본문 바로가기 주메뉴 바로가기 검색 바로가기
구글 신규 기능, 픽셀 스마트폰 내 해킹 미발생 보장 과정은?
상태바
more #구글 #픽셀 스마트폰 #픽셀 바이너리 투명성 #스마트폰 보안 #스마트폰 인증
구글 신규 기능, 픽셀 스마트폰 내 해킹 미발생 보장 과정은?
픽셀 바이너리 투명성은 픽셀 스마트폰 사용자에게 가장 최근 제공하는 보안 혜택이다.
By DAVID NIELD, WIRED UK

스마트폰 보안을 손쉽게 저하하는 것은 구글의 최대 관심사가 아니다. 구글은 이제 픽셀 기기에만 단독으로 적용되는 새로운 보안 기능인 ‘픽셀 바이너리 투명성(Pixel Binary Transparency)’을 배포했다.

픽셀 바이너리 투명성은 스마트폰의 진위성 인증서와 같다고 생각할 수 있다. 픽셀 스마트폰이 진품이며, 보안 여파로 이어질 수 있는 소프트웨어 단계에서 변형되지 않았음을 입증하는 역할을 한다.

픽셀 스마트폰 전용 기능이지만, ‘안드로이드 확인 부팅(Android Verified Boot)’에 이어 어떠한 형태로도 스마트폰의 보안 피해가 발생하지 않았음을 입증하는 기능이다. 심지어 구매 전부터 스마트폰 보안에 문제가 발생하지 않았다는 사실도 확인할 수 있다.

구글은 신속한 소프트웨어 업데이트, 단독 앱, 최고 수준의 카메라 성능 등 새로운 보안 기능을 제공하면서 다른 스마트폰보다 픽셀 스마트폰을 우선순위로 택할 이유가 되도록 하고자 한다. 구글의 픽셀 바이너리 투명성 기능을 아래와 같이 더 자세히 설명한다.
 
[사진=Google]
[사진=Google]

보안 문제
깔끔하게 포장된 셀로판 박스에서 스마트폰 신제품을 꺼내기 전, 여러 단계를 거쳐야 한다. 모든 단계는 해커 세력이 기기 장악력을 손에 넣으려 악용할 수 있다. 공장 초기화가 된 기기를 처음 꺼낼 때 보안 우려가 없다고 생각한다면, 오산이다.

멀웨어는 소프트웨어 코드(픽셀 스마트폰에서는 안드로이드 소프트웨어 코드)로 주입한 뒤 최신 기기를 박스에서 꺼낼 수 있다. 기본 안드로이드 운영체제는 물론이고, 이동통신사와 구글, 삼성 등 기기 제조사의 소프트웨어도 추가되어 있다. 물론, 오늘날 소프트웨어가 모두 구축되는 서드파티 라이브러리와 오픈소스 코드도 있다.

기기 보안 발생 시 보통 보안 확인 작업이 이루어지지 않은 부분이나 잘못된 한 가지 추측 등 공급망 과정의 한 부분만 악용한다. 스마트폰을 사용하는 순간 아무도 모르는 사이에 악성 코드가 안전한 것처럼 보이는 앱을 장악하면서 공격이 개시된다. 무선 소프트웨어 업데이트도 사용자에게 도달하기 전 탈취될 수 있다.

개인 앱 개발자부터 구글과 같은 기업까지 스마트폰 소프트웨어 유지 작업에 참여하는 모든 기업을 생각한다면, 해커 세력이 고려할 만한 수많은 공격이 등장한다. 이처럼 소프트웨어 유지 작업을 이용한 공격도 증가하는 추세이다. 모두 기존 사용자가 안전하면서 멀웨어 위험이 없는 최신 안드로이드 설치를 보장하지 않는 리퍼 안드로이드 기기를 판매하는 중고 시장에서도 발생하지 않는 문제이다.

구글 안드로이드 수정 사항
간단하게 말하자면, 새로이 배포된 픽셀 바이너리 투명성은 픽셀 스마트폰의 안드로이드 운영체제를 점검하여 코드가 설계 당시 의도한 것과 같다는 점을 확인한다. 예술 작품의 진품 여부를 확인하면서 방해 조짐을 살펴보는 행위나 퇴근 전 사무실 문과 창문 모두 제대로 잠긴 것을 확인하는 것과 같다. 구글은 공식 블로그 게시글을 통해 픽셀 바이너리 투명성을 설명하면서 추후 기본 기능으로 구성할 예정이라고 밝혔다.

더 구체적으로 말하자면, 픽셀 바이너리 투명성은 디지털 장부 체계를 이용해, 픽셀의 설치 사항이 어떠한 모습으로 나타나는지 보여주는 공공 암호화 기록을 이용한다. 입력 사항은 소프트웨어 배포 시 기록을 첨부하지만, 변경이나 삭제는 불가능하다. 다시 말하자면, 미인증 편집 모두 눈에 띈다는 의미이다.

기록은 머클 트리(Merkle tree)라고 알려진 것을 이용하여 기록 무결성을 유지한다. 어떠한 종류든 발생한 공격을 두고 다량의 데이터를 확인하는 과정의 속도를 높이는 암호화 구조이다. 소규모 데이터를 분석해, 변화 발생 여부를 감지한다.

다만, 구글은 안드로이드의 다른 보안 기능 때문에 대다수 사용자에게는 픽셀 바이너리 투명성 기능이 필요하지 않다는 점을 인정했다. 픽셀 바이너리 투명성 기능을 픽셀 스마트폰이나 태블릿에서 사용해 볼 수 있다. 코드 압축과 컴퓨터에서 안드로이드 기기를 분석하도록 하는 안드로이드 디버그 브리지(Android Debug Bridge) 사용에 익숙해야 한다.

픽셀 바이너리 투명성은 비슷한 방식으로 실행되는 기존 보안 기능인 안드로이드 확인 부팅 안전 조치를 보완한다. 안드로이드 기기를 실행하는 즉시 패스워드와 약간 비슷한 특수 소프트웨어 서명을 찾아 문제가 없다는 사실과 소프트웨어 보안 문제가 발생하지 않은 점을 확인하고는 부팅 과정을 성공적으로 이어가도록 한다. 픽셀 바이너리 투명성과 마찬가지로 모든 보안 침해는 사실상 숨길 수 없다. 안드로이드 확인 부팅은 기기가 보안 수준이 낮은 구형 안드로이드를 재실행하는 것도 막는다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Google's New Feature Ensures Your Pixel Phone Hasn't Been Hacked. Here’s How It Works
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청