악몽 같은 달을 보내고 있는 안드로이드의 취약점 행보

스테이지프라이트에서 계속 파생되는 치명적인 취약점들

그나마 다행인건 아직까지 크게 악용되지 않았다는 사실

[보안뉴스 주소형] 2015년 8월, 안드로이드는 악몽 같은 시간을 보내고 있다. 월초 블랙햇(Black Hat)에서 드러난 ‘스테이지프라이트(Stagefright)’ 취약점을 기점으로 치명적인 취약점들이 줄줄이 사탕으로 발견되고 있다. 스테이지프라이트 취약점은 안드로이드 기기의 멀티미디어 엔진에서 익스플로잇 되는데 전 세계 안드로이드 기기 95%에 영향을 미쳐 모바일계의 하트블리드 취약점이라는 별명을 얻기도 했다.

▲ 빨리빨리 패치하자

그런데 문제는 스테이지프라이트가 워낙에 역대급 취약점이다보니 거기서 파생되는 취약점들도 대거 등장하고 있다는 것. 게다가 그렇게 발견되는 취약점들 하나하나가 모두 패치하기 어려울 정도로 위험도가 높아 상황은 계속 악화되고 있다. 물론 스테이지프라이트 취약점이 완벽히 패치 되지 않았으니 당연한 파급효과다.

이런 상황에서 한 줄기 빛 같은 소식도 있다. 아직까지 공격자들이 해당 취약점들을 악용한 사례가 감지되지 않았다는 것. 하지만 아마도 남은 시간이 그리 길지는 않을 것으로 예상되고 있다. 이에 이번 달 안드로이드 기기에서 발견된 치명적인 주요 취약점들의 행보를 쫒았다.

가장 최근에 발견되었던 순으로 살펴보면, 바로 이번 주였는데, 트렌드마이크로(Trend Micro) 연구원들이 안드로이드 미디어서버에 있는 오디오어펙트(AudioEffect)에서 발견된 취약점 CVE-2015-3842에 대해 발표한 것이다. 이 또한 스테이지프라이트 취약점에서 파생된 취약점으로 안드로이드 기기 2.3-5.1.1 버전에 영향을 미치며 임의의 코드 실행을 가능하게 된다. 결국 공격자가 사용자 기기의 카메라, 사진, 비디오 등과 같은 미디어서버에 접속이 가능해져 별도의 승인 단계 없이 사용자의 파일을 마음대로 작동할 수 있다.

두 번째는 지난 주 유즈닉스(USENIX) 컨퍼런스에서 파이어아이(FireEye) 연구원들에 의해 드러난 취약점으로 한 번에 여러 프로세스들이 실행되는 취약점이다. 이로 인해 공격자가 안드로이드 기기에 테스크 하이제킹(task-hijacking) 공격과 유저 모니터링(user-monitoring) 공격을 가해 사용자의 인터페이스를 스푸핑 하고 서비스 거부를 할 수 있게 된다. 결국 공격자는 사용자의 로그인 정보 탈취, 랜섬웨어 설치, 사용자 활동 감시 등을 할 수 있다.

세 번째는 서티파이 게이트(Certifi-gate) 취약점이다. 이는 안드로이드의 커스터마이제이션 체인(customization chain)에서 발견된 취약점으로 모바일기기 상의 시스템 레벨 프러그와 모바일 원격 지원 툴(mRST) 사이를 관리하는 과정에서 발생되는 취약점이다. 서티파이 게이트를 통해 공격자는 악성 애플리케이션을 설치하여 사용자 몰래 기기 전체 통제가 가능하다. 물론 기기와 연결되어 있는 민감한 개인정보 및 기업 정보들까지 모두 접근이 가능하다는 것이다.

네 번째는 보안플랫폼인 트러스트존(TrustZone)을 우회하여 안드로이드 기기에 내장되어 있는 지문정보를 수집하는 취약점으로 파이어아이 연구원들에 의해 드러났다.

다섯 번째는 안드로이드 기기 4.0.1-5.1.1 버전에 영향을 끼치는 또 다른 미디어서버 취약점(CVE-2015-3823)으로 서비스 거부를 할 수 있게 하여 순환 반복적으로 리부트(reboot)할 수 있게 해준다.

마지막으로는 안드로이드 기기 4.3(JellyBean) 버전에서 5.1.1(Lollipop) 버전까지 있는 미디어서버(MediaServer)에 영향을 끼치는 취약점이 있다. 통화 및 스크린 등과 같은 기능을 불능으로 만들어 사실상 휴대폰으로서의 기능을 제거해버린다. 트렌드마이크로 연구원들은 해당 취약점이 랜섬웨어로 악용되기 안성맞춤이라고 우려했다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)