솔루션

개인이 만든 모바일 백신, AV-TEST 인증 획득하다

이민형 기자
[디지털데일리 이민형기자] “국내에 유통되고 있는 대부분의 모바일 백신들의 성능이 좋지 않다는 것을 알게된 후 ‘내가 한번 만들어볼까?‘라는 마음으로 올해 초부터 개발을 시작해 반년만에 제품 개발, 이후 AV-TEST 인증까지 획득하게 됐습니다.”

기자는 이달 초 모바일 백신 개인개발자 최윤영 씨<사진>를 강남 모처에서 만났다. 최 씨는 예순을 바라보는 나이임이 믿기지 않을 정도로 모바일 백신 개발에 대한 열의가 넘쳐보였다.

최씨는 “재직중이던 회사에서 모바일 백신을 제외한 나머지 보안 사업을 모두 접어버리면서 오고 갈 곳이 사라지게 됐다”며 “그렇다고 이전 회사가 남겨둔 모바일 백신 제품이 경쟁력이 있어보이지도 않았다. 그래서 ‘내가 한번 제대로 된 모바일 백신을 개발해보겠다’고 생각한 것이 실제 개발로 이어졌다”고 말했다.

최씨는 올해 1월부터 모바일 백신 개발을 위해 엔진개발과 악성 애플리케이션 샘플 수집에 나섰다. 안드로이드 개발은 처음이었지만 30년간의 윈도 애플리케이션 개발 경험은 안드로이드에도 그대로 적용할 수 있었다고 한다.

지난 6월 모바일 백신 ‘보나리아(Bornaria)’ 개발을 완료한 최씨는 그날 즉시 자신이 개발한 제품의 객관적인 테스트를 위해 ‘AV-TEST 7, 8월 모바일 백신 성능검증 테스트(AV-TEST Produktbewertung und Zertifizierungsbericht)’를 신청했다.

AV-TEST는 백신의 성능을 테스트하는 독일의 비영리기관으로 악성코드 탐지율과 오탐율 등을 진단해 80점 이상일 경우 인증마크를 부여한다. 최 씨의 모바일 백신 보나리아는 84.6점을 획득, 개인 개발자 제품으로는 처음으로 AV-TEST 인증을 획득했다.


그는 “안드로이드 개발은 처음이었지만 다행히 크게 어려움을 느끼진 않았다. 그간 윈도 애플리케이션을 개발하면서 얻은 지식들 때문일 것”이라며 “처음의 목표는 90점대 후반에 위치한 안랩의 모바일 V3였으나 따라잡기엔 아직은 역부족이었나보다”라고 웃음을 지었다.

최씨는 모바일 백신에 있어 가장 중요한 부분은 ‘엔진구조’라고 강조했다. 샘플기반 백신에는 한계가 있다는 것이 최씨의 주장이다.

그는 “안드로이드 개발을 시작하면서 느낀 점은 PC와 모바일은 컴퓨팅 파워 차이가 상당히 크다는 것”이라며 “작고 가벼운 엔진으로 변종 악성 앱을 탐지할 수 있도록 엔진구조의 경량화와 고도화에 많은 시간을 할애했다”고 전했다.

흔히 악성 앱을 탐지하는 방법은 크게 두가지다. 악성 앱이라고 수집된 파일들의 해시값을 샘플로 만들어 모바일 백신에 탑재하는 것과 백신 엔진이 악성 앱의 액티비티(Activity, 사용자 인터페이스의 기본 단위이며 실제 기능을 수행)를 탐지해 차단하는 방법이다.

모바일 백신이 등장한 초기단계에는 대부분 첫번째 방법으로 악성 앱을 탐지했지만 수 십종의 변종 악성 앱이 등장하는 상황에서 해시값으로만 탐지하기는 사실상 불가능하다.

물론 추가적으로 애플리케이션 패키지 파일(.apk) 내에 있는 classes.dex(안드로이드 앱의 실행파일)에 대한 해시값으로 찾을 수도 있으나 이 역시 제한이 있다.

최씨는 “이를 극복하기 위해 액티비티를 분석하는 것이 필요하다”며 “classes.dex를 디컴파일(소스코드를 역으로 해체, DeCompile)해서 악성행위를 시도하는 액티비티를 잡아내야 한다”고 설명했다.

이어 “악성행위의 기준은 일반적으로 개인정보(연락처, 위치정보, 통신기록 등)를 네트워크를 통해 전송하거나, 추가적인 악성 모듈을 실행할 수 있도록 하는 행위 등을 뜻하며 이를 사전에 탐지해 차단할 수 있다”고 덧붙였다.

보나리아는 앞으로 몇 번의 업데이트가 더 예정돼 있다. 최근 악성 앱을 개발하는 해커들이 액티비티의 이름을 변경해 모바일 백신을 회피하고 있기 때문이다.

최씨는 “현재 보나리아는 앱의 액티비티를 분석해 악성 여부를 판단하는데, 향후 액티비티의 시그니처를 분석해 탐지할 수 있도록 업데이트를 실시할 계획”이라고 전했다.

향후 어떤 비즈니스 모델로 만들어 갈 것이냐는 질문에 최씨는 “한국에서 모바일 백신으로 수익을 얻는다는게 참 쉬운일은 아니라고 생각한다”며 “보나리아(모바일 백신)를 상용화 모델로 발전시키거나 해외의 백신 업체에게 매각할 계획을 갖고 있다”고 말했다.

최씨는 보나리아를 매각하더라도 보안 솔루션 개발을 지속할 계획이다. 그는 “앞으로 꾸준히 백신 쪽 솔루션 개발에 매진할 것이며 기회가 닿는다면 다시 한번 열정을 불태워보고 싶다”고 포부를 밝혔다.

한편 7, 8월 AV-TEST에 참여한 국내 제품은 안랩 모바일 V3(100), 에스유브이소프트(SUVSoft, 98.8), 보나리아(84.6) 등 세 곳이다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널