안드로이드 공급 및 배포망 너무 복잡해 패치 지연 및 봉착
미국 정부, 연방거래위원회 통해 안드로이드 생태계 개선 꾀할 듯

[보안뉴스 문가용] 9억개가 넘는 안드로이드 스마트폰 및 태블릿들이 기기 완전 장악의 위협에 노출되어 있다. 보안 전문업체인 체크포인트(Check Point)의 연구팀이 발견한 쿼드루터(QuadRooter) 취약점 때문이다. 이는 단일 취약점이 아니라 네 개의 취약점을 모은 것으로, 네 가지 취약점 모두 권한 상승을 통한 루트 접근을 가능하게 해준다고 한다.

이 네 가지 취약점들은 모두 퀄콤 칩셋의 하드웨어 부품들 사이에서 발생하는 소프트웨어 드라이버 제어 통신에 존재한다. 정확히는 네 가지 모듈에 하나씩 자리하고 있는 것인데, 이 네가지 모듈이란 1) 프로세스 간 통신 모듈, 2) 공유 메모리 기능, 3) 두 가지 그래픽 묘듈이다. 이 모듈들은 퀄콤 칩셋을 사용하는 안드로이드 기기에 설치된 OS에 포함되는 것으로 삼성, HTC, 모토롤라, LG 등의 제품들이라면 모두 이 취약점에 노출되었다고 볼 수 있다.

“악성 앱을 사용하면 이 취약점들을 익스플로잇 할 수 있습니다.” 체크포인트의 설명이다. “특별한 사용자 권한이 따로 필요한 것도 아닙니다. 너무 많은 권한을 달라고 요청하면 의심하는 사용자들도 점점 많아지고 있는데, 그런 의심조차 받지 않은 채 안전하게 설치될 수 있죠.”

이 취약점이 발견된 건 이미 지난 4월의 일이다. 체크포인트는 먼저 퀄컴 측에 알렸고, 퀄컴 역시 이 취약점의 위험성을 인정했다. 그리고 모든 OEM에 적용이 될 수 있는 패치를 제작, 배포했다. 하지만 안드로이드 시장이 표방하는 자율성 및 개방성 때문에 취약점 관리 자체가 제대로 이루어지기 힘들다는 현실 자체는 그대로 남아 있다.

안드로이드 환경의 공급망은 애플의 그것과는 달리 매우 복잡하다. 안드로이드 플랫폼을 가지고 기기를 개발하는 업체들도 다양하며, 그 다양한 기기에 들어가는 부품 공급자(퀄콤 같은)들까지 따지면 그 구조는 대단히 복잡해진다. 애플이 중앙왕권 국가라면 안드로이드는 봉건제다. 이 구조 자체가 취약점을 관리하는 측면에서는 큰 마이너스로 작용한다.

“구글이 소프트웨어 모듈과 안드로이드 빌드를 만들면, 이걸 또 각종 회사들에서 커스터마이징을 하고, OEM들이 각자의 고유한 방식으로 이것들을 전부 결합해서 기기를 만듭니다. 그리고 이 기기들은 다양한 공급망과 통신사들을 통해 퍼지는데, 이들 역시 기기에다가 뭔가 커스터마이징을 가합니다. 구글이 중앙에서 패치를 배포한다고 했을 때, 이 모든 경로를 따라 최종 사용자에게까지 들어가야 합니다. 일이 정말 복잡해지는 거죠.”

특히나 쿼드루터처럼 기기의 부품과 관련된 취약점의 경우는 패치가 최종 사용자에게까지 도달하는 데 걸리는 시간이 상당히 길어질 수 있다. 그나마도 긴 시간 후에 도착한다면 다행이다. 실제로는 사용자가 손에 들고 있는 기기들 중 기기 부품 관련 취약점 패치가 불가능해지는 것도 상당히 많다. 호환되는 OS 버전이 업데이트 시간차 때문에 엇갈려버리거나 하는 문제가 발생하는 경우도 부지기수다. 또한, 패치 만드는 사람 따로 배포하는 사람 따로인 경우가 대부분이라는 것도 문제를 더 심각하게 만든다.

이는 안드로이드 생태계 자체에서 나타나는 취약점으로 간단한 해결책이라는 게 존재할 수가 없는 문제다. 그래서 미국 정부가 이에 대한 심각성을 깨닫고 관련 자료를 수집하고 있기도 하다. 지난 5월, 미국 연방거래위원회는 마치 도떼기시장 같은 중구난방 식 생태계의 원인과 현황에 대한 조사를 공식적으로 착수했다.

한편 체크포인트는 안드로이드 사용자들이 자신들의 기기를 직접 점검해볼 수 있는 유틸리티를 개발, 제공하고 있다. 해당 앱은 여기서 다운로드 및 설치가 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>