세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
안드로이드 생태계의 하드웨어 업체들, 거짓 패치 한다
  |  입력 : 2018-04-13 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
OS 패치는 오직 구글만...수많은 기기와 사용자 단에서의 호환성 문제 있어
하드웨어 제조사들, 패치가 잘 맞지 않으면 ‘거짓 패치’ 진행하기도


[보안뉴스 문가용 기자] 기기의 OS를 최신 버전으로 패치하지 않는 것은 보안의 관점에서는 그리 권장할만한 일이 아닌 것이 보통이다. 그러므로 업데이트가 되지 않은 기기가 마치 업데이트가 다 된 것처럼 사용자에게 거짓말을 하는 건 매우 좋지 않은 것이 된다. 그런데 많은 안드로이드 사용자들이 이런 ‘매우 좋지 않은’ 상황에 놓여 있다고 한다. 보안 연구원인 카스텐 놀(Karsten Nohl)과 자콥 렐(Jakob Lell)이 2년 동안 연구한 결과다.

[이미지 = iclickart]


놀과 렐은 안드로이드 생태계에서의 패치 관련 행태들이 정말 각양각색이라며, “모든 걸 완벽하게 업데이트 하는 경우도 있고, 끔찍하도록 패치를 안 하는 경우도 있다”고 말한다. 따라서 기기들의 상태도 정말 다양한데 그중 최악은 “업데이트가 된 것처럼 사용자에게 거짓말을 하는 기기”라고 말한다. 사용자의 경우 이런 기기의 거짓말을 간파할 방법이 거의 없다.

두 전문가는 약 1200대의 모바일 전화기 속 펌웨어를 분석 및 실험했다고 한다. 브랜드별로 보면 이들이 분석한 건 약 12개 업체이기도 하다. 안드로이드 운영체제에 대한 패치는 – 당연하지만 – 구글이라는 단 한 곳의 업체가 배포한다. 삼성과 모토롤라, ZTE나 TCL과 같은 모바일 기기 제조 업체들은 이 패치를 구글에서부터 받아 기기에 적용해야 하는데, 이 과정에 놓치는 것들이 있었다고 한다. 그냥 놓치는 것이 아니라 일부 제조사들은 패치가 최신 구글 패치가 적용됐다고 사용자에게 알리기도 했다.

사용자들 단계에서 패치를 제 때 적용하지 않는 것에 대해서는 이유가 있을 수 있다. 호환 문제 때문인데, 패치를 적용함으로써 기존에 사용하던 앱들이 작동을 멈추는 경우가 왕왕 발생한다. 기기 자체가 비정상적으로 작동을 하기도 하고, 사용이 불가능할 정도로 느려지는 경우도 있다.

중간의 기기 제조사들이 패치 일부를 적용하지 않는 이유는 무엇일까? 비슷하다. 안드로이드는 하나의 생태계로 굉장히 많은 하드웨어 제조사들이 이 환경에 머물고 있다. 구글이 중앙에서 패치를 발표하면 이 모든 하드웨어 제조사들은 전부 각자의 노력으로 이 패치를 자신의 기기에 적용시켜야 한다. 그런데 이 과정에서 특정 패치가 자신의 기기와 잘 호환되지 않는다는 것을 알게 되면 적용할 수가 없게 된다. 구글이 수많은 제조사들의 기기의 호환성을 점검하고 나서 패치를 발표할 수는 없다.

문제는, 이런 저런 사정으로 벤더들이 패치를 기기에 적용하지 못하게 되었는데도 최종 사용자에게 업데이트가 된 것처럼 거짓말을 하는 곳이 있다는 것이다. 실제로는 아무런 일이 일어나지 않는데 화면상에서는 패치가 적용되는 것처럼 나타날 때, 일반 사용자들은 진위를 파악하기가 힘들다. 그러나 ‘이제는 안전하다’는 느낌을 갖게 된다. 그런 타이밍에 멀웨어가 침투라도 한다면, 막을 길도 없고 탐지도 제대로 되지 않을 수 있다.

그렇다면 벤더들이 이런 비윤리적인 일을 할 때 사용자들은 당하기만 해야 하는가? 한 가지 확인 방법이 있다고 두 전문가는 말한다. “그건 OS의 모든 업데이트 노트와 실제 기능을 직접 하나하나 확인하는 겁니다.” 그러나 이는 기술적으로나 능률적인 면에서나 추천해줄 만한 방법은 아니며, 완전한 방법도 아니라고 덧붙인다.

놀은 외신인 와이어드(Wired)와의 인터뷰를 통해 기기 및 펌웨어 취약점에 대한 걱정을 해소하려면 “다층위 보안을 구현하는 것이 가장 현실적인 방법”이라고 말했다. “업데이트 하나하나 점검하는 건 권장하지 않습니다. 다만 업데이트만이 유일한 보안 해결책이 아니라는 걸 인지하고, 겹겹이 방어벽을 치는 게 더 낫습니다. 다층위 보안 체제에선, 업데이트라는 행위 자체도 여러 겹의 방어 행위 중 하나일 뿐입니다. 벤더들이 사용자를 속여도, 방어막 전체가 훼손되지는 않는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술