• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

안전한 휴대 기기 사실상 없다고 봐도 무방 2014.08.04

안드로이드, 블랙베리, iOS 어느 하나 안전한 것 없어

해킹 자체는 꽤나 어려워 타깃형 공격에 많이 사용될 듯


[보안뉴스 문가용] 지난 7월말, 보안 컨설턴트 업체인 애큐번트 랩스(Accuvant Labs)의 연구원 매튜 솔닉(Mathew Solnik) 씨와 마크 블랑슈(Marc Blanchou) 씨는 안드로이드, 블랙베리, iOS 휴대 기기에서 사용되고 있는 소프트웨어와 펌웨어, 셀룰러 네트워크 베이스밴드, CDMA 세팅, LTE 세팅, 기기 와이핑, 블루투스, GPS, 암호화, 소프트웨어 활성화, 배터리 감시 등을 관장하고 있는 임베디드 기기에서 심각한 오류를 다수 발견했다고 밝혔다.

▲ 화면 가리고 보면 못 볼 거 같지?


가짜 기지국을 사용하는 해커들이 이 오류들을 악용하면 휴대 기기들의 통제권을 장악할 수 있으며 이로써 멀웨어를 퍼트릴 수 있게 된다. “이런 공격을 하려면 가짜 펨토셀(femtocell)이나 가짜 기지국이 필요합니다.” 솔닉 씨가 입을 열었다. 게다가 이런 하드웨어를 구비하는 게 어려운 일도 아니라고. “저랑 블랑슈 씨도 1천 달러 미만으로 연구용 기지국을 구입할 수 있었습니다. 이 장비 하나만 가지고 이번 오류를 증명할 수 있었습니다.”


물론 장비가 있다고 해서 해킹 작업 자체가 쉬운 건 아니다. “초보 해커들에겐 어려운 작업일 것입니다. 휴대 기기에서 발견된 취약점에 대한 해박하고 전문적인 지식을 갖춘 해커들만 이 오류를 완벽하게 활용할 수 있습니다.” 즉 이 부분을 공략하려면 해커 입장에서도 단단한 준비가 필요하다는 것. “자연히 한 사람이나 업체 등 공격 목표가 구체적인 경우가 더 많겠죠.”


이 두 연구원이 발견한 바에 의하면 몇몇 기기의 경우 인증절차를 완전히 우회하는 게 가능했다. 클라이언트의 합법성을 확인한 후 그 정보를 서버로 전송하는 인증 표지를 미리 산출하는 게 가능하기 때문이다. “SSL에 기초한 암호화 과정도 제대로 되어 있지 않아서 원격 호스트 이름도 그냥 통과하는 경우가 발생하더군요.”


인증 표지와 암호화에서 발견된 두 가지 오류만으로도 가짜 기지국을 활용한 해커가 기기를 완전히 장악할 수 있다는 게 둘의 설명이다. “그런데 이게 끝이 아닙니다. 메모리에도 꽤나 심각한 오류가 있었어요. 원격 코드 실행 명령을 내릴 수 있게 해주는 오류였고, 많은 기기들이 이에 해당했습니다. 그밖에는 정수 오버플로우 오류도 있었고요.”


“적당한 장비에 적당한 거리만 갖춘다면 해킹하려는 기기에 대해 잘 몰라도 되더라고요. 그냥 그 기기의 주인인척 하면서 중간에서 가로채는 게 가능합니다. 주인인척 한다는 건 그 기기에 깔려 있는 앱들을 완벽히 통제할 수 있다는 것입니다. 즉 제가 내키는 대로 기기를 사용할 수 있게 된다는 뜻이죠.” 솔닉 씨의 설명이다.


취약점이 굉장히 많다는 것까지는 알았다. 문제는 여기서 끝나지 않는다. 누가 여기에 책임을 지고 패치 작업을 할 것인지 파악해야 하기 때문이다. “대부분 기기 생산자들은 기기에 장착이 되는 바이너리 블랍(binary blob)을 외부로부터 공수해옵니다. 누구 한 사람 혹은 한 업체에게 모든 책임을 돌릴 수가 없는 상황입니다.”


휴대 기기들이 각기 정도만 다를 뿐 취약하다는 사실에는 예외가 없다는 게 이들의 설명이다. 같은 제조사라 하더라도 모델에 따라, 또는 기종에 따라 보안성이 다 다른데 사용자들이 이런 휴대 기기들을 다루는 방식도 제각각이다. “안드로이드 환경에서는 사용자의 자유도가 높기 때문에 취약점이 더 많이 발견됩니다. 해커는 휴대 기기에 침입해 휴대 기기 자체를 통제할 수 있을 뿐 아니라 기지국의 세팅도 바꿀 수 있습니다.”


두 연구원은 사용자가 각자의 휴대 기기의 취약한 정도를 실험해볼 수 있는 툴을 개발해 조만간 발표할 예정이다. 하지만 이는 해킹툴과는 전혀 그 궤를 달리할 것이라고 거듭 강조했다. 그렇다면 이 툴이 개발되기 전까지 사용자들은 휴대 기기를 어떻게 관리해야 할까? “일단 지금 할 수 있는 건 최신 버전으로 운영 체제와 소프트웨어를 업그레이드하는 겁니다. 그것 이상 할 수 있는 건 별로 없습니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>