구글이 안드로이드 무선랜 기능에 내재한 보안 버그 '크랙(KRACK)'을 해결한 패치를 곧 내놓기로 했다.
미국 지디넷은 7일(현지시간) 구글이 KRACK 버그를 비롯한 보안취약점을 해결한 패치를 내놨다고 보도했다. [☞원문보기]
KRACK 버그는 무선인터넷 사용시 통신 내용을 보호하기 위한 와이파이(Wi-Fi) 암호화 표준 'WPA2' 프로토콜에서 발견됐다. 키 재설치 공격(Key Reinstallation Attack) 줄임말이다. 키 재설치 공격이 성공하면, WPA2 프로토콜을 쓰는 모든 모바일 기기와 통신장비로 오가는 내용을 제3자에게 도청당할 수 있다는 경고가 지난달 나왔다. [☞관련기사]
당시 버그를 발견한 보안전문가 매씨 반호프는 버그가 공격자에게 기기 사용자의 무선 인터넷 통신내용 도청뿐아니라 트래픽 복호화, 연결 가로채기, 중간자공격까지 허용할 수 있다고 지적했다. 그는 이 버그가 안드로이드6.0과 이후 버전 운영체제(OS)를 구동하는 기기 보안을 특히 취약하게 만들 수 있다고 덧붙였다.
구글은 지난 6일 '안드로이드 시큐리티 불레틴' 공지를 통해 3가지 보안패치레벨 내용을 소개했다. 각각은 정기보안패치(2017-11-01), 퀄컴칩버그패치(2017-11-05), KRACK버그패치(2017-11-06)에 해당했다. [☞원문보기]
구글은 또 "안드로이드 오픈소스 프로젝트(AOSP) 저장소에도 이 문제에 대응하는 소스코드 패치가 48시간 안에 배포될 것"이라며 "(패치가) 적용되면 이 게시판에 AOSP 링크를 추가하겠다"고 공지했다.
날짜가 빠른 2가지 패치는 배포된 상태지만 아직 KRACK버그패치는 배포되지 않고 있다. 구글 픽셀, 넥서스, 안드로이드원, 구글플레이에디션 등 기기의 사용자는 무선업데이트(OTA) 방식으로 이를 적용받을 수 있을 전망이다.
구글이 KRACK패치를 정상 배포하더라도 삼성, LG 등 다른 OEM 파트너의 안드로이드 기기를 쓰는 사용자는 해당 제조사가 직접 제공하는 패치를 적용해야 한다. 플래그십 모델로 출시된 기기였다면 제조사의 대응에 따라 빠르게 패치를 제공받을 수 있지만, 출시된 후 1년 이상 지났거나 중저가 기기라면 더 이상 소프트웨어 업데이트를 제공받지 못할 수도 있다.
구글 설명에 따르면 KRACK 패치는 안드로이드8.0 오레오 버전부터 안드로이드5.0.2 롤리팝 버전까지 현시점에서 과거 3년간 출시된 안드로이드에 대응한다.
관련기사
- 애플, 맥OS-iOS 무선랜 보안구멍 메워2017.11.08
- NSA는 와이파이 취약점 '크랙(KRACK)' 미리 알았을까2017.11.08
- 구멍 뻥 뚫린 무선랜…사용자 대처법은2017.11.08
- "무선랜 보안표준 WPA2 도청되는 결함 발견"2017.11.08
IT미디어 아스테크니카는 8일자 보도로 관련 소식을 전하면서 "안드로이드5.0 기기까지 실제로 패치를 하려는 OEM 제조사가 있을지 확신이 서지 않지만 구글이 신경쓰는 점은 잘한 일"이라고 평했다. [☞원문보기]
애플도 이달초 iOS 기반 모바일 기기의 KRACK 버그를 해결한 패치를 정식 배포한 바 있다. [☞관련기사]
