보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

삼성 갤럭시 스마트폰, 3연속 악재 터졌다! 치팅 → 백도어 → 해킹

입력 : 2022-03-06 01:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
스마트폰의 강자 삼성이 최근 소비자들의 뜨거운 관심을 받고 있다. 하지만 그 관심의 색깔은 삼성이 원치 않았던 것일 가능성이 높아 보인다. 제대로 된 대처가 없다면 소비자들의 실망이 더 커질 상황이다.

[보안뉴스 문가용 기자] 최근 신규 스마트폰과 태블릿 라인업을 발표하여 모바일 기기 시장에서 많은 집중을 받고 있던 삼성이, 최근 세 가지 이슈가 연속해서 터지면서 그 어느 때보다 소비자들의 입에 빈도 높게 오르내리고 있는 상황이다. 언팩 행사를 하며 “역대 갤럭시 S 시리즈 중 가장 주목받는 제품이 될 것”이라는 예언이 정말로 이뤄지고 있는 것이다. 하지만 삼성으로서는 ‘원치 않는’ 방향에서의 관심이 높아지고 있어 이 바람이 얼른 지나가기를 기다리고 있을지도 모르겠다.

[이미지 = utoimage]


1. ‘치팅’ 논란
최근 발표된 삼성 갤럭시 스마트폰 S22은 이른 바 ‘치팅 논란’에 휩싸여 있다. 안드로이드 기반 스마트폰 중에서는 최고 수준에 속하는 성능을 가지고 있으면서도 발열까지 잡았다고 광고를 했었는데, 알고 보니 기기 성능 테스트를 하는 애플리케이션(예 : 긱벤치)을 돌릴 때만 최고 성능이 발휘되게 하고, 게임이나 인스타그램 등 일반 애플리케이션을 실행시킬 때는 성능을 강제로 낮추고 있었다는 것이 사용자들을 통해 발견된 것이다.

이는 게임 최적화 서비스(GOS: Game Optimization Service)라는 기능과 관련된 내용이다. ‘게임 최적화 서비스’는 이전 갤럭시 스마트폰 시리즈에도 탑재되어 있던 기능으로, 발열로 인한 기기 성능 저하 등을 방지하기 위해 프로세서 파워나 전력 소모가 심한 앱(고사양 게임 등)을 실행시킬 때 강제로 기기의 성능 일부를 제한시키는 역할을 담당한다. 특정 상황에서 강제로 기기 성능을 낮춤으로써 기기가 지나치게 뜨거워지면서 생기는 각종 부작용들을 막는 것이다.

하지만 인터넷 커뮤니티의 여러 사용자들과 테크 분야 전문 유튜버들에 의하면 S22는 이 기기 성능을 낮춰도 지나치게 낮췄다고 한다. 일부 테스트에서는 2세대 전 모델보다도 못한 성능이 나오도록 제한이 걸리는 것으로 나오기도 했다. 그러면서도 기기의 성능을 점수로 표현해 주는 성능 테스트 앱에서는 아무런 제한이 없게 만들었다. 고사양 게임 등 높은 성능의 기기를 기대하는 사용자들은 이런 성능 테스트 앱을 실행시켜 점수를 확인하여 제품을 선택하는 경우가 많은데, 성능 테스트만 믿었다가는 원하는 성능으로 게임을 절대로 실행시킬 수 없는 상황이 된 것이다.

이를 두고 소비자들은 소비자 기만 행위라고 하며 분노하고 있다. 유명 테스트 앱인 긱벤치에서도 이 논란에 대하여 인지했고, 현재 테스트 결과 차트에서 S22가 사라진 상태다. 일단 긱벤치 측에서는 이를 ‘치팅’으로 인식하고 있다는 뜻이다.

2. ‘백도어’ 논란
위의 논란이 커지자 삼성은 “일부 게임 앱에서만 GOS가 발동되도록 해 두었다”고 해명했다. 하지만 이미 커뮤니티의 여러 갤럭시 스마트폰 사용자들이 ‘게임이 아닌 앱에서도 강제 성능 저하가 일어난다’는 입증 자료를 게시 및 공유하고 있던 상황이었다. GOS가 성능을 저하시키는 앱의 목록표도 인터넷 커뮤니티에서 쉽게 구할 수 있었다. 그러니 삼성이 눈에 뻔히 보이는 거짓말을 하는 것 아니냐는 여론이 형성될 수밖에 없었다.

