오코파티 보안 컨퍼런스에서 취약점 발견...해킹 시연 이뤄져
[보안뉴스 호애진] 삼성이 갤럭시S3의 원격 삭제(remote wipe) 취약점을 수정했다. 해당 취약점은 최근 아르헨티나 부에노스아이레스에서 열린 오코파티 보안 컨퍼런스(Ekoparty security conference)에서 해킹 시연을 통해 입증된 바 있다.
 

▲ 래비 보르가온카르는 오코파티 보안 컨퍼런스에서 갤럭시S3를 원격으로 공장 초기화 하는 장면을 시연했다.



베를린 기술대학의 래비 보르가온카르(Ravi Borgaonkar)는 갤럭시S3를 원격으로 공장 초기화하는 장면을 시연했다. 또 스마트폰 내부에 장착된 심(SIM) 카드를 못쓰게 할 수도 있는 것으로 나타났다.

삼성 갤럭시 시리즈의 터치 인터페이스인 ‘터치위즈’는 인터넷 링크를 클릭하면 특정코드(USSD)를 자동으로 다이얼하는 기능이 있다. 이 기능을 이용해 HTML 코드의 싱글 라인을 클릭, 갤럭시S3의 데이터를 삭제해 보인 것.

즉, USSD가 포함된 웹페이지를 갤럭시S3로 접속하면 사용자 의도와는 무관하게 폰의 모든 자료가 삭제되고 공장 초기화 상태가 된다. 이는 근거리무선통신(NFC), OR코드 등 다양한 방법으로 이뤄질 수 있다.

이에 삼성은 26일 자사 스마트폰의 소프트웨어 업그레이드를 통해 이같은 문제를 해결했다고 밝혔다. 사용자는 최신 소프트웨어를 다운로드 받아 해당 보안위협으로부터의 피해를 방지할 수 있다.
[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>