2018.03.16

안드로이드 보안 현황 “오레오만 빼고 대부분 아쉬움”…프로젝트 트레블 등 내년 기대

Michael Simon | PCWorld
구글이 안드로이드 보안에 대한 연례 보고서를 발표했다. 메시지는 분명하다. 최신 안드로이드 버전을 구동하는 디바이스가 가장 안전하다는 것이다. 구글 플레이 프로텍트나 인스턴트 앱과 같은 기능, 그리고 버그 현상금 프로그램과 머신러닝 등이 결합하면서 안드로이드 8은 “업계를 선도하는 강력한 보호 기능을 구현했다”는 것이 구글의 자평이다.



픽셀이나 갤럭시 S9 사용자라면 듣던 중 반가운 소식이다. 하지만 오레오 업데이트를 받을 가능성이 거의 없는 수백만 대의 안드로이드 폰 중 하나를 사용한다면, 보안과 관련해 가장 큰 문제는 파편화이다. 최신 조사에 따르면, 안드로이드 사용자 중 단 1%만이 오레오 폰을 사용하며, 각각 28% 정도가 누가와 마시멜로를 사용한다. 다시 말해 99%의 안드로이드 폰은 가장 안전한 상태가 아니라는 것이다.

물론 구글도 이런 상태를 바꾸고자 노력하고 있다. 새로운 안드로이드 버전이 발표될 때마다 구글은 보안을 강화해 왔다. 오레오 폰을 사용하는 1%라면, 축하할 일이다. 하지만 구글은 안드로이드 보안이 이제 고비를 넘겼다는 점에서 희망에 차 있다. 프로젝트 트레블(Project Treble)과 픽셀을 통해 안드로이드 P에서는 최신 안드로이드를 구동하는 디바이스가 기하급수적으로 증가할 것이기 때문이다. 다음 보고서에서는 최신 안드로이드 버전을 사용하는 디바이스의 비중은 10% 이상으로 증가할 수 있다.

여기에 순정 안드로이드와 수년간의 최신 업데이트를 보장하는 안드로이드 고(Android Go)와 안드로이드 원(Android One)이 가세하며, 증가세는 더욱 뚜렷해질 것이다.

출처에서의 보호
모든 안드로이드 폰이 엄격한 보안의 혜택을 얻을 수 있는 영역은 구글 플레이 스토어이다. 지난해 구글은 구글 플레이 프로텍트란 새로운 보안 기능으로 플레이 스토어를 업데이트했다. 백그라운드 프로세스가 기본값으로 활성화되며, 보안 스위트가 자동으로 앱 다운로드 전에 안전을 점검하고, 어떤 잠재적인 위험도 사용자에게 알려준다.

구글에 따르면, 사용자가 플레이 스토어에서 악성 앱을 다운로드할 가능성은 지난 해 0.4%에서 절반으로 줄어든 0.2%였다. 숫자가 이미 극히 낮기는 하지만, 구글은 2017년에 플레이 스토어에서 악성 앱을 다운로드할 확률은 “운석이 지구에 떨어질 확률보다 낮다”고 강조했다. 여기에 더해 다운로드하지 않고 바로 사용할 수 있는 인스턴트 앱의 확산 역시 사용자의 디바이스에 유해한 코드를 설치할 가능성을 낮추는 데 일조했다.

구글 플레이 프로텍트와 인스턴트 앱은 롤리팝 버전부터 사용할 수 있지만, 지난 해 구글이 구현한 다른 보안 강화 기능의 대부분은 오레오에 한정된다. 주요 보안 기능으로는 더 강화된 암호화와 키 스토리지, 엄격해진 샌드박스, 커널 자체 보호, AVB(Android Verified Boot)의 업데이트 버전 등이 있다.



하지만 안드로이드 8 오레오 보안의 가장 큰 변화는 플레이 스토어 외으 앱도 다룬다는 것이다. 기존에는 사용자가 출처가 불명확한 앱 설치 여부를 쉽게 전환할 수 있었지만, 오레오에서는 백그라운드 승인 기능이 자동으로 실행된다. 따라서 사용자가 인지하지 못한 채로 이 기능을 전환할 수 없으며, 악성 앱 역시 할 수 없다.

