안드로이드 스마트폰 2년간 보안 업데이트 보장한다?

안드로이드 보안 업데이트는 엉망

공식 확인된 것은 아니지만 유출된 소식에 의하면, 구글은 대부분의 안드로이드 기기에 최소 2년간 보안 업데이트를 제공하도록 파트너 제조사에 요구하기로 했다. 첫해에는 최소 4번의 보안 패치를 제공해야 한다. 패치는 구글이 발표한 후 90일 이내에 제공돼야 한다. 이 요구를 충족하지 못하면 구글의 인증을 받을 수 없다. 대상 기기는 2018.1.31 이후 출시됐고, 10만 대 이상 개통된 기종이다.

업데이트를 쉽게 해 주는 프로젝트 트레블(Project Treble)을 비롯해, 보안 강화를 위한 최근 구글의 행보를 고려하면 사실일 가능성이 높다. 요구 조건이 과하지도 않다는 점에서 실현 가능성도 높다. 그러나 이걸로 문제가 완전히 해결될 것 같지는 않다.

해킹 취약점이 발견되면 일괄적으로 패치가 적용되는 애플과 마이크로소프트와는 달리, 안드로이드 스마트폰의 보안 업데이트 상황은 엉망이다. 구글에선 매달 보안 패치를 발표하지만, 기기 제조사 차원에서 제대로 적용이 되지 않고 있다. 따라서 보안 업데이트 문제를 심각하게 고려하는 사람이라면 아이폰을 쓰거나, 안드로이드에선 구글의 자체 브랜드인 픽셀폰만을 써야 할 것이다.

이번 대책도 허술하긴 마찬가지다. 요즘 취약점이 발견되면 바로바로 exploit code가 나오는데, 90일이면 이미 충분히 악용한 이후일 것이다 또한 1년에 4번이면 전체 패치의 1/3에 불과하다.

근본적으로 해결하려면 구글도 마이크로소프트처럼 보안 업데이트는 직접 챙겨야 할 것이다. Windows는 무수한 시스템 제조사, 주변기기 제조사, 부품 회사 제품에 탑재되지만, 업데이트는 MS에서 일괄적으로 제공하지 않는가.

안드로이드 취약점 악용은 쉽지 않아

그헣다면 대다수 안드로이드 스마트폰은 그냥 막 해킹당하는 것일까. Windows의 경우 취약점이 발견되면 짧은 시간 내에 exploit이 활발하게 시도되고, 실제로 이를 이용한 악성코드도 제법 발견된다.

Android security bulletin에 매달 발표되는 취약점을 보면 RCE(Remote Code Execution, 원격코드 실행), EoP(Escalation of Privileges, 권한 상승) 등 심각한 것들이 많다. 그러나 실제로 이런 취약점을 이용한 악성코드가 큰 문제가 된 적은 없는 것으로 알고 있다.

다만 스테이지프라이트(Stagefright) 취약점은 많은 악성코드에 이용됐다. 작년에 이슈가 됐던 블루본(Blueborne) 취약점은 공개된 지 1년이 넘었지만, 이를 이용한 악성코드가 발견됐다는 소식은 없다.

결국 이론적인 가능성과는 달리, 안드로이드의 취약점 악용은 실제 사례에서 거의 발견되지 않고 있는 것이다. Windows는 기능이 많고 복잡하며 사용자에게 많은 제어권을 주지만, 안드로이드는 그렇지 않다는 점이 이런 차이를 만드는 요소일 것이다.

안드로이드 악성코드=악성 앱

안드로이드의 악성코드는 대부분 가짜 앱, 변조된 앱 등 앱의 형태로 발견되고 있다. Windows에서는 간단한 스크립트 같은 형태의 악성코드도 많다는 것과 대비된다. 취약점을 악용해 자동으로 설치되기 보다는, 사용자를 속여서 설치하게 유도하는 것이다. 따라서 신뢰할 수 있는 출처에서만 앱을 설치하고, 관리자 권한을 비롯해 과도한 권한을 요구하는 앱을 주의하는 등 기본적인 수칙만 잘 지키면 실제적인 위험은 크지 않을 것으로 생각한다.

그리고 플레이 스토어에 자동 업데이트를 설정하여 크롬 브라우저, Android WebView가 최신 상태로 유지되도록 하는 것이 중요하다. 브라우저는 인터넷 상의 많은 악의적인 요소를 마주치는 최전선에 있다는 점에서 중요하다. 안드로이드 웹뷰는 앱 내에서 인터넷 콘텐츠를 보여주는 역할을 하므로, 브라우저와 마찬가지의 중요성을 갖는다.


관련 자료
  1. 민원24, 택배, 이벤트 사칭한 스미싱 주의
  2. 블루본(Blueborne) 해킹, 블루투스 취약점을 이용한 공격
  3. 가짜 앱 구별하기
  4. 구글 플레이에서 뱅킹 악성코드 발견

참고 자료
  1. Google Makes 2 Years of Android Security Updates Mandatory for Device Makers
  2. 안드로이드 신버전 적용 빨라진다?··· 지구어로 설명하는 ‘프로젝트 트레블’ 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다