최신 스마트폰 보안 취약점 줄줄이 발견

화웨이 P9 · 삼성 갤S7 · LG V20 취약점이 200여개

최신 안드로이드 스마트폰이 평균 200여개 보안 취약점에 노출된 채 판매된 것으로 드러났다. 일부 취약점은 해커가 사용자 몰래 스마트폰 권한을 획득, 악성코드를 설치한 후 모든 활동을 감시할 수 있는 등 심각한 실정이다. 애플 아이폰은 펌웨어가 공개되지 않아 대상에서 제외했다.

분석 결과 최근 국내 출시된 화웨이 P9에서 237개, 삼성전자 갤럭시S7 206개, LG전자 V20 156개 취약점이 발견됐다. 화웨이 P9에서 발견된 취약점 237개 가운데 심각도가 높은 것은 66개였다. 이들 취약점 가운데에는 발견된 지 8년 된 것이 12개나 있었다. 2013년 21개, 2014년 43개, 2015년 62개, 2016년 107개 등 이미 발견된 취약점이 전혀 패치되지 않은 채 최신 스마트폰에 쓰였다. 이들은 모두 공식 보고된 취약점(CVE표준)이다.

<화웨이 P9 취약점 분포도(자료 : IoT큐브)>

갤럭시S7 역시 고위험도 취약점이 47개에 달했다. S7도 2008년 취약점 12개, 2013년 10개, 2014년 17개, 2015년 82개, 2016년 100개가 패치되지 않았다. 공동연구센터는 최신 스마트폰에서 200개가 넘는 알려진 보안 취약점이 발견되는 이유로 안드로이드 개발 생태계를 지목했다. 구글은 리눅스 커널을 기반으로 안드로이드 운용체계(OS)를 개발했다. 리눅스 커널이 나온 후 다음 버전 안드로이드 OS를 개발할 때까지 최소 6~12개월이 소요된다.

<삼성전자 갤럭시S7 취약점 분포도(자료 : IoT큐브)>

스마트폰 제조사는 구글이 내놓은 안드로이드 OS를 가져다 다시 각 제품에 적합한 펌웨어를 개발한다. 이때 또다시 6~12개월이 걸린다. 하드웨어(HW) 최적화를 거쳐 해당 펌웨어를 담은 스마트폰이 시장에 나온다. 리눅스 커널 출시에서 스마트폰 출시까지 약 2년여가 소요된다. 최신 스마트폰이지만 오래된 커널이 쓰이는 생태계 구조.

오래된 커널은 당시 발견되지 않은 보안 취약점이 존재하며, 나중에 패치가 나와도 제조사가 업데이트 없이 스마트폰에 넣는 경우가 대부분이고, 리눅스 취약점이 발견되면 안드로이드 스마트폰 공격에 바로 적용된다.

안드로이드 스마트폰 보안 업데이트 인프라 개선도 시급하다. 구글이 패치를 제조사에 넘기면 각 단말기에 따라 최적화 업데이트 시간이 소요된다. 제조사가 각 제품에 맞춰 펌웨어를 수정해야 하기 때문에 신속한 보안 패치가 어렵다. 구형 OS는 아예 보안 패치를 지원하지 않는다.

<LG전자 V20 취약점 분포도(자료 : IoT큐브)>

원문 출처 - http://www.etnews.com/20161212000380