한국의 개발자들을 위한 Google for Developers 국문 블로그입니다.
2017년 안드로이드 보안 검토 리포트
2018년 4월 25일 수요일
<블로그 원문은
이곳
에서 확인하실 수 있으며 블로그 번역 리뷰는 양찬석(Google)
님이 참여해 주셨습니다>
게시자: Dave Kleidermacher, Android, Play, ChromeOS 보안 부문 부사장
우리 팀의 목표는 단순합니다. 20억대 이상의 안드로이드 기기를 보호하는 것입니다. 사용자의 안전을 보호하기 위해 지속적인 노력을 기울이고 있습니다. 이를 위해 작년 한 해동안 어떤 일들이 있었는지, 사용자 및 개발자분들에게 알리고 더 안전한 안드로이드 생태계를 위해 구글의 책임을 다할 수 있도록 네 번째
연례 안드로이드 보안 검토서를 발표합니다.
전반적으로 작년 한 해동안 매우 긍정적인 모멘텀을 확인할 수 있었습니다. 이 블로그 포스트에서는 2017년도에 벌어진 몇 가지 중요한 순간들을 공유드릴 예정이며, 보다 상세한 내용은
전체 보고서
를 읽어보세요.
Google Play 프로텍트
2017년 5월에 20억대에 이르는 기기에서 안드로이드 보안 서비스의 새로운 기반으로 Google Play 프로텍트를
발표했습니다
. Play 프로텍트의 많은 기능은 이미 예전 부터 동작하고 있었습니다. 덧붙여 사용자가 다양한 보안 조치가 지속적으로 이루어지고 있음을 확인할 수 있도록 UI / UX 측면에서 개선이 이루어졌습니다.
Play 프로텍트의 핵심 목표는 잠재적 유해 앱(PHA)으로부터 사용자를 보호하는 것입니다. Play 프로텍트는 500억개 이상의 앱 및 PHA가 배포될 수 있는 잠재적 소스 및 기기 자체를 매일 자동으로 검토하고 어떤 위험이라도 발견되면 조치를 취합니다.
Play 프로텍트는 사용자 데이터를 안전하게 유지하기 위해 다양한 기법을 사용합니다. 그 중 머신러닝 기술이 큰 부분을 차지합니다. 모든 잠재적 유해 앱(PHA)의 60.3%는 머신러닝을 통해 감지되었으며 이 수치는 앞으로 증가할 것으로 예상됩니다.
사용자 기기 보호
Play 프로텍트는 매일 최소 한번씩 안드로이드 기기에서 PHA를 자동으로 검사하며, 한 번으로 안심이 되지 않는다면 사용자가 언제든지 추가적인 검토를 수행할 수 있습니다. 이러한 자동 검토를 통해 작년에 약 3,900만개의 PHA를 제거할 수 있었습니다.
또한 생태계에서 감지되는 추세에 대응하기 위해 Play 프로텍트를 업데이트했습니다. 예를 들어, 새로운 PHA 설치의 약 35%는 기기가 오프라인이거나 네트워크 연결이 끊어진 경우에 발생하는 것으로 드러났습니다. 그 결과 2017년 10월 Play 프로텍트에서 오프라인 스캐닝을 활성화했으며, 이후로 1,000만개 이상의 PHA 설치를 차단했습니다.
PHA 다운로드 차단
Google Play에서만 앱을 다운로드하는 기기는 다른 소스에서 앱을 다운로드하는 기기에 비해 PHA를 받을 확률이 9배나 적었습니다. 또한 Google Play에 새로 제출되는 앱에 대한 Play 프로텍트의 가시성 향상 덕분에 보안 보호 조치가 지속적으로 개선되고 있습니다. 2016년에 비해 65%나 더 많은 Play 앱이 검토되었습니다.
Play 프로텍트는 Google Play를 단순히 보호하는 것이 아니라 더 넓은 안드로이드 생태계도 함께 보호해 줍니다. Play 프로텍트 덕분에 Google Play 밖에서의 PHA 설치 비율이 60% 이상 감소했습니다.
보안 업데이트
Google Play 프로텍트는 유해 PHA를 차단하는 강력한 방패입니다. 동시에 안드로이드 버전이 최신 버전이고 보안이 유지될 수 있도록 기기 제조업체와 협력하고 있습니다.
