본문 바로가기 주메뉴 바로가기 검색 바로가기
안드로이드 폰 제조사 암호화 키, 탈취 후 멀웨어에 악용
상태바
more #구글 #안드로이드 #안드로이드 보안 #암호화 키 #디지털 인증서
안드로이드 폰 제조사 암호화 키, 탈취 후 멀웨어에 악용
다수 기기 제조사가 플랫폼 인증을 사용해 앱의 진위성을 인증한다. 그러나 악의적인 의도를 지닌 세력의 손에 들어간다면, 매우 위험해질 수 있다.
By LILY HAY NEWMAN, WIRED US

구글이 오픈소스 안드로이드 모바일 운영체제를 개발하는 가운데, 삼성을 비롯하여 안드로이드 기기를 생산하는 원래의 기기 제조사는 안드로이드 운영체제를 기기에 맞춤 적용하고 보안을 강화하는 데 큰 역할을 한다. 그러나 12월 1일(현지 시각), 구글이 새로 공개한 연구를 통해 스마트폰 공급사가 중요한 시스템 애플리케이션을 인증할 때 사용하는 디지털 인증서 여러 개의 보안이 침해돼, 이미 악성 안드로이드 앱을 승인하도록 변경하는 데 악용되었다고 발표했다.

구글 안드로이드는 대다수 컴퓨터 운영체제와 마찬가지로 권한 강화 모델로 설계됐다. 따라서 외부 개발사의 앱부터 운영체제 그 자체까지 안드로이드 기기에서 실행하는 각종 소프트웨어는 제한 수준이 최대화되었으며, 필요한 상황에 따라서 시스템 접근을 허용한다. 이는 가장 최근 실행한 게임이 몰래 사용자의 모든 계정 패스워드를 수집하는 동시에 사진 편집 앱이 카메라 촬영 기능에 접근하도록 한다. 또, 전체 구조는 암호화 키로 서명한 디지털 인증서로 실행한다. 키 보안 침해가 발생한다면, 해커 세력은 얻을 수 없는 소프트웨어 권한 허가를 받게 된다.

구글은 12월 1일 자 공식 성명을 통해 다수 안드로이드 기기 제조사가 완화 요소를 배포하여 키를 대체하고는 사용자 기기에 자동으로 수정사항을 적용했다고 공식 발표했다. 구글은 보안 인증 침해 악용을 시도하는 멀웨어를 감지할 스캐너를 추가했다. 구글은 멀웨어가 구글 플레이 스토어에 침입하지 못하도록 한다. 즉, 서드파티 분배를 통해 수정 사항을 널리 배포한다는 의미이다. 안드로이드 협력 취약점 계획(Android Partner Vulnerability Initiative)을 통해 문제 공개와 위협 해결을 위한 협력이 이루어졌다.

구글이 발표한 안드로이드 기기 디지털 인증 보안 문제 분석에 어느 정도 참여한 소프트웨어 공급망 보안 기업 체인가드(Chainguard) 소속 연구원 잭 뉴만(Zack Newman)은 “디지털 인증서를 악용한 공격은 매우 심각하지만 이번에는 다행히 안드로이드 기기 제조사 여러 곳이 무선 전송 업데이트를 통해 보안 침해가 발생한 키를 재빨리 교체했다”라고 설명했다.
 
[사진=Pixabay]
[사진=Pixabay]

보안 침해가 발생한 기기 인증 기능은 해커 세력이 중요한 멀웨어를 생성하고, 사용자를 속여 권한을 얻을 필요 없이 허가 권한을 확장하도록 한다. 안드로이드 역설계 엔지니어 루카즈 시에에스키(Łukasz Siewierski)가 작성한 구글 보고서는 탈취 인증서를 악용한 일부 멀웨어 샘플을 제시했다. 구글은 삼성과 LG를 디지털 인증서가 침해된 제조사 두 곳으로 지목했다.

LG는 와이어드의 문의에 답변하지 않았다. 삼성은 공식 성명을 통해 인증서 보안 침해 사실을 인정하며, “잠재적인 취약점과 관련된 보안 문제가 존재한다는 사실을 이전에는 알지 못했다”라고 밝혔다.

구글은 보안 침해가 발생한 인증서 악용 문제가 널리 확산되기 전, 문제를 알렸다. 그러나 이번 보안 침해 문제는 신중한 인증서 설계와 투명성 최대화 노력이 없다면, 단 한 가지 지점에서 보안 문제가 발생할 수 있다는 점을 강조한다. 구글은 2021년, 구글 바이너리 투명성(Google Binary Transparency)이라는 메커니즘을 도입했다. 기기에서 실행 중인 여러 안드로이드 버전이 구글의 의도대로 실행 중이며, 인증된 버전인지 확인하려는 취지로 도입했다. 해커 세력이 표적으로 지정한 시스템의 접근 지점이 너무 많아 로깅 툴 보안을 침해할 수 있는 시나리오가 있다. 그러나 최대한 많은 상황에서 피해 최소화와 의심스러운 행동 경고를 위해 구축할 가치가 있다. 

항상 그렇듯 사용자를 보호할 최선책은 모든 기기의 소프트웨어 설치 상태를 최신 버전으로 유지하는 것이다.

뉴만은 “실제로 해커 세력이 계속 디지털 인증서 보안 침해와 같은 접근 지점을 계속 찾느라 혈안일 것이다. 하지만 안드로이드만의 문제가 아니다. 한 가지 긍정적인 소식이 있다면, 보안 엔지니어와 연구원 모두 디지털 인증서 보안 침해 공격과 같은 상황 예방과 감지, 회복 해결책 구축을 위해 큰 진전을 거두었다는 사실이다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Android Phone Makers’ Encryption Keys Stolen and Used in Malware
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청