컨텐츠 바로가기

03.29 (금)

안드로이드 보안 취약점 '끝판왕' 등장

댓글 첫 댓글을 작성해보세요
주소복사가 완료되었습니다
[아이티투데이 성상훈 기자] 하도 많아서 더이상 나올 취약점이 없을것만 같던 안드로이드에 또 다시 새로운 유형의 치명적 취약점이 발견됐다. 그것도 안드로이드 보안 샌드박스를 완전히 속일 수 있는 매우 치명적인 것이다.

30일 주요 외신은 미국 신생 보안기업 블루박스 시큐리티의 발표를 인용, 정규 앱을 위장해 스마트폰의 권한을 100% 속이는 신규 취약점에 대해 일제히 보도했다.

블루박스 블로그에 따르면 이 취약점을 악용하게 되면 어도비 시스템이나 구글 월렛 으로 위장해서 보안 샌드박스를 우회할 수 있다.

이처럼 정규 앱을 응용하면 유유히 악성코드를 심거나 NFC 결제 정보에 접근할 수도 있다. 최악의 경우 MDM 플랫폼까지 위장할 수 있게 된다. 이 경우 단말기 제어 권한을 완전히 가로챌 수 있다. 최신 안드로이드 버전이 릴리즈 되지 않는 스마트폰이라면 더 이상 기업용으로는 안전하다고 볼 수 없다는 의미다.

아이티투데이

샌드박스 우회 보안 취약점을 발표한 블루박스 시큐리티 최고기술책임자(CTO) 제프 포리스탈. 포리스탈 CTO는 지난 5일에도 안드로이드 응용프로그램패키지(APK) 코드 수정에 대한 취약점을 발표한바 있다. 블루박스는 이 취약점의 이름을 'Fake ID'로 명명했다. 지난 2010년 릴리즈 된 안드로이드 2.1(에클레어) 이후부터 지난 4월 공개한 패치를 적용하지 않은 모든 스마트폰이 영향을 받을 수 있다고 블루박스측은 설명했다.

취약점 원리는 안드로이드 애플리케이션 인증서보기 구조를 바탕으로 하고 있다. 안드로이드 앱은 특정 서명 권한을 부여하는 경우가 있지만 안드로이드 2.1 이상에서는 패키지 설치 프로그램에서 인증서 체인 합법 여부를 확인하지 않는다.

다시 말해 어도비 시스템의 인증서를 위장한 악성 디지털 ID 인증서를 사용한다면 어도비에게 주어진 특권을 이용해 샌드박스를 우회하게 되는 것이다.

블루박스 시큐리티는 내달 미국 라스베가스에서 열리는 블랙햇 USA 2014에서 이 취약점에 대해 발표할 예정이다.

<저작권자 Copyright ⓒ 아이티투데이 무단전재 및 재배포 금지>
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.