.gif)
안드로이드 장비를 은밀히 사용하고자 하는 사람들은 VPN 관련 옵션을 켜둔다. 하지만 안심해서는 안 된다. 일부 정보가 밖으로 새나간다는 사실이 드러났기 때문이다. 구글은 원래 그렇게 설계했으니 취약점도 아니고 픽스도 없을 거라고 한다.
[보안뉴스 문가용 기자] 안드로이드 장비들이 와이파이 네트워크에 연결된 상태에서 사용자들 모르게 정보 일부를 유출시키고 있다는 사실이 드러났다. VPN을 사용하여 데이터를 암호화 한다 하더라도 이를 막을 수 없다고 하며, 이러한 사실이 사용자들에게 제대로 고지된 적이 없다고 한다. 때문에 안드로이드 사용자가 VPN을 통해 공공 와이파이에 연결되어 있다고 하더라도 공격자가 트래픽을 모니터링 함으로써 프라이버시 침해나 추적 공격이 발생할 수 있다고 전문가들은 경고했다.
[이미지 = utoimage]
이러한 사실을 제일 먼저 발견한 건 멀바드VPN(Mullvad VPN)이라는 VPN 업체다. “VPN을 통하지 않은 연결을 전부 차단하는 옵션을 활성화시켜도 정보가 새나가는 걸 막을 수 없습니다. 따라서 피해자가 연결되어 있는 네트워크를 모니터링 할 수 있는 사람이라면 VPN을 켜두고 안심하고 있는 피해자를 추적하고 관찰할 수 있게 됩니다. 와이파이 접근점의 위치 정보까지 알고 있다면 피해자가 어디에 있는지도 알 수 있게 되는 겁니다.”
멀바드 측이 구글에 이러한 사실을 제보했을 때 구글은 “의도된 기능”이라는 답변과 함께 “그러므로 픽스는 나오지 않을 것”이라고 말했다고 한다. 멀바드도 “안드로이드 OS가 장비의 연결성 정보를 외부로 전송한다는 건 충분히 있을 수 있다”고 말한다. “예를 들어 와이파이 망의 종속 포털을 통과해야만 인터넷을 사용할 수 있는 구성이라면, 안드로이드의 이러한 기능이 필요하죠.”
하지만 문제는 필요치 않은 경우에도 트래픽 정보가 새나간다는 것이다. 이 때문에 자신의 신원과 행방을 완전히 감추어야 하는 사용자들의 경우 원치 않게 위험에 처할 수 있게 된다. “안드로이드에 대한 구글의 공식 매뉴얼에는 ‘VPN 아닌 연결 차단’ 기능의 이러한 특징이 언급되어 있지 않습니다. 일반인 입장에서는 VPN 옵션을 활성화시키면 자신의 트래픽이 전부 암호화 되고, 따라서 정체를 안전하게 숨길 수 있다고 생각할 수밖에 없습니다. 이런 오해가 더 큰 피해를 낳을 수 있습니다.”
멀바드의 연구원들은 9월 29일 안드로이드 생태계의 매체인 안드로이드이슈트래커(Android IssueTracker)에 “안드로이드 VPN 기능에 대한 공식 매뉴얼 내용을 변경해야 한다”고 제안했다. “VPN 옵션을 켜도 정보가 새나갈 수 있다는 것을 알려야 합니다. 특히 연결성 정보는 암호화 되지 않은 채 외부로 전송된다는 것은 반드시 사용자들이 알고 있어야 합니다.” 하지만 아직 구글에 이 제안은 받아들여지지 않은 상태다.
구글은 “원래 의도된 것”
9월 29일의 글에 안드로이드 엔지니어는 “원래 설계부터 그렇게 작동되도록 되어 있다”며 “픽스는 나오지 않을 것”이라고 답했다. 그러면서 연결성 정보도 암호화 되도록 하는 기능을 추가하지 않는 이유를 다음과 같이 밝혔다.
