안드로이드 스마트폰, 아직도 보안 위협에서 벗어나지 못하다

Stagefright 보안 취약점의 발견

보안 업체인 짐페리엄 모바일 시큐리티(Zimperium Mobile Security)는 2015년 7월달에 Stagefright라는 보안 취약점을 발견했다고 발표했습니다. 이 악성코드가 얼마나 위험하냐면 코드를 담은 영상 메시지를 보내면 단말기에 원격 접속할 수 있다고 합니다. 원격 접속을 한다는 것은 root 권한 외의 거의 모든 사용자 권한을 탈취한다는 것을 의미하기 때문에 매우 위험한데요, 이런 보안 취약점에 대해 구글은 두번의 시도(2015-08) 끝에 관련된 보안사항을 패치합니다.

안드로이드의 파편화가 가져온 느린 대응

그렇다면 무엇이 문제가 되느냐… 구글의 패치는 구글이 관리하는 Nexus에만 국한된 패치라는 점입니다. 안드로이드는 오픈 소스 OS입니다. 누구나 소프트웨어를 수정해서 배포할 수 있다는 점이죠. 이 말은 구글이 모든 단말기를 관리하는게 아니라 각 제조사가 각각의 핸드폰에 맞도록 안드로이드를 수정을 했기 때문에 이런 문제가 터지면 따로 보안패치를 해줘야 한다는 것이죠. 그렇기 때문에 이런 문제가 발생한지 7개월이 지난 지금도 대다수의 안드로이드 단말기는 이 Stagefright 위협에서 벗어나지 못했습니다.

이 사건 이후 구글이 넥서스 유저들을 위한 보안 업데이트를 매달 배포하겠다는 정책을 밝히자 삼성 또한 갤럭시 유저들에게 같은 정책을 시행한다는 소식을 알렸으나 아직까지 이 공약은 실행되지 않고 있습니다. 또한 삼성은 갤럭시 S6까지만 관련된 업데이트를 내 놓고 있는 상황입니다. 네덜란드에서는 삼성전자가 스마트폰 판매시 안드로이드 OS 업데이트 지원일정 고지 및 보안문제에 소홀했다는 이유로 네덜란드 최대 소비자보호단체로부터 소송당했다고합니다.

“삼성은 자사단말기의 82%를 업데이트해 주지 않았고, 단 18%만이 업데이트 지원을 받을 수 있는 단말기였다”
-더치 컨슈멘텐본드(The Dutch Consumentenbond)

그렇다면 우리는 무엇을 할 수 있는가

그렇다면 이 문제에서 벗어나기 위해서는 각 개개인은 어떻게 대응해야 할까요? 구글 플레이스토어에는 Stagefright 취약점을 발견할수 있는 앱이 출시되어 있습니다. 만약 가지고 계신 단말기가 최신형 단말기라면 귀찮으시더라고 안드로이드 버젼을 업데이트 해주면 됩니다. 하지만 자신의 단말기가 업데이트를 해도 취약점에서 벗어나지 못한다면 몇가지 방법이 있습니다

1. 구글 플레이 스토어에서 관련 진단 앱을 받는다
2. 자신의 핸드폰을 잠금설정 한다.(임시방편이지만…)
3. 앱이 취약점에 노출되었다고 알리면 관련된 조취를 취하고 정 안되면 초기화 한다.

삼성과 휴대폰 제조업체가 발빠른 대응을 해줬으면 좋겠네요

참고한 사이트

지페리엄 모바일 시큐리티

구글 2번만에 Stagefright 취약점 패치하다

삼성폰 모바일 업데이트 소홀, 피소