서론

 Zimperium Labs 와 같은 보안 연구소 (업체) 와 같은 존재가 없었으면 크게 알려 지지도 않았을지 모르는 안드로이드의 오랜 묵힌 라이브러리인 libstagefright 나 libutils 결함이 안드로이드 초기 버젼 부터 5.1 까지도 여전히 존해 해 왔다는 것을 모를 수도 있었습니다만, 그나마 이것들이 구글과 많은 개발자들에 의해 해결이 되어 온 것이 그나마 전 세계에 퍼져 있는 수 많은 안드로이드 기기들 중 일부에만 이 심각한 문제가 해결이 되고 있는 것은 지금 이 순간에도 많은 문제점이 아닐수가 없습니다.


문제점

 특히 위와 같이 기본적인 보안문제 ( stagefright 로 알려 져 있는 ) 는 단지 MMS 를 받기만 해도 그 안에 첨부된 JPG, 3GP, MP4 등 내부에 tag 정보를 가지고 있는 파일이라면 안드로이드 자체에서 이 tag 를 통한 보안 문제가 커지게 됩니다. 이런 기초적인 보안 문제를 해결 하기 위해서는 맨 처음 구글 자체에서 보안 문제의 심각성을 먼저 파악 하고 이를 security patch 로 계속 제공 해야 하는데, 대한민국이라는 이 좁은 나라에 수없이 쏟아 지는 파생 제품들이 구글에서 배포 하는 모든 패치를 사용자들에게 모두 제공하지 않기 때문 입니다.

 특히 중국에서 제조되어 전 세계로 판매되는 일부 제품들은 이런 문제를 제조사측에서 전혀 해결하려 하지 않고, 결국 사용자가 직접 이를 해결 하지 않는 이상 소비자의 보안상 문제점 노출은 언제나 공격자의 흔하디 흔한 먹이감이 된다는 것 입니다.


 그나마 5.1 까지는 어느정도 된다는 업체는 자사들이 만든 일부의 (보통 flagship 급 고급기) 제품들에 한해 보안 패치를 제공이나 하기는 하지만 LG 같은 대기업 조차도 이를 실제 사용자들에게 보안 패치를 만들어 제공 하는 데 까지는 너무 오랜 시간이 걸리거나 그냥 포기 해야 하는 수준 입니다.


 제가 가진 LG 기기 중에 이 보안 문제를 해결 하고 있는 기기는 단 한대도 현재 없으며, 가장 그나마 최근의 업데이트를 받은 LG G3 (국내 LG U+ 판) 의 경운 아래 처럼 mediaserver 관련 문제점을 무려 15 가지나 가지고 있습니다. 그 이전 버젼은 안드로이드 5.0.2 라 언급할 수준도 아니며, 이는 중국산 5.1 보다 더 못한 보안수준 입니다. 사실 중국산 제품이 백도어가 있네 어쩌니 하는데, 국내 안드로이드 기기들 보안 패치 수준 보면 백도어 따지기 전에 현관문 부터 단속도 못하는 수준이라 하겠습니다.



 그나마 G4 나 G5 는 더이상 LG 제품은 쓸 마음이 없어 졌기에 모르겠지만 (그렇다고 삼전 제품을 쓰는건 더더욱 아닙니다, 삼전이라고 보안수준이 좋다고 생각 하는건 LG 제품은 그래도 국내에서 만들어 져서 보안이 높다라고 생각 하는거랑 다를거 없는 환상 입니다. 모든 삼전 제품이 보안수준이 좋은게 아닙니다) 


안드로이드 6.0 에 mediaserver가 가진 더 큰 문제점

 특히 이번에 안드로이드 6.0 버젼들이 가진 mediaserver 는 과거 안드로이드 대부분의 모든 기종들이 배터리를 과도하게 소모 하게 만드는 원흉 이거니와, 일단 시스템에 저장된 모든 인지 가능한 미디어 들이 검색 되고 이것이 db 로 남아 있게 되는 중요한 framework 중 하나의 기능 입니다. 이것이 가지는 위험성은 MMS 받아야 걸리는 기존의 stagefright 와는 비교가 안되는 더 큰 문제점이라 하겠습니다. mediaserver는 아무래도 파일시스템 내에 존재하는 모든 파일들을 감시하고 있기 때문에 보안의 위해가 되는 모든 미디어 파일들이 어떤 이유로든 파일시스템에 남게 되기만 해도 바로 보안의 문제에 노출이 되는 것 입니다. 그래서 기존에 MMS 를 받아야 걸리는 문제점이 이제는 인터넷으로 캐슁 되는 것은 물론, MMS 또는 파일 복사 만으로도 바로 노출이 되는 것 입니다.

 어떤 사람들인 이런 exploit 이 아이폰에서도 있다고 하는데, 아이폰이 단지 파일 복사나 인터넷, 또는 MMS 받아서 보안의 문제가 되는 수준 이었다면 미국 FBI 가 범죄자의 폰을 풀기 위해 사설 보안업체에 의뢰까지 하는 해프닝이 발생 하진 않았을 것 입니다. 이런 보안적 문제는 반드시 해결 되어야 하는 것 이지 다른 OS 도 그렇다고 쉴드나 칠 일은 아닌 것 이지요.


 그나마 제가 가진 안드로이드 5.1 기기들은 그나마 제가 직접 파일시스템을 수정 해서 보안패치를 적용 한다고 하지만, 어디 일반적인 사용자가 그런걸 직접 해 가면서 자신의 보안위협을 감당 할 수 있을까? 란 의문을 가진다면 답은 역시 '아니다' 겠습니다.


