사이버보안업체 짐페리엄 해당 취약점 발견…보안 패치, 사용자 단말기 적용에는 많은 시간 걸릴 듯
안드로이드 스마트폰의 95%에서 문자 메시지를 받기만 해도 해킹당할 수 있는 보안 취약점이 발견됐다고 28일(현지시간) 미국 현지 언론들이 보도했다.
전문가들은 사용자가 받은 문자메시지를 클릭하거나 읽는 등 별다른 행동을 하지 않고 가만히 있더라도 휴대폰이 악성코드에 감염될 수 있다고 설명했다.
이날 사이버보안업체인 짐페리엄은 “안드로이드 운영체제(OS)의 ‘스테이지프라이트(무대공포증)’코드에 이런 취약점이 발견됐다”고 밝혔다. 스테이지프라이트 기능은 안드로이드폰에서 동영상 등 멀티미디어 파일을 실행할 때 사용되는 기능이다. 안드로이드에는 문자메시지에 첨부한 영상을 사용자가 보기 전에 미리 올리는 가능이 있다. 짐페리엄은 이 기능을 해커들이 악용해 비디오 파일에 악성 코드를 첨부해 목표물을 감염시킬 수 있다고 주장하고 있다.
조슈아 드레이크 짐페리엄 부사장은 “이런 종류의 공격 대상은 누구든지 될 수 있다. 이것이 지금까지 발견된 안드로이드 취약점 가운데 가장 최악”이라고 설명했다.
드레이크 부사장은 “이 공격이 가장 최악인 이유는 피해자가 아무런 행동을 하지 않아도 스마트폰이 악성코드에 감염될 수 있기 때문”이라고 전했다. 이어 이런 취약점을 이용한 악성코드에는 문자메시지를 스스로 지우는 기능이 들어갈 수 있다고 덧붙였다. 즉 사용자가 스마트폰 알림을 일일이 확인해 보지 않는 이상 이상한 문자를 받았다는 것조차 깨닫지 못할 수 있다는 것이다.
짐페리엄은 전 세계 안드로이드폰 95%인 9억5000만대가 해당 취약점을 가지고 있다며 취약점 발견 후 바로 구글에 알렸다고 전했다.
짐페리엄으로부터 취약점에 대해 전달받은 구글은 48시간 만에 내부 코드에 보안 취약점 패치를 적용했다. 하지만 실제 사용자들의 단말기에 패치가 적용되기까지에는 많은 시간이 걸릴 것으로 보인다. 안드로이드 스마트폰의 업데이트는 구글이 아닌 단말기 제조사 또는 통신사 등을 통해 진행되기 때문이다.