Home > 전체기사
미국서 유통되던 중국산 펌웨어에서 정보가 새나간다
  |  입력 : 2016-11-16 11:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
캐리어IQ 사태 또 벌어지나...다양한 정보, 상해로 전송돼
해당 업체는 “스팸 걸러내기 위한 것”...피해 규모 파악 불가능해


[보안뉴스 문가용 기자] 미국에서 판매되고 있는 안드로이드 스마트폰 중 일부에 설치된 펌웨어가 사용자의 개인정보 및 개인식별정보를 중국의 한 서버로 몰래 전송하고 있다는 사실이 밝혀졌다. 해당 스마트폰들은 아마존이나 베스트바이와 같은 메이저 온라인 소매업자들을 통해서도 판매되고 있던 것들이었다.


이 사실을 발견한 사람은 보안 전문업체인 크립토와이어(Kryptowire)의 직원으로, 해외 여행용으로 마이애미의 블루 프로덕츠(BLU Products)에서 현금으로 산 스마트폰(대포폰으로 추정됨)에서 이상한 점을 느끼기 시작했다고 한다. “기기 세팅을 시작했는데, 네트워크 활동 패턴이 조금 이상하더군요. 여기저기를 막 쑤신다는 느낌이었어요.”

그 직원은 이 문제를 더 깊이 파보기 시작했다. 그리고 폰에 설치된 펌웨어가 기기에 저장되어 있는 각종 데이터와 사용자 정보를 활발하게 어디론가 전송하고 있다는 걸 발견했다. 전송되는 정보에는 문자 메시지, 연락처, 통화 기록 등이 포함되어 있었고, 이 정보들을 받는 서버는 상해에 위치해 있었다.

크립토와이어는 “원격에서 명령을 실행해 시스템 권한을 상승시키는 공격도 할 수 있으며 이를 통해 기기를 다시 프로그래밍 하는 것도 가능하다”고 발표했다. 이는 2011년, 지금은 사라진 캐리어IQ라는 업체에서 만든 기기들이 사용자의 동의 없이 각종 데이터를 수집해 해외로 전송한 사실이 드러나 큰 소란을 일으켰던 사건을 떠오르게 한다. 물론 수사 결과 기기의 네트워크 연결 속도 및 성능을 모니터링하기 위한 것으로 밝혀지긴 했지만 사용자 모르게 정보를 전송했다는 사실 자체만으로 캐리어IQ는 사업을 접어야 했다.

이번에 크립토와이어가 발견해 분석한 이상 현상은 안드로이드 기기용 펌웨어인 아둡스(Adups)에서 나타났다. 아둡스 펌웨어가 수집한 정보는 다양한 계층의 암호화 툴을 통해 암호화가 된 뒤 보안이 강화된 웹 프로토콜을 통해 상해로 전송되는 것으로 밝혀졌다. 문자 메시지와 통화 기록은 72시간에 한 번 꼴로 전송되었고, 개인식별정보 등은 24시간에 한 번씩 보내졌다. 수입 과정에서 기기에 대한 점검만 하고, 펌웨어 보안 분석은 상세히 하지 않기 때문에 이러한 상태로 미국에서 유통된 것으로 보인다.

한편 해당 서버를 가지고 있던 상해의 회사는 상해 아둡스 테크놀로지(Shanghai Adups Technology Co., Ltd.)인 것으로 밝혀졌다. 해당 기업의 웹 사이트의 공식 소개에 의하면 종단간 기기 관리 서비스를 위한 펌웨어 서비스 제공 업체라고 하며, 400개가 넘는 이동통신사와 기기 제조사, 반도체 회사들이 아둡스의 서비스를 이용하고 있으며 7억명이 넘는 사용자들이 아둡스에서 만든 펌웨어를 사용 중에 있다고 한다.

크립토와이어의 분석 결과에 대해 상해 아둡스는 “블루에서 판매된 안드로이드 기기들에 그런 펌웨어가 설치된 건 실수에 의한 것으로, 해당 펌웨어 및 기능은 이름을 밝힐 수 없는 특수 고객들만을 위한 것이었다”고 설명했다. “그 고객들은 스팸 메시지나 전화를 알아서 걸러주는 펌웨어를 원했습니다. 그래서 기기로 들어오는 문자 메시지나 통화 기록 정보를 수집해서 전송받은 후 뒷단에서 이를 분석해야만 했습니다.”

또한 아둡스는 이미 올해 6월에 엉뚱한 펌웨어가 미국의 블루 프로덕츠에게 흘러들어간 사실을 파악했으며, 펌웨어를 서둘러 업데이트해서 모니터링 기능을 비활성화 시켰다고 설명했다. 그러므로 크립토와이어가 제기한 문제는 사실상 지나간 문제라고 주장한 것이다. “그 동안 이 기능을 통해 전송된 문자 정보 및 통화 기록 등은 전부 삭제된 상태입니다.”

블루 프로덕츠의 CEO인 사무엘 오헤브시온(Samuel Ohev-Zion)은 뉴욕타임즈를 통해 “크립토와이어가 발표하기 전까지 전혀 모르던 사실”이라고 설명했다. 블루 프로덕츠에서 판매했거나 하고 있는 기기들 중 약 12만 대가 이 문제에 영향을 받고 있다고 한다. 하지만 사무엘은 아둡스의 설명대로 “이미 펌웨어 업데이트를 통해 해결되었거나 해결할 수 있는 문제라고 본다”고 말하기도 했다.

크립토와이어의 부회장인 톰 카리지아니스(Tom Karygiannis)는 “사실 블루 프로덕츠를 통해 판매된 제품 외에도 많은 안드로이드 핸드폰에 이 문제가 있을 것”이라며, “안드로이드 폰 전량을 수거해 조사해볼 수도 없는 노릇”이라고 덧붙였다. “저희가 조사한 건 블루 프로덕츠라는 유통 회사 한 군데뿐입니다. 하나 조사했는데 이런 문제가 나왔다면, 다른 제조사 및 유통사에서도 같은 문제를 발견할 가능성이 높다는 겁니다.”

아직 아둡스 측은 ‘블루 프로덕츠와만 거래했는가? 다른 거래처가 미국에 또 있는가?’라는 질문에 답을 하고 있지 않은 상태다. “전문가라는 저희조차 세심한 분석 끝에 파악하고 발견해낸 문제점입니다. 일반 사용자가 자신의 펌웨어에 있는 문제점을 발견할 가능성은 매우 낮습니다. 그렇다면 이 문제를 신고할 수도 없고, 신고가 없으니 피해 규모 파악 및 보안 업데이트 적용 확인도 어렵습니다. 지금으로선 이런 정보 유출 문제가 안드로이드 환경 내에 존재한다는 걸 알리는 것만이 우리가 할 수 있는 일입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상