다만 발견한 곳에서 세부 내용 공개하지 않아...퀄컴 “아직 공격 사례 없다”고 발표
[보안뉴스 문가용 기자] 보안 전문가들인 퀄컴 스냅드래곤 프로세서에서 400개가 넘는 취약 코드를 발견했다. 퀄컴 스냅드래곤은 구글, 삼성, LG, 샤오미, 원플러스 등 세계적인 스마트폰 제조사들이 가장 많이 사용하는 프로세서이기도 하다. 때문에 수천 만대의 스마트폰 및 태블릿들이 이 취약점에 노출된 상태라고 한다.
[이미지 = utoimage]
이러한 문제를 가장 먼저 발견한 건 보안 업체 체크포인트(Check Point)다. 이곳의 전문가들은 이 취약 코드를 통합해 아킬레스(Achilles)라고 부른다. 체크포인트의 야니브 발마스(Yaniv Balmas)는 “스냅드래곤 프로세서의 인기가 워낙 높아 분석을 시작하게 됐다”고 설명한다. 또한 이 취약 코드를 통해 안드로이드 스마트폰을 스파잉 도구 혹은 데이터 유출 도구로 변환시키는 게 가능하다고 덧붙였다.
“그 외에도 전화기를 응답 불가한 상태로 만들고 사진, 영상, 연락처 목록 등에 접근하지 못하게 만들 수도 있습니다. 즉 표적 디도스 공격이 가능하다고 말할 수 있습니다.” 여기에 적절한 멀웨어를 혼합해 공격을 이뤄갈 경우, 공격자의 흔적을 깨끗하게 지우거나 추가 공격을 위한 발판을 피해자 측에서 삭제할 수 없게 만들 수도 있다고 한다.
이 모든 공격을 성공시키려면 공격자는 악성 애플리케이션을 하나 만들어야 한다. 그리고 피해자가 이를 다운로드 받아 설치하도록 꾀어야 한다. “하지만 이런 과정들이 절대 어려운 게 아닙니다. 특히 안드로이드 스마트폰의 생태계 전체 혹은 표적이 된 피해자의 상황을 잘 이해하고 있다면 충분히 익스플로잇 할 수 있게 됩니다. 다만 여러 가지 취약점을 연쇄적으로 익스플로잇 한다는 것은 조금 까다로울 수 있습니다.”
취약점이 발동되는 건 애플리케이션 컴파일링 단계에서라고 하는데, 체크포인트는 상세 기술 정보를 아직 공개하지 않고 있다. 벤더들이 아킬레스에 대한 대책을 아직 마련하지 못한 상태이기 때문이다. 위험 요소들에 대한 완화책이라도 나왔을 때 익스플로잇 관련 기술 정보를 공개하겠다고 체크포인트는 밝혔다.
다만 상세 정보는 이미 퀄컴 측과 공유가 된 상태라고 한다. 퀄컴에 제출된 취약점 CVE 번호는 다음과 같다.
1) CVE-2020-11201
2) CVE-2020-11202
3) CVE-2020-11206
4) CVE-2020-11207
5) CVE-2020-11208
6) CVE-2020-11209
이에 퀄컴은 새로운 컴파일러와 소프트웨어 개발 키트를 발표했다. 그 외에도 몇 가지 위험 완화책을 마련했다. 하지만 문제가 해결된 것은 아니라고 체크포인트는 강조했다. 왜냐하면 이러한 대책이 실제 최종 사용자들에게 적용되어야 하기 때문이다. 그 책임은 이제 각 핸드폰 및 태블릿 제조사들에게 있다.
“각 제조사들은 위험할 수 있는 애플리케이션들을 전부 찾아내고 실험해 픽스를 개발해야 합니다. 그리고 그 픽스가 최종 사용자에게 도달할 수 있도록 배포해야 합니다. 과거에 일을 비추었을 때 이 일련의 과정은 꽤나 오랜 시간이 걸릴 가능성이 높아 보입니다. 제조사들에 따라서 패치를 뒤로 미루는 경우도 있고요. 수개월 정도 지나야 아킬레스로부터 사용자들이 보호받을 수 있을 것으로 예상하고 있습니다.”
퀄컴은 현재까지 아킬레스라고 불리는 이 취약점들이 실제 공격에 활용된 사례는 없다고 발표했다. “저희는 체크포인트로부터 문제를 제보 받은 후부터 취약점 해결을 위해 다양한 노력을 기울였고, OEM들이 적절하게 활용할 수 있는 완화책도 마련했습니다. 스냅드래곤이 탑재된 핸드폰이나 태블릿을 사용하는 소비자들이라면, 관련 패치가 나오자마자 적용할 것을 권장합니다.”
이 문제에 대해서는 슬라바 마카비브(Slava Makkaveev)라는 보안 전문가가 데프콘(DEF CON)에서 보다 상세하게 발표하기도 했다.
3줄 요약
1. 퀄컴 스냅드래곤에서 취약점 다수 발견돼 수천만 모바일 장비 위험.
2. 이 취약점들을 통합해서 아킬레스라고 부르는데, 여러 공격 가능하게 함.
3. 퀄컴에서의 해결책은 나왔으나 장비 제조사들이 각각의 패치로 만들어 배포해야 하는 문제가 남아 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>