이 글의 목적은 스마트폰에서 악성앱을 신속하고 안전하게 제거하기 위한 표준 절차를 제시하여 현장에서 바로 적용 가능하도록 돕는 것이다.
왜 악성앱 제거는 ‘안전모드→권한 회수→백신 검사’ 순서가 핵심인가
악성앱은 일반 모드에서 자가실행·보호화·권한 고착을 통해 삭제를 방해하는 경우가 많다. 안전모드는 서드파티 앱 실행을 최소화하여 차단하고, 권한 회수는 앱의 지속성 유지 수단을 끊으며, 백신 검사는 잔존 파일·설정·공유모듈을 정리하는 데 효과적이다. 다음 절차를 권장한다.
- 의심 증상 파악 및 즉시 네트워크 차단을 수행한다.
- 안전모드로 부팅한다.
- 디바이스 관리자·접근성·알 수 없는 앱 설치 권한을 회수한다.
- 의심 앱을 식별하고 제거한다.
- 신뢰 가능한 보안앱으로 전체 검사를 수행한다.
- 브라우저·메시지·알림 권한과 기본앱 설정을 정상화한다.
- 계정·결제수단 보안을 점검하고 비밀번호를 변경한다.
주의 : 금융·본인인증·기업 계정이 연결된 기기에서 이상 징후가 확인되면 앱 삭제 전 계정 비밀번호 변경과 2단계 인증 활성화를 우선한다.
1. 감염 의심 신호 체크리스트
다음 항목은 악성앱 감염 가능성을 높이는 지표이다.
| 항목 | 설명 | 확인 방법 |
|---|---|---|
| 배터리 급격 소모 | 백그라운드에서 상시 동작 | 설정 > 배터리 사용량에서 비정상 상위 앱 확인 |
| 데이터 사용량 급증 | 명령·제어 서버 통신 | 설정 > 네트워크 > 데이터 사용량에서 앱별 트래픽 확인 |
| 알 수 없는 관리자 권한 | 삭제 방지용 권한 고착 | 설정 > 보안 > 디바이스 관리자 앱 |
| 광고·팝업 남발 | 애드웨어·피싱 유도 | 최근 설치 앱 목록 대조 |
| 승인 내역 없는 결제 | 프리미엄 SMS·인앱결제 악용 | 통신사·스토어 결제 내역 확인 |
| 알 수 없는 APK 설치 | 사이드로딩 통한 감염 | 다운로드 폴더·파일관리자 점검 |
2. 즉시 수행할 기초 방어
- 비행기 모드로 전환하거나 모바일 데이터·Wi-Fi를 끈다.
- USB 디버깅이 켜져 있다면 비활성화한다.
- 의심 알림·오버레이는 터치하지 않고 알림 전체 삭제 후 로그만 확보한다.
주의 : 알림이나 팝업의 ‘문제 해결’ ‘보안 경고’ 버튼을 누르면 추가 권한을 획득해 감염이 확대될 수 있다.
3. 안전모드 진입 방법
안전모드는 서드파티 앱 실행을 막아 악성앱의 자기보호를 무력화한다. 대표 진입 방법은 다음과 같다.
| 플랫폼/제조사 | 진입 절차 | 해제 |
|---|---|---|
| Android 공통 | 전원 버튼 길게 → 화면의 전원 끄기 아이콘을 길게 터치 → ‘안전모드로 재부팅’ 확인 | 일반 재부팅 |
| 삼성 Galaxy | 전원/측면 버튼 길게 → ‘전원 끄기’ 길게 터치 → 안전모드 | 전원 버튼으로 재부팅 |
| LG/기타 | 전원 버튼 길게 → 전원 끄기 길게 → 안전모드 | 재부팅 |
| Pixel | 전원 메뉴 → 전원 끄기 길게 → 안전모드 | 재부팅 |
| iPhone | 일반 사용자는 서드파티 안전모드가 없다. 대신 설정 재설정·구독 점검·프로파일 제거 절차를 수행한다. | 해당 없음 |
주의 : 안전모드에서는 서드파티 런처·위젯·키보드가 비활성화된다. 평소와 달라 보이는 홈 화면은 정상이다.
4. 권한 고착 지점 선제 해제
악성앱은 삭제 방지를 위해 관리자 권한·접근성·알 수 없는 앱 설치 권한을 확보하는 경우가 많다. 안전모드에서 다음 순서로 회수한다.
- 디바이스 관리자 앱: 설정 > 보안 > 디바이스 관리자 앱에서 의심 항목을 해제한다.
- 접근성 서비스: 설정 > 접근성 > 설치된 서비스에서 의심 앱 토글을 끈다.