구글은 또한 버그 현상금 프로그램으로 125만 달러 이상을 사용했지만, 치명적인 오레오 취약점은 극히 드물었다. 사실 구글은 2017년 모바일 Pwn2Own에서 어떤 취약점도 구글 픽셀 디바이스를 성공적으로 감염시키지 못했다고 보고한 바 있다.

기대를 모으는 프로젝트 트레블
전체적으로 볼 때 상황은 조금씩 좋아지고 있다. 안드로이드 업데이트는 여전히 느린 도입률을 보이지만, 구글의 프로젝트 트레블이 안드로이드 P를 구동하는 디바이스의 수를 대폭 늘려줄 수 있기 때문이다. 오레오의 특징도 제조업체가 업데이트를 좀 더 쉽게 제공할 수 있도록 하기 때문에 안드로이드 8을 구동하는 디바이스는 안드로이드 9로 좀 더 빨리 업데이트할 수 있을 것이다.

프로젝트 트레블은 업데이트 버전을 전달하는 방식을 완전히 바꿔 놓는다. 프로젝트 트레블은 시작부터 제조업체에 오레오에서 안드로이드 P로 업데이트하는 명확한 방법을 제공해 여러 단계의 과정을 단 하나로 통합한다. 또한 다양한 하드웨어 조정에도 매끄럽게 대응하기 때문에 만약 삼성이라면 갤럭시 S9뿐만 아니라 수많은 자사 제품에 업데이트를 배포할 수 있다. 물론 아직은 오레오를 구동하는 디바이스에 한정된 이야기지만, 좋은 출발이 아닐 수 없다.

이상의 내용을 종합하면, 내년 안드로이드 보안 보고서는 완전히 장밋빛일 것이다.  editor@itworld.co.kr


2018.03.16

안드로이드 보안 현황 “오레오만 빼고 대부분 아쉬움”…프로젝트 트레블 등 내년 기대

Michael Simon | PCWorld
구글이 안드로이드 보안에 대한 연례 보고서를 발표했다. 메시지는 분명하다. 최신 안드로이드 버전을 구동하는 디바이스가 가장 안전하다는 것이다. 구글 플레이 프로텍트나 인스턴트 앱과 같은 기능, 그리고 버그 현상금 프로그램과 머신러닝 등이 결합하면서 안드로이드 8은 “업계를 선도하는 강력한 보호 기능을 구현했다”는 것이 구글의 자평이다.



픽셀이나 갤럭시 S9 사용자라면 듣던 중 반가운 소식이다. 하지만 오레오 업데이트를 받을 가능성이 거의 없는 수백만 대의 안드로이드 폰 중 하나를 사용한다면, 보안과 관련해 가장 큰 문제는 파편화이다. 최신 조사에 따르면, 안드로이드 사용자 중 단 1%만이 오레오 폰을 사용하며, 각각 28% 정도가 누가와 마시멜로를 사용한다. 다시 말해 99%의 안드로이드 폰은 가장 안전한 상태가 아니라는 것이다.

물론 구글도 이런 상태를 바꾸고자 노력하고 있다. 새로운 안드로이드 버전이 발표될 때마다 구글은 보안을 강화해 왔다. 오레오 폰을 사용하는 1%라면, 축하할 일이다. 하지만 구글은 안드로이드 보안이 이제 고비를 넘겼다는 점에서 희망에 차 있다. 프로젝트 트레블(Project Treble)과 픽셀을 통해 안드로이드 P에서는 최신 안드로이드를 구동하는 디바이스가 기하급수적으로 증가할 것이기 때문이다. 다음 보고서에서는 최신 안드로이드 버전을 사용하는 디바이스의 비중은 10% 이상으로 증가할 수 있다.

