• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

퀄컴 스냅드래곤에서 400개 넘는 취약점 나와 수천만 장비 위협 2020.08.10

안드로이드 생태계에서 인기리에 사용되는 칩셋...이번 취약점 파급력 어마어마해
다만 발견한 곳에서 세부 내용 공개하지 않아...퀄컴 “아직 공격 사례 없다”고 발표

[보안뉴스 문가용 기자] 보안 전문가들인 퀄컴 스냅드래곤 프로세서에서 400개가 넘는 취약 코드를 발견했다. 퀄컴 스냅드래곤은 구글, 삼성, LG, 샤오미, 원플러스 등 세계적인 스마트폰 제조사들이 가장 많이 사용하는 프로세서이기도 하다. 때문에 수천 만대의 스마트폰 및 태블릿들이 이 취약점에 노출된 상태라고 한다.

[이미지 = utoimage]


이러한 문제를 가장 먼저 발견한 건 보안 업체 체크포인트(Check Point)다. 이곳의 전문가들은 이 취약 코드를 통합해 아킬레스(Achilles)라고 부른다. 체크포인트의 야니브 발마스(Yaniv Balmas)는 “스냅드래곤 프로세서의 인기가 워낙 높아 분석을 시작하게 됐다”고 설명한다. 또한 이 취약 코드를 통해 안드로이드 스마트폰을 스파잉 도구 혹은 데이터 유출 도구로 변환시키는 게 가능하다고 덧붙였다.

“그 외에도 전화기를 응답 불가한 상태로 만들고 사진, 영상, 연락처 목록 등에 접근하지 못하게 만들 수도 있습니다. 즉 표적 디도스 공격이 가능하다고 말할 수 있습니다.” 여기에 적절한 멀웨어를 혼합해 공격을 이뤄갈 경우, 공격자의 흔적을 깨끗하게 지우거나 추가 공격을 위한 발판을 피해자 측에서 삭제할 수 없게 만들 수도 있다고 한다.

이 모든 공격을 성공시키려면 공격자는 악성 애플리케이션을 하나 만들어야 한다. 그리고 피해자가 이를 다운로드 받아 설치하도록 꾀어야 한다. “하지만 이런 과정들이 절대 어려운 게 아닙니다. 특히 안드로이드 스마트폰의 생태계 전체 혹은 표적이 된 피해자의 상황을 잘 이해하고 있다면 충분히 익스플로잇 할 수 있게 됩니다. 다만 여러 가지 취약점을 연쇄적으로 익스플로잇 한다는 것은 조금 까다로울 수 있습니다.”

취약점이 발동되는 건 애플리케이션 컴파일링 단계에서라고 하는데, 체크포인트는 상세 기술 정보를 아직 공개하지 않고 있다. 벤더들이 아킬레스에 대한 대책을 아직 마련하지 못한 상태이기 때문이다. 위험 요소들에 대한 완화책이라도 나왔을 때 익스플로잇 관련 기술 정보를 공개하겠다고 체크포인트는 밝혔다.

다만 상세 정보는 이미 퀄컴 측과 공유가 된 상태라고 한다. 퀄컴에 제출된 취약점 CVE 번호는 다음과 같다.
1) CVE-2020-11201
2) CVE-2020-11202
3) CVE-2020-11206
4) CVE-2020-11207
5) CVE-2020-11208
6) CVE-2020-11209

이에 퀄컴은 새로운 컴파일러와 소프트웨어 개발 키트를 발표했다. 그 외에도 몇 가지 위험 완화책을 마련했다. 하지만 문제가 해결된 것은 아니라고 체크포인트는 강조했다. 왜냐하면 이러한 대책이 실제 최종 사용자들에게 적용되어야 하기 때문이다. 그 책임은 이제 각 핸드폰 및 태블릿 제조사들에게 있다.

“각 제조사들은 위험할 수 있는 애플리케이션들을 전부 찾아내고 실험해 픽스를 개발해야 합니다. 그리고 그 픽스가 최종 사용자에게 도달할 수 있도록 배포해야 합니다. 과거에 일을 비추었을 때 이 일련의 과정은 꽤나 오랜 시간이 걸릴 가능성이 높아 보입니다. 제조사들에 따라서 패치를 뒤로 미루는 경우도 있고요. 수개월 정도 지나야 아킬레스로부터 사용자들이 보호받을 수 있을 것으로 예상하고 있습니다.”

퀄컴은 현재까지 아킬레스라고 불리는 이 취약점들이 실제 공격에 활용된 사례는 없다고 발표했다. “저희는 체크포인트로부터 문제를 제보 받은 후부터 취약점 해결을 위해 다양한 노력을 기울였고, OEM들이 적절하게 활용할 수 있는 완화책도 마련했습니다. 스냅드래곤이 탑재된 핸드폰이나 태블릿을 사용하는 소비자들이라면, 관련 패치가 나오자마자 적용할 것을 권장합니다.”

이 문제에 대해서는 슬라바 마카비브(Slava Makkaveev)라는 보안 전문가가 데프콘(DEF CON)에서 보다 상세하게 발표하기도 했다.

3줄 요약
1. 퀄컴 스냅드래곤에서 취약점 다수 발견돼 수천만 모바일 장비 위험.
2. 이 취약점들을 통합해서 아킬레스라고 부르는데, 여러 공격 가능하게 함.
3. 퀄컴에서의 해결책은 나왔으나 장비 제조사들이 각각의 패치로 만들어 배포해야 하는 문제가 남아 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>