- 알 수 없는 앱 설치: 설정 > 앱 > 특수 접근 > 알 수 없는 앱 설치에서 브라우저·파일관리자에 부여된 허용을 해제한다.
- 알림·오버레이: 설정 > 앱 > 특수 접근 > 다른 앱 위에 표시·알림 접근권을 해제한다.
| 권한 유형 | 악용 목적 | 회수 체크포인트 |
|---|---|---|
| 디바이스 관리자 | 강제 잠금·삭제 방지 | 관리자 앱 목록에서 비활성 후 삭제 |
| 접근성 | 자동 클릭·화면 가로채기 | 설치된 서비스 내 의심 항목 OFF |
| 오버레이 | 가짜 버튼·피싱 오버레이 | 다른 앱 위에 표시 권한 차단 |
| 알림 접근 | 인증코드 탈취 | 알림 접근 앱 목록 정리 |
| SMS/통화 | 프리미엄 과금·코드 수신 | 앱별 권한 ‘허용 안 함’ |
주의 : 관리자 권한 해제가 불가하면 프로필·업무용 프로필·디바이스 소유자(기업 배포) 여부를 확인한다. 기업 관리 기기는 관리자에게 문의한다.
5. 의심 앱 식별 기준
- 최근 설치 앱 중 아이콘·퍼블리셔 불명, 이름이 ‘시스템 업데이트’ ‘보안’ 등으로 위장한 항목
- 앱 정보에서 저장공간 사용량이 과도하거나 ‘기본으로 설정됨’이 되어 있는 브라우저·전화·SMS 대체 앱
- 데이터·배터리 사용량 상위이면서 화면 사용 시간이 거의 없는 백그라운드 집중 앱
6. 악성앱 제거 절차
- 안전모드 유지 상태에서 설정 > 앱 > 의심 앱 선택 후 강제 중지를 먼저 실행한다.
- 저장공간 > 캐시/저장소 지우기를 수행한다.
- 제거를 실행한다. 제거 실패 시 권한 고착 지점을 재점검한다.
- 다운로드 폴더·파일관리자에서 .apk·알 수 없는 압축파일을 삭제한다.
주의 : 제거 전 백업은 클린 백업 원칙을 따른다. 사진·문서만 클라우드로 백업하고 앱 데이터·APK는 백업하지 않는다.
7. 신뢰 가능한 보안앱으로 전체 검사
스토어에서 신뢰 가능한 보안앱을 설치하여 전체 검사를 수행한다. 검사 시 다음을 확인한다.
- 실시간 보호 활성화
- 웹 보호·피싱 차단 활성화
- 정기 검사 예약 주 1회 이상 설정
검사 결과로 감염 흔적이 보고되면 ‘격리’ 또는 ‘삭제’를 선택한다. 검사 후 재부팅하여 잔존 증상을 점검한다.
8. 브라우저·기본앱·알림 설정 정상화
- 설정 > 앱 > 기본 앱에서 브라우저·전화·SMS 기본앱을 신뢰 가능한 항목으로 재지정한다.
- 브라우저에서 사이트 설정의 알림 권한을 점검하고 출처 불명의 허용 항목을 제거한다.
- 다운로드 자동실행·팝업 허용·알 수 없는 소스 허용을 모두 차단한다.
9. 계정·결제·클라우드 보안 점검
- Google/Apple 계정 비밀번호 변경 및 2단계 인증 활성화
- 이메일·메신저·SNS의 세션 목록에서 미지 디바이스 로그아웃
- 통신사·스토어 결제 내역 점검 및 소액결제 한도 축소
주의 : 금융앱·본인인증앱은 재설치 후 최초 실행 시 루팅 탐지·무결성 검사를 통과해야 한다. 실패 시 공장 초기화가 필요하다.
10. 공장 초기화 판단 기준
다음 조건 중 하나라도 해당하면 초기화를 권장한다.
- 관리자·접근성·오버레이 권한 해제 불가
- 검사 후에도 데이터 사용량·배터리 소모 비정상 지속
- 시스템 앱으로 위장한 악성 구성요소 의심
초기화 전 준비 절차는 아래와 같다.
- 사진·문서만 클라우드·PC로 백업한다.
- 연락처·캘린더는 계정 동기화를 활용한다.
- 설정 > 시스템 > 재설정 > 모든 데이터 삭제를 실행한다.
- 초기 설정 시 백업에서 앱 자동 복원을 사용하지 않고 필요 앱만 신규 설치한다.
11. 고급: ADB로 잔존 구성요소 점검
개발자 옵션과 ADB에 익숙한 경우 안전모드 또는 오프라인 상태에서 패키지 목록·기본앱·권한을 점검할 수 있다.