여기에 순정 안드로이드와 수년간의 최신 업데이트를 보장하는 안드로이드 고(Android Go)와 안드로이드 원(Android One)이 가세하며, 증가세는 더욱 뚜렷해질 것이다.

출처에서의 보호
모든 안드로이드 폰이 엄격한 보안의 혜택을 얻을 수 있는 영역은 구글 플레이 스토어이다. 지난해 구글은 구글 플레이 프로텍트란 새로운 보안 기능으로 플레이 스토어를 업데이트했다. 백그라운드 프로세스가 기본값으로 활성화되며, 보안 스위트가 자동으로 앱 다운로드 전에 안전을 점검하고, 어떤 잠재적인 위험도 사용자에게 알려준다.

구글에 따르면, 사용자가 플레이 스토어에서 악성 앱을 다운로드할 가능성은 지난 해 0.4%에서 절반으로 줄어든 0.2%였다. 숫자가 이미 극히 낮기는 하지만, 구글은 2017년에 플레이 스토어에서 악성 앱을 다운로드할 확률은 “운석이 지구에 떨어질 확률보다 낮다”고 강조했다. 여기에 더해 다운로드하지 않고 바로 사용할 수 있는 인스턴트 앱의 확산 역시 사용자의 디바이스에 유해한 코드를 설치할 가능성을 낮추는 데 일조했다.

구글 플레이 프로텍트와 인스턴트 앱은 롤리팝 버전부터 사용할 수 있지만, 지난 해 구글이 구현한 다른 보안 강화 기능의 대부분은 오레오에 한정된다. 주요 보안 기능으로는 더 강화된 암호화와 키 스토리지, 엄격해진 샌드박스, 커널 자체 보호, AVB(Android Verified Boot)의 업데이트 버전 등이 있다.



하지만 안드로이드 8 오레오 보안의 가장 큰 변화는 플레이 스토어 외으 앱도 다룬다는 것이다. 기존에는 사용자가 출처가 불명확한 앱 설치 여부를 쉽게 전환할 수 있었지만, 오레오에서는 백그라운드 승인 기능이 자동으로 실행된다. 따라서 사용자가 인지하지 못한 채로 이 기능을 전환할 수 없으며, 악성 앱 역시 할 수 없다.

구글은 또한 버그 현상금 프로그램으로 125만 달러 이상을 사용했지만, 치명적인 오레오 취약점은 극히 드물었다. 사실 구글은 2017년 모바일 Pwn2Own에서 어떤 취약점도 구글 픽셀 디바이스를 성공적으로 감염시키지 못했다고 보고한 바 있다.

기대를 모으는 프로젝트 트레블
전체적으로 볼 때 상황은 조금씩 좋아지고 있다. 안드로이드 업데이트는 여전히 느린 도입률을 보이지만, 구글의 프로젝트 트레블이 안드로이드 P를 구동하는 디바이스의 수를 대폭 늘려줄 수 있기 때문이다. 오레오의 특징도 제조업체가 업데이트를 좀 더 쉽게 제공할 수 있도록 하기 때문에 안드로이드 8을 구동하는 디바이스는 안드로이드 9로 좀 더 빨리 업데이트할 수 있을 것이다.

프로젝트 트레블은 업데이트 버전을 전달하는 방식을 완전히 바꿔 놓는다. 프로젝트 트레블은 시작부터 제조업체에 오레오에서 안드로이드 P로 업데이트하는 명확한 방법을 제공해 여러 단계의 과정을 단 하나로 통합한다. 또한 다양한 하드웨어 조정에도 매끄럽게 대응하기 때문에 만약 삼성이라면 갤럭시 S9뿐만 아니라 수많은 자사 제품에 업데이트를 배포할 수 있다. 물론 아직은 오레오를 구동하는 디바이스에 한정된 이야기지만, 좋은 출발이 아닐 수 없다.

이상의 내용을 종합하면, 내년 안드로이드 보안 보고서는 완전히 장밋빛일 것이다.  editor@itworld.co.kr


X