구글, 안드로이드 페이크ID 보안 조치

(지디넷코리아=손경호 기자) 안드로이드용 애플리케이션(앱)을 수정할 수 있게 하는 개발자용 ID를 악용해 정상 앱에 악성코드를 주입시켜 정보를 빼내거나 조작하는 일명 '페이크ID(FakeID)'라는 취약점이 수년째 방치됐다가 최근에야 보안조치가 이뤄졌다.

29일(현지시간) 미국 지디넷은 보안회사 블루박스 시큐리티에 올라온 자료를 인용해 이 같이 보도했다.

해당 내용에 따르면 이 취약점은 2010년 처음 공개된 안드로이드 2,1 이클레어에서부터 등장하기 시작한 것으로 안드로이드 4.3 젤리빈 버전까지 적용되는 것으로 확인됐다. '구글 버그 13678484'로 기록된다. 구글은 올해 4월에서야 정식 보안패치를 내놨다.

▲ 안드로이드 4.3 젤리빈 버전까지 적용될 수 있는 `페이크ID`라는 취약점이 공개됐다.

이 취약점은 안드로이드 앱이 갖고 있는 고유의 암호화된 ID와 앱 개발사의 개발자 ID를 매칭시켜 앱에 대한 관리자 권한을 가질 수 있다는 점을 악용했다. 안드로이드 시스템 상에서 한 개 앱에 대한 디지털서명이 이뤄지면 이 서명이 다른 정상 앱에서도 메타 데이터 API를 활용해 유효하누 서명으로 인정된다.

블루박스는 해당 취약점이 실제로 구현되는지에 대해 개념증명(POC)을 했다. 실제 테스트 결과 이 취약점을 악용하면 어도비 시스템 웹뷰 플러그인에 대한 권한을 상승시킨다. 이를 통해 다른 일반 앱들 내부에 트로이목마 악성코드를 주입시켜 해당 앱의 기능을 마음대로 조작할 수 있게 한다. 예를 들어 모바일뱅킹앱이라고 하면 앱 내에 저장된 모든 데이터를 보거나 조작할 수 있게 하는 것이다. 이 취약점은 어도비 웹뷰 플러그인 뿐만 아니라 웹뷰 내에 콤포넌트도 바꿀 수 있게 한다.

구글월렛에서 NFC 결제 관련 데이터를 빼내는 일도 가능해진다. 심지어는 안드로이드에서 제공되는 기업용 엔터프라이즈 모빌리티 매니지먼트(EMM) 플랫폼 중 하나인 '박스톤 3LM'이라는 모바일 보안앱 역시 이 취약점에 노출될 수 있는 것으로 나타났다.

이와 관련 구글 대변인은 "우리는 블루박스가 해당 취약점을 찾아 알려줬다는 사실에 대해 감사한다"며 "서드파티 연구는 사용자들을 위해 안드로이드를 더 강하게 만든다"고 말했다. 이어서 "안드로이드 오픈소스 프로젝트(AOSP)를 포함한 여러 파트너들에게 빠르게 취약점에 대한 보안패치를 배포했다"고 밝혔다.

또한 대변인은 "구글 플레이 스토어 내에 올라온 정상앱들 역시 이를 통해 보호되도록 했으며, 현재까지는 구글 및 서드파티에서 제공되는 앱스토어에서 해당 취약점을 악용한 실제 공격은 확인되지 않았다"고 덧붙였다.

현재 이 취약점은 안드로이드 4.4 킷캣 버전에서는 적용되지 않는 것으로 확인된 만큼 사용자들 입장에서 가장 빠른 대처법은 OS를 업그레이드 시키는 방법이다.


손경호 기자 (sontech@zdnet.co.kr)

ZDNet Korea