임의의 애플리케이션을 설치하여 사용자의 네트워크 통제 가능

[보안뉴스 주소형] LG도 보안이슈에 이름을 올렸다. 지난해 11월에 발견된 취약점(CVE-2015-4110)을 아직도 제대로 패치하지 않았다는 것. 이는 LG의 업데이트 센터 애플리케이션(Update Center Application)에서 발견된 취약점으로 공격자가 안드로이드 기반의 LG 스마트폰 사용자 기기에 임의의 애플리케이션을 설치하여 사용자의 네트워크 통제까지 가능한 것으로 드러났다.

외신에 따르면 해당 취약점은 2014년 11월에 부다페스트 대학교의 서치랩(Search-lab)에 의해 최초로 드러났고, 당시 LG는 취약점을 인정하고 패치를 할 테니 시간을 달라는 입장을 서치랩 측에 전했다. 하지만 현지시간 6월 29일 기준으로 서치랩과 약속한 기한이 지났음에도 여전히 해당 취약점이 익스플로잇 되는 것을 확인했다고 서치랩은 홈페이지에 포스팅했다. 해당 포스팅은 여기를 누르면 연결된다.  

이와 관련 LG는 지난 3월에 해당 취약점에 대한 문제를 해결했다는 입장을 내놨는데, 이것만으로 완전하지 않다는 우려가 제기되고 있다. 지난 3월에 출시한 최신 버전에는 제기된 악성 애플리케이션이 설치되기 전에 SSL 인증을 요구함으로서 사용자들이 최신 버전으로 업데이트하면 모두 안전하다는 게 LG 측의 해명이었다. 이에 대해 LG가 취약점을 대하는 자세가 다소 실망스럽다는 분위기라고 외신은 전했다. 정확한 최신 버전 업데이트률에 대한 수치는 없지만 주변만 봐도 최신 버전을 부지런히 업데이트하는 이는 드물기 때문이다.

한편, 지난 달 삼성 역시 비슷한 문제로 구설수에 오른 바 있다.

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>