IT 관리 / 디지털 디바이스 / 모바일 / 보안 / 안드로이드 / 태블릿

저가형 안드로이드 태블릿, 기업 보안 '구멍'

Maria Korolov | Network World 2014.12.03
블랙 프라이데이와 사이버 먼데이에 구입한 초저가형 안드로이드 태블릿을 기업용으로 사용하기에는 보안 측면에서 문제가 있다고 한 보안전문가가 말했다.

블루박스 시큐리티(Bluebox Security)의 수석 보안 애널리스트인 앤드류 블라이치는 "이와 같은 저가형 안드로이드 태블릿에는 취약점이나 개방형 백도어가 탑재될 가능성이 높다"고 말했다.

가장 낮은 점수를 받은 기기는 49.99달러에 판매되고 있는 콜(Kohl)의 제키(Zeki)로, USB 디버깅이 기본으로 설정돼 있고, 보안 백도어와 4가지의 주요 보안 취약점이 발견됐다. 이 취약점에는 마스터키, 가짜 ID, 하트 블리드 및 퓨텍스(Futex)가 있었으며, 제키에는 구글 플레이 스토어가 탑재되지 않았다.

구글의 공식 앱스토어에 액세스할 수 없다는 것은 제키가 구글의 보안 인증을 통과하지 못했다는 것과 신뢰도가 떨어지는 서드파티 앱 스토어에서만 앱을 내려받도록 강제한다는 것을 의미한다.

블라이치는 "제키는 전체 안드로이드 태블릿 가운데 최악의 태블릿이다"고 기술했다.

블라이치에 따르면, 일부 제조업체는 정식 절차를 무시하고, 최신 버전이 아닌 안드로이드를 탑재하기 때문에 패치되지 않은 취약점이 발견되는 것이라고 덧붙였다. 또한, 사전 탑재 앱을 좀 더 쉽게 다루기 위해 기기에 루트 액세스를 허용하며, 이와 같은 보안 관련 문제를 간과하고 제품을 판매하는 것으로 알려졌다.

그 외에 낮은 점수를 받은 기기는 월마트에서 팔린 워리프리 지패드(Wyrryfree Zeepad)와 월그린(Wallgreens)의 폴라로이드(Polaroid)로, 모두 50달러 미만에 판매된 제품이다.

베스트바이(BestBuy)의 디지랜드(DigiLand) 태블릿은 점수를 산정할 수 없을 정도로 보안 위험도가 컸다. 디지랜드는 해커가 손쉽게 트로이목마 시스템 업데이트를 하도록 허용하며, USB 디버깅 연결 루트 권한을 가지며, 퓨텍스 버그에 취약한 것으로 조사됐다.

39달러에서 69달러 사이에 판매된 일부 태블릿은 잘 알려진 취약점만 가지고 있어 '절반 수준으로 신뢰할 수 있다'고 평가받았다. 월마트에서 판매되는 넥스트북(Nextbook), 파이오니어 7, 에마틱(Ematic), RCA9과 타깃(Target)의 RCA 머큐리(Mercury) 7, K마트의 마하 스피드 익스트림 플레이(Mach Speed Xtreme Play from Kmart), 스테이플스(Staples)의 마사 스피드 Jlab 프로와 프레드의 크레이그(Craig) 7이 여기에 해당한다.

블라이치는 “이와 같은 기기를 온라인에서 구매하거나 서드파티 앱스토어에서 악성 코드가 심어진 앱을 내려 받는 경우가 많기 때문에 사용자는 보안 위협에 쉽게 노출된다”고 덧붙였다.

만일 사용자가 이와 같은 기기를 기업 시스템에 액세스하는 용도로 사용할 경우, 고용주는 잠재적인 위험에 노출될 수도 있다는 우려도 나온다.

블라이치는 "보안 구멍이 뚫린 기기에 설치한 앱은 기업 데이터를 훔쳐가는 데 악용될 수 있다"며, "메일 계정 또한 취약해질 수 있다"고 말했다.

블라이치는 구글 공식 앱스토어에서 악성코드 방지 앱을 설치하는 것을 권고했다. AVG 안티바이러스와 룩아웃(Lookout) 등의 앱을 내려받으면 된다.

블루박스 시큐리티도 기기의 보안 점수를 측정하는 앱인 트러스터블(Trustable)를 제공한다. 블라이치는 "트러스터블은 자신이 사용하는 기기의 보안 점수를 높이고, 일부 보안 문제를 해결할 수 있도록 해준다"고 덧붙였다.

한편, 100달러 미만의 모든 태블릿이 낮은 점수를 받지 않았다는 점이 눈길을 끈다.

99달러의 삼성 갤럭시 탭 3 라이트는 최신 버전이 아닌 안드로이드 킷캣 4.4.2를 탑재했음에도 불구하고, 상당히 높은 점수를 획득했다.

블리어치는 "삼성 갤럭시 탭 3 라이트는 최신 운영체제를 탑재하지 않았는데, 이보다 더 높은 버전을 탑재한 나머지 태블릿은 대다수 이보다 낮은 점수를 기록했다"며, "무조건 저렴한 가격의 태블릿을 구매하기보다는, 유명한 브랜드의 제품을 구매하는 것이 보안 측면에서 봤을 때 사용자에게 이득이다"고 설명했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.