안드로이드, 문자 수신만으로 악성코드 감염 취약점(Stagefright).. 전체 95% 해당

안드로이드에서 치명적인 취약점이 발견되었다는 소식이다. 기존의 악성코드는 안드로이드에 많이 존재하긴 했지만, 이번엔 취약점이 보고되었으며, 이 취약점의 위험성이 상당하다. 지난 4월에 발견된 이 취약점은 문자 메시지를 받는 것만으로도 루팅 권한 수준의 많은 일들을 사용자 몰래 할 수 있다.

취약점의 요지는 간단하다. 문자 메시지를 받기만 하면 감염이 가능하며, 앱 제어권한, 카메라 등을 사용할 수 있다는 것. 기존에는 링크를 클릭하거나, 알 수 없는 출처의 앱을 설치하거나 해야 했는데, 이제는 폰 번호만 알기만 해도 감염이 가능하다는 것.

여기에서 iOS와 안드로이드의 차이가 드러난다. 많은 사람들이 그래서 보안은 iOS지! 이러면서 좋아하고 있으나, 주안점은 그것이 아니다. 이것은 기기 특성의 취약점이란 얘기고, 취약점은 원래 설계대로면 없었어야 하는 일들이지만 코드 상의 버그로 일어나는 것들이다.

문제는 iOS는 애플이 일괄적으로 관리하기 때문에, 구형기기에도 위험도에 따라서 업데이트를 제공할 수 있다. 그리고 그 모든 업데이트를 사용자는 바로 내려받아 적용할 수 있다. 그러나 안드로이드는 다르다.

제조사 별로, 통신사 별로, 버전 별로 다 다른 안드로이드는 구글이 업데이트를 해준다고 해도 그것을 적용받기 위해서는 첫째, 제조사. 둘째, 버전, 셋째, 통신사의 입김이 작용한다. 보안패치는 신속성과 안정성이 최고인데, 신속하게 적용되지 못하는 것이다. 그리고 언제, 어떻게, 적용 받았는지 안 받았는지 사용자는 알 수가 없다.

이 취약점은 4월에 알려져 100일 정도의 유예기간을 두고 언론을 통해 공개되었다. 이미 넥서스폰에는 적용되었다고 하며, 그 외의 제조사 기기들은 적용이 불투명한 상태이다.

롤리팝에 들어오면서 안드로이드는 웹뷰라는 방식으로 웹 취약점을 스스로 개선할 수 있는 여지를 두었다. 안드로이드 시장은 무척 크고, 취약점이 다수 발생할 수 있는 공개성을 감안하면 기타 취약점에 대한 패치도 이런 형식으로 제공되어야 한다.

제조사들은 자신의 휴대폰에 취약점 패치가 적용되는지 확실하게 고지해야 할 것이며, 이른 시일 내로 해당 패치를 제공해야 할 것이다.

* 수정 : 넥서스폰에는 아직 일부 적용되지 않았으며, 근시일 내에 패치로 제공될 예정이라고 합니다.