Breaking
사이버 보안(Cybersecurity)
8가지 치명적인 취약점 잡았다…안드로이드, 대규모 보안 패치 실행
2019-07-24 17:41:33
김지연
▲대부분의 안드로이드 사용자들은 자신의 장치에 기본적인 보안 패치가 설치됐는지, 그리고 그것이 지속적으로 업데이트되는지 알지 못한다(사진=셔터스톡)

[라이헨바흐=김지연 기자] 최근 구글은 안드로이드 OS의 8가지 치명적인 결함을 해결하기 위해 보안 패치를 실시했다.

이들은 6월 보안 패치를 실시하기 1달 전, 장비 제조업체 및 OEM 업체에 해당 사실을 알렸다. 패치의 소스 코드는 이미 안드로이드 오픈 소스 프로젝트 저장소에 업로드돼 있었다. 이 보안 패치로 안드로이드 및 퀄컴의 치명적인 보안 결함이 수정됐다.

6월 안드로이드 보안 패치

안티바이러스와 컴퓨터 보안 전문 매체 네이키드시큐리티에 따르면 대부분의 안드로이드 장치는 보안 수준을 높이기 위한 업데이트를 받는다. 

제조업체가 버그 수정 사항을 전달받으면 이것을 보안 패치에 적용한다. 그러나 만약 OEM이 더 이상 지원하지 않는 오래된 안드로이드 OS를 사용 중인 장치의 소유자라면 따로 보안 업그레이드를 진행해야 한다.

구글 측은 6월 1일부터 5일까지 보안 패치를 배포했다.

패치의 개요에는 13개의 CVE(Common vulnerabilities and Exposure)와 9개의 퀄컴 칩셋 관련 CVE가 표시된다. 만약 이전 업데이트도 받지 못한 장치를 사용 중이라면 보안 위협이 높아질 수 있으니 주의해야 한다.

이 패치가 더 많은 안드로이드에 설치되지 못하면 OS의 분열화가 확장될 것이다. 따라서 안드로이드 버전 간의 차이를 줄이기 위해서는 OEM이 보안 패치를 릴리스하는 것이 중요하다.

▲제조업체 등은 버그 수정 내용을 받아 보안 패치와 함께 배포할 수 있다. 그러나 OEM이 지원하지 않는 오래된 안드로이드 OS를 사용하는 장치 소유자라면 주의해야 한다(사진=셔터스톡)

CVE 보안 패치, 어떤 내용일까

안드로이드 보안 게시판에 따르면 보안 수준 위협 요소로 분류된 CVE는 8개이며 그중 4개는 퀄컴 기술과 관련이 있다.

미디어 프레임 워크

이 패치에서는 3개의 CVE, 즉, CVE-2019-2093 및 CVE-2019-2095(안드로이드 9), CVE-2019-2094(안드로이드 7.0 이상) 등이 언급됐다. 이 취약점으로 인해 공격자는 원격으로 특별한 파일을 사용하는 임의의 코드를 활성화할 수 있다.

시스템

CVE-2019-2097도 이 패치에서 해결됐다. 이 문제점은 안드로이드 7.0 및 그 이상에서 발견됐으며, 무시되면 장치가 원격 사이버 공격의 위험에 처할 수 있다.

퀄컴 구성 요소

퀄컴과 관련된 두 가지 취약점이 이번 패치로 해결됐다. WLAN 호스트의 CVE-2019-2269 및 비디오 구성 요소의 CVE-2019-2287은 장치에 심각한 영향을 줄 수 있는 취약점이다.

퀄컴 폐쇄 소스 구성 요소

또 다른 두 가지 취약점인 CVE-2018-13924와 CVE-2018-13927 또한 6월 패치로 해결됐다.구글은 6월 패치를 두 가지 수준으로 나눠 제공했고, OEM은 두 가지 패치 수준 중 하나를 골라 사용할 수 있었다. 하지만 최신 보안 패치를 사용하는 것이 좋다.

 

안드로이드 기기의 소프트웨어 업데이트 적격성

구글은 방대한 양의 스마트폰 및 태블릿을 관리하기 위해 기기를 안전하고 효율적으로 유지하는 두 가지 주요 규칙을 시행했다. 첫 번째는 모든 안드로이드 기기에 대한 소프트웨어 지원을 2년 동안 이어가는 것이다.

두 번째는 2년의 소프트웨어 지원 기간 4번의 패치를 발표한다는 것이다. 구글은 필수 보안 패치를 포함한 새로운 안드로이드 라이선스 계약을 발표했다. 이제 안드로이드 기기는 시장 출시 이후 최소 4번 이상의 보안 업데이트를 받을 수 있다. 장치 수를 제한하는 등의 구체적인 수치는 없다.

안드로이드 9.0 파이를 사용하는 기기를 기준으로 생각한다면, 안드로이드 7.0 누가를 사용하는 기기는 적어도 4번 이상의 보안 패치를 받고 안드로이드 8.0 오레오로 업그레이드 해야 한다. 안드로이드 8.0 오레오 사용자라면 최소 4번의 보안 패치를 받고 9.0 파이로 업그레이드 해야 한다. 구글은 최근 새로운 안드로이드 Q를 발표했다.

▲구글은 방대한 수의 스마트폰 및 태블릿을 관리하기 위해 안드로이드 기기를 안전하고 효율적으로 유지할 두 가지 기본 규칙을 시행했다(사진=셔터스톡)

지난 5월 기준, 안드로이드 9.0 파이 사용 기기는 전체 안드로이드 기기의 10% 수준이었다. 안드로이드 Q가 정식 출시되기 전까지는 안드로이드 파이가 가장 빠른 OS 버전이다.

구글 측은 최신 버전의 OS를 다운로드 받는 기기가 더 많아졌으며 시장에서 오래된 버전의 안드로이드가 점점 줄어들고 있다고 전했다. 안드로이드 8.1 오레오는 15.4%, 8.0 오레오는 12.9%의 점유율을 보이고 있다. 7.1 누가는 7.8%, 7.0 누가는 11.4%다.

안드로이드 6.0 마시멜로 등 이전 버전은 여전히 16.9%의 점유율을 보이고 있다. 5.0과 5.1 롤리팝은 14.5%다. 4.4 킷캣을 사용하는 기기는 6.9%, 4.1~4.3 젤리빈은 3.2%다. 2.3 진저브레드와 4.0 아이스크림 샌드위치 사용 기기는 각각 0.3% 수준이다.

4.4 킷캣부터 6.0 마시멜로를 사용하는 기기는 아직 몇 년 더 시장에 머무를 수 있다. 이런 가젯은 업그레이드 대상이 아니다. 일부 사용자는 이전 기기가 완전히 작동을 멈춘 다음 새로운 기기를 구입하는 것을 선호한다.

신규 안드로이드의 경우 플레이스토어를 통한 업데이트가 예상되는 만큼 기존의 업데이트보다 편의성이 증가돼 신규 버전의 점유율에 대한 많은 기대가 모이고 있다. 스마트폰의 OS 업데이트는 보안의 주요한 요소로 이번 안드로이드가 선택한 방식이 시장과 보안의식에 큰 변화를 줄것으로 보인다.

 

[라이헨바흐=김지연 기자]