안드로이드 앱 APK 파일의 소스코드를 디지털 암호화 서명 작업 없이 변조시켜 불법적으로 악성코드가 심어진 악성앱으로 바꿀 수 있는 취약점이 발견됐다. 공격자는 취약점을 이용해서 사용자의 데이터를 빼내거나 모바일 봇넷, 즉 좀비 디바이스로 만들 수 있다.
 
이 취약점은 미국 보안업체 블루박스시큐리티 연구팀이 2013년 2월 처음 발견해 구글에 제보했고 이후 7월 3일 웹사이트를 통해 외부에 공개했다.
 
블루박스시큐리티는 웹사이트에 취약점 개요와 원인, 영향력에 대해 간략히 언급했고 이에 대한 자세한 기술적 내용에 대해서는 8월에 있을 블랙햇 USA 2013에서 최초 공개할 것이라고 했다.
 
APK 파일의 디지털 암호화 서명은 모든 안드로이드 앱에 적용되어 있는 것으로 앱 제작자의 고유 식별번호 역할을 하며 해당 앱이 똑 같은 고유 식별 번호를 가진 APK 파일에 의해서만 대체되고 코드가 수저오딜 수 있게 해 무결성을 보장하게 한다.
 
이 업체는 이번 취약점이 안드로이드 앱 APK 구조의 보안 허점으로 인한것으로 디지털 암호화 서명을 무력화 시키지 않아도 APK 파일 코드를 수정할 수 있다고 한다. 안드로이드 앱 APK 파일은 ZIP 포맷 형태로 안에 여러 파일이 포함되어 있다.
 
ViaForensics 연구원 Pau Oliva Fora 의 설명에 의하면, “취약점은 안드로이드 APK 파일이 중복된 이름을 가진 파일을 가질 수 있고 이들을 구분하지 못하는 버그로 인한 것”이라며 “즉 디지털 암호화 서명 값과 앱이 설치될 때 생성되는 값이 같은 파일명을 가질 수 있게 되고 이로 인해 서명값을 확인하지 않고도 악성 앱으로 바뀌어 설치될 수 있다”고 설명했다.
 
취약점 발견 대상 안드로이드 OS는 약 4년전 출시된 버전 1.6부터 현재 가장 최신 버전인 4.2버전까지로 전체 안드로이드 디바이스의 99%를 차지하며 이에 해당하는 디바이스는 전세계 약 9억대 정도에 해당된다.
 
안드로이드 스마트 디바이스 제조사나 제조사와 밀접한 서드 파티 업체 등에서 만들어 다바이스에 기본 내장 설치되어 있는 앱은 일반적으로 시스템UID 등 스토어에서 다운받아 설치하는 앱보다 더 많은 시스템 접근 권한이 주어져 있기 때문에 공격을 받게 되면 그 피해가 더 크다.
 
구글은 안드로이드 다바이스 제조사에 이번 보안 취약점에 대해 알리고 펌웨어 업그레이드가 필요하다는 요청을 한 상태지만, 제조사의 사정에 따라 언제 펌웨어 업그레이드가 가능할지, 어느 디바이스까지 지원을 할지는 알 수 없다.
 
현재 보안패치가 된 디바이스는 삼성 갤럭시 S4가 유일하고 아직 구글 넥서스에도 보안 패치가 되지 않은 상황이다.
 
이 취약점에 대해 보다 자세한 내용에 대해 HNS 측은 “안드로이드 앱 패키지 변조 가능한 보안취약점”이란 제목으로 보고서를 작성했다. 데일리시큐는 HNS측과 정보 협력관계를 맺고 해당 보고서를 데일리시큐 자료실에 공개했다. 다운로드 가능하다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com