화웨이 P9·삼성갤S7·LG V20 취약점 줄줄이 발견
최신 안드로이드 스마트폰이 평균 200여개 보안 취약점에 노출된 채 판매된 것으로 드러났다. 일부 취약점은 해커가 사용자 몰래 스마트폰 권한을 획득, 악성코드를 설치한 후 모든 활동을 감시할 수 있는 등 심각한 실정이다.
전자신문은 고려대 소프트웨어(SW)보안 국제공동연구센터(센터장 이희조)와 공동으로 최신 스마트폰 3종을 검사하고 안드로이드 펌웨어 보안 개선이 시급하다고 밝혔다. 삼성전자 갤럭시S7, LG전자 V20, 화웨이 P9 등 3종의 최신 안드로이드 스마트폰을 조사했다. 애플 아이폰은 펌웨어가 공개되지 않아 대상에서 제외했다.
전자신문은 공동연구센터가 개발한 사물인터넷(IoT) 보안 취약점 자동 분석 플랫폼 `IoT큐브`를 이용했다.
분석 결과 최근 국내 출시된 화웨이 P9에서 237개, 삼성전자 갤럭시S7 206개, LG전자 V20 156개 취약점이 발견됐다.
화웨이 P9에서 발견된 취약점 237개 가운데 심각도가 높은 것은 66개였다. 이들 취약점 가운데에는 발견된 지 8년 된 것이 12개나 있었다. 2013년 21개, 2014년 43개, 2015년 62개, 2016년 107개 등 이미 발견된 취약점이 전혀 패치되지 않은 채 최신 스마트폰에 쓰였다. 이들은 모두 공식 보고된 취약점(CVE표준)이다.
갤럭시S7 역시 고위험도 취약점이 47개에 달했다. S7도 2008년 취약점 12개, 2013년 10개, 2014년 17개, 2015년 82개, 2016년 100개가 패치되지 않았다.
공동연구센터는 최신 스마트폰에서 200개가 넘는 알려진 보안 취약점이 발견되는 이유로 안드로이드 개발 생태계를 지목했다. 구글은 리눅스 커널을 기반으로 안드로이드 운용체계(OS)를 개발했다. 리눅스 커널이 나온 후 다음 버전 안드로이드 OS를 개발할 때까지 최소 6~12개월이 소요된다.
스마트폰 제조사는 구글이 내놓은 안드로이드 OS를 가져다 다시 각 제품에 적합한 펌웨어를 개발한다. 이때 또다시 6~12개월이 걸린다. 하드웨어(HW) 최적화를 거쳐 해당 펌웨어를 담은 스마트폰이 시장에 나온다. 리눅스 커널 출시에서 스마트폰 출시까지 약 2년여가 소요된다.
이희조 공동연구센터장은 “리눅스 커널 출시 이후 1~2년이 지나 스마트폰에 적용된다”면서 “최신 스마트폰이지만 오래된 커널이 쓰이는 생태계 구조”라고 설명했다. 이 센터장은 “오래된 커널은 당시 발견되지 않은 보안 취약점이 존재하며, 나중에 패치가 나와도 제조사가 업데이트 없이 스마트폰에 넣는 경우가 대부분”이라고 덧붙였다. 이 센터장은 “리눅스 취약점이 발견되면 안드로이드 스마트폰 공격에 바로 적용된다”면서 “스마트폰 제조사가 제품 출시 이전에 취약점을 줄이는 노력이 요구된다”고 강조했다.
안드로이드 스마트폰 보안 업데이트 인프라 개선도 시급하다. 구글이 패치를 제조사에 넘기면 각 단말기에 따라 최적화 업데이트 시간이 소요된다. 제조사가 각 제품에 맞춰 펌웨어를 수정해야 하기 때문에 신속한 보안 패치가 어렵다. 구형 OS는 아예 보안 패치를 지원하지 않는다.
[표]스마트폰 제조사별 취약점 분포 (자료:IoT큐브)
<고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`>
김인순 보안 전문기자 insoon@etnews.com