퀄컴 칩을 사용하는 안드로이드 기기들의 새로운 보안 취약점이 공개되었다. 지난 주 미국에서 열린 DEF CON 24에서, 보안 리서치 업체인 Check Point는 퀄컴 드라이버에 존재하는 4개의 보안 이슈를 발표하며 Quadrooter라 명명했다. 이 중 두 개는 지난 7월과 8월 구글 넥서스에 패치가 적용되었으며 Android Security Bulletin에 공개되어 있으나, 나머지 두개는 아직 패치 여부가 불분명하다. Check Point에서 제공하는 앱을 통해 자신의 단말에 이 취약점이 존재하는지 확인할 수 있다.
Check Point에서는 약 9억개의 기기가 취약한 상태라고 발표했으나, 작년에 크게 이슈가 되었던 Stagefright 취약점과는 달리 이 취약점을 이용해 해커가 공격을 하기 위해서는 사용자가 악성 앱을 설치해야 한다. 따라서 구글 플레이 외 다른 경로를 통해 앱을 설치하지 않도록 주의한다면 이 취약점에 대해 크게 걱정할 필요는 없다.
[insight]스마트폰, 특히 안드로이드 OS의 보안 취약점은 워낙 많은 기기들에 영향을 미친다는 점에서 파장이 클 수밖에 없다. 이점을 활용해 각종 보안 리서치 업체들은 안드로이드의 보안 취약점을 찾아내고 발표하는데 경쟁적으로 뛰어들고 있다. 그 영향인지, 작년 Stagefright 이전까지는 일년에 한번 나올까말까 했던 크리티컬(critical) 레벨의 취약점 패치가 그 이후로는 지속해서 매달 여러개씩 나오고 있다. 문제는 패치가 만들어져도, 실제 이의 적용은 쉽지 않다는 것이다. Stagefright 취약점을 계기로 구글 및 일부 제조사들은 매월 보안 패치를 적용한 업데이트 버전을 내고 있으나, 안드로이드 전체 기기 중 이렇게 매월 업데이트를 받는 기기의 비율은 매우 적은 실정이다. 반면 보안 업데이트를 받지 못하는 기기를 사용하고 있는 사용자 입장에서는, 이렇게 취약점이 자꾸 공개되어 버리면 오히려 이를 이용한 해킹 공격이 늘어날 수 있다는 점에서 우려만 커지게 된다.
과연 이 문제를 근본적으로 해결할 방법이 있을까? 구글이 안드로이드 코드의 변경을 금지하고, 주요 보안 패치를 구글에서 직접 라이브 업데이트한다면 모를까, 지금처럼 칩셋 업체 및 제조사에서 커스터마이징을 하도록 허용하는 상황에서는 뾰족한 해결책이 나오지 않을 것 같다. 하지만 패치되지 않은 기기는 정말로 얼마나 위험한 것일까? Android Central에서 지적한 대로, 앱을 함부로 설치하지 않는 한 크게 우려할 것은 없다. 더구나 구글에서 Verify App이란 기능으로 구글 플레이 외에서 설치된 앱을 감시하고, 알려진 악성 앱으로 판명될 경우 실행시 경고를 띄워주고 있다. 따라서 너무 걱정할 필요는 없지만, 화면 잠금 설정이라든지, 출처를 알 수 없는 앱 설치 금지 등 기본적인 보안 준수 사항에는 언제나 주의를 기울이는 것이 좋다.[/insight]
관련기사: engadget, Android Central | 이미지 출처: ZDNet