안드로이드 보안 패치 우회 가능해

'Stagefright 보안 헛점 여전해'

지 난 7월 문자 메시지를 수신하는 것만으로도 감염이 가능해 수십억대의 안드로이드 스마트폰이 위험에 노출되어 있다는 소식이 전해졌습니다. 그리고 구글은 곧바로 이 문제를 해결하기 위한 패치를 배포하기 시작했지만, 한 보안업체에 의하면 이 패치 역시 보안 헛점이 존재해 손쉽게 우회가 가능하다고 합니다.

이 사실을 발견한 보안업체 엑소더스 인텔리전스는 구글이 배포 중인 업데이트가 대중들에게 "보안에 대한 잘못된 인식을 심어줄 수 있다"고 주장했습니다.

구글은 대부분의 안드로이드 사용자들은 'ASLR(Address Space Layout Randomisation)'이라 불리우는 보안 기능에 의해 보호받고 있으며, 현존하는 90% 이상의 안드로이드 기기에 ASLR이 활성화되어 있어 불거진 이 보안 헛점에 노출되지 않을 것이라고 언급하였습니다. 

4월, 또다른 보안업체 짐퍼리움은 동영상이 첨부된 메시지를 보내는 것만으로도 상대방의 데이터와 앱 정보에 접근할 수 있는 버그를 발견해 구글에 이 사실을 알리고 직접 이 문제를 수정할 수 있는 패치를 제공하였습니다. 이 결함은 구글이 최신 안드로이드 버전에 패치를 적용한 뒤인 7월 대중들에게 알려졌습니다. 당시 구글은 이 보안 헛점을 악용한 사례는 한 건도 보고되지 않았다고 밝혔습니다.

그러나 엑소더스 인텔리전스는 Stagefright 패치를 손쉽게 우뢰할 수 있었고, 보안 헛점 역시 그대로 존재한다고 하였습니다. 엑소더스 인텔리전스는 자사 블로그에 "다수의 대중들은 지금 배포되고 있는 패치가 그들을 보안 위협으로부터 보호해줄 것이라고 생각하지만, 실상은 그렇지 않다"며 "Stagefright 보안 헛점은 보안 위협과의 더욱 힘겨운 싸움을 알리는 시작일 뿐이며, 수 많은 제조업체들이 소프트웨어를 변형해 사용하기 때문에 안드로이드에 이 문제를 해결할 수 있는 포괄적인 패치는 존재하지 않는다"고 주장했습니다.

안 드로이드는 오픈소스 운영체제로 스마트폰 제조업체가 소프트웨어를 변형해 기기에 탑재할 수 있습니다. 따라서 스마트폰 제조업체들은 출시된 스마트폰을 최신 버전으로 업데이트 해주어야할 의무가 있지만, 일부 업체는 안드로이드 자체를 커스터마이징하여 보안 패치를 적용하는데 시간이 더욱 걸릴 수 밖에 없는 등 그렇지 못한 상태입니다. 현재 최신 안드로이드 버전으로 작동하는 안드로이드 스마트폰은 전체의 2.6%에 불과한 실정입니다.

엑소더스 인텔리전스는 계속해서 "애플, 블랙베리 같은 타 제조업체는 하드웨어와 소프트웨어 모두를 컨트롤하기 때문에 보안 패치를 보다 빨리 제공할 수 있다"며 "구글은 패치에 결함이 있는 걸 120일 이전부터 알고 있었음에도 불구하고 고치지 않고 있다"고 주장하였습니다.

또 이 보안업체는 "4줄의 코드로 이루어진 패치는 (아마도) 배포되기 전 구글 엔지니어들에 의해 먼저 검수되었을 것이고, 구글마저 보안 헛점을 제대로 해결하지 못하는 모습을 보인다면 소비자들은 누구에 의지해야 하는 것이냐"며 반문하기도 하였습니다.