구글의 플래그십 픽셀 스마트폰 라인은 보안을 핵심 기능으로 홍보하면서 소프트웨어 업그레이드를 7년 보장하고, 서드파티의 무료 추가 및 불필요한 광고 소프트웨어에서 자유로워진다는 의도로 안드로이드 버전을 실행한다. 그러나 2024년 8월 15일(현지 시각), 모바일 보안 기업 아이베리파이(iVerify) 연구팀이 2017년 9월부터 출시된 대다수 픽셀 스마트폰에 포함되어 기기 조작, 장악 위험에 노출되는 결과로 이어졌을 수도 있는 안드로이드 취약점 발견 사항을 설명하는 연구 논문을 게재했다.
연구팀이 발견한 문제는 시스템 레벨에서 실행하여 사용자의 눈에 띄지 않는 상태로 기기에 숨어있는 ‘Showcase.apk’라는 소프트웨어 패키지와 관련이 있다. 엔터프라이스 소프트웨어 기업 스미스 마이크로(Smith Micro)가 버라이의 유통 매장 데모 모드로 스마트폰을 전환하는 메커니즘을 제공하고자 개발한 애플리케이션이다. 그러나 지난 몇 년간 출시된 모든 픽셀 안드로이드 기기에 Showcase.apk가 설치되어 원격 코드 실행, 원격 소프트웨어 설치 등 높은 순위의 시스템 우선 권한을 지녔다. 더 위험한 점은 애필르케이션이 암호화되지 않은 HTTP 웹 연결을 통해 구성을 다운로드하도록 설계되었다는 사실이다. 이 부분에서 연구팀은 공격자가 기기 권한을 가로채고는 애플리케이션을 장악하여 기기 전체에 피해를 줄 수 있다고 설명했다.
연구팀은 2024년 5월 초, 연구 내용을 구글에 공유했으나 구글은 3개월이 지나도록 문제를 해결하지 않았다. 구글 대변인 에드 페르난데즈(Ed Fernandez)는 와이어드의 문의 이후 “버라이즌이 더는 쇼케이스를 사용하지 않는다”라며, “수 주 후 배포할 안드로이드 소프트웨어 업데이트를 통해 쇼케이스를 지원한 모든 픽셀 기기에서 제거할 예정이다”라는 내용의 공식 성명을 보냈다. 또, 구글이 실제 아이베리파이가 발견한 취약점 악용을 입증할 만한 증거를 발견하지 못했으며, 앱은 2024년 새로 출시되는 픽셀 9 시리즈에 포함되지 않았다는 설명도 추가로 전했다. 버라이즌과 스미스 마이크로 모두 이 기사가 송출될 시점까지 와이어드의 문의에 답변하지 않았다.
[사진=Unsplash]
과거, 미국 국가안전보장국(NSA) 애널리스트였던 아이베리파이 최고 운영 책임자 로키 콜(Rocky Cole)은 “지금까지 안드로이드 기기에서 수많은 취약점을 발견했다. 하지만 아이베리파이 연구팀이 발견한 취약점은 몇 가지 측면에서 독특하며, 매우 심각한 문제를 초래할 수 있는 취약점이다”라며, “Showcase.apk를 실행할 때 스마트폰 자체를 통제할 능력이 부여된다. 그러나 사실대로 말하자면, 코드가 허술하다. 높은 우선순위로 실행되는 서드파티 소프트웨어가 운영체제의 깊은 곳에 설치되었으나 심층 테스트가 추가로 진행되지 않은 사실이 의문이다. 구글이 전 세계에 출시한 픽셀 기기 안에 불필요한 광고성 소프트웨어를 설치한 것처럼 보인다”라고 말했다.
