구글이 안드로이드 5.0부터 웹뷰 업데이트를 구글플레이 스토어에서 제공한다. 안드로이드 웹애플리케이션에 대한 보안 패치가 전보다 빨리 이뤄지게 됐다.
24일(현지시간) 미국 지디넷에 따르면, 구글은 11월 출시되는 안드로이드5.0(코드명: 롤리팝)부터 웹뷰(WebView)를 구글플레이를 통해 업데이트하기로 했다.
안드로이드 웹뷰는 웹 콘텐츠를 앱에서 볼 수 있게 만들어주는 개발요소다. 웹뷰는 오픈소스 웹브라우저인 크로미움 프로젝트 구성 요소 중 하나로 그동안 안드로이드 펌웨어에 번들로 제공되어 왔다.
지금까지는 웹뷰에서 보안취약점이 발견되면, 구글은 보안패치를 제조사와 이동통신사를 통해 배포할 수 밖에 없었다. 대다수 휴대폰 제조사와 이동통신사가 구형 안드로이드 기기의 패치에 어려움을 겪는 만큼 취약점 발견 후 해결까지는 오랜 시간이 걸렸다.
구글플레이를 통해 웹뷰를 업데이트하면 보안 취약점 발견 시 OS까지 동반 위협에 처하는 상황은 피할 수 있게 된다.
웹뷰가 안드로이드 전체를 위험에 빠뜨린 상황은 올초에 벌어졌다. 안드로이드 기기 70% 가량을 차지하는 4.2 버전에서 웹뷰의 중대 취약점이 발견된 것이다.
이 때 발견된 취약점은 사용자에게 악의적인 QR코드를 촬영하게 해 공격자에게 셸 명령어 입력권한을 주게 만든다. 이렇게 손상된 앱은 공격자에게 연락처, 사진 등을 빼내고, 기기 속 데이터를 조작할 수 있게 한다.
지난 7월에 발견된 페이크ID 버그도 안드로이드 기기 전체를 위험한 상황에 빠뜨렸다. 안드로이드 앱을 수정할 수 있게 하는 개발자용 ID를 악용해 정상 앱에 악성코드를 주입시켜 정보를 빼내거나 조작하는 취약점이다. 이 취약점은 수년 동안 방치됐다가 4월에야 보안패치가 배포됐다.
이 버그는 안드로이드 2.1 이클레어부터 등장했다. 안드로이드 킷캣 미만 버전(젤리빈)까지 이 취약점에 노출됐다. 관련 취약점을 발견한 블루박스에 의하면 이 버그는 어도비 시스템 웹뷰 플러그인에 대한 권한을 상승시킨다. 다른 일반 앱들 내부에 트로이목마 악성코드를 주입시켜 해당 앱의 기능을 마음대로 조작할 수 있게 한다.
최근엔 안드로이드4.3 이전 버전에 기본탑재된 브라우저 내 웹뷰에서 버그가 발견됐다. 감시, 세션 탈취 등이 가능해져 사생활 노출을 야기할 수 있는 버그다.
구글은 안드로이드 킷캣부터 웹뷰를 웹킷 기반에서 크로미움 프로젝트 기반 웹킷 포크로 변경했다. 현대적 브라우저 기능을 더 많이 지원한다는 이유였다. 하지만 킷캣의 웹뷰도 OS와 결합돼 제공됐다.
보안전문가들은 구글의 웹뷰 업데이트 방식 변경에 대해 긍정적인 반응을 보였다.
관련기사
- 안드로이드웨어에 대한 구글통제 완화되나2014.10.27
- 구글, 안드로이드5.0 롤리팝 SDK 공개2014.10.27
- 안드로이드-크롬OS, 통합되나2014.10.27
- 구글, 안드로이드L 공식 출시 '롤리팝'2014.10.27
보안회사 래피드7의 보안 전문가 조 베닉스는 멋진 보안 기능이다며 4.3과 그 이하 버전 폰에서 발견된 취약점에 풀 벤더 업데이트나 OS 업데이트 없이 대응하게 됐다고 평가했다. 그는 이 방법은 브라우저 취약점 패치를 제조사나 이통사가 중간에서 재구축하지 않고, 구글의 제어 아래 놓이게 한다고 덧붙였다.
하지만 구글플레이를 통한 업데이트 방식도 웹뷰 보안성 문제를 확실하게 해결해주지 않는다. 크로미움 개발 조직이 웹뷰에 있는 동일 버그에 대해서도 패치를 내놔야 하기 때문이다. 그동안 크로미움 웹뷰 업데이트는 쉽게 이뤄지지 않았다는 지적이다.