최근 몇 년 동안 국가 차원의 스파이웨어 공격이 강화됨에 따라 Google은 Android 시스템을 위한 새로운 옵션 기능인 침입 로깅을 개발하고 있습니다. 이 기능은 일반 사용자를 위한 기능은 아니지만, 네트워크 보안 연구자들이 시스템 로그를 심층적으로 검사하여 기기가 스파이웨어에 감염되었는지 여부를 확인할 수 있도록 도와줍니다.
침입 로깅은 Android 고급 보호 모드로 설정됩니다. Android 고급 보호 모드는 Android 사용자를 위해 Google에서 출시한 선택 기능입니다. 사용자가 이 기능을 활성화하면 보안 강화를 위해 일부 시스템 옵션이 비활성화됩니다. 예를 들어 고급 보호 모드를 활성화하면 브라우저 커널 취약점을 통해 감염되기가 훨씬 더 어려워집니다.
고급 보호 모드는 시스템에서 주요 정보를 추출하려는 포렌식 장치도 처리할 수 있습니다. 이전 세르비아에서 발생한 국가 차원의 스파이웨어 공격에서 세르비아 당국은 Cellebrite가 개발한 포렌식 도구를 사용하여 Android 기기의 잠금을 해제한 다음 스파이웨어를 설치하고 대상을 계속 모니터링했습니다.
침입 로깅은 연구자들에게 포괄적인 로그를 제공할 수 있습니다.
침입 로그 기능은 기본적으로 Google이 Android 시스템용으로 개발한 새로운 유형의 로그입니다. 이 새로운 유형의 로그는 Android 시스템의 일반 로그보다 더 포괄적이고 상세합니다. 다양한 소프트웨어 이벤트를 기록하고 증거를 수집하는 데 사용되므로 사용자와 네트워크 보안 연구원이 의심되는 스파이웨어 공격의 내용을 이해하는 데 도움이 됩니다.
과거에는 포렌식 분석이 주로 침입 탐지용으로 설계되지 않은 로그에 의존했습니다. 이러한 로그는 짧은 시간 동안 보관되고 덮어쓰기가 잦기 때문에 네트워크 보안 연구자들에게는 그다지 유용하지 않습니다. 스파이웨어 대기 시간은 매우 길어질 수 있으며, 로그를 덮어쓰면 연구원이 공격 소스를 추적할 수 없습니다.
이제 침입 로깅 기능을 사용하면 이 기능이 활성화되면 시스템이 매일 로그를 생성하고 수집합니다. 수집된 로그는 강력한 알고리즘을 사용해 암호화되어 사용자의 Google 계정에 업로드됩니다. 따라서 로그가 로컬에서 삭제되더라도 연구자는 클라우드를 통해 계속해서 로그를 검색할 수 있습니다.
침입 로깅 기능은 실제로 2025년에 개발되었지만 Google은 이제 이 기능을 점진적으로 배포하고 있다는 점을 여기서 언급해야 합니다. Google은 블로그를 통해 이 기능이 Android 2025년 12월 16일 업데이트 이상을 실행하는 기기에 출시될 것이라고 밝혔습니다.
침입 로깅은 어떤 추적 이벤트를 제공합니까?
Android 기기는 언제 잠금 해제되었나요?
애플리케이션이 설치, 실행 또는 제거될 때
Android 기기가 어떤 웹사이트나 서버에 연결되어 있나요?
누군가 대상 장치를 사용하여 ADB에 연결합니까(포렌식 도구는 ADB를 통해 연결하고 데이터를 읽어야 함)
위 추적에 대한 로그를 삭제하려고 시도한 사람이 있습니까? (이는 누군가가 공격의 증거를 숨기려고 했다는 의미입니다.)