아이베리파이 연구팀은 자사 위협 감지 스캐너가 고객사 기기에서 비정상적인 구글 플레이스토어 앱 인증을 경고하자 Showcase.apk를 발견했다. 아이베리파이 연구팀이 Showcase.apk를 발견한 계기가 된 고객사인 빅데이터 분석 기업 팔란티어(Palantir)는 아이베리파와 협력하여 Showcase.apk를 조사하고, 발견 사실을 구글에 함께 알렸다. 팔란티어 최고 정보 보안 책임자 데인 스터키(Dane Stuckey)는 발견한 취약점과 구글의 불분명한 늑장대응이 팔란티어가 픽셀 스마트폰은 물론이고, 안드로이드 기기 전체를 사용 중단하는 계기가 되었다고 밝혔다.
스터키는 와이어드에 “구글이 안드로이드 펌웨어에 외부 기업의 소프트웨어를 삽입하고는 자사 생태계에 의존하는 이들에게 공급사나 사용자가 생성하는 심각한 보안 취약점을 알리지 않았다”라고 말했다. 이어, “문제 발견 후 90일 이내로 수정을 완료해야 한다는 일반적인 관행에 따라 구글과 소통하면서 구글 생태계 신뢰도가 심각한 수준으로 무너졌다. 팔란티어는 고객 보호를 위해 기업용 기기로 안드로이드 기기 사용을 전면 중단하는 어려운 결정을 내렸다”라고 전했다.
아이베리파이 연구 부사장 마티아스 프리링스도르프(Matthias Frielingsdorf)는 Showcase.apk가 픽셀 기기의 취약점 노출 우려를 나타내지만, 기본적으로 Showcase.apk가 비활성화되었다고 설명했다. 즉, 공격자가 먼저 피해자 기기에서 Showcase.apk 애플리케이션을 활성화한 뒤 악용할 수 있다는 의미이다. 취약점을 악용할 가장 직접적인 방식은 패스워드나 설정을 변경할 만한 악용할 수 있는 취약점은 물론이고, 피해자 기기에도 물리적으로 접근할 권한을 손에 넣어야 한다. 페르난데즈 대변인도 취약점을 악용할 조건을 제한 요인으로 강조했다.
프리링스도르프 부사장은 “Showcase.apk를 물리적으로 실행할 방식만 발견했지만, 원격 공격이나 이미 기기 접근 권한을 확보한 공격자가 멀웨어로 Showcase.apk를 실행하여 권한을 강화하는 데 악용할 방법을 여럿 찾아볼 수도 있을 것이다. 지금까지 확인한 바를 보면, 물리적 접근 제한은 위험 요인이다. 다른 취약점 접근 방식을 별도로 공개하지 않으려 한다. 전 세계 사용자 기기 수백만 대가 위험을 직면할 수도 있기 때문이다”라고 말했다. 이어, 아이베리파이는 구글이 문제를 해결할 때까지 기술적 상세 정보 공개 범위를 제한한다고 덧붙였다.
아이베리파이 연구팀은 픽셀 스마트폰이 아닌 다른 안드로이드 기기에도 Showcase.apk가 삽입되었을 가능성도 언급했다. 페르난데즈 대변인은 와이어드에 보낸 공식 성명을 통해 “다른 안드로이드 주문 생산 업체에도 문제를 알리고 있다”고 전했다. 즉, 안드로이드 기기를 생산하는 다른 제조사 기기도 안전하지 않다는 의미이다.
콜은 “아이베리파이는 구글에 취약점을 공개적으로 알리기 전까지 구글의 패치 작업을 통한 문제 해결 방식을 훨씬 더 선호했다. 하지만 구글이 제때 특별히 패치 배포 작업을 진행하지 않아 어쩔 수 없이 취약점 발견 사실을 공개했다. 국가 주도 해커 조직처럼 자원을 갖춘 적이 Showcase.apk를 악용할 수 있다. 기본적으로 기종을 떠나 전 세계 픽셀 기기의 백도어가 될 위험성이 있다”라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202408/5766_7418_3521.jpg)
뉴스레터 신청