"안드로이드 소스코드 보안결함 88개 발견"

일반입력 :2010/11/03 09:49    수정: 2010/11/03 11:20

안드로이드 3분기 미국에서 팔린 스마트폰 46% 비중을 차지하며 애플 아이폰을 따돌리는 등 관심이 고조된 가운데, 안드로이드 커널 소스코드에 고위험성 보안취약점 88건을 발견한 조사 결과가 나와 관심을 모으고 있다.

소프트웨어(SW) 소스코드 분석업체 커버리티가 SW 무결성 검사 프로젝트 '2010 오픈소스 무결성 리포트'를 통해 안드로이드 커널2.6.32버전 소스코드를 분석한 결과, 시스템 충돌 위험이 높은 보안취약점 88개를 포함한 SW 버그 359개를 찾아냈다고 지난 2일 밝힌 것이다.

2010 오픈소스 무결성 리포트는 커버리티와 미국 국토안보부가 함께 안드로이드, 리눅스, 아파치, 삼바, PHP 등 291개 오픈소스 프로젝트 소스코드를 대상으로 진행해온 오픈소스 SW 무결성 검사 프로젝트다. 분석한 안드로이드 커널은 스마트폰 'HTC 드로이드 인크레더블' 등에 탑재된 것으로 HTC 디벨로퍼 센터2에서 제공했다.

보고에 따르면 안드로이드 커널 2.6.32 (프로요)를 분석한 결과 SW버그 359개가 검출됐고 그 중 88개는 보안취약점과 시스템 충돌을 일으킬 수 있는 고위험군으로 분류됐다. 안드로이드뿐 아니라 커버리티 스캔에서 분석된 오픈소스 프로젝트 전체를 분석하여 검출된 버그 과반수가 고위험군에 해당한다.

분석 결과 주로 나타난 버그는 '메모리 오염(20건)', '널 포인터 디레퍼런스(29건)', '리소스 유실(11건)', '초기화되지 않은 변수(28건)으로, 시스템 다운을 일으키거나 보안 헛점을 노출하는 문제다. 이는 안드로이드와 소스코드 크기가 비슷한 타 오픈소스 SW에서 볼 수 있는 업계 평균 버그 수보다 적은 편에 속한다.

미국 씨넷 블로거 스티븐 섕클랜드는 업계 평균 결함 비율은 소스코드 1천줄에 버그 1개 꼴인 반면 안드로이드 커널은 1천줄에 버그 0.47개라며 일반적인 버그 발생 비중보다 훨씬 낮기때문에 구글 입장에서는 다행스러울 것이라고 평했다.

대신 우려되는 문제로 지적된 점은, 일반적으로 사용되는 파일들에 비해 안드로이드에 특화된 파일에서 고위험성 버그가 높은 비율로 나타난 것이다. 커버리티는 보고서를 통해 보통 리눅스에서 쓰이는 다른 컴포넌트들보다 안드로이드에 특화된 파일들에서 더 많은 고위험성 결함이 발견됐으며, 전체 크기에 비해 결함 비율도 높았다고 분석했다.

관련기사

커버리티의 수석과학자(CS) 겸 공동 설립자 앤디 초는 “구글 본사, 외부 커뮤니티, OEM 제조사 등을 거치면서 단말기 특성에 따라 파편화하는 안드로이드에서 SW무결성에 대한 책임은 희석되기 쉽다면서 보고서는 버그가 실사용 단계에서 문제를 일으키기 전에 안드로이드를 개발하는 사람들이 고칠 수 있도록 내놓는 것이라고 말했다.

안드로이드 커널 분석 결과를 담고 있는 ‘커버리티 스캔 2010 오픈소스 무결성 리포트’는 커버리티 웹사이트에서 내려받을 수 있다.