거의 모든 안드로이드 기기가 무차별 해킹 위험에 노출되어 있다는 경고가 나왔다. 이 취약점에 노출된 기기는 “전 세계 안드로이드 기기의 95%”, 즉 “9억5000만대”로 추산된다. 더 우려스러운 건 단지 ‘문자메시지를 받는 것’만으로도 해킹당할 수 있다는 것.

NPR 등 주요 외신들이 27일(현지시간) 보도한 내용을 보면 이 보안 취약점은 모바일 보안업체 짐퍼리엄에 의해 발견됐다.

전화번호만 있으면 해킹된다

짐퍼리엄은 블로그에서 안드로이드 기기에서 멀티미디어 파일을 재생할 때 쓰이는 내장 도구인 ‘스테이지프라이트(Stagefright)’에 치명적인 취약점이 담겨있다고 밝혔다.

짐퍼리엄 연구원들의 설명에 따르면, 이 취약점이 특히 위험한 이유는 다음과 같다.

“이 취약점은 이용자가 아무런 행동을 하지 않더라도 공격을 받을 수 있기 때문에 매우 위험하다. 이용자가 PDF파일을 열거나 공격자가 보낸 링크를 클릭해야만 감염되는 스피어피싱과는 다르게, 이 악성 코드는 당신이 잠자는 동안에도 실행될 수 있다. 당신이 깨어나기 전에 공격자는 그 흔적들을 지울 수 있고, 당신은 평소처럼 하루를 보낼 것이다. 해킹된 스마트폰을 가지고.”

아스테크니카는 “최악의 공격 시나리오는 특정한 텍스트를 문자메시지(SMS) 형태로 발송하는 것”이라며 “공격자에게 필요한 건 취약점에 노출된 안드로이드 폰의 전화번호뿐”이라고 전했다.

패치 배포로 끝난 게 아니다

짐퍼리엄에 따르면 이번 취약점은 안드로이드 버전 2.2를 포함한 이후 버전에서 발견됐다. 특히 젤리빈(Jelly Bean) 이전 버전을 쓰는 이용자들은 가장 큰 위험에 노출되어 있는 것으로 나타났다.

이들은 지난 4월에 이 문제를 발견했으며, 이를 구글 측에 알리는 한편 패치를 공유했다고 밝혔다.

씨넷에 따르면 구글 대변인은 모든 기기에 적용될 수 있도록 파트너(단말기 제조업체)들에게 패치를 배포했다고 밝혔다.

그러나 문제는 시간이다. 패치가 완전히 적용되려면 아직 더 많은 시간이 걸릴 것이라는 얘기다.

NPR에 의하면 짐페리엄의 연구원 조슈아 드레이크는 “더 높을 수는 있지만 20% 정도의 기기에만 패치가 적용될 것”이라고 말했다. “낙관적으로 보자면 50%까지 올라갈 수는 있다”고도 했다.

그렇다면 나머지는? 여전히 위험에 노출되어 있을 수밖에 없다.

“악성코드 99%가 안드로이드 타깃”

NPR은 “구글이 어떻게 할 수 있는 문제가 아니다”라고 전했다. 노스이스턴대학의 콜린 뮬리너 연구원은 “구글을 탓할 문제가 아니라 기기 제조사와 아마도 통신사들의 책임일 것”이라고 지적했다.

이 설명을 이해하려면 안드로이드 운영체제의 특성을 알아둘 필요가 있다.

아이폰은 폐쇄형 운영체제다. 애플이 소프트웨어와 하드웨어를 모두 통제한다. 애플 아이폰은 오직 애플만 만들고, 운영체제인 iOS 역시 애플만 만든다는 뜻이다. 따라서 소프트웨어 업데이트를 일괄적으로 배포하는 게 쉽다. 애플에 따르면, 아이폰 이용자의 85%는 최신 버전의 iOS를 설치한 상태다.

안드로이드는 개방형 체제다. 구글이 소프트웨어를 만들기는 하지만, 딱 거기까지다. 구글이 최신 버전의 소프트웨어를 단말기 제조업체에 제공하면, 제조사는 자신들의 입맛에 맞게 이를 수정한다. 통신사들도 조금씩 손을 댄다. 같은 버전이라도 모두 제각각의 안드로이드다. 일괄적인 업데이트는 ‘불가능’에 가깝다.

씨넷은 “보안 업데이트가 필요할 때, 구글은 단지 패치를 배포할 수 있을 뿐이고 그걸 적용하는 건 단말기 제조사나 통신사들에 달려 있다”고 설명했다.

보안업체 ‘F-Secure’에 따르면, 지난 1분기 동안 보고된 모바일 악성코드의 99%는 안드로이드 기기를 대상으로 한 것으로 나타났다.

짐퍼리엄은 곧 해커들이 이 취약점을 노린 공격을 감행할 위험이 매우 높다고 경고했다. 한편 이들은 다음달 1일 미국 라스베이거스에서 개막하는 보안 관련 컨퍼런스 블랙 햇(Black Hat)에서 이번에 발견한 내용을 공개할 예정이다.