그런 가운데 인터넷 커뮤니티인 ‘뽐뿌’의 한 사용자가 이상한 자료를 올렸다. 3월 4일 오후 9시 16분까지 인스타그램을 실행했을 때 기기의 성능이 크게 저하되었는데(긱벤치 기준 394점), 갑자기 그날 오후 10시 02분부터 성능이 복구되었다는 것이다(긱벤치 기준 1052점). ‘게임 외 앱에서는 성능 저하가 없다’는 해명을 사실로 만들기 위해 삼성이 GOS를 원격에서 제어한 것 아니냐는 의혹이 나오기 시작했다. 긱벤치의 개발자 존 풀(John Poole)도 트위터를 통해 “원격 제어 가능성이 있다”고 밝혔다.

이것이 만약 사실이라면 삼성은 소비자가 구매한 자사 제품을 원격에서 어느 정도 제어할 수 있다는 뜻이 된다. 즉 ‘백도어’를 제품에 심어둔 채 판매했다고 볼 수 있다는 것이다. 게다가 삼성 제품의 백도어 논란은 이전에도 있었다. 2021년 여름, 남아프리카공화국에서 폭도들이 시위를 벌이다가 여러 매장과 공장을 공격해 물건들을 죄다 훔쳐갔을 때 삼성 제품들도 강도들의 손에 다수 넘어갔다. 그 때 삼성 측은 “원격에서 스마트 TV를 벽돌로 만들 수 있다”고 발표했었다. TV에 설치된 TV블록(TV Block) 앱 때문에 가능한 일이었다.

TV블록 앱은 스마트 TV 제품들과 삼성 서버를 인터넷으로 연결시켜 주는 것으로, 연결과 함께 스마트 TV는 일련번호를 서버로 전송한다고 밝혀졌다. 만약 전송된 번호와 도난당한 제품이라고 등록된 번호가 일치하면 원격에서 TV의 모든 기능을 비활성화시킬 수 있게 된다. 이를 피해가려면 인터넷이 연결되지 않은 지역에서 스마트 TV를 사용해야 하는데, 그렇게 되면 사실상 스마트 TV의 정체성이 사라지는 것이나 다름없다. 이 때도 백도어 논란이 일었었다.

3. ‘해킹’ 논란
이렇게 일이 점점 커지는 가운데 해외 IT 매체인 블리핑컴퓨터가 삼성전자의 데이터 190GB가 유출됐다고 보도했다. 얼마 전 칩셋 제조사인 엔비디아를 해킹했던 해킹 그룹 랩서스(LAPSUS$)가 삼성 내부에서 민감할 수 있는 정보들을 탈취했다는 내용이었다. 여기에는 중요 기밀 중 하나인 소스코드도 포함되어 있다고 랩서스는 주장했다. 랩서스는 이 정보를 P2P를 통해 유포하고 있고, 다운로드가 활발히 진행되고 있는 것으로 보인다.

아직 확인되지는 않았지만 랩서스의 주장에 따르면 이번에 유출된 정보 중에는 녹스와 생체인식, 부트로더의 소스코드와 삼성 기기 활성화 인증 서버 코드 및 삼성 계정 관련 코드들이 포함되어 있다고 한다. 물론 소스코드는 제품/서비스의 최종 출시 정보를 전부 가지고 있는 ‘최종 코드’와는 다르다. 즉, 최종 설계 도면이 아니라 최초의 청사진 정도에 불과한 것으로, 이것만으로 심각한 보안 이슈가 곧바로 터지지는 않는다.

다만 소스코드를 손에 쥔 자들이 이를 기초로 이리 저리 연구와 조사를 하면서 각종 보안 관련 매커니즘을 알아내는 건 가능할 수 있다. 즉, 당장 내일부터 삼성 갤럭시 S22 사용자들의 생체인증이 뚫리지는 않겠지만, 한 달 후에도 삼성 스마트폰의 보안성이 그대로 유지될지는 알 수 없다는 뜻이 된다. 또한, 이 소스코드가 경쟁사의 손에 넘어갈 경우 자체 연구나 개발 행위를 생략하고 경쟁력 있는 제품/서비스를 개발하는 것도 가능하다. 특히, 중국 스마트폰의 추월에 바짝 신경 써야 하는 삼성 입장에서는 악재일 수밖에 없는 소식이다.

아직 삼성 측에서는 이런 일련의 사건들을 두고 이렇다 할 발표를 하고 있지 않은 상황이고 사용자들의 분노는 식을 줄 모르고 있다. 직장인 커뮤니티인 블라인드에서 ‘삼성전자’라는 이름표를 달고 있는 사용자들조차 “아이폰 사라”거나 “사내 분위기 안 좋다”는 글들을 올리고 있다. 일부 ‘통화 녹음’ 기능과 ‘삼성페이’ 기능 의존도가 높은 사용자들 외에 해외에서나 국내에서나 옹호 여론을 찾기가 힘든 상황을 삼성이 어떤 식으로 극복할 것인지에 귀추가 주목되고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대