(RSA 2017 싱가포르=데일리시큐) 안드로이드 악성코드들이 영리해지면서 분석가들이 애를 먹고 있다. 분석을 회피하기 위해 샌드박스 여부를 감지하는 것은 물론이고 분석가들이 멀웨어 여부를 분석하기 위해 루팅된 폰을 사용하면 이 또한 알아채고 악성행위를 중단한다. 이런 이유로 안드로이드 악성코드 분석에 현실적인 어려움이 존재한다. 구글도 이를 해결 하지 못하고 있다.

이를 해결하기 위해 숭실대학교 스마트서비스보안연구센터(S4URC. 센터장 정수환 숭실대 교수)는 지난 3년간 정부 지원을 받아 해결방안을 찾기 위해 매달렸고 최근 클라우드 기반의 안드로이드 멀웨어 분석 플랫폼 ‘AMAaaS(Android Malware Analysis as a Service)’ 를 공개했다. 이 서비스는 malwarepot.com에 접속해 무료로 사용할 수 있다. 그리고 이번 RSA 2017 싱가포르에 참가해 센터에서 개발한 ‘AMAaaS’를 글로벌 고객들에게 선보이는 시간을 가졌다.

현장에서 만난 정수환 센터장은 “갈수록 지능화되고 있는 안드로이드 악성코드들을 보다 효과적이고 정확하게 진단할 수 있는 방법을 연구하는데 센터 연구원들이 3년을 매달렸다. ‘AMAaaS’를 사용하면 멀웨어들이 기존에 감지했던 샌드박스 사용 여부, 루팅된 폰인지 여부 등을 구분할 수 없게 된다. 일반 폰과 동일환 환경으로 인식하게 만드는 것이다. 그래서 멀웨어들이 정상적으로 악성행위를 하도록 해 분석이 가능하게 된다”며 “AMAaaS는 현재 세계에서 유일한 안드로이드 멀웨어 분석 기술이다. 창궐하는 안드로이드 멀웨어 분석에 새로운 전기를 마련한 것”이라고 밝혔다.

이번 RSA 2017 싱가포르에서도 ‘AMAaaS’에 대한 관심이 높았다. 국내 기업뿐만 아니라 글로벌 보안 기업들이 부스로 직접 찾아와 상세한 상담을 진행하며 AMAaaS에 대한 큰 관심을 보였다. 글로벌 밴더들도 안드로이드 멀웨어 분석에 어려움을 겪고 있기 때문에 그들에게도 AMAaaS는 매력적인 분석솔루션이 아닐 수 없다.

정 교수는 “지금까지 샌드박스가 인텔기반 CPU를 사용한 반면 AMAaaS는 암 CPU를 사용해 멀웨어의 분석회피를 차단하고 루팅작업 없이 깊이 있는 분석이 가능하다는 것이 특징이다. 이 부분에 코어기술을 확보했다”며 “구글도 악성앱을 체크하기 위해 분석 애뮬레이터를 돌리지만 멀웨어들이 이를 감지하고 구동을 멈춘다. 결국 분석에 실패해 악성앱들이 앱스토어에 올라가게 된다. AMAaaS는 암 기반으로 돌아가는 안드로이드 샌드박스 기술로써 안드로이드 멀웨어에 대한 동적분석을 가능캐한 최초의 솔루션이라고 할 수 있다”고 설명했다.

이어 “AMAaaS의 기술을 이번 RSA에 참가해 글로벌 기업들에게 선보이고 반응을 보고 싶었다. 실제로 글로벌 기업들이 부스로 찾아와 큰 관심을 보였다. 향후 마무리 작업을 거쳐 글로벌 기업들과 협업할 수 있는 기회가 올 것으로 기대한다. 그렇게 되면 더욱 발전된 기술을 개발할 수 있을 것”이라며 “오랜 기간 힘든 연구과정을 거쳐 확보한 원천기술인 만큼 제대로 된 가치를 인정받고 글로벌 시장에 진출할 수 있는 길을 모색해 나갈 것”이라고 밝혔다.

정 교수는 AMAaaS의 기술을 좀더 발전시킨다면 안드로이드를 넘어 리눅스 분야까지 활용할 수 있다고 전하고 이를 위해서는 국내 뿐만 아니라 글로벌 기업들의 투자와 코웍이 필요하다고 강조했다. 이번 RSA에서 가시적인 성과가 있을 것으로 기대해 본다.

현재 멀웨어팟닷컴(malwarepot.com)에 접속해 APK를 올리면 무료로 분석리포트를 받아 볼 수 있다.

★정보보안 대표 미디어 데일리시큐!★