1) 연결성 정보를 활용하는 VPN 제품들이 존재한다. 즉 연결성 정보까지 내보내지 않으려다가 VPN 자체를 못 쓰게 될 수도 있다.
2) VPN보다 권한이 높은 앱들이 존재하고, 이런 앱들이 있다면 VPN은 애초에 큰 의미를 갖지 못한다. 연결성 정보만 VPN에서 예외적으로 취급하는 게 아니다.
3) 연결성 정보만 노출되는 것인데, 이것만 가지고 심각한 프라이버시 침해가 초래된다는 문제 제기 자체를 납득하기 힘들다.
VPN은 사용자의 인터넷 트래픽을 암호화 한 채로 사용자를 공공 인터넷에 연결시켜주는 장치다. VPN 없이는 사용자의 컴퓨터 IP 주소가 고스란히 노출되지만, VPN을 사용하면 암호화 된 IP 주소가 공개된다. 그러므로 추적이 힘들게 된다. IP 주소는 연결성 정보 중 하나다. 따라서 피해자와 공격자가 같은 와이파이 망에 있다면 공격자는 이 IP 주소를 파악할 수 있게 된다.
구글이 OS를 변경하지 않는 이상 그 누구도 이 문제를 해결할 수 없다고 멀바드는 설명한다. “신원과 위치를 완전히 감추어야만 하는 입장에서 안드로이드는 위험한 OS일 수 있습니다. 안드로이드 기반의 배포판 OS인 그라핀OS(GrapheneOS)의 경우 연결성 정보마저 밖으로 나가지 않게 막는 옵션이 있는데, 차라리 이 그라핀OS로 바꾸는 게 안전이라는 측면에서는나을 수 있습니다. 그 외에는 구글이 마음을 바꾸기를 기도하는 수밖에 없습니다.”
3줄 요약
1. 구글 안드로이드, VPN 외의 연결을 차단한다는 옵션을 켜두어도 연결성 정보는 외부로 유출시킴.
2. 구글 측에서는 원래 OS를 그렇게 설계했으며 따라서 픽스는 없을 것이라고 발표.
3. 연결성 정보까지 새나가지 않게 하는 옵션을 도입하기까지 기다릴 수밖에 없는 상황.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 안드로이드 장비들이 와이파이 네트워크에 연결된 상태에서 사용자들 모르게 정보 일부를 유출시키고 있다는 사실이 드러났다. VPN을 사용하여 데이터를 암호화 한다 하더라도 이를 막을 수 없다고 하며, 이러한 사실이 사용자들에게 제대로 고지된 적이 없다고 한다. 때문에 안드로이드 사용자가 VPN을 통해 공공 와이파이에 연결되어 있다고 하더라도 공격자가 트래픽을 모니터링 함으로써 프라이버시 침해나 추적 공격이 발생할 수 있다고 전문가들은 경고했다.
[이미지 = utoimage]
이러한 사실을 제일 먼저 발견한 건 멀바드VPN(Mullvad VPN)이라는 VPN 업체다. “VPN을 통하지 않은 연결을 전부 차단하는 옵션을 활성화시켜도 정보가 새나가는 걸 막을 수 없습니다. 따라서 피해자가 연결되어 있는 네트워크를 모니터링 할 수 있는 사람이라면 VPN을 켜두고 안심하고 있는 피해자를 추적하고 관찰할 수 있게 됩니다. 와이파이 접근점의 위치 정보까지 알고 있다면 피해자가 어디에 있는지도 알 수 있게 되는 겁니다.”
멀바드 측이 구글에 이러한 사실을 제보했을 때 구글은 “의도된 기능”이라는 답변과 함께 “그러므로 픽스는 나오지 않을 것”이라고 말했다고 한다. 멀바드도 “안드로이드 OS가 장비의 연결성 정보를 외부로 전송한다는 건 충분히 있을 수 있다”고 말한다. “예를 들어 와이파이 망의 종속 포털을 통과해야만 인터넷을 사용할 수 있는 구성이라면, 안드로이드의 이러한 기능이 필요하죠.”
