구글 "서드파티 스마트폰 기기 취약점도 공개"

'AVPI' 출범…제조사별 보안 격차 해소 목적

컴퓨팅입력 :2020/10/05 14:41    수정: 2020/10/06 08:18

구글이 안드로이드 운영체제(OS)를 채택한 서드파티 기기에서 발견되는 취약점도 공개할 방침이다. 기기 간 보안 격차를 줄여 안드로이드 생태계 전반의 보안 수준을 높인다는 취지다.

구글 프로그램 매니저인 카일리 맥로버츠와 보안 엔지니어인 알렉 게르틴은 이런 목적을 위해 '안드로이드 파트너 취약점 이니셔티브(APVI)'를 운영한다고 지난 2일 구글 보안 블로그에서 밝혔다.

APVI를 통해 구글은 안드로이드 기기에서 발견한 취약점을 사용자에게 공개하게 된다. 구글에서 제조하는 '픽셀' 외 삼성, LG, 샤오미, 모토로라 등 타사에서 제조하는 안드로이드 스마트폰에서 발견된 취약점도 공개 범주에 포함된다.

출처=구글 시큐리티 블로그

이번 이니셔티브 출범은 구글이 안드로이드 OS와 자사 기기, 안드로이드 앱에 그쳤던 보안 관리 대상을 서드파티 기기로도 확장한 데 의의가 있다. 안드로이드 생태계 구성 요소 전반을 다루는 보안 관리 체계를 구성한 것이다.

안드로이드 OS 소스코드인 '안드로이드 오픈소스 프로젝트(AOSP)'에 대해서는 버그 바운티(포상금) '안드로이드 보안 보상 프로그램(ASR)'을 운영해왔다. 구글은 ASR에 보고된 취약점들을 매월 보고서로 공개한다.

지난해 9월부터는 서드파티 안드로이드 앱을 대상으로 하는 버그 바운티 '구글 플레이 보안 보상 프로그램(GPSRP)'를 운영하고 있다.

iOS의 경우 운영사인 애플이 OS와 앱, 기기 전체의 보안 문제를 관리하는 주체다. iOS 상에서 발생할 수 있는 모든 보안 문제에 대해 책임지고 사후지원을 제공한다. 반면 안드로이드는 기기 상의 취약점에 대해서는 구글이 직접 개입할 권한이 없기 때문에 보안 문제를 발생하더라도 적극적으로 개입하기가 어려웠다. 이런 문제를 개선하기 위해 내놓은 방안이 APVI인 셈이다.

구글은 APVI 운영 소식과 함께 회사가 그 동안 서드파티 기기에서 여러 보안 문제를 발견, 문제 해결에 기여해온 사례들을 소개했다.

타사 무선 소프트웨어 업데이트(OTA) 솔루션에서 발견된 권한 우회 취약점을 사례로 들었다. 해당 솔루션이 APK 자동 설치 및 제거, 앱 활성화·비활성화, 앱 사용 권한 부여 등의 중요 API에 대한 접근을 허용했다는 것. 구글은 취약점이 발견된 기기 제조사에 해당 문제를 알리고 보안 문제 해결에 대한 지침을 제공했다고 설명했다.

관련기사

자격증명 정보를 유출한 사례도 있었다. 서드파티 기기에 선탑재된 웹 브라우저의 패스워드 관리 기능이 문제가 됐다. 공격자가 악성 사이트를 통해 사용자의 자격 증명 정보에 접근할 수 있었다. 구글은 현재 해당 문제를 보완한 업데이트가 배포됐다고 밝혔다.

그 외 일부 기기에서 특정 앱에 대해 과도한 권한 접근을 허용하는 코드도 발견했다고 언급했다.