최신 스마트폰, 보안 취약점이 200개

글자 작게 글자 크게 인쇄하기

화웨이 P9·삼성갤S7·LG V20 취약점 줄줄이 발견

최신 안드로이드 스마트폰이 평균 200여개 보안 취약점에 노출된 채 판매된 것으로 드러났다. 일부 취약점은 해커가 사용자 몰래 스마트폰 권한을 획득, 악성코드를 설치한 후 모든 활동을 감시할 수 있는 등 심각한 실정이다.

전자신문은 고려대 소프트웨어(SW)보안 국제공동연구센터(센터장 이희조)와 공동으로 최신 스마트폰 3종을 검사하고 안드로이드 펌웨어 보안 개선이 시급하다고 밝혔다. 삼성전자 갤럭시S7, LG전자 V20, 화웨이 P9 등 3종의 최신 안드로이드 스마트폰을 조사했다. 애플 아이폰은 펌웨어가 공개되지 않아 대상에서 제외했다.

전자신문은 공동연구센터가 개발한 사물인터넷(IoT) 보안 취약점 자동 분석 플랫폼 `IoT큐브`를 이용했다.

분석 결과 최근 국내 출시된 화웨이 P9에서 237개, 삼성전자 갤럭시S7 206개, LG전자 V20 156개 취약점이 발견됐다.


화웨이가 P9을 내놓고 국내 시장 공략을 시작했다.
<화웨이가 P9을 내놓고 국내 시장 공략을 시작했다.>

화웨이 P9에서 발견된 취약점 237개 가운데 심각도가 높은 것은 66개였다. 이들 취약점 가운데에는 발견된 지 8년 된 것이 12개나 있었다. 2013년 21개, 2014년 43개, 2015년 62개, 2016년 107개 등 이미 발견된 취약점이 전혀 패치되지 않은 채 최신 스마트폰에 쓰였다. 이들은 모두 공식 보고된 취약점(CVE표준)이다.


화웨이 P9 취약점 분포도(자료:IoT큐브)
<화웨이 P9 취약점 분포도(자료:IoT큐브)>

갤럭시S7 역시 고위험도 취약점이 47개에 달했다. S7도 2008년 취약점 12개, 2013년 10개, 2014년 17개, 2015년 82개, 2016년 100개가 패치되지 않았다.


삼성전자 갤럭시S7 취약점 분포도(자료:IoT큐브)
<삼성전자 갤럭시S7 취약점 분포도(자료:IoT큐브)>

공동연구센터는 최신 스마트폰에서 200개가 넘는 알려진 보안 취약점이 발견되는 이유로 안드로이드 개발 생태계를 지목했다. 구글은 리눅스 커널을 기반으로 안드로이드 운용체계(OS)를 개발했다. 리눅스 커널이 나온 후 다음 버전 안드로이드 OS를 개발할 때까지 최소 6~12개월이 소요된다.



LG전자 V20 취약점 분포도(자료:IoT큐브)
<LG전자 V20 취약점 분포도(자료:IoT큐브)>

스마트폰 제조사는 구글이 내놓은 안드로이드 OS를 가져다 다시 각 제품에 적합한 펌웨어를 개발한다. 이때 또다시 6~12개월이 걸린다. 하드웨어(HW) 최적화를 거쳐 해당 펌웨어를 담은 스마트폰이 시장에 나온다. 리눅스 커널 출시에서 스마트폰 출시까지 약 2년여가 소요된다.

이희조 공동연구센터장은 “리눅스 커널 출시 이후 1~2년이 지나 스마트폰에 적용된다”면서 “최신 스마트폰이지만 오래된 커널이 쓰이는 생태계 구조”라고 설명했다. 이 센터장은 “오래된 커널은 당시 발견되지 않은 보안 취약점이 존재하며, 나중에 패치가 나와도 제조사가 업데이트 없이 스마트폰에 넣는 경우가 대부분”이라고 덧붙였다. 이 센터장은 “리눅스 취약점이 발견되면 안드로이드 스마트폰 공격에 바로 적용된다”면서 “스마트폰 제조사가 제품 출시 이전에 취약점을 줄이는 노력이 요구된다”고 강조했다.

안드로이드 스마트폰 보안 업데이트 인프라 개선도 시급하다. 구글이 패치를 제조사에 넘기면 각 단말기에 따라 최적화 업데이트 시간이 소요된다. 제조사가 각 제품에 맞춰 펌웨어를 수정해야 하기 때문에 신속한 보안 패치가 어렵다. 구형 OS는 아예 보안 패치를 지원하지 않는다.


고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`
<고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`>

[표]스마트폰 제조사별 취약점 분포 (자료:IoT큐브)



<고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`>


고려대 소프트웨어보안 공동연구센터가 개발한 IoT 취약점 분석 도구 `IoT 큐브`

김인순 보안 전문기자 insoon@etnews.com