 얼마전에 최초로 중국에서 산 제품 중 안드로이드 6.0 이 탑제된 기기를 구매 했을 때엔 아래 이미지 처럼 이 mediaserver 가 가진 취약점이 무려 37 개에 다랐습니다.



 물론 이를 제조사에 보고 하고, 패치를 기다리자 (이때 OTA 버젼이 20160601) 몇일 전 그나마 개선 된 OTA 가 이루어 졌습니다. 이때 패치 버젼이 20160623 이니, 22일 이후 여러 패치가 함께 제공 된 것이라 하겠습니다.



 그래서 줄어든 mediaserver 문제점이 37개에서 24개로 줄어 들었지만 이 수준이 LG G3 보다는 아직도 많다는 것이며, 이것이 언제 패치가 완료 될 것인지는 아직 모른다는 점 입니다. 구글 자체에서도 계속 보안 패치를 만들어 낸다곤 하지만 이걸 만들고 나면 다시 Zimperium Labs 에서 수정된 버젼에서의 또 다른 문제점이 발표가 되고, 이 문제점이 계속 쳇바퀴 돌듯 끊임 없이 해결이 되지 않고 있다는 것이 현실이기도 합니다.


 그나마 구글 자체에서 관리하는 기기를 쓰면 가장 빠른 보안패치를 받겠지만 외장메모리도 달지 못하는 안드로이드를 쓸 것이면 아이폰을 쓰는 것이 편리하단 판단도 있고, 저렴한 다른 안드로이드 기기들을 쓰는 장점도 포기하기엔 안드로이드를 왜 써야 하는지 장점을 크게 찾기는 어려워 보입니다. 실제 마지막에 산 제품은 화면 해상도가 720p HD 일 뿐이지 8 core 에 메모리 3GB 를 달고 16GB 내장에 128GB까지 확장은 물론 안드로이드 6.0 기능중 하나로 외장 메모리를 내장 메모리로 묶어 쓸 수 있는 것을 고려 한 데다, 이 제품 가격이 100 USD 도 안하는 놀라운 가격! 이라는 것이 안드로이드를 즐겨 쓰는 맛 중 하나가 아닐까 합니다. 물론 이는 제가 비싼 안드로이드 기기에 전혀 매리트를 못 느끼는 경우라 (G3 이후 비싼 제품은 더이상 구매 하지 않습니다) 이런 보안상 문제점들을 안타깝게 생각 하고 있습니다.


권하는 말

 만약 지금 안드로이드 기기를 구매 하시는 분들의 대상 기기가 안드로이드 6.0 을 탑재 하고 있다면 보류를 하시기 바랍니다. 이는 구글이 패치를 다 완료 한다 해도 이것이 다른 제조사에 넘어가고, 이 제조사들이 직접 제품에 보안 패치를 적용 하기 까지는 엄청나게 긴 시간이 걸립니다. 이것이 안드로이드가 가지는 가장 큰 문제점이자 보안의 구멍이라 하겠습니다.

 차라리 안드로읻, 5.1.1 이후의 버젼을 탑재 하거나, 대부분의 중국산 안드로이드 5.1 기기들은 stagefright 나 utils 라이브러리가 가지는 보안상 문제점이 해결된 것이 더 많습니다. 그리고 이 5.1 기기들은 mediaserver 문제점이 오히려 없습니다. mediaserver 문제점은 현재 안드로이드 6.0 에서 크게 붉어진 상태 입니다.


 어느 OS 나 보안의 구멍이 없을수가 없습니다. 리눅스나 MacOS 도 보안의 문제점이 있으며, 이를 해결 하기 위해 정말 지속적인 보안 패치가 이루어 지고 있습니다만, 이는 일반 OS 이기 때문에 안드로이드나 아이폰 처럼 시스템 영역에 패치가 간단히 업데이트 하면 적용 될 수 있는 형태와 전혀 다릅니다. (이게 같은거라 생각 한다면 unix 계열이 가지는 mount 나 partition 을 이해 하지 못하기 때문 입니다)


 그나마 단일 기기를 만들고 이를 지속적으로 업데이트를 하는 애플쪽은 폐쇠성을 가진 문제점을 제외 하고 보안적인 부분에서는 타 스마트폰 OS 들과는 달리 꽤 높은 보안을 가지고 있다고 봐야 하겠습니다. 반연 안드로이드는 제조사가 배포 하는 하드웨어와 밀접한 부분을 가진 커널을 제외하는 대부분 오픈소스로 공개 되어 있기에 이를 통해 보안의 취약점이 더 빨리 들어 나게 된다는 점 입니다. 반대로 이가 보안의 취약점을 빠르게 해결 할 수 도 있는 길이 될수 있으면 좋겠지만, 안드로이드 진영이 현재 가지는 문제점들 중 제조사가 이를 자신들이 만든 기기에 바로 적용 하지 않는 이 쳇바퀴 같은 문제점이 해결 되지 않는 다면 보안의 구멍은 여기저기에 계속 넘쳐날 듯 합니다.


 안드로이드의 편리함 뒤에는 언제나 많은 보안상 문제점과, 내가 쓰는 폰이 항상 나만 보고 있다고 믿을수 없다는 것을 고려하고 있어야 하겠습니다.

Posted by 견족자K rageworx