지금까지 우리가 생각했던 스마트폰 보안 위협의 근간을 흔드는 강력한 위협 요소가 있다는 것이 공개됐다. 지난 6월 16일 유동훈 아이넷캅(www.inetcop.net) 연구소장은 “이제는 스마트폰만 보호해서는 안된다. 스마트 보안의 패러다임이 바뀌어야 한다. 스마트폰, 스마트 TV, 태블릿 PC 등을 아우르는 스마트 플랫폼 보호를 위한 OS차원의 취약점 대응책 마련이 시급하다”고 강조했다.
 
그 이유는 이렇다. 국내 안드로이드 스마트폰 플랫폼 보안은 샌드박스(Sandbox) 내의 앱(app) 단계에 관점이 집중되어 있다. 샌드박스란 어린 아이가 놀 수 있도록 제작한 모래놀이 통이라고 할 수 있는데 안드로이드는 외부에서 다운로드 받은 앱을 보호된 영역인 Dalvik 샌드박스 내에서만 실행시키므로 시스템을 보호할 수 있다.(사진출처. flickr/Tyler Love)
 
그래서 샌드박스 내의 악성 앱으로 인한 보안 위협은 지금까지 계속 제기돼 왔다. 하지만 이러한 악성 앱들은 사용자의 부주의에 의해 설치되기 때문에 설치 시 알림창만 잘 읽어봐도 악성 앱 설치를 이용자가 방지할 수 있다. 뿐만 아니라 앱 보안성 검증 솔루션, 백신 제품 등을 통해 어느 정도 위협을 완화시킬 수 있는 요소도 있는 상황이다.
 
유 소장은 “하지만 정작 심각한 위협 요소는 샌드박스 외부의 OS 영역 내에 존재하는 취약점으로 인한 보안문제”라며 “OS가 제공하는 라이브러리 내에 보안 취약점을 가지고 있는 스마트폰으로 인터넷을 이용할 경우 해커가 원격에서 해당 스마트폰에 명령을 실행시킬 수 있는 심각한 보안위협이 해외에서 벌써 발견된 상태”라고 설명했다.
 
실제 시연도 이루어졌다. 공격자가 공격자 서버에 미리 공격 웹페이지를 생성한 후, A씨의 스마트폰에 공격 웹페이지 URL이 전달되고 웹페이지를 클릭하는 순간, A씨의 스마트폰은 공격자가 장악하게 된다. 공격자는 탈옥이나 루팅을 통해 관리자 권한을 획득하고 커널에 악성코드를 설치하게 된다.
 
이렇게 되면 심각한 문제가 발생한다. 커널에 악성코드가 설치되면, 원격 공격자는 접속하고 싶을 때 문자를 보내 공격 사이트에 접속하게 만들 수도 있고 사용자 내장 메모리 카드를 원격에서 가져올 수도 있다. 폰 내부의 모든 개인정보를 훔쳐올 수 있는 것이다. 물론 음성 도청도 가능하고 커널에서 실행되기 때문에 공격을 분석할 방법이 없다. 누가 공격하고 있는지를 모르게 되는 것이다.
 
더 나아가 현재의 스마트폰 백신들로는 전혀 탐지가 안되며 네트워크 상태 정보도 숨김이 가능하다. 또 그런 방식으로 수많은 스마트 좀비 폰을 만든 후 DDoS 공격을 감행할 수도 있고 이럴 경우 CNC 커넥션도 숨기고 공격 트래픽도 숨길 수 있다고 한다. 그 결과 피해자 스마트폰은 엄청난 요금 폭탄을 맞게 되고 디도스 공격을 받은 사이트는 어디서 공격을 받은 지도 모른 채 다운된다는 것이다.  
 
유 소장은 “악성 사이트에 접속을 유도하게끔 하는 방법도 다양하다. 문자를 보낸다거나 이벤트 행사라는 광고와 함께 QR코드를 여기저기 붙여 놓고 사람들이 QR코드를 통해 사이트에 접속하게끔 유도한다거나 방법은 다양하기 때문에 향후 이 취약점을 이용한 공격이 이루어질 경우 엄청난 사회적 파장이 우려된다”고 강조했다. 
 
이 취약점은 안드로이드만의 문제가 아니다. 안드로이드는 기본적으로 리눅스 OS를 탑재하고 있기 때문에 기존 리눅스에 존재하는 잠재적인 보안 취약점을 그대로 내포하고 있다. 지난해 안드로이드 커널에서 보안상 문제를 일으킬 수 있는 88개의 심각한 취약점들이 해외에서 발표됐다. 물론 아이폰에 탑재된 iOS 역시 안드로이드와 비슷한 종류의 취약점을 내포하고 있어 특정 스마트 플랫폼의 문제라고 볼 수 없는 상황이다.
 
또한 샌드박스 외부의 OS 취약점은 스마트 플랫폼 특성상, 펌웨어 업데이트를 통해서만 보안업데이트 적용이 가능하다는 기본 문제점이 존재한다. 즉 스마트폰에는 OS 보안업데이트 기능이 없다. 이러한 면에서 간단하게 OS 보안업데이트를 할 수 있는 일반 PC보다 스마트폰의 보안취약성이 더욱 심각하다는 것을 알 수 있다.
 
유동훈 소장은 “스마트 플랫폼에 내재된 보안 취약점이 악용되는 것을 방지하기 위해서는 OS차원의 보안 업데이트 체계를 구축하고 스마트 플랫폼(스마트폰, 스마트TV, 태블릿PC 등을 통칭) 보호를 위한 보안솔루션을 적극적으로 도입해야 한다”며 “현재의 앱 보안 위주의 정책에서 한발 더 나아가 샌드박스와 OS 모두를 아우르는 근본적인 스마트 플랫폼 통합보안 정책의 기틀을 마련해야 한다”고 강조했다.
[데일리시큐= 길민권 기자]