전체 안드로이드 기기 중 사용자를 속이거나 정보를 훔치는 악성 애플리케이션(이하 '앱')이 깔린 비율이 늘었다. 구글이 2014년부터 내놓고 있는 연례 안드로이드 보안 보고서 내용 일부다.
구글은 22일(현지시간) 공식 시큐리티 블로그를 통해 2016년도 안드로이드 보안 보고서를 공개했다. 3번째로 공개된 보고서에는 안드로이드 사용자 14억명과 그 데이터에 기반한 안드로이드 보안 현황 통계가 담겼다.
보고서는 안드로이드 사용자의 보안 환경이 개선 추세라 진단했다. 2가지 근거를 제시했다. 우선 안드로이드 기기에 설치되는 앱의 유해성을 모니터링하는 앱검증(Verify Apps) 건수가 2015년 4억5천만번에서 2016년 7억5천만번으로 늘었다. 그리고 공식 앱 장터인 플레이 스토어에서 2015년보다 2016년 유통된 '잠재적으로 해로운 앱(PHA)'이 감소했다. 해당 기간 발생한 구글플레이 앱 다운로드 가운데 PHA의 비중이 0.15%에서 0.05%로 낮아졌다는 설명이다.
PHA는 구글이 공식 및 비공식 안드로이드 장터의 앱 가운데 사용자에게 문제를 일으킬 수 있는 악성앱을 정의한 용어다. 허락받지 않은 데이터 접근을 수행하는 백도어(Backdoors), 문자(SMS)나 전화로 부당한 과금을 청구하는 결제사기(Billing fraud), 개인정보를 수집하는 스파이웨어(Spyware), 다른 악성앱을 내려받는 역할을 하는 악성다운로드(Hostile Downloads), 사용자에게 알리지 않은 동작을 수행하는 트로이목마(Trojan) 등의 앱 유형을 포괄하는 개념이다.
■비공식 장터 이용자를 위한 보안 강화 예고
구글은 PHA의 각 유형별 앱 설치 비중 또한 일제히 줄어들었다고 강조했다. 2016년 트로이목마 설치 비중은 0.016%였다. 악성다운로드와 백도어 설치 비중은 각각 0.003%였다. 피싱(phishing) 앱 설치 비중은 0.0018%였다.
구글은 그러나 만족할만한 상황은 아니라고 첨언했다. 안드로이드 앱 설치경로 가운데 플레이 스토어가 아닌 비공식 장터를 이용하는 사람들을 위해 보안이 더 강화돼야 한다는 진단이다. 모든 앱 설치경로를 포괄하면 모든 안드로이드 기기 가운데 PHA가 설치된 비중은 2015년초 0.5% 정도였으나, 2016년말 0.71%로 오히려 0.2%포인트 이상 불어났기 때문이다. 이에 구글 측은 2016년 습득한 툴과 지식을 활용해 2017년엔 PHA에 영향받는 기기 숫자를 줄일 것이라고 예고했다.
사람들이 앱 설치시 구글 공식 플레이스토어를 이용하든, 서드파티 앱 장터를 이용하든, 안드로이드 기기에 PHA가 깔릴 가능성을 차단하는 방법을 고안하고 도입하겠다는 메시지다. 이는 향후 최신 안드로이드 운영체제(OS) 기능과 보안 설정을 통해 앱 관련 동작이나 개발시 요구되는 보안 요건이 까다로워질 수 있음을 시사한다.
구글은 지난해 최신 안드로이드 누가(Nougat) 버전에도 향상된 보안 기능을 탑재했다. 그 중 3가지가 소개됐다.
첫째, 고유 키를 사용해 개별 기기의 사용자 프로파일마다 파일기반 암호화를 적용케 했다. 이 기능은 안드로이드 누가 기기 80% 이상 환경에서 구동된다.
둘째, 멀티미디어 처리 기능에 보안을 강화했다. 한 자리에 담겼던 비디오와 오디오 미디어 구성요소를 이제 다른 저장 구획에 독립된 샌드박스로 저장한다.
