구글이 구버전 안드로이드 운영체제(OS)에서 '웹뷰(WebView)'라는 내장 브라우저 기능에 대한 보안 취약점 패치를 중단했다.
웹뷰는 안드로이드 OS나 애플리케이션이 웹사이트를 표시할 때 실행되는 내장 브라우저다. 보안 업계는 그동안 웹뷰 관련 보안 취약점 위협을 경고해왔다. 이런 상황에서 구글이 취약점 패치를 중단하면서 수억명에 달하는 구형 안드로이드 버전 사용자를 둘러싼 보안 위협 논란이 일고 있다.
보안솔루션업체 '래피드7'의 연구원 토드 비어즐리의 설명을 인용한 최근 미국 지디넷 보도에 따르면 구글은 안드로이드4.3 '젤리빈' 이하 버전 환경에서 돌아가는 보안 패치 개발을 중단했다. (☞링크) 비어즐리 연구원에 따르면 구글은 안드로이드5.0 '롤리팝'과 4.4 '킷캣' 버전의 취약점에만 직접 대응하고, 그 이전 OS의 취약점 대응은 외부 개발자들이 제보할 경우 '기꺼이' 받아들인다는 입장이다.
구글은 안드로이드4.3 '젤리빈', 4.0 '아이스크림샌드위치', 2.3 '진저브레드', 2.2 '프로요' 등 9억3천만명으로 추산되는 구버전 안드로이드 사용자들이 직면한 잠재적 보안 위협에 대해 눈을 감기로 한 셈이다.
미국 지디넷에 따르면 해커의 침입 테스트 또는 실제 시스템을 뚫을 때 쓰인다는 '메타스플로잇' 툴에11가지 웹뷰 취약점이 탑재돼 있을 정도로 웹뷰 보안 결함을 활용하기가 어렵지 않은 실정이다. '메타플로잇' 툴에 포함된 웹뷰 보안취약점은 크로스사이트스크립트 버그, 공격자가 웹 세션을 가로챌 수 있게 해주는 '동일 출처 정책(same-origin policy)'상의 버그 등이다.
비어즐리 연구원은 구형 안드로이드 버전의 보안 취약점 패치에 대한 정책이 바뀐 시점은 지난해 10월 안드로이드 5.0 롤리팝을 내놓은 시점과 맞물리는 것 같다고 추정했다. (☞관련기사) 이어 구글이 각 안드로이드 버전에 대한 내구연한(end-of-life)이나 지원시한(end-of-support)을 공지하지 않는다며, 안드로이드 보안에 대한 책임이 구글의 변덕에 달린 건 문제라고 지적했다.
구글이 롤리팝을 선보일 당시 웹뷰 관련해서는 펌웨어 수정판 배포 대신 '구글플레이' 기반으로 업데이트 방식이 바뀌었다는 정도의 내용이 알려졌다. 구형 안드로이드 버전이 방치된채 남을 것이라는 예상은 없었다.
안드로이드 단말기 제조사와 사용자들은 개발이나 구매 시점에 해당 안드로이드 버전에 대한 보안 패치 여부 등 SW 지원 시한을 미리 예상하기는 쉽지 않다. 비어즐리 연구원은 이에 대해 구글 측에 문의해 최신버전 사용이 안드로이드 기기의 보안을 유지하는 최선책이고, 젤리빈과 이전 버전은 더이상 인증 대상이 아니기에 지원을 끊었다는 답변을 받았다.
안드로이드4.3 젤리빈과 이전 안드로이드 버전을 탑재한 단말기 사용자들은 향후 새로운 웹뷰 취약점이 발견되더라도 손놓고 당하거나 불안에 떨며 기기를 사용해야할까? 꼭 그렇진 않다. 미국 지디넷의 편집기자 스티븐 J. 본 니콜스는 지난 16일 '구형 안드로이드 단말기에서 (보안 취약점이 방치되는) '웹뷰' 문제를 피하는 방법'이란 제목으로 후속 기사를 작성했다. (☞링크)
그가 제시하는 해법은 간단히 말해 취약점이 많은 구버전 안드로이드 웹뷰를 쓰지 말라는 것으로 요약된다.
본 니콜스 편집기자는 과감한 방식은 스마트폰과 태블릿을 루팅해 낡은 안드로이드 버전 대신 '사이어노젠모드'같은 외부 안드로이드 SW업체의 킷캣 기반 안드로이드로 바꾸는 것이라고 설명했다. 이어 가장 좋고 쉬운 방식은 (웹뷰 대신) 다른 웹브라우저를 내려받는 것이라며 개인적으로는 구글의 크롬을 추천하지만 파이어폭스나 오페라 역시 잘 돌아가는데 각각은 오래되고 잠재적 취약점이 많은 웹뷰에 의존하지 않고 자동으로 최신 버전을 유지할 수 있다고 덧붙였다.
사실 본 니콜스 편집기자가 앞서 제시한 과감한 방식은 한국 사용자들에게 맞지 않는다. 사이어노젠모드가 한국 통신사용 구버전 안드로이드 기기에 맞는 펌웨어를 만들어주진 않기 때문이다.
20일 한국 애플리케이션 개발자 커뮤니티 안드로이드펍을 운영 중인 박성서 소셜앤모바일 대표는 웹뷰 보안 문제 대응을 위해 외부 개발업체의 안드로이드 펌웨어를 쓰라는 건 좀 이상하지만, 파이어폭스나 오페라처럼 웹뷰가 아닌 별도 엔진을 쓰는 브라우저를 쓰라는 건 어느정도 해법이 될 수 있다고 설명했다.
한편 기사에 인용한 익명의 구글 측 소식통에 따르면, 사실 구글이 안드로이드4.4 이전 사용자들을 완전히 버린 건 아닌 듯하다. 다만 전반적인 상황이 사용자들에게 비관적이라는 점에선 앞서 알려진 소식과 별 차이가 없다.
MS같은 사업자는 윈도 제품의 패치를 실제 기기 사용자들에게 직접 제공하는데, 구글은 안드로이드 패치를 거의 안드로이드 단말기 OEM 업체와 통신사를 통해서만 제공할 수 있다.
관련기사
- 출시 두 달 롤리팝 보급률, 0.1%도 안 돼2015.01.20
- '인터넷 제국' 구글, 올해 4가지 키워드는?2015.01.20
- 최신 안드로이드 롤리팝, 메모리 버그 발견2015.01.20
- "안드로이드5.1 내년 2월말 공개"2015.01.20
구글도 일단 취약점이 생기면 레퍼런스 기기인 '넥서스'용 보안 업데이트를 만들어 후속 안드로이드 버전의 취약점도 막는다. 이후 기존 버전에 업데이트가 필요한지 OEM 업체들과 상의한다.
이로써 기존 안드로이드용 패치가 OEM 업체와 통신사들에게 제공되긴 하는데, 이 구글 파트너 업체들이 사용자들에게 종종 패치 제공에 실패한다는 게 문제다.