안드로이드 OS 2.x와 4.x 버전 스마트폰 앱 대상 테스트 결과

백그라운드 전화·메시지 발송·서명취약점·문자사기 등 취약점 발견

[보안뉴스 온기홍=중국 베이징] 중국의 온라인 보안솔루션 회사가 최근 실시한 국내외 9개 브랜드의 안드로이드(Android) OS 스마트폰 2.x 버전과 4.x 버전에 대한 조사에서 각각 평균 20개 가량의 보안 취약점이 들어 있는 것으로 나타났다.

취약점은 스마트폰 기종 별로 적게는 3개, 많게는 40개가 발견됐다. 공통적인 취약점은 백그라운드 전화 걸기, 백그라운드 메시지 발송, 서명 취약점, 문자사기 등이었다.

중국 온라인 보안솔루션회사인 치후360는 최근 발표한 보고에서 국내외 주요 9개 안드로이드OS 스마트폰 브랜드의 18개 기종에 사전 내장된 애플리케이션(앱)에 대한 테스트 결과, 안드로이드 2.x 버전의 스마트폰 9종에서 평균 20개의 보안취약점이 발견됐다고 밝혔다.

이들 2.x 버전 9개 안드로이드폰 기종 가운데 보안 취약점이 가장 적은 기종은 8개의 취약점을, 취약점이 가장 많은 기종은 40개를 갖고 있었다. 또한, 안드로이드 4.x 버전의 스마트폰 9종에서는 평균 19개의 보안 취약점이 있었다. 취약점이 가장 적은 안드로이드 폰 기종은 3개의 취약점, 가장 많은 기종의 경우 40개의 취약점이 각각 들어 있었다. 

치후360의 360인터넷보안센터는 “안드로이드 4.x 버전에서 발견된 평균 취약점 수는 2.x 버전에 비해 1개 적었는데 이는 스마트폰의 OS 버전이 높을수록 반드시 안전한 것은 아니라는 점을 보여준다”라고 설명했다.

조사대상 9개 스마트폰 브랜드는 외국 회사인 구글·삼성·LG·HTC·소니, 중국 토종회사인 중싱(ZTE)·화웨이(HUAWEI)·쿠파(Coolpad)·롄샹(Lenovo) 등이다.

▲ 중국 치후360의 360인터넷보안센터가 보안 취약점 테스트를 한 국내외 9개 스마트폰 브랜드와 18개 기종.

360인터넷보안센터는 “이번 조사 결과에 따르면, 구글의 ‘Nexus 폰’에서 보안 취약점이 가장 적었고, 소니(SONY) 폰이 두 번째로 적었다”고 밝혔다. 중국 업체가 생산한 여러 기종의 스마트폰의 경우, 취약점 수가 기종 별로 10개에서 20개에 달했다.

센터는 “일부 외국 유명 브랜드의 몇몇 스마트폰 기종에서는 의외로 30~40개의 보안 취약점이 발견됐다”면서 “그러나 이를 두고 이들 일부 외국 브랜드의 보안 개발 능력이 중국 브랜드에 못 미친다고 단순하게 해석할 수는 없다”고 설명했다.

보안 취약점 유형을 보면, △백그라운드 전화 걸기 △백그라운드 메시지 발송 △ 백그라운드 설치 △문자 사기 △데이터 제거 △(암호표기) 서명 취약점 등 크게 6가지가 발견됐다. 이 중 △백그라운드 전화 걸기 △백그라운드 메시지 발송 △서명 취약점 △문자사기 등 4가지 취약점은 거의 모든 안드로이드 폰 기종에 들어 있었다.

이 가운데 ‘백그라운드 메시지 발송’과 ‘문자사기’ 취약점의 검출 수량은 각각 70개와 57개에 달했다. 센터는 “백그라운드 메시지 발송과 백그라운드 전화 걸기의 취약점은 악성 요금차감에 악용될 가능성이 매우 높다”며 “문자사기 취약점의 경우 스마트폰 사용자의 재산 안전을 더욱 위협한다”고 지적했다.

▲ 중국 치후360 산하 360인터넷보안센터가 자국에서 사용되는 9개 안드로이드 OS 스마트폰 18개 기종에서 발견한 6가지 보안 취약점 유형의 분포 상황.

센터는 또 이번 18개 기종의 안드로이드 OS 스마트폰에서 ‘서명 취약점’이 공통적으로 존재했다고 밝혔다. 앞서 미국 모바일 보안회사인 블루박스 시큐리티(Bluebox Security)는 지난 7월 안드로이드 OS에서 암호표기 서명 취약점을 발견했다고 밝힌바 있다.

해커는 ‘서명 취약점’을 통해 스마트폰 앱의 디지털 서명을 훼손하지 않은 상황에서 임의의 정상적 스마트폰 앱을 변조하고 단말기 제어, 계정·개인정보 절취, 전화 걸기 또는 메시지 발송 같은 행위를 한다.

360인터넷보안센터는 “지난 7월말 ‘서명 취약점’을 악용해 공격을 실시하는 이동전화 트로이목마를 자체 탐지했다”며 “합법적 서명을 사용한 이 트로이목마는 프라이버시 유출을 야기하며, 연락처내 사람들에게 사기성 메시지를 자동으로 집단 발송하고 요금차감 메시지를 몰래 발송한다”고 설명했다. 이런 트로이목마는 주로 모바일 게임, 배경화면, 인터넷뱅킹 관련 소프트웨어에 들어 있는 것으로 드러났다.

▲ 중국 360인터넷보안센터가 지난 7월 하순 일부 안드로이드 OS 폰 앱에서 ‘서명 취약점’ 관련 트로이목마를 탐지한 화면.

360인터넷보안센터는 “이동전화기 제조업체들마다 안드로이드 OS 개발과 업그레이드 능력이 각기 다른데, 일반적으로 안드로이드 OS 버전의 업그레이드 기간은 평균 6개월 정도로 3개월에서 7개월이 필요하다”며 “많은 소규모 업체(브랜드)의 스마트폰은 종종 장기적인 시스템 업그레이드와 취약점 보수 면에서 보호를 받지 못한다”고 지적했다.

특히 중국내 일부 ‘산쟈이’(짝퉁) 브랜드의 스마트폰의 경우, 판매 개시부터 어떠한 시스템 보안 업그레이드와 유지 보호도 진행하지 않는데, 이는 이동전화기 보안에 큰 위험을 초래하고 있다. 더군다나 일부 산쟈이 브랜드는 스마트폰 OS 중에서 일부 악성 프로그램을 직접 만들어 넣고 있다고 센터는 지적했다.

센터는 “최근 중국인이 쓰고 있는 안드로이드 OS 스마트폰은 최소 1만 종의 모델과 20개 이상의 OS 버전에 달하고 있다”며 “(단말기)업체들의 자체 제조가 안드로이드 OS ‘파편화’의 주요 원인이다”라고 덧붙였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>