• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글, 이제 서드파티 장비 제조사들의 취약점까지 공개한다 2020.10.05

원래 오픈소스까지만 취약점 공개했었는데...이제는 서드파티 장비들도 구글이 공개
이 공개 프로그램의 이유는 APVI...웹 브라우저 자바스크립트 엔진에 대한 보상도

[보안뉴스 문가용 기자] 한국의 추석 연휴 기간 동안 구글이 새로운 보안 관련 프로그램을 발표했다. 이제는 구글의 파트너사가 만든 안드로이드 장비들에서 발견된 취약점까지도 구글이 발표한다는 내용을 담고 있다.

[이미지 = utoimage]


구글의 프로그램 매니저인 카일리 맥로버츠(Kylie McRoberts)와 보안 엔지니어인 알렉 구어틴(Alec Guertin)은 공식 발표를 통해 “안드로이드 파트너 취약점 이니셔티브(Android Partner Vulnerability Initiative(APVI)를 시작한다”며 “안드로이드 OEM들에서 나오는 보안 문제를 구글이 관리하겠다”고 설명했다. “APVI의 런칭 목적은 구글이 파트너사들의 장비들에서 발견한 보안 문제점들을 보다 투명하게 사용자들에게 알리고, 대책 마련을 촉진시키는 것입니다.”

구글은 예전부터 안드로이드 생태계에서 발견되는 취약점을 최대한 빨리 해결하고자 하는 목적으로 여러 가지 프로그램을 개발해 운영해 왔다. 대표적인 것으로 안드로이드 보안 보상 프로그램(Android Security Rewards Program, ASR)과 구글 플레이 보안 보상 프로그램(Google Play Security Rewards Program)이 있다.

안드로이드 오픈소스 프로젝트(Android Open Source Project, AOSP)에서 발견된 문제는 모든 안드로이드 장비들에 영향을 주는 것이며, ASR을 통해 매달 공개된다. 하지만 안드로이드 오픈소스 외에도 취약점이 발견되는 곳은 많다. 안드로이드 OEM 장비들 중 일부에서만 발견되는 취약점들도 AOSP 외의 취약점으로 간주된다. 이 경우 구글의 취약점 관리 프로그램의 손이 닿지 않았다. 즉, 안드로이드 자체의 취약점은 구글이 공개하고 고칠 수 있지만, 서드파티 업체의 장비에서 발견된 취약점은 어쩔 수 없었다는 것이다.

이 구멍을 보완하는 게 이번에 발표된 APVI다. 모든 안드로이드 OEM 장비들의 보안에도 구글이 직접 관여하겠다는 것이다. “APVI는 보다 넓은 범위에서 취약점을 관리함으로써 사용자를 보다 확실하게 보호할 수 있을 것입니다. 특히 권한 회피, 커널에서의 코드 실행, 크리덴셜 유출, 암호화가 적용되지 않은 백업의 생성과 같은 위험에서부터 보다 효과적으로 보호받을 수 있을 겁니다.” 구글의 발표 내용이다.

그러면서 구글은 이미 발견된 서드파티 취약점을 공개하기도 했다. 이 첫 번째 ‘서드파티 취약점 공개 명단’에 이름을 올린 업체는 미디어텍(Mediatek), 디지타임(Digitime), 메이주(Meizu), ZTE, 트랜션(Transsion), 비보(Vivo), 오포(Oppo), 화웨이(Huawei)다. 이곳에서 만든 장비들의 취약점이 구글을 통해서 공개되었다는 것이다. 취약점 상세 정보는 여기(https://bugs.chromium.org/p/apvi/)서 열람이 가능하다.

그 외에도 구글은 퍼질리 리서치 그랜트 프로그램(Fuzzilli Research Grant Program)이라는 걸 발표히가도 했다. 이는 웹 브라우저의 자바스크립트 엔진들인 자바스크립트코어(JavaScriptCore), v8, 스파이더멍키(Spidermonkey)에서 퍼징(fuzzing)을 통해 취약점을 찾아내고자 하는 전문가들을 후원하기 위한 프로그램이다.

“자바스크립트 엔진이 강력한가 아닌가에 따라 오늘 날 사이버 공간에서 활동하는 사용자들의 안전이 결정됩니다. 최근에는 v8에라는 크롬의 자바스크립트 엔진에서 제로데이 취약점이 발견돼 익스플로잇 된 사례도 있었지요. 따라서 이 부분에 있어서 연구하는 사람들을 구글이 지원하고자 합니다.” 구글의 프로젝트 제로(Project Zero) 팀의 설명이다.

3줄 요약
1. 구글, 안드로이드 생태계에서 발견되는 모든 취약점을 스스로 알리겠다고 발표.
2. 이전까지는 안드로이드 오픈소스만 관리했었는데, 이제는 서드파티 제조사들도 관리 대상이 됨.
3. 이미 여러 서드파티 안드로이드 장비 제조사들이 이번 취약점 공개에 포함됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>