보안 / 스마트폰 / 안드로이드

IDG 블로그 | 안드로이드 카메라 앱 취약점 논란의 ‘진짜 의미’ 4가지

JR Raphael | Computerworld 2019.11.22
이번 주 대거 쏟아진 안드로이드 카메라 앱의 보안 취약점에 관한 기사를 읽었는지 모르겠다. 카메라 앱을 통해 공격자들이 사용자의 삶을 염탐할 수 있다는 내용이다. 주요 기사들의 제목을 보면 다음과 같다.

• “수백만 명의 안드로이드 폰 카메라가 스파이웨어에 하이재킹됐다”
• “휴대폰 잠금 상태로 사진을 찍고 영상까지 촬영할 수 있는 안드로이드 취약점 발견”
• “비밀스럽게 사용자의 카메라에 액세스해 외부 서버에 영상을 업로드하는 안드로이드 취약점”

필자까지도 두렵게 만드는 상당히 무서운 제목들이지만, 사실관계를 과장한 다소 선정적인 제목들이다.

우선 이번에 발견된 취약점과 관련된 전후 관계를 살펴보자. 첵크막스(Checkmarx)라는 업체가 이번 주 특정 안드로이드 디바이스 제조업체의 카메라 앱에서 발견한 취약점의 자세한 내용을 기술한 보고서를 발표했다. 이 취약점은 체크막스의 연구원이 사용자 허락 없이 사진을 찍고 저장할 수 있는 앱을 만들 수 있도록 한다. 물론 이 취약점은 수백만 명의 사람들에게 영향을 끼친다.

그런데 일반적으로 이런 이야기에는 과장이 많게 마련이다. 그리고 이런 과장들은 이 이야기의 핵심을 놓치게 만들기 마련이다. 구체적으로 살펴보자.
 
ⓒ Getty Images Bank
 

1. 보고서 중심에 있는 앱은 PoC이지 실제 앱이 아니다

우선 이 보고서 전체가 보안 업체의 ‘데모’라는 점을 기억하자. 보안 연구원들은 악용 가능한 취약점을 적극적으로 찾는 게 일이고, 또 이것을 자사 제품을 홍보하는 데 사용한다. 즉, 실제로 데이터가 탈취된 것은 아니라는 이야기다.
 

2. (이론적으로) 무작위 앱을 다운로드하고 설치해야 한다

갑자기 휴대폰이 사진을 찍고 카스피 해에 있는 서버에 사진을 보내는 것이 아니다. 이 취약점은 아주 정교하게 개발된 ‘보조’ 앱으로만 익스플로잇 되는데, 이 앱은 또 사용자가 직접 휴대폰에 다운로드하고 설치해야 한다.

이런 앱은 실험 환경 외 실제 세계에는 존재하지 않는다. 그리고 있다 하더라도 사용자가 직접 이 앱을 다운로드하기 전까지는 아무 일도 일어나지 않는다.
 

3. 이미 구글과 삼성에 보고되어 패치된 버그다

체크막스는 이 취약점을 발견한 즉시 구글에 보고하고, 이어 영향이 있는 스마트폰 제조업체인 삼성에게도 보고했다. 두 회사는 모두 문제의 코드를 수정했고, 현재 이미 패치를 배포했다. 

보고서에서 언급한 영향이 있는 “수백만 대의 휴대폰”은 삼성 제품을 의미하는데, 다시 말하지만 이 취약점이 공개되기 전에 이미 패치가 완료됐다. 확인을 거치지 않은 일부 기사의 선정적인 제목과 달리 수백만 명이 이 취약점에 의해 위험한 상황이라는 증거는 어디에도 없다.
 

4. 보안이 소프트웨어를 발전시키는 방법을 보여준다

데스크톱 운영체제든 모바일 운영체제든 모든 플랫폼의 소프트웨어는 태생적으로 완벽하지 않다. 구글, 삼성, 애플, 그리고 그 어느 회사의 소프트웨어라도 취약점은 언제나 나타난다. 많은 회사가 사람들에게 돈을 주면서까지 자사 소프트웨어의 보안 취약점을 찾는 이유다. 그래야 수정을 하고 계속해서 프로그램을 강화할 수 있기 때문이다. 이는 끝이 없는 진화의 과정이며, 구글을 비롯한 모든 주요 소프트웨어 회사들의 이야기다. 

진짜 중요한 것은 식별된 문제에 대해 피해가 발생하기 전에 즉시 패치한다는 것이다. 이것이 바로 이번 이야기에서 확인한 것이다.
 

5. 업데이트의 중요성을 보여주는 사례다

구글과 삼성이 이 문제의 중심에 있지만, 체크막스는 이 취약점이 다른 휴대폰 제조업체의 카메라 앱에도 영향을 줄 수 있다고 전했고, 1개월 이상 전에 같은 정보를 “여러 업체에” 전달했다고 밝혔다.

다시 말하지만, 어떤 휴대폰도 실질적으로 위험하다고 생각할 이유가 없다. 하지만 휴대폰에 남겨두고 싶은 취약점도 아니다. 

무엇보다 이는 스마트폰 제조업체가 실제로 보안을 중요하게 생각하고 안드로이드의 월례 패치를 포함해 빠른 업데이트를 제공하는 것이 얼마나 중요한지 보여준다. 이런 보안 패치를 적절히 제공하지 않는 업체의 휴대폰을 사용 중이라면, 멋진 하드웨어나 브랜드 명성 등과 보안을 맞바꾼 것이나 다름없다. 

결론적으로 지금은 누군가 나 몰래 휴대폰 카메라로 내 삶을 들여다보지 않는다. 비밀리에 녹화되거나 공유되지 않을 가능성이 아주 좁다. 과장되고 선정적인 기사들 사이에서 약간의 비판적 사고만 견지한다면 공황 상태에 빠지지 않을 것이다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.