안드로이드 봇넷 탐지를 위한 CNN 기반 권한 이미지 분석

초록

본 논문은 안드로이드 애플리케이션의 권한 사용 정보를 이미지 형태로 변환하고, 이를 합성곱 신경망(CNN)으로 학습시켜 봇넷과 정상 앱을 구분하는 새로운 탐지 방법을 제안한다. 5,450개의 샘플(1,800개 봇넷, 3,650개 정상)로 구성된 데이터셋에서 97.2%의 정확도와 96%의 재현율을 달성하였다.

상세 분석

이 연구는 기존 머신러닝 기반 안드로이드 봇넷 탐지 방법이 새로운 변종을 식별하는 데 한계가 있다는 점을 지적하고, 딥러닝 특히 CNN을 활용한 이미지 기반 접근법을 도입함으로써 이러한 한계를 극복하고자 한다. 핵심 아이디어는 각 애플리케이션이 요청하는 권한을 41개의 대표 권한 집합으로 정렬한 뒤, 권한 간 동시 발생 여부를 0·255 값으로 매핑하여 41×41 크기의 흑백 행렬을 생성하는 것이다. 이 행렬은 권한 사용 패턴을 시각적으로 표현한 이미지로 변환되며, 봇넷 앱은 일반 앱에 비해 더 많은 권한을 동시에 요청하는 경향을 보인다. 따라서 이미지의 밝기 분포 자체가 악성 여부를 암시한다.

제안된 CNN 구조는 9개의 레이어(컨볼루션, 풀링, 완전 연결)로 이루어져 있으며, 첫 번째 컨볼루션 레이어에서 32개의 3×3 커널을 사용해 저수준 특징을 추출하고, 이후 2번 풀링, 3번 컨볼루션(128개 커널) 등을 거쳐 점진적으로 추상화된 특징 맵을 만든다. 최종적으로 두 개의 완전 연결 레이어와 소프트맥스 출력층을 통해 이진 분류를 수행한다. 학습에는 Adam 옵티마이저와 binary cross‑entropy 손실 함수를 사용했으며, 10‑폴드 교차 검증을 통해 모델의 일반화 성능을 평가하였다.

실험 결과는 두드러진 성능 향상을 보여준다. 정확도 97.2%, 재현율 96%, 정밀도 95% 수준을 기록했으며, 이는 기존 연구에서 보고된 85~92% 수준의 정확도와 비교해 현저히 높은 수치이다. 특히, 권한만을 입력 특성으로 사용했음에도 불구하고 높은 탐지율을 달성한 점은 권한 기반 특징이 봇넷 식별에 충분히 강력함을 시사한다. 다만, FPR(거짓 양성률)과 같은 상세 지표는 논문에 명시되지 않아 실제 운영 환경에서의 오탐 위험을 평가하기는 어렵다.

한계점으로는 데이터셋이 제한적이라는 점을 들 수 있다. 1,800개의 봇넷 샘플은 14개 패밀리에서 추출했지만, 최신 변종이나 다중 권한 오용을 포함한 복합 공격에 대한 일반화 가능성은 검증되지 않았다. 또한, 권한 외에 API 호출, 네트워크 트래픽 등 추가적인 동적 특성을 결합하면 더욱 견고한 탐지가 가능할 것으로 예상된다.

향후 연구 방향은 (1) 권한 이미지 외에 시계열형 API 호출 로그를 채널화하여 다중 모달 딥러닝 모델을 구축, (2) 이미지 해상도와 행렬 차원을 조정해 더 세밀한 권한 상관관계를 포착, (3) 실제 모바일 디바이스에서 실시간 추론을 위한 경량화 모델 설계, (4) 공개 데이터셋을 활용한 재현성 검증 및 오픈소스 구현을 통한 커뮤니티 검증 등을 제안한다. 이러한 확장을 통해 안드로이드 보안 분야에서 딥러닝 기반 정적 분석이 실용적인 방어 수단으로 자리매김할 수 있을 것이다.