갤럭시S6를 포함한 미국향 삼성전자 갤럭시S 시리즈에 기본 내장된 키보드 입력툴에서 보안취약점이 발견돼 기기 사용자의 정보를 훔쳐내거나 추가적인 악성코드를 심을 수 있는 것으로 알려졌다.
16일(현지시간) 미국 지디넷, 포브스 등 외신에 따르면 나우시큐어라는 미국 모바일보안회사 소속 리안 웰튼 보안 연구원은 지난해 12월에 삼성전자에 해당 내용을 알렸으며, 현재 취약점 분류 상 'CVE-2015-2865'라는 이름으로 기재됐다.
구글 안드로이드 보안팀에도 제공된 이 내용에 대해 웰튼 연구원은 최근 영국 런던에서 열린 '블랙햇 시큐리티 서밋'에서도 상세내역을 공개했다. 이 자리에서 그는 "미국 버라이즌, 스프린트사가 제공하는 갤럭시S6에서 아직 이 취약점에 대한 보안패치가 이뤄지지 않고 있다는 점을 확인했다"고 밝혔다.
나우시큐어에 따르면 스마트폰에 문자를 입력할 때 사용되는 키보드 입력툴이 해킹될 경우 GPS, 카메라, 마이크로폰 등 센서에 접근이 가능하며, 사용자 몰래 악성앱을 설치할 수도 있다. 사용자가 송수신하는 메시지나 통화내역 등까지 훔쳐볼 수 있다는 것이다.
회사는 해당 취약점에 대해 개념증명(POC)한 결과를 공개했다.(관련링크)
삼성전자 모바일 기기는 서드파티개발사에서 제공하는 '스위프트키 키보드'라는 키보드 입력툴이 기본탑재된다. 문제는 스위프트키가 새로운 언어팩을 다운로드하거나 기존에 설치된 언어팩을 업그레이드할 때 관련 파일이 암호화 되지 않은 채 평문형태 압축파일로 전송된다는 점이다. 공공장소에 설치된 무선 인터넷 공유기를 해킹해 갤럭시S 시리즈 사용자가 언어팩을 다운로드할 때 추가적인 악성코드를 삽입할 수 있다는 설명이다.
삼성전자는 해당 취약점에 대해 올해 초부터 이동통신사업자들을 통해 보안패치를 제공하기 시작했다. 문제는 기본탑재된 키보드 입력툴의 경우 삭제가 불가능하다는 점이다. 더구나 삼성전자가 보안패치를 제공한다고 해도 이통사들이 해당 업데이트 내역을 실제로 사용자들에게 제공했는지 여부도 확인하기 어렵다.
나우시큐어측은 임시대책으로 "보안성이 낮은 와이파이 네트워크에 접속을 피하며, 다른 모바일 기기를 사용하던가, 자신이 사용 중인 이통사에 연락을 취해 보안패치에 대한 정보와 업데이트 시기를 파악할 필요가 있다"고 조언했다.
스위프트키측은 "우리는 삼성전자에 제공하고 있는 스위프트키 SDK와 관련한 보안이슈에 대해 알렸으며, 갤럭시S 시리즈에 기본탑재된 키보드 입력툴 외에 구글 플레이 스토어, 애플 앱스토어를 통해 다운로드 받아 쓸 수 있는 앱은 영향을 받지 않으며, 심각성을 고려해 추가적인 조사 중"이라고 밝혔다.
관련기사
- 아이클라우드 비번 탈취하는 버그 등장2015.06.17
- 네이버-구글 사칭 무선 공유기 해킹 주의보2015.06.17
- 크롬-사파리, 주소창 버그 등장2015.06.17
- 레노버, '슈퍼피시' 이어 보안으로 또 구설수2015.06.17
그러나 이와 관련 나우시큐어는 보안블로그를 통해 "앱스토어에서 다운로드 받은 스위프트키 키보드 앱 역시도 해당 취약점에 영향을 받을 수 있다"고 지적했다.
나우시큐어는 2009년 김치영과 앤드류 후그가 공동창업한 비아포렌식스가 이름을 바꾼 회사로 모바일 기기에서 삭제된 데이터를 복구하는 디지털포렌식 전문회사로 시작해 이후 모바일보안영역에까지 본격적으로 진출하기 시작했다.
