서울대 이광근 교수팀 ‘실행 전 유출 감지’ 기술 첫 개발

안드로이드 애플리케이션(앱)의 개인정보 유출 가능성을 프로그램을 실행하지 않고도 밝혀낼 수 있는 기술이 국내 연구진에 의해 처음으로 개발됐다.

서울대 컴퓨터공학부 프로그래밍연구실 SW무결점연구센터는 안드로이드 앱 신뢰성 검증 프로그램인 ‘스캔달’(ScanDal)을 최근 개발했다고 19일 밝혔다.

센터에 따르면 스캔달은 대상 프로그램의 실행 상황을 실행 전에 예측하는 정적 분석(static analysis) 기법을 통해 안드로이드 앱의 소스코드를 이루는 기계어를 분석한다.

이런 방식을 통하면 해당 앱이 개인정보를 빼내가도록 설계돼 있는지를 실제 실행 단계 전에 자동으로 알아낼 수 있어 분석 시간을 단축하는 등 효율성을 높일 수 있다고 연구팀은 설명했다.

기존에는 대상 앱을 실제로 실행시켜 개인정보 유출 가능성을 찾아내는 기술이 사용됐다.

연구 책임자인 이광근 컴퓨터공학부 교수는 “사용자도 모르는 사이에 위치정보, 기기 고유번호 등 민감한 정보가 누출돼 제3자에 의해 사용되는 현상이 사회적 이슈가 되는 상황에서 의미가 있다”고 말했다.

실제로 이 교수와 컴퓨터공학부 대학원 김진영ㆍ윤용호씨로 구성된 연구팀이 안드로이드 공식 마켓의 무료 앱 90종을 ‘스캔달’을 통해 분석해보니 11종이 위치정보와 기기 고유번호, 휴대전화 번호 등 개인정보를 광고 서버 등으로 전송하는 것으로 드러났다.

또 비공식 마켓에 등록된 변조 앱 6종을 검사한 결과 모든 앱을 통해 개인정보가 빠져나가고 있었고, 이들은 정상적인 앱을 정보 수집 목적으로 의도적으로 변조한 것으로 보인다고 연구팀은 설명했다.

앱을 통한 개인정보 유출은 무분별한 스팸메일 등의 원인이 되면서 지속적으로 사회적 우려를 낳아 왔다.

지난해에는 서울경찰청 사이버범죄수사대가 악성 앱을 만들어 배포하는 수법으로 스마트폰 사용자들의 위치 정보를 무단으로 수집해 모바일 광고에 이용한 혐의로 광고대행업체 3곳을 적발해 업체 대표를 입건하기도 했다.

현행 위치정보보호법은 ‘누구든지 개인 또는 소유자의 동의 없이 위치정보를 수집·이용 또는 제공하면 안 된다’고 규정하고 있다.

이들이 사용한 앱은 1천400여개, 피해를 본 스마트폰 사용자는 80여만명에 달하는 것으로 경찰 조사 결과 드러났다.

이 교수는 “상용화까지는 앱 분석에 들어가는 시간이나 메모리 등을 줄여야 해 시간이 더 필요할 것으로 보인다”며 “당분간 성능 개선 작업에 힘을 쏟을 생각”이라고 말했다.

연합뉴스