셋째, 가상사설망(VPN) 항상 사용하기, 보안 정책 투명성, 프로세스 로깅, 무선랜인증처리 및 클라이언트인증 개선 등 기업용 보안 기능도 적용했다.
구글은 지금도 리눅스커널 수준의 개선을 통한 보안 강화 작업을 수행하고 있다고 강조했다.
■통신사-제조사 파트너 보안업데이트 배포 개선 예고
사실 구글의 자체 활동만으로 실질적인 안드로이드 생태계 전반의 보안 수준을 높이는 덴 한계가 있다.
아이폰과 맥은 사용자가 제조사 애플의 업데이트를 나온 즉시 받아 쓸 수 있는 제품이다. 애플이 소프트웨어와 하드웨어를 모두 만들기 때문이다. 구글도 픽셀, 넥서스 시리즈처럼 자체 브랜드로 출시한 기기 사용자를 위해서는 이렇게 할 수 있지만, 대다수 사용자에게는 직접 소프트웨어를 제공할 수 없다.
다시 말해 안드로이드 기반 스마트폰, 태블릿 등은 구글이 보안 패치나 업데이트를 내놓더라도 실제 사용자에게 제공되기까지 시간이 더 걸린다. 아무리 빨라도 몇 주 이상이 소요된다. 제조사와 통신사의 손을 거쳐야 하기 때문이다. 그나마 최신 제품이 아니라면 제조사와 통신사는 이를 위한 비용과 수고를 들이지 않는다.
구글도 이 점을 의식한 듯 안드로이드 플랫폼을 활용하는 제품 파트너들과의 협력과 이들의 노력에 따른 성과를 함께 제시했다. 2015년 시작한 월간 보안업데이트 프로그램에 생태계가 호응했다고 자랑하며 3가지 지표를 언급했다.
첫째, 2016년 제조사 200곳 이상의 안드로이드 기기 7억3천500만대 이상이 플랫폼 보안업데이트를 받았다.
둘째, 2016년 구글은 안드로이드4.4.4 이상 버전 구동 기기에 월간 보안업데이트를 배포해 왔는데, 이는 실사용중인 세계 모든 안드로이드 기기 중 86.3% 비중을 차지한다.
셋째, 구글의 캐리어 및 하드웨어 파트너는 2016년 4분기 중 세계 상위 50개 단말의 과반에 업데이트를 배포함으로써, 이 업데이트 배포 확산을 도왔다.
관련기사
- 가짜 안드로이드 백신 판별법2017.03.23
- "구글플레이 앱에서 윈도 맬웨어 발견"2017.03.23
- 구글플레이, 랜섬웨어 유포지로 전락2017.03.23
- 안드로이드 개방성-보안 딜레마, 구글 해법은?2017.03.23
마지막 항목이 사용자 보안을 강화하고 있다면서 내세울만한 수준을 보여주는 내용인지는 의문이다. 구글 측이 밝힌 상위 50가지 단말이 어떤 기준이든, 제조사와 통신사가 업데이트를 꾸준히 지원해 온 비중이 절반을 좀 넘는 수준이라면 실은 꽤 많은 안드로이드 기기 사용자가 최신 업데이트의 혜택을 받지 못하고 있다는 얘기일 수도 있다.
구글 측에서도 "우리 파트너들이 정기 업데이트에 확연히 투자하고 있음을 보고 큰 인상을 받았지만, 2016년말까지 실사용 기기 절반 가량은 연말까지 지난해 플랫폼 보안 업데이트를 사용하지 못했다는 점에서 개선의 여지가 많다"면서 "제조사들이 보안 패치를 더 쉽게 배포하도록 현행 보안 업데이트 프로그램을 정비하고 사용자들이 패치를 더 쉽게 적용하도록 A/B업데이트를 제공하고 있다"고 덧붙였다.
