안드로이드 앱 공통 라이브러리 활용 조사

초록

본 논문은 구글 플레이에서 수집한 150만 개 이상의 앱을 대상으로, 앱 코드에 포함된 공통 라이브러리와 광고 라이브러리를 자동으로 추출·분류하는 방법을 제시한다. 1,113개의 일반 라이브러리와 240개의 광고 라이브러리를 식별하고, 이들의 사용 빈도·코드 비중을 분석함으로써 악성·정상 앱 간 차이를 밝히고, 기존의 리패키징·악성코드 탐지 기법에서 발생하는 오탐·누락을 크게 감소시킬 수 있음을 실증한다.

상세 분석

이 연구는 안드로이드 앱 분석에서 가장 큰 장애물 중 하나인 ‘공통 라이브러리’ 문제를 체계적으로 해결하고자 한다. 먼저 1.5 백만 개의 APK를 수집해 모든 패키지명을 추출하고, 등장 빈도가 높은 패키지를 후보 라이브러리로 선정한다. 여기서 저자들은 “패키지명만으로는 동일 라이브러리를 보장할 수 없다”는 점을 인식하고, 10개 이상 앱에 등장하고, 세 개 이상의 세그먼트를 가진 패키지에 한정한 뒤, 단일 문자 세그먼트(예: a.b.c)와 같은 난독화된 패키지를 제외한다. 또한, 다른 패키지의 접두사인 경우도 제거해 중복을 최소화한다.

후속 단계에서는 후보 패키지에 대해 실제 코드 유사성을 검증한다. 각 패키지에 대해 무작위로 10쌍의 앱을 선택하고, 메서드 수준에서 해시 기반 비교를 수행해 90 % 이상의 유사성을 보이는 경우에만 ‘공통 라이브러리’로 확정한다. 이 과정은 수십 억 건의 비교를 필요로 할 수 있으나, 샘플링과 병렬 처리를 통해 실용적인 실행 시간을 확보한다.

광고 라이브러리 식별은 추가적인 휴리스틱을 적용한다. 광고 SDK는 흔히 네트워크 요청, UI 위젯, 트래킹 메서드 등을 포함하므로, 이러한 특성을 가진 패키지를 자동으로 라벨링하고, 수동 검증을 통해 240개의 광고 라이브러리를 최종 확정한다.

실험 결과, 전체 앱 코드 중 평균 60 %가 공통 라이브러리(특히 광고 라이브러리)로 구성된다는 기존 연구를 재확인하면서, 정상 앱과 악성 앱 간에 라이브러리 사용 비율에 유의미한 차이가 있음을 발견한다. 예를 들어, 악성 앱은 특정 광고 SDK를 과도하게 포함하거나, 흔히 사용되지 않는 특수 목적 라이브러리를 삽입하는 경향이 있다.

가장 중요한 기여는 두 가지 실제 분석 시나리오에서 검증된다. 첫째, 리패키징(피그백킹) 탐지에서는 라이브러리를 제외하고 유사도 계산을 수행했을 때, 오탐률이 86 %에서 0 %로 급감하고, 누락률도 47 %에서 84 %로 크게 개선된다. 둘째, 기존 악성코드 탐지 모델에 이 whitelist를 적용하면, 특징 추출 단계에서 노이즈가 감소해 분류 정확도가 향상된다.

또한, 저자들은 수집한 라이브러리 목록을 GitHub에 공개함으로써, 향후 정적 분석, 동적 분석, 머신러닝 기반 보안 연구 등에 바로 활용할 수 있는 기반 자산을 제공한다. 이는 연구 커뮤니티가 동일한 데이터셋을 재현하거나, 새로운 탐지 기법을 평가할 때 공통 기준점으로 작용할 수 있다.

전반적으로 이 논문은 대규모 앱 마켓 데이터를 활용한 자동화된 라이브러리 추출 파이프라인을 제시하고, 그 결과물을 실제 보안 분석에 적용함으로써, 공통 라이브러리가 야기하는 분석 오류를 실질적으로 감소시키는 방법론적·실증적 가치를 제공한다.