DLDroid 실시간 안드로이드 악성코드 탐지 시스템

초록

본 논문은 실제 Android 디바이스에서 동적 분석을 수행하고, 상태 기반 입력 생성 기법을 적용한 딥러닝 모델인 DL‑Droid를 제안한다. 30,000여 개의 앱을 대상으로 실험한 결과, 동적 특징만 사용했을 때 97.8%, 정적·동적 복합 특징을 사용했을 때 99.6%의 탐지율을 달성했으며, 기존 머신러닝 기반 방법들을 능가한다. 또한 상태 기반 입력 생성이 무작위(Stateless) 방식보다 코드 커버리지를 크게 향상시켜 탐지 성능에 기여함을 확인하였다.

상세 분석

DL‑Droid는 Android 악성코드 탐지를 위해 동적 분석과 정적 분석을 융합한 하이브리드 프레임워크이다. 핵심 아이디어는 “stateful input generation”이라 불리는 입력 생성 기법으로, 앱 실행 중 발생하는 UI 상태와 시스템 콜 흐름을 실시간으로 추적하고, 현재 상태에 맞는 의미 있는 입력을 자동으로 생성한다. 이는 기존의 무작위 입력(예: Monkey)이나 단순 스크립트 기반 접근법이 놓치기 쉬운 코드 경로를 활성화시켜, 악성 행위가 실제 실행될 가능성을 높인다.

데이터 수집 단계에서는 30,000개 이상의 APK를 두 그룹( benign, malware )으로 분류하고, 실제 Android 스마트폰(또는 태블릿)에서 각각 5분 이상 실행한다. 동적 특징으로는 시스템 콜 시퀀스, 네트워크 트래픽, 파일 I/O, 권한 요청 시점 등을 로그로 수집하고, 정적 특징으로는 매니페스트 권한, API 호출 빈도, 코드 메트릭 등을 추출한다. 수집된 시계열 데이터는 LSTM 기반의 딥러닝 모델에 입력되며, 정적 특징은 별도의 완전 연결 층을 통해 병합한다.

실험 결과, 순수 동적 특징만 사용했을 때도 97.8%의 정확도와 0.98 이상의 AUC를 기록했으며, 정적·동적 복합 특징을 활용하면 정확도가 99.6%까지 상승한다. 특히, stateful 입력 생성이 적용된 경우 평균 코드 커버리지는 무작위 입력 대비 23%p 상승했으며, 이는 탐지율 향상과 직접적인 상관관계를 보였다. 비교 대상인 전통적인 머신러닝 기법(SVM, Random Forest 등)은 동적 특징만 사용할 경우 85~90% 수준에 머물렀다.

또한, 모델의 일반화 능력을 검증하기 위해 5‑fold 교차 검증과 시간 기반 분할(신규 악성코드와 구버전 악성코드 구분) 실험을 수행했으며, 모든 경우에서 DL‑Droid는 높은 재현율(Recall)과 정밀도(Precision)를 유지했다. 오버피팅 방지를 위해 dropout, L2 정규화, 조기 종료(Early Stopping) 등을 적용했으며, 하이퍼파라미터 튜닝은 Bayesian Optimization을 이용해 자동화하였다.

한계점으로는 실제 디바이스에서 장시간 실행이 필요해 실험 비용이 높다는 점과, 최신 안드로이드 보안 메커니즘(예: SELinux, Scoped Storage)으로 인해 일부 악성 행위가 제한될 가능성이 있다. 향후 연구에서는 클라우드 기반 에뮬레이션과 하이브리드 테스트(실제 디바이스 + 가상 환경) 결합을 통해 비용 효율성을 개선하고, 지속적인 악성코드 샘플 업데이트를 자동화하는 파이프라인을 구축할 계획이다.