메시지 내용 누르지 않아도 기기 내 침입
구글 안드로이드 2.2~5.1 버전에서 작동돼 안드로이드 95%가 타겟
구글 "빠른 시일 내 문제 해결한 업데이트 공급할 것"
[아시아경제 안하늘 기자] 메시지를 보내는 것만으로 상대방의 스마트폰 내 정보를 해킹할 수 있는 악성코드가 발견됐다. 이 악성코드는 구글 안드로이드 스마트폰 이용자 95%에게 영향을 줄 수 있는 것으로 조사됐다.
27일(현지시간) 미국 공영방송 NPR은 보안업체 짐페리엄(Zimperium)이 발견한 이 악성코드가 구글 안드로이드를 기반으로 한 스마트폰 내에 문자메시지로 위장침입해 개인정보를 훔칠 수 있다고 보도했다.
이 악성코드는 기존 피싱과 다르게 이용자가 별다른 조치를 취하지 않아도 해킹할 수 있다. 기존에는 해커들이 악성코드를 담은 문자메시지를 보내고, 이용자들은 그것을 열어보는 등의 특정한 행동을 해야 악성코드가 기기 내부로 침입할 수 있었다.
하지만 이 악성코드는 해커가 메시지를 보내는 순간 작동한다.
조슈아 드레이크 짐페리엄 보안 연구원은 "메시지를 받았다는 알림 소리가 들리기 전부터 해킹은 시작된다"며 "게다가 악성코드는 자신들이 침입했다는 증거를 지우기 때문에 이용자들은 해킹이 됐다는 사실조차 모를 가능성이 높다"고 했다.
짐페리엄은 이 악성코드를 '무대공포증(Stagefright)결점'이라고 명명했고 이를 다음달 열리는 해킹 콘퍼런스 '데프콘'에서 발표할 예정이다.
이 악성코드는 문자메시지 애플리케이션(앱)이 메시지를 자동으로 저장한다는 점을 이용해 기기에 침입한다. 이후 해커들은 원격으로 이용자의 스마트폰을 조종할 수 있다. 가령 해커들은 문자메시지를 보내는 것만으로 통화 내용을 자동으로 녹음하거나 이용자의 카드정보를 빼돌릴 준비를 끝마친다.
짐페리엄의 실험 결과 이 악성코드는 구글 안드로이드 OS 2.2버전에서 5.1버전까지 작동한다. 안드로이드 이용자의 95%가 해킹의 타겟이 될 수 있다는 것이다.
짐페리엄은 이같은 내용을 구글 측에 알리고 구글과 함께 4~5월간 패치를 제작했다. 현재 20% 가량 수정됐고 구글과 짐페리엄은 지속적으로 패치를 통해 문제를 해결해 나가겠다고 밝혔다.
하지만 구글이 안드로이드 소스를 공개하고 있어 완전히 해결되기 어렵다는 점이 문제로 지적되고 있다. 구글은 애플과 다르게 운영체제의 소스를 공개하고 제3의 제조업체가 스마트폰을 제작한다. 구글이 단말기 제작에 통제를 가하지 않는 구조인 탓에 안드로이드를 기반으로 한 모든 스마트폰에 패치를 적용하기 어렵다.
또 오픈소스이기 때문에 해커들도 자유롭게 안드로이드에서 작동되는 악성코드를 제작할 수 있다. 보안회사 F-Secure에 따르면 지난해 1분기 발견된 악성코드의 99%는 안드로이드 기기에서 구현되도록 개발됐다.
이에 구글과 짐페리엄은 이용자들에게 적극적으로 소프트웨어 업데이트를 진행해줄 것을 당부했다. 또 구글인 제조사와 통신사들에게 지속적으로 소프트웨어 업데이트를 진행할 것을 요구할 계획이다.
구글은 "우리에게 보안은 가장 중요한 부분"이라며 "최대한 빨리 파트너들에게 최적의 패치를 제공할 것"이라고 했다.
안하늘 기자 ahn708@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>