글로벌 보안 기업 체크포인트소프트웨어테크놀로지스는 전세계 휴대폰 40% 이상에서 사용되는 퀄컴 칩에 400개 이상의 취약점 코드 섹션이 존재한다고 19일 밝혔다.
이를 통해 공격자가 안드로이드 기기 작동을 중단시키고, 몰래 악의적인 활동을 수행하는 것도 가능했다는 지적이다.
문제가 된 칩은 디지털 신호 프로세서(DSP)다. 체크포인트 연구진은 올해 열린 글로벌 해킹 대회 '데프콘'에서 연구논문 '아킬레스(Achilles)'를 발표하고 이같은 연구결과를 소개했다. 해커가 관련 취약점을 악용하려면 사용자에게 애플리케이션을 설치하도록 유도해야 한다. 접근 권한 요청도 필요치 않다.
관련기사
- 원격 솔루션 사용 늘자 '줌' 사칭 보안 공격 증가2020.04.01
- "클라우드 쓰면 보안 필요없다는 오해 많다"2020.03.12
- 체크포인트, EDR 분야 NSS랩 'AA' 등급 획득2020.03.09
- 체크포인트-클루커스, 클라우드 보안 '맞손'2020.01.08
체크포인트 연구진은 발견한 취약점을 퀄컴에 알렸다. 퀄컴은 보안 취약점을 인정하고 관련 벤더사에 내용을 통보한 뒤 보안 패치를 제공했다. 공통보안취약점공개항목(CVE)번호는 'CVE-2020-11201', 'CVE-2020-11202', 'CVE-2020-11206', 'CVE-2020-11207', 'CVE-2020-11208', 'CVE-2020-11209'다.
이은옥 체크포인트코리아 지사장은 “제조사가 제공하는 패치가 나올 때까지 손을 놓고 있으면 그들에게 개인정보는 물론 금융, SNS, 사생활 등 거의 모든 정보가 들어있는 스마트폰을 그대로 넘겨주는 것과 마찬가지가 된다"며 "이같은 피해를 예방하기 위해서는 반드시 기술력을 갖춘 전문 보안 벤더의 애플리케이션 통해 철저히 대비해야 한다”고 말했다.
