공장초기화 기능 실행시켜도 개인정보 복구 가능해   유일한 해결책은 스마트폰 제조사가 보완해 다시 제조하는 일   

[보안뉴스 주소형] 최근 스마트폰 ‘리퍼 제품’이 인기다. 점점 높아지는 스마트폰의 인기에 반해 가격은 보편적이지 않다보니 나타나는 현상이다. 이는 물론 중고 스마트폰을 사려는 사람도 많지만 그 만큼 사용하던 스마트폰을 되팔려는 사람도 많다는 것이다. 그런데 스마트폰을 중고시장에 판매할 때 좀 더 신중해야 할 것으로 보인다. 특히, 안드로이드 폰일 경우 한번 더 생각해보라는 보고서가 나왔다. 말 그대로 ‘리퍼’가 되지 않을 확률이 높기 때문이다.
 


영국의 캠브리지대학교(Cambridge University)에 재학 중인 학생 두명이 5개의 다른 제조사로부터 안드로이드 OS 버전 2.3에서 4.3 사이의 중고 기기 21개를 구매, 안드로이드 기기 안에 탑재되어 있는 ‘공장초기화(factory reset)’ 기능을 사용하여 기기를 초기화시키는 실험을 단행했다. 그 결과, 공장초기화를 시켰음에도 불구하고 기기의 80%는 마스터 토큰의 복구가 가능했다. 이로 인해 초기화 전 기기에 저장되어 있던 이메일, 연락처, 기타 정보 등을 모두 불러올 수 있었던 것.

대부분의 스마트폰 애플리케이션은 사용자들의 편의를 위해 인증 토큰 비밀번호를 처음에만 확인하고 그 후부터는 자동으로 로그인되는 시스템을 사용하고 있다. 이메일은 물론이고, 일정 알람 등도 한번 설정하면 그 다음부터는 사용자의 개입 없이 자동으로 이루어진다.  

그런데 이러한 토큰은 애초에 공장초기화 기능이 접근할 수 없는 비휘발성 플래시 스토리지(non-volatile storage)라고 불리는 공간에 저장되어 있어 이를 초기화시킨
다는 것은 불가능한 일이라고 연구팀이 밝혔다.

해당 연구팀은 공장초기화 기능이 가지고 있는 이 같은 문제점을 해결할 수 있는 대안책을 몇 가지 제시했다. 그 중 한 가지를 살펴보면 파일 바이트를 랜덤화시키는 것인데, 이 또한 플래시로 직접적으로 접근하는 것이 아니기 때문에 또 다른 불안요소만 가중되는 한계가 있다고 밝혔다. “전체 파티션을 하나씩 오버라이팅(overwriting)하는 것은  효과가 있다는 연구결과가 나왔다. 하지만 이마저도 기기의 특권적 접근(privileged access)이 요구되어 일반사용자들이 이용하기에는 무리가 있다.”  

보고서에 따르면 일반 사용자에게는 (기기가 호환이 된다는 전제 하에) 기기의 최초 사용자가 풀 디스크 암호화(Full Disk Encryption)를 사용하면 보다 안전하다. 

이번 보고서를 작성한 연구팀이 전에도 비슷한 맥락의 보고서를 발표했는데, 여기에는 서드파티(third-party)가 만든 원격에서 정보를 삭제하거나 잠금 시킬 수 있는 도난방지 애플리케이션에도 이 같은 결점이 있다는 내용이 담겨 있다.

“모바일 운영체제 아키텍처 상으로는 탑재되어 있는 공장초기화 기능이 서드파티의 보안 애플리케이션보다 우위에 있다. 따라서 모바일 안티 바이러스가 원격으로 정보를 지울 수 있다는 기능은 공장초기화 결점의 대안책이 될 수 없다. 현재로서 유일한 해결책은 스마트폰 제조사들이 공정단계에서부터 이를 보완하여 내놓는 것”이라고 보고서는 설명했다.

올해 2월, IT 전문 리서치기업인 가트너(Gartner)사가 미국 및 독일에 있는 5,600여명의 고객들을 대상으로 조사한 결과에 따르면 그들의 60%가 스마트폰을 교체하는 이유를 새로운 기능 또는 단순히 새로운 기기를 갖고 싶어서라고 답했다. 이렇게 스마트폰 리퍼 제품을 사용하는 사용자 갈수록 증가할 것이며 이 규모가 2017년에는 1억2,000만 명으로까지 늘어날 것으로 보고서는 예상했다. 이는 액수로 따지면 140억 달러에 해당되는 규모다.

이 가운데 북미 및 서유럽 지역의 해당 시장은 2015년에 30억 원에서 2017년에는 50억 달러까지 성장할 것으로 보고서는 전망했다.  
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>