최신 스마트폰, 보안 취약점이 200개
상태바
최신 스마트폰, 보안 취약점이 200개
  • 김인순 보안 전문 기자
  • 승인 2016.12.12 18:00
  • 댓글 0
이 기사를 공유합니다

최신 안드로이드 스마트폰이 평균 200여개 보안 취약점에 노출된 채 판매된 것으로 드러났다. 일부 취약점은 해커가 사용자 몰래 스마트폰 권한을 획득해 악성코드를 설치한 후 모든 활동을 감시할 수 있어 치명적이다.

고려대 소프트웨어보안 국제공동연구센터(센터장 이희조)는 최신 스마트폰 3종을 검사하고 안드로이드 펌웨어 보안 개선이 시급하다고 밝혔다. 국제공동연구센터는 삼성전자 갤럭시S7, LG전자 V20, 화웨이 P9 등 3종의 최신 안드로이드 스마트폰을 조사했다. 애플 아이폰은 펌웨어가 공개되지 않아 대상에서 제외했다.

최신 안드로이드 스마트폰에 200개가 넘는 보안 취약점이 그대로 방치된채 출시되는 것으로 드러났다. ⓒ게티이미지뱅크
최신 안드로이드 스마트폰에 200개가 넘는 보안 취약점이 그대로 방치된채 출시되는 것으로 드러났다. ⓒ게티이미지뱅크
공동연구센터는 사물인터넷(IoT) 보안 취약점을 자동 분석하는 플랫폼 `IoT큐브`를 이용했다. 분석 결과 최근 국내 출시된 화웨이 P9에서 237개, 삼성전자 갤럭시S7 206개, LG전자 V20 156개 취약점이 발견됐다.

화웨이가 P9을 내놓고 국내 시장 공략을 시작했다.
화웨이가 P9을 내놓고 국내 시장 공략을 시작했다.
화웨이 P9에서 발견된 취약점 237개 중 심각도가 높은 것은 66개였다. 이들 취약점 중에는 발견된 지 8년 된 것이 12개나 있었다. 2013년 21개, 2014년 43개, 2015년 62개, 2016년 107개 등 이미 발견되지 오래된 취약점이 전혀 패치되지 않고 최신 스마트폰에 쓰였다. 이들은 모두 공식 보고된 취약점(CVE표준)이다.

화웨이 P9 취약점 분포도(자료:소프트웨어보안 국제공동연구센터)
화웨이 P9 취약점 분포도(자료:소프트웨어보안 국제공동연구센터)
갤럭시S7 역시 고위험도 취약점이 47개에 달했다. S7도 2008년 취약점 12개, 2013년 10개, 2014년 17개, 2015년 82개, 2016년 100개가 패치되지 않았다.

삼성전자 갤럭시S7 취약점 분포도(자료:소프트웨어보안 국제공동연구센터)
삼성전자 갤럭시S7 취약점 분포도(자료:소프트웨어보안 국제공동연구센터)
공동연구센터는 최신 스마트폰에서 200개가 넘는 알려진 보안 취약점이 발견되는 이유로 안드로이드 개발 생태계를 지목했다. 구글은 리눅스 커널을 기반으로 안드로이드 OS를 개발했다. 리눅스 커널이 나온 후 다음 버전 안드로이드 OS를 개발할 때까지 최소 6~12개월이 소요된다.

LG전자 V20 취약점 분포도(자료:소프트웨어보안 국제공동연구센터)
LG전자 V20 취약점 분포도(자료:소프트웨어보안 국제공동연구센터)
스마트폰 제조사는 구글이 내놓은 안드로이드 OS를 가져다 다시 각 제품에 적합한 펌웨어를 개발한다. 이때 또다시 6~12개월이 걸린다. 하드웨어 최적화를 거쳐 해당 펌웨어를 담은 스마트폰이 시장에 나온다. 리눅스 커널 출시에서 스마트폰 출시까지 약 2년여가 소요된다.

이희조 공동연구센터장은 “리눅스 커널 출시 후 1~2년이 지나 스마트폰에 적용된다”면서 “최신 스마트폰이지만 오래된 커널이 쓰이는 생태계 구조”라고 설명했다. 그는 “오래된 커널은 당시 발견돼지 않았던 보안 취약점이 존재하며 나중에 패치가 나와도 제조사가 업데이트 없이 스마트폰에 넣는 경우가 대부분”이라고 덧붙였다. 이 센터장은 “리눅스 취약점이 발견되면 안드로이드 스마트폰 공격에 바로 적용된다”면서 “스마트폰 제조사가 제품 출시 전에 취약점을 줄이는 노력이 요구된다”고 강조했다.

안드로이드 스마트폰 보안 업데이트 인프라 개선도 시급하다. 구글이 패치를 제조사에 넘기면 각 단말기에 따라 최적화 업데이트 시간이 소요된다. 제조사가 각 제품에 맞춰 펌웨어를 수정해야 하기 때문에 신속한 보안 패치가 어렵다. 구형 OS는 아예 보안 패치를 지원하지 않는다.

고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`
고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`
[표]스마트폰 제조사별 취약점 분포 (자료:소프트웨어보안 국제공동연구센터)

김인순 보안 전문기자 insoon@etnews.com

최신 스마트폰, 보안 취약점이 200개


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사