작년 한해 보안 업데이트의 출시 프로세스를 개선하기 위해 노력했으며, 2016년에 비해 30%나 더 많은 기기에서 보안 패치가 진행되었습니다. 또한 안드로이드 기기에 사용 가능한 업데이트나 완화 조치가 전혀 없이도, 안드로이드 플랫폼에 영향을 미치는 심각한 보안 취약성이 공개적으로 드러나지 않았습니다. 이것이 가능했던 이유는
안드로이드 보안 보상 프로그램
,
보안 연구자 커뮤니티
와의 향상된 협업, 업계 파트너와의 협력 그리고 안드로이드 플랫폼에 내장된 보안 기능 덕분입니다.
안드로이드 오레오의 새로운 보안 기능
안드로이드 오레오에서는
더욱 안전한 앱 다운로드
,
비보안 네트워크 프로토콜
제거,
식별자에 대한 사용자 제어 기능
추가 제공,
커널 강화
등의 보안 기능이 새로 소개되었습니다:
이러한 기능 중 대부분은 일년 내내 집중 조명을 받았지만, 일부 기능은 레이더에 잡히지 않았을 수도 있습니다. 예를 들어, 랜섬웨어에서 일반적으로 사용되는 방식인 앱이 전체 화면을 차단하여 사용자가 닫을 수 없게 만드는 기법을 더 이상 사용할 수 없도록 오버레이 API를 업데이트했습니다.
개방성을 통해 더욱 강력해진 안드로이드 보안
전부터 주장해왔지만 더욱 중요하게 부각되고 있는 사실: 안드로이드 개방성은 보안 보호 기능을 강화시켜 줍니다. 오랫동안 안드로이드 생태계는 연구원들의 성과로부터 혜택을 받아왔으며, 이는 2017년에도 다르지 않았습니다.
보안 보상 프로그램
안드로이드 보안 보상 프로그램의 모멘텀은 지속되었습니다. 연구원들에게 128만 달러를 지불했고, 프로그램 시작 이후 총 보상 200만 달러를 넘어서고 있습니다. 또한 TrustZone 또는 Verified Boot를 손상시키는 공격에 대해 $50,000에서 $200,000로, 원격 커널 공격에 대해 $30,000에서 $150,000로
최대 보상금을 인상했습니다
.
이와 동시에
Google Play 보안 보상 프로그램
을 도입했고, Google Play에 호스팅된 앱에서 심각한 취약성을 발견하여 발표한 개발자에게는 보너스 보상금을 제공했습니다.
외부 보안 경연
외부 취약성을 발견하고 발표하는
Mobile Pwn2Own
등과 같은 경연에도 참가했습니다. 2017 Mobile Pwn2Own 경연에서는 어떠한 공격도 Google Pixel을 손상시키지 못했습니다. 또한 안드로이드가 실행 중인 기기에 대해 시연된 공격 중에서,
Android Open Source Project
(AOSP)의 수정되지 않은 순정 버전이 실행 중인 기기에서는 어떤 공격도 재현될 수 없었습니다.
안드로이드 보안에서 이루어낸 긍정적인 성과를 기쁘게 생각하며, 올해 이후에도 보안 개선을 위해 지속적인 노력을 기울이겠습니다. 안드로이드 사용자의 보안을 보장하기 위한 노력을 멈추지 않겠습니다.
Contents
ML/Tensorflow
Android
Flutter
Web/Chrome
Cloud
Google Play
Community
Game
Firebase
검색
Tag
인디게임페스티벌
정책 세미나
창구프로그램
AdMob
AI
Android
Android 12
Android 12L
Android 13
Android 14
Android Assistant
Android Auto
Android Games
Android Jetpack
Android Machine Learning
Android Privacy
Android Studio
Android TV
Android Wear
App Bundle
bootcamp
Business
Chrome
Cloud
Community
compose
Firebase
Flutter
Foldables
Game
gdg
GDSC
google
Google Developer Student Clubs
Google Play
Google Play Games
Interview
Jetpack
Jetpack Compose
kotlin
Large Screens
Library
ma
Material Design
Material You
ML/Tensorflow
mobile games
Now in Android
PC
Play Console
Policy
priva
wa
wear
Wearables
Web
Web/Chrome
Weeklyupdates
WorkManager
Archive
2024
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2023
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2022
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2021
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2020
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2019
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2018
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2017
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2016
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2015
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2014
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2013
12월
11월
10월
9월
8월
7월
6월
5월
4월
3월
2월
1월
2012
12월
11월
10월
9월
8월
7월
6월
5월
3월
2월
1월
2011
12월
11월
Feed
