개가 최소 5개의 위험한 권한을 요구했고 1,407개가 최소 5개의 임베디드 제3자 광고 라이브러리를 가진 것으로 나타났다.

이번 연구의 공동 저자인 시드니대 박사 수란자 세네비라트니는 "구글 플레이의 성공은 누구나 앱을 개발할 수 있는 유연성과 사용자 정의 가능한 기능 덕분이지만 문제가 있는 많은 앱이 그 틈을 파고들고 자동화된 조사 프로세스를 우회하고 있다. 우리 사회는 점차 스마트폰 기술에 의존하고 있으므로 악성 앱이 더 광범위한 스마트폰 사용자에 영향을 끼치기 전에 신속하게 감지해 격리하는 시스템을 구축해야 한다"라고 말했다.
 
연구팀은 유사한 앱 아이콘을 찾기 위해 다양한 기법을 사용했다. 플레이 스토어의 상위 10개 앱과 가장 유사한 것을 모았다. 참고로 그림의 모든 앱이 악성 앱은 아니다.

이번 연구 결과가 담긴 논문 <모바일 위조 앱을 감지하기 위한 다중 모드 신경 임베딩(A Multi-modal Neural Embeddings Approach for Detecting Mobile Counterfeit Apps)>은 지난 5월 캘리포니아에서 열린 WWWC(World Wide Web Conference)에서 공개됐다. 연구팀은 "이후 이들 앱은 플레이 스토어에서 퇴출됐다. 고객의 항의로 제거됐을 가능성도 있다"라고 말했다.

악성 앱과의 전쟁
구글은 플레이에서 악의적인 개발자를 점점 더 빨리 몰아내고 있다. 지난해에는 그 어느 때보다도 많은 악성 앱이 스토어에 진입하지 못하도록 차단했다. 등록을 위해 제출됐다가 거부된 앱 수가 2018년에 55% 이상 증가했으며 앱 사용 정지는 66% 이상 늘어났다.

구글 플레이 제품 관리자 앤드루 안은 지난 2월 블로그 게시물을 통해 "플레이 스토어에서 해로운 앱의 수를 줄이기 위해 더 엄격한 정책을 수립했다. 우리의 지속적인 노력뿐만 아니라 악성 앱을 찾아 몰아내는 데 중요한 역할을 담당한 자동화된 보호 및 인간 검토 프로세스에 대한 투자 덕분에 얻은 결과였다"라고 말했다.

구글에 따르면, 인기 앱을 모방해 사용자를 속이려 하는 것은 가장 보편적인 플레이 스토어 위반이다. 최신 자료를 보면, 2017년 구글이 몰아낸 위조 앱만 25만 개에 달한다. 안은 "악용 감지 기술을 개발하는 사람이 증가하고 있고 구글 역시 지난해 사용자 기기의 앱을 스캔해 '모든 것을 감지할 수 있도록 하는' 구글 플레이 프로텍트를 도입했다. 또한 권한에 대한 정책을 업데이트해 지난해에만 이를 준수하지 않는 앱 수만 개를 삭제했다. 우리는 올해도 장치 권한과 사용자 데이터에 대한 추가적인 정책을 도입할 계획이다"라고 말했다.

이어 "악성 앱에 대한 방어가 개선되고 추가됐음에도 불구하고 악당은 전략을 바꾸고 악의적인 행동을 숨기면서 시스템을 회피하려 지속해서 노력할 것이다. 우리는 이런 적대적인 행위에 대항하는 능력을 키우고 사용자에게 안전한 앱 스토어를 제공하기 위해 끊임없이 노력할 것이다. 우리는 플레이 스토어를 안전하고 가짜가 없는 환경으로 만드는 끊임없는 싸움을 이어 나갈 것이다"라고 덧붙였다.
 
지난 9월, ESET 연구팀은 플레이 스토어에서 정상적인 ANZ 및 코먼웰스 은행 앱을 모방한 악성 뱅킹 앱을 다운로드한 사람이 1000명이 넘었다고 밝혔다. 최근 구글은 버즈피드 조사를 통해 '권한을 남용하고 광고 사기를 수행했음'을 발견한 중국 개발사 두 글로벌(DO Global)의 앱 포트폴리오 일체를 차단했다.

데이터61과 시드니대 연구팀의 이번 연구는 구글의 FRA(Faculty Research Awards)뿐만 아니라 NSW CSN(NSW Cyber Security Network)과 연방 정부의 DST(Defence Science and Technology) 그룹의 재정 지원을 받았다. 세네비라트니는 "많은 위조 앱이 정상적으로 보여 스마트폰 사용자가 앱 위조의 피해자가 되기 쉽다. 기술에 능한 사용자라도 설치 전에 이를 감지하기 어렵다. 구글 플레이 같은 개방적인 앱 생태계는 진입 장벽이 낮아 가짜 앱이 시장에 침투하기가 상대적으로 쉬워 사용자가 해킹 위험에 노출된다"라고 말했다. ciokr@idg.co.kr

X