# 연결 확인 adb devices
최근 설치 앱 나열(설치 시각 포함은 OS에 따라 상이)
adb shell pm list packages -3
기본 핸들러 확인
adb shell cmd role dumpsys
특정 패키지 강제 중지·제거
adb shell am force-stop com.example.mal
adb shell pm uninstall --user 0 com.example.mal
접근성 활성 서비스 확인
adb shell settings get secure enabled_accessibility_services
주의 : 기업·금융 환경에서는 임의 ADB 작업이 정책 위반일 수 있다. 해당 시 보안 담당자 승인 후 진행한다.
12. iPhone 사용자를 위한 정리 절차
- 설정 > 일반 > VPN 및 기기 관리에서 알 수 없는 구성 프로파일 삭제
- 설정 > 암호 및 보안 > 2단계 인증 활성화
- Safari 설정 초기화: 설정 > Safari > 기록 및 웹사이트 데이터 지우기
- 구독·결제 내역 점검 및 의심 항목 해지
- 지속 이상 시 백업 후 ‘모든 콘텐츠 및 설정 지우기’ 수행
13. 스토커웨어·오버레이 피싱 특수 대응
관계자 감시 목적의 스토커웨어는 아이콘 숨김·접근성 남용·알림 탈취를 사용한다. 다음을 수행한다.
- 접근성·알림 접근 권한에서 ‘설치자 미상’·‘이름 위장’ 앱 제거
- 키보드 앱을 공식 키보드로 변경
- 잠금화면 PIN 변경과 생체 인증 재등록
주의 : 안전 문제가 연루된 스토킹 의심 시 기기 포렌식 보존과 법적 신고를 우선한다.
14. 재감염 예방 체크리스트
| 항목 | 설정 경로 | 권장값 |
|---|---|---|
| 앱 출처 제한 | 설정 > 보안 > 알 수 없는 앱 설치 | 모두 허용 안 함 |
| Play Protect | 스토어 > Play Protect | 스캔·개선 기능 켬 |
| 웹 보호 | 브라우저 설정 | 피싱 차단 켬 |
| 2단계 인증 | Google/Apple 계정 | 보안키 또는 OTP |
| 백업 정책 | 설정 > 백업 | 사진·문서만 백업 |
| 권한 점검 주기 | 설정 > 앱 권한 | 분기 1회 |
15. 현장 대응 표준 운영절차(SOP) 요약
- 격리: 네트워크 차단, 의심 행위 중지
- 보존: 스크린샷·결제내역·알림 로그 확보
- 제거: 안전모드, 권한 회수, 앱 삭제
- 정화: 보안앱 전체 검사, 브라우저·기본앱 정상화
- 회복: 계정 보안 강화, 필요 시 초기화
- 예방: 정책 적용, 정기 점검
16. 사용자 교육용 간단 안내문 템플릿
[악성앱 의심 시 즉시 조치] 1) 비행기 모드로 전환 2) 전원 끄기 아이콘 길게 > 안전모드 진입 3) 설정 > 보안 > 디바이스 관리자 해제 4) 설정 > 접근성 > 의심 서비스 OFF 5) 설정 > 앱 > 의심 앱 강제 중지 > 저장소 지우기 > 제거 6) 스토어 보안앱 설치 > 전체 검사 7) 계정 비밀번호 변경 및 2단계 인증 FAQ
안전모드에서도 삭제가 안 된다면 어떻게 하나?
업무용 프로필·디바이스 소유자 모드·루트 악성 구성요소 가능성이 있다. 관리자·접근성·오버레이 권한을 다시 점검하고 불가 시 데이터 백업 후 공장 초기화를 권장한다.
악성앱을 지운 뒤에도 광고 팝업이 계속 나온다.
브라우저 알림 권한이 남아 있는 경우가 많다. 브라우저 사이트 설정에서 ‘허용’ 목록을 모두 검토하고 불명 도메인을 제거한다.
백신 앱은 한 가지만 쓰는 것이 좋은가?
상시 보호는 한 가지만 사용하고, 필요 시 두 번째 앱으로 수동 검사만 수행한다. 다중 실시간 보호는 충돌과 성능 저하를 유발한다.
iPhone도 악성앱에 감염되나?
스토어 외 설치가 제한되어 위험이 낮지만, 프로파일·설정 오남용·피싱은 존재한다. 구성 프로파일 제거와 계정 보안 강화로 대응한다.
결제 피해가 발생했다. 무엇을 먼저 해야 하나?
통신사·스토어 고객센터에 즉시 차단을 요청하고 관련 내역을 보존한다. 이후 금융사·플랫폼 문의 및 비밀번호 교체를 수행한다.