모든 버전의 안드로이드 운영체제(OS)에서 공격자에게 스마트폰 제어권한을 빼앗기게 할 수 있는 새 보안 취약점이 발견됐다. 퀄컴칩 기반 스마트폰 9억대 가량이 이 취약점을 품었다. 이를 메울 패치는 다음달에나 나올 예정이다.
미국 지디넷은 7일(현지시각) 보도를 통해 모든 안드로이드 버전에 포함된 보안취약점이 오는 9월 안드로이드 보안 패치 시점 이전까지 완전히 해결되지 않을 것이라고 전했다. [☞참조링크: 'Quadrooter' flaws affect over 900 million Android phones]
보도에 따르면 퀄컴칩을 탑재한 모든 안드로이드 스마트폰과 태블릿에서 이제까지 알려지지 않았던 보안 취약점 4건이 발견됐으며 이는 공격자에게 해당 기기의 제어권한을 몽땅 넘길 수 있다고 한다.
10억대 가까운 안드로이드 기기에 적용되는 해당 취약점을 알린 보안업체 체크포인트는 이 취약점을 '쿼드루터(Quadrooter)'라 지칭하고, 그 위험도 등급을 '심각(high)'으로 표기했다.
취약점 발견자인 체크포인트의 모바일 보안부문 수석연구원 아담 도넨펠드는 이날 보안컨퍼런스 데프콘(Def Con)에서 그 취약점의 세부 내용을 소개했다.
쿼드루터 보안취약점을 통한 제어권한 탈취 시나리오는 이렇게 요약된다. 공격자가 사용자에게 악성코드를 탑재한 앱을 쓰도록 유도한다. 서드파티 앱 차단 기능을 해제해, 구글플레이 장터 바깥에서 내려받은 앱을 설치할 수 있도록 만드는 것이다. 사용자 기기에 악성코드를 품은 앱이 깔리면 취약점 가운데 어떤 것이든 공격자에게 루트(root) 접근 권한이 주어진다. 이로써 공격자는 기기에 저장된 데이터뿐아니라 카메라와 마이크 같은 하드웨어 전체를 주무를 수 있게 된다.
체크포인트 측은 대다수 하드웨어 제조사들이 해당 취약점을 품은 기기를 공급 중이라고 지적했다. 구글 넥서스5X, 넥서스6, 넥서스6P, HTC 원M9, HTC 10, 삼성전자 갤럭시S7, S7엣지 등이 주요 대상으로 꼽혔다. 제조사 블랙베리가 세상에서 가장 안전한 안드로이드 스마트폰이라 자부했던 블랙베리 DTEK50 모델 역시 이 취약점에서 자유롭지 못한 상태다.
퀄컴 측은 자사 칩과 관련된 모든 취약점을 수정했으며 관련 패치를 고객사, 파트너, 오픈소스커뮤니티 등에 지난 4월부터 7월사이에 배포했다고 밝혔다. 패치 대부분은 안드로이드의 월간 정기 보안 패치 셋에 포함됐다. 이는 구글이 넥서스 시리즈 기기를 위해 매달초 배포하는 패치다. 다른 모바일 기기 제조사들도 구글과 비슷한 시기에 해당 취약점 패치를 배포했다.
그런데 모든 취약점 패치가 배포된 건 아니다. 취약점 4건 중 3건은 지난달 배포된 구글의 최신 월간 보안 패치를 통해 해결됐지만, 아직 1건이 남아 있다. 구글은 마지막 4번째 보안취약점이 다음달초 제공될 월간 보안 패치를 통해 해결될 것이라고 밝혔다. 그러나 퀄컴은 해당 보안취약점의 관련 코드를 이미 파트너들에게 제공했기 때문에 구글과 다른 제조사들은 각 기기의 패치를 더 빨리 제공할 수도 있었다.
미국 지디넷의 잭 휘태커는 2주전 체크포인트의 모빌리티 제품 관리를 총괄하는 마이클 샤울로브와의 대화에서 쿼드루터 보안취약점 해결이 난항에 빠진 고충을 토로했다고 전했다.
이런 얘기였다. 단말 제조사들이 구글로부터 안드로이드 오픈소스 코드를 직접 가져올 수 없고 퀄컴을 통해서 공급받는다. 그래서 퀄컴은 전체 개발 과정상 핵심적 위치를 차지하고 있는데, 이 구조는 패치 과정을 복잡하게 만든다. 이는 제조사들의 빠른 패치 개발에 지장을 줬다. 제품의 취약점을 개발업체가 먼저 알고 해결할 수 있도록 3개월간 외부에 알리지 않는 게 체크포인트의 규칙인데, 이번엔 제조사들이 그 기한을 맞추지 못한 것이다.
관련기사
- "안드로이드 이어 iOS도 파편화 조짐"2016.08.08
- "카드정보 훔치고 은행신고 막는 악성코드 주의"2016.08.08
- 구글, 차세대 안드로이드 최종 시험판 공개2016.08.08
- "샤오미 스마트폰, 원격 맬웨어 감염 위험"2016.08.08
샤울로브는 "현시점에 보안상 완전히 안전한 기기는 하나도 없다"며 "이는 근본적으로 퀄컴과 구글간의 취약점 수정 과정에 뭔가 문제가 있다는 사실과 관련된 것"이라고 지적했다. 달리 표현하면 복잡하고 혼란스러운 안드로이드 공급망 체계의 문제라는 비판이다.
이는 미국 연방정부기관이 애플이나 구글같은 스마트폰 플랫폼 개발업체를 상대로 보안 업데이트가 왜 이리 불규칙하거나 뜸하거나 거의 지원되지 않느냐고 따져 묻고 있는 최근 상황의 배경 중 하나다. [☞참조링크: Apple, Google, others face questions over slow security fixes] 연방거래위원회(FTC)와 연방통신위원회(FCC)는 애플과 구글, 휴대전화 제조사와 통신사들에게 "특정 모바일 기기의 보안취약점을 패치할 것이냐" 또는 말 것이냐를 언제 결정하는지 질의한 상태다. 관련 보고서가 올 연말 나올 예정이다.