닫기

글로벌이코노믹

[글로벌-Biz 24] 퀄컴, '스냅드래곤 칩' 결함으로 안드로이드폰 10억대 데이터 유출 위험

공유
0

[글로벌-Biz 24] 퀄컴, '스냅드래곤 칩' 결함으로 안드로이드폰 10억대 데이터 유출 위험

center
퀄컴 스냅드래곤 칩 결함으로 10억대 이상의 안드로이드 기기가 스파이 도구로 변질될 수 있는 해킹에 취약한 것으로 드러났다.
퀄컴 스냅드래곤 칩 결함으로 10억대 이상의 안드로이드 기기가 스파이 도구로 변질될 수 있는 해킹에 취약하다고 전문 매체 ARS테크니카가 8일(현지시간) 보도했다. 칩의 취약점은 무려 400개에 달한다고 한다.

취약성은 대상이 칩에 의해 렌더링된 비디오나 기타 콘텐츠를 다운로드할 때 악용될 수 있다. 대상도 권한이 전혀 필요 없는 악성 앱을 설치해 공격을 받을 수 있는 것이다. 이 경우 데이터 유출을 피할 수 없다.

해커는 안드로이드폰을 통해 위치를 모니터링하고 주변 오디오를 실시간으로 청취할 수 있으며 사진과 동영상을 빼낼 수 있다. 악용하면 휴대폰을 완전히 무응답으로 만들 수도 있다. 감염은 악성코드 치료 및 삭제를 어렵게 하는 방법으로 운영체제 안에 숨길 수 있다.

스냅드래곤은 CPU와 그래픽 프로세서와 같은 많은 구성 요소를 제공하는 통합 칩이다. 스냅드래곤 내부의 디지털신호처리(DSP) 기능은 충전 능력과 비디오, 오디오, 증강현실, 그리고 다른 멀티미디어 기능을 포함한 다양한 작업을 콘트롤한다. 전화기 제조업체들은 또한 DSP를 사용해 맞춤형 기능을 가능하게 하는 전용 앱을 실행할 수 있다. 과거에는 DSP 칩이 별도 제작돼 기기에 장착됐었다.
보안 회사 체크포인트의 개발자들은 취약성에 대한 보고서에서 "DSP 칩은 최종 사용자에게 더 많은 기능을 제공하고 혁신적인 기능을 가능하게 하는 비교적 경제적인 솔루션을 제공하지만 비용이 수반된다"고 썼다. 보고서는 또 "DSP 칩은 '블랙박스'로 관리되고 있어 위험에 더 취약하다“고 지적했다.

퀄컴은 결함에 대한 수정안을 내놨지만 현재까지 스냅드래곤을 사용하는 안드로이드 기기나 운영체제에도 통합되지 않았다. 언제 퀄컴 패치를 추가할 것인지를 구글에게 묻자 회사 측은 퀄컴에 확인해 보라고 했다. 퀄컴은 물음에 응답하지 않았다.

체크포인트는 수정 사항이 최종 사용자 기기에 적용될 때까지 취약성 및 취약성 활용 방법에 대한 기술 세부 정보를 보류하고 있다. 체크포인트는 이 취약성을 ‘아킬레스’라고 명명했다.

퀄컴 관계자는 "체크포인트가 공개한 퀄컴 컴퓨팅 DSP 취약점에 대해 OEM 업체들과 검증하고 적절한 해결책을 제공하기 위해 노력했다"면서 "현재 이 약점이 악용되고 있다는 증거는 없다"고 밝혔다. 관계자는 최종 사용자가 패치를 사용할 수 있게 되면 기기를 업데이트하고 구글 플레이 스토어 등 신뢰할 수 있는 위치에서 애플리케이션을 설치하도록 권장한다고 부연했다.

체크포인트는 스냅드래곤이 해당되는 약점에 노출된 전 세계 전화기가 약 40%에 해당된다고 말했다. 안드로이드 기기 수가 30억 대로 추산되는데 이 중 10억대 이상이 적용되는 것이다. 미국 시장에서는 약 90%의 기기에 스냅드래곤이 내장돼 있다.

이러한 악용으로부터 자신을 보호하기 위해 도움이 되는 지침은 별로 없다. 플레이에서 앱을 다운받는 것은 도움이 되지만 구글의 앱 조사 기록은 제한적이다. 또한 부비트랩 멀티미디어 콘텐츠를 효과적으로 식별할 수 있는 방법도 없다.


조민성 글로벌이코노믹 기자 mscho@g-enews.com