퀄컴은 패치 적용 완료, 휴대전화 제조사의 추가 조치가 필요해 여전히 상황은 위협적
[헬로티 = 김동원 기자] 글로벌 사이버 보안 기업 체크포인트 소프트웨어 테크놀로지스(지사장 이은옥, 이하 체크포인트)가 전 세계 휴대전화 40% 이상에서 사용되는 칩에서 수백 개의 취약점 코드 섹션을 발견했다고 밝혔다.
체크포인트 연구진은 구글, LG, 삼성, 샤오미, 원플러스 등 하이엔드 휴대전화를 포함해 세계 휴대전화의 40% 이상에 내장된 퀄컴(Qualcomm)칩에서 400개 이상의 취약점을 찾아냈다.
▲ 체크포인트 연구진은 세계 휴대전화의 40% 이상에 내장된 퀄컴 칩에서 400개 이상의 취약점을 찾아냈다고 밝혔다. (사진 : 게티이미지뱅크)
연구진은 해커 등 공격자들이 이 취약점들을 이용해 안드로이드 폰에서 스파이 활동을 명령하고, 마비시키며, 악의적인 활동을 숨길 수 있다고 설명했다.
DSP(Digital Signal Processor)라고 알려진 이 칩은 퀄컴이 제조했으며, 하이엔드 휴대전화를 비롯해 지구상 거의 모든 안드로이드 휴대전화에서 찾을 수 있다.
체크포인트 연구진은 올해 데프콘(Def Con)이 발표한 ‘아킬레스(Achilles)’라는 제목의 연구논문을 통해 퀄컴의 DSP에서 발견된 400개 이상의 중대한 보안 위험성에 대해 ▲휴대전화가 사용자를 염탐한다 ▲휴대전화가 응답하지 않는다 ▲휴대전화가 악성 활동을 감춘다고 대략적으로 설명했다.
이 내용에 따르면, 해커들은 퀄컴 DSP 칩이 내장된 휴대전화 사용자와의 상호작용 없이 사진, 비디오, 통화내용, 실시간 마이크 데이터, GPS 등을 염탐할 수 있다.
또, 해커들은 계속해서 휴대전화를 마비시키고, 사진, 비디어, 연락처 등 휴대전화 안에 저장돼 있는 모든 정보를 영구적으로 사용할 수 없도록 악용할 수 있다. 멀웨어(Malware) 및 기타 악성 코드로 해커의 활동을 완전히 숨기고, 삭제하지 못하게 하는 것도 가능하다.
야니브 발마스(Yaniv Balmas) 체크포인트 사이버연구 책임자는 “퀄컴이 이 이슈를 해결하긴 했지만, 안타깝게도 이것이 끝은 아니다. 이러한 보안 위험에 노출된 휴대전화는 수억 대다”라며 “사용자는 염탐 당할 수 있고, 모든 데이터를 잃어버릴 수 있다. 우리 연구는 모바일 세계의 복잡한 생태계를 보여준다. 긴 공급망이 각 휴대전화로 통합되면서, 휴대전화 안에 깊이 숨겨진 이슈를 찾는 일은 쉬운 일이 아니며, 해결하는 것도 간단치 않다”고 말했다.
이어 그는 “우리는 다행히 이번에 이 이슈를 발견할 수 있었다. 하지만, 완전한 해결까지는 몇 개월에서 심지어 몇 년이 걸릴 것으로 보인다. 만일 앞으로 이런 취약점이 발견돼 악의적인 사람들이 이용한다면, 오랜 기간 수백만 명의 휴대전화 사용자들은 스스로를 보호할 방법이 거의 없을 것이다”라고 경고했다.
또한 그는 “현재 제조 중이거나 시판되고 있는 전체 휴대전화 라인에 패치를 통합하는 일은 이제 구글, 삼성, 샤오미 등 벤더사에 달려있다”며 “우리 추산으로는 모든 벤더사들이 자사 휴대전화 전체에 대하여 패치를 통합하는데 시간이 걸릴 것으로 본다. 따라서 좋지 않은 의도를 가진 사람에게 정보가 들어갈 위험이 높다는 점을 감안할 때, 기술적인 세부사항을 모든 사람에게 공개하는 것은 책임감 있는 일이 아니라고 생각한다. 현 상황에서 소비자들은 관련 벤더사들이 조치(fix)를 시행하도록 기다릴 수밖에 없다. 체크포인트는 우리의 모바일 보호 솔루션을 통해 이러한 취약점에 대한 보호를 제공하겠다”고 덧붙였다.
