안드로이드N, 미디어 서버 취약점 문제 해결하나

인터넷입력 :2016/05/19 17:58

손경호 기자

구글이 새로운 안드로이드 플랫폼인 '안드로이드N' 베타 버전을 공개하면서 그동안 수차례 골치를 썩였던 미디어서버에 대한 보안취약점을 해결했다고 밝혔다. 이와 함께 개별 파일들을 암호화해서 저장하고, 각종 보안업데이트를 사용자가 직접 업데이트하지 않아도 자동으로 이뤄지도록 하는 등 편의성도 개선했다.

18일(현지시간) 미국 캘리포니아 마운틴뷰에서 개최된 구글I/O 2016에서 공개된 안드로이드N은 수개월째 취약점이 발견되고, 보안패치가 이뤄지는 과정을 반복했던 미디어서버에 대한 취약점을 해결하기 위해 아키텍처 자체를 변경하는 선택을 했다.

구글은 이날 미디어 프레임워크에 대한 보안을 강화했다고 발표했다. 그동안 문제가 됐던 미디어서버에 대한 보다 근본적인 대책을 내놓았다는 설명이다.

미디어서버는 안드로이드 기기 내에서 사진, 음악, 동영상과 문자메시지, 멀티미디어메시지서비스(MMS), 웹브라우저를 통한 미디어 재생과 함께 다운로드 받은 앱이 카메라, 마이크로폰, 블루투스 등에 접근할 수 있는 권한을 처리하는 역할을 한다.

문제는 공격자가 여기서 발견된 취약점을 악용해 원격에서 악성코드를 해당 기기 내에 삽입할 수 있는 방법이 지속적으로 등장했었다는 점이다. 지난해 모바일 보안회사 짐퍼리움 z랩스 소속 조슈아 드레이크 보안연구원이 공개한 일명 '스테이지프라이트(Stagefright)'라는 취약점도 미디어서버를 악용한 방식으로 최대 10억대 이상 안드로이드 기기에 영향을 미칠 수 있다는 분석이 나온 바 있다. 국내서는 삼성전자 갤럭시S6, 갤럭시노트5도 영향을 받을 수 있었던 것으로 알려졌다.

그동안 구글은 지난해 8월 미디어서버 관련 취약점이 발견된 이후 20여 차례 이상 보안업데이트를 내놓았다.

이러한 취약점에 대해 구글은 하나의 미디어서버를 여러 개 서버로 쪼개 종류별로 최소한의 권한만 가질 수 있도록 했다. 안드로이드N에서는 미디어서버가 오디오서버, 카메라서버, 파일추출서비스(ExtractorService), 미디어코덱서비스, 미디어DRM서버 등으로 나눠 제한된 기능만 사용할 수 있게 개편했다. 예를들어 카메라서버는 카메라 기능에만 접근할 수 있도록 하고, 오디오서버는 오디오 및 블루투스 기능에만 접근할 수 있도록 하는 식이다.

이와 함께 새로운 OS는 파일 암호화도 지원한다. 안드로이드 기기 내부에 저장되는 파일들을 기본저긍로 암호화해서 공격자들에게 노출되더라도 피해를 최소화할 수 있도록 하겠다는 것이다.

끊김없는 업데이트(Seamless update)를 지원하겠다고 발표한 내용도 눈에 띈다. 귀찮고 번거로운 보안업데이트를 사용자가 직접 하는 대신 기기 백그라운드에서 자동으로 수행하도록 해서 최신 보안업데이트를 실시간으로 적용할 수 있도록 한다는 계획이다.

관련기사

이날 구글 안드로이드 엔지니어링 담당 데이브 버크 부사장은 "우리는 지난해 미디어 프레임워크에 대한 보안성을 높이는 일의 중요성을 배웠다"며 "특히 인터넷이 연결된 곳이라면 어떤 곳에서든 콘텐트에 접속할 수 있다는 점에서 그렇다"고 설명했다.

이어서 그는 "미디어 프레임워크(미디어서버)의 보안성을 개선해 전체 안드로이드 기기에 대한 보안성을 높였으며, 끊김없는 업데이트를 지원해 사용자가 별도로 업데이트 설정을 할 필요없이 자동으로 이러한 작업이 실행되도록 했다"고 밝혔다.

안드로이드N에서는 미디어서버가 여러 개 기능별로 쪼개진다. (자료=구글)