데프콘 현장에서 발표된 취약점...데이터 삭제, 공장 초기화, 기기 잠금 등으로 이어져

[이미지 = utoimage]

‘내 디바이스 찾기’는 삼성 스마트폰 사용자들이, 핸드폰을 분실했을 때 보다 쉽게 찾을 수 있도록 만들어진 기능이다. 뿐만 아니라 원격에서 전화기를 잠그고, 삼성 페이를 사용 못하게 막을 수도 있다. 심지어 원격에서 전화기를 완전 초기화 시키는 것도 가능하다.

차르49의 보안 전문가들에 의하면 ‘내 디바이스 찾기’ 요소에서 발견된 취약점은 총 네 개라고 한다. 공격 표적이 된 장비에 악성 애플리케이션을 심기만 한다면 네 개 모두 익스플로잇 할 수 있다.

차르49의 보안 전문가인 페드로 움벨리노(Pedro Umbelino)는 데프콘 발표를 통해 “악성 앱의 경우 SD카드에 대한 접근 권한만 있으면 첫 번째 취약점을 익스플로잇할 수 있다”고 설명했다. 첫 번째 익스플로잇을 통해 공격자는 피해자 장비에 파일을 하나 만들고, 이 파일을 통해 백엔드 서버와의 통신을 가로챌 수 있게 된다고 한다.

여기서부터 공격자들은 악성 앱을 통해 ‘내 디바이스 찾기’로 할 수 있는 모든 기능을 마음껏 실시할 수 있게 된다. 즉 공장 초기화, 데이터 삭제, 실시간 장비 위치 추적, 전화 통화 및 문자에 대한 대응, 전화기 잠금과 잠금 풀기를 모두 할 수 있다는 것이다.

연구원들은 데프콘 강연 중 삼성 갤럭시 S7과 S8, S9+ 장비를 동원해 자신들의 이론을 그대로 구현하는 데 성공했다. 이들은 외신인 시큐리티위크(SecurityWeek)와의 인터뷰를 통해 “이 문제를 발견한 건 1년도 더 지난 일인데, 삼성 측은 작년 10월이 다 끝나가는 시점에 패치를 배포했다”고 지적했다. 그러고도 9개월을 기다렸다가 취약점과 익스플로잇의 세부 사항에 대해 발표한 건 사용자들의 안전 때문이라고 그들은 주장했다.

“이 취약점은 익스플로잇이 대단히 쉬운 편에 속합니다. 그러면서도 그 영향력은 대단히 심각한 수준이죠. 사용자는 공격자의 의도에 따라 영구적인 디도스 공격에 당할 수 있고, 모든 데이터를 잃을 수 있습니다. IMEI와 위치 정보가 추적됨에 따라 심각한 프라이버시 훼손도 있을 수 있습니다. 문자와 통화가 다른 사람의 도청 대상이 된다는 것도 당연하고요.”

차르49는 보고서를 통해 ‘내 디바이스 찾기’라는 애플리케이션은 어떠한 요소라도 ‘전체 공개’ 및 ‘엑스포트’ 상태로 존재해서는 안 된다고 주장했다. “정말 필요할 경우라면 노출된 요소들을 철저하게 보호해야 할 필요가 있습니다. 허용되는 권한의 수위도 꼼꼼하게 점거해야 합니다. 누구나 접근 가능한 파일을 통한 코드 실험도 하지 않는 게 좋습니다.”

차르의 보고서 원문은 여기(https://char49.com/tech-reports/fmmx1-report.pdf)서 다운로드 및 열람이 가능하다.

<mark style="font-family: "Nanum Gothic", ����; font-size: 16px; text-align: justify;">3줄 요약
1. 삼성 모바일의 ‘내 디바이스 찾기’에서 취약점 네 개 발견됨.
2. 연속적으로 익스플로잇 할 경우, 각종 사이버 공격 가능하게 됨.
3. 내 디바이스 찾기로 할 수 있는 모든 기능을 공격자도 발휘할 수 있게 됨.</mark>

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=90383&page=1&kind=1​)]