하지만 문제는 필요치 않은 경우에도 트래픽 정보가 새나간다는 것이다. 이 때문에 자신의 신원과 행방을 완전히 감추어야 하는 사용자들의 경우 원치 않게 위험에 처할 수 있게 된다. “안드로이드에 대한 구글의 공식 매뉴얼에는 ‘VPN 아닌 연결 차단’ 기능의 이러한 특징이 언급되어 있지 않습니다. 일반인 입장에서는 VPN 옵션을 활성화시키면 자신의 트래픽이 전부 암호화 되고, 따라서 정체를 안전하게 숨길 수 있다고 생각할 수밖에 없습니다. 이런 오해가 더 큰 피해를 낳을 수 있습니다.”
멀바드의 연구원들은 9월 29일 안드로이드 생태계의 매체인 안드로이드이슈트래커(Android IssueTracker)에 “안드로이드 VPN 기능에 대한 공식 매뉴얼 내용을 변경해야 한다”고 제안했다. “VPN 옵션을 켜도 정보가 새나갈 수 있다는 것을 알려야 합니다. 특히 연결성 정보는 암호화 되지 않은 채 외부로 전송된다는 것은 반드시 사용자들이 알고 있어야 합니다.” 하지만 아직 구글에 이 제안은 받아들여지지 않은 상태다.
구글은 “원래 의도된 것”
9월 29일의 글에 안드로이드 엔지니어는 “원래 설계부터 그렇게 작동되도록 되어 있다”며 “픽스는 나오지 않을 것”이라고 답했다. 그러면서 연결성 정보도 암호화 되도록 하는 기능을 추가하지 않는 이유를 다음과 같이 밝혔다.
1) 연결성 정보를 활용하는 VPN 제품들이 존재한다. 즉 연결성 정보까지 내보내지 않으려다가 VPN 자체를 못 쓰게 될 수도 있다.
2) VPN보다 권한이 높은 앱들이 존재하고, 이런 앱들이 있다면 VPN은 애초에 큰 의미를 갖지 못한다. 연결성 정보만 VPN에서 예외적으로 취급하는 게 아니다.
3) 연결성 정보만 노출되는 것인데, 이것만 가지고 심각한 프라이버시 침해가 초래된다는 문제 제기 자체를 납득하기 힘들다.
VPN은 사용자의 인터넷 트래픽을 암호화 한 채로 사용자를 공공 인터넷에 연결시켜주는 장치다. VPN 없이는 사용자의 컴퓨터 IP 주소가 고스란히 노출되지만, VPN을 사용하면 암호화 된 IP 주소가 공개된다. 그러므로 추적이 힘들게 된다. IP 주소는 연결성 정보 중 하나다. 따라서 피해자와 공격자가 같은 와이파이 망에 있다면 공격자는 이 IP 주소를 파악할 수 있게 된다.
구글이 OS를 변경하지 않는 이상 그 누구도 이 문제를 해결할 수 없다고 멀바드는 설명한다. “신원과 위치를 완전히 감추어야만 하는 입장에서 안드로이드는 위험한 OS일 수 있습니다. 안드로이드 기반의 배포판 OS인 그라핀OS(GrapheneOS)의 경우 연결성 정보마저 밖으로 나가지 않게 막는 옵션이 있는데, 차라리 이 그라핀OS로 바꾸는 게 안전이라는 측면에서는나을 수 있습니다. 그 외에는 구글이 마음을 바꾸기를 기도하는 수밖에 없습니다.”
3줄 요약
1. 구글 안드로이드, VPN 외의 연결을 차단한다는 옵션을 켜두어도 연결성 정보는 외부로 유출시킴.
2. 구글 측에서는 원래 OS를 그렇게 설계했으며 따라서 픽스는 없을 것이라고 발표.
3. 연결성 정보까지 새나가지 않게 하는 옵션을 도입하기까지 기다릴 수밖에 없는 상황.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
