모든 버전의 안드로이드 운영체제(OS)에서 공격자에게 스마트폰 제어권한을 빼앗기게 할 수 있는 새 보안 취약점이 발견됐다. 퀄컴칩 기반 스마트폰 9억대 가량이 이 취약점을 품었다. 이를 메울 패치는 다음달에나 나올 예정이다.

​

미국 지디넷은 7일(현지시각) 보도를 통해 모든 안드로이드 버전에 포함된 보안취약점이 오는 9월 안드로이드 보안 패치 시점 이전까지 완전히 해결되지 않을 것이라고 전했다. [☞참조링크: 'Quadrooter' flaws affect over 900 million Android phones]

​

보도에 따르면 퀄컴칩을 탑재한 모든 안드로이드 스마트폰과 태블릿에서 이제까지 알려지지 않았던 보안 취약점 4건이 발견됐으며 이는 공격자에게 해당 기기의 제어권한을 몽땅 넘길 수 있다고 한다.

​

10억대 가까운 안드로이드 기기에 적용되는 해당 취약점을 알린 보안업체 체크포인트는 이 취약점을 '쿼드루터(Quadrooter)'라 지칭하고, 그 위험도 등급을 '심각(high)'으로 표기했다.

​

보안업체 체크포인트가 2016년 8월 7일(현지시각) 미국 데프콘 컨퍼런스를 통해 아직 해결되지 않은 안드로이드 보안취약점 쿼드루터로 9억대 이상의 퀄컴칩 기반 안드로이드 기기 사용자들이 위험에 놓였다고 경고했다.

​

취약점 발견자인 체크포인트의 모바일 보안부문 수석연구원 아담 도넨펠드는 이날 보안컨퍼런스 데프콘(Def Con)에서 그 취약점의 세부 내용을 소개했다.

​

쿼드루터 보안취약점을 통한 제어권한 탈취 시나리오는 이렇게 요약된다. 공격자가 사용자에게 악성코드를 탑재한 앱을 쓰도록 유도한다. 서드파티 앱 차단 기능을 해제해, 구글플레이 장터 바깥에서 내려받은 앱을 설치할 수 있도록 만드는 것이다. 사용자 기기에 악성코드를 품은 앱이 깔리면 취약점 가운데 어떤 것이든 공격자에게 루트(root) 접근 권한이 주어진다. 이로써 공격자는 기기에 저장된 데이터뿐아니라 카메라와 마이크 같은 하드웨어 전체를 주무를 수 있게 된다.

​

체크포인트 측은 대다수 하드웨어 제조사들이 해당 취약점을 품은 기기를 공급 중이라고 지적했다. 구글 넥서스5X, 넥서스6, 넥서스6P, HTC 원M9, HTC 10, 삼성전자 갤럭시S7, S7엣지 등이 주요 대상으로 꼽혔다. 제조사 블랙베리가 세상에서 가장 안전한 안드로이드 스마트폰이라 자부했던 블랙베리 DTEK50 모델 역시 이 취약점에서 자유롭지 못한 상태다.

​

퀄컴 측은 자사 칩과 관련된 모든 취약점을 수정했으며 관련 패치를 고객사, 파트너, 오픈소스커뮤니티 등에 지난 4월부터 7월사이에 배포했다고 밝혔다. 패치 대부분은 안드로이드의 월간 정기 보안 패치 셋에 포함됐다. 이는 구글이 넥서스 시리즈 기기를 위해 매달초 배포하는 패치다. 다른 모바일 기기 제조사들도 구글과 비슷한 시기에 해당 취약점 패치를 배포했다. (생략) 기사계속보기

​