안드로이드 보안취약점 Certifi-gate 발견, 수억대 기기 노출
안드로이드 보안취약점 Certifi게이트 발견, 수억대 기기 노출
특수하게 조작된 MMS를 수신하는 것만으로도 악성코드가 작동하는 스테이지프라이트(Stagefright)에 대한 대응이 여전히 진행 중에 있는 상황에서 또 다른 안드로이드 보안 취약점이 드러났습니다. 보안업체 체크 포인트가 발견한 것으로 'Certifi-gate' 라고 불리는 취약점입니다. 안드로이드 제조사와 네트워크 서비스 제공자(이통사)가 지원하는 원격제어 기능의 결점을 이용해 공격자가 안드로이드 기기를 완전히 제어할 수 있다고 합니다.
그나마 다행인 것은 이미 일부 안드로이드 기기 제조사와 이동통신사에는 이런 내용이 전해진 것으로 알려지고 있는데요. HTC는 이와 관련해 이미 대응을 위한 테스트를 마쳤고 곧 HTC One M9 와 다른 디자이어(Desire)폰에 업데이트를 배포할 것이라 밝히기도 했습니다.
현재 보안업체 체크포인트는 이용자가 직접 'Certifi 게이트' 취약점을 진단할 수 있도록 앱을 배포한 상태입니다. 구글 플레이에서 내려받을 수 있는데요. Certifi-gate 스캐너 앱은 ➥ 여기로 이동하시면 바로 설치하실 수 있어요. 이를 이용해 제가 가지고 있는 안드로이드 단말기(갤럭시S6 엣지, LG G4, 넥서스5)를 테스트 해 봤는데 (예상했던 그대로) 넥서스5 만 안전한 것으로 나타났습니다.
스테이지프라이트 보안 취약점이 드러난 이후 구글과 삼성 그리고 LG 등은 한달에 한번씩 보안 업데이트를 배포하겠다는 계획을 밝혔는데요. 그 첫번째 업데이트에서 해결해야 할 문제가 꽤 여럿 보이고 있네요. 이동통신사와 파트너 업체들과의 협력 그리고 구체적인 일정 등이 빨리 공개되어야 할 것으로 보입니다.
덧붙임 # 이 글은 techG와 공유함