2015.10.14

안드로이드 기기 87%, 공격에 취약… 캠브리지대학 조사

Derek Walter | Greenbot
안드로이드 기기 제조사들이 매달 보안 패치를 설치한다고 주장하고 있지만 실제로는 보안과 거리가 먼 것으로 조사됐다.


이미지 출처 : The Register

최근 캠브리지대학이 안드로이드 기기의 보안 상태가 얼마나 취약한지를 조사한 결과, 안드로이드 기기 제조사들이 적시에 보안 업데이트를 제공하지 못해 사용자들을 공격에 무방비 상태에 놓이게 하는 것으로 파악됐다.

캠브리지대학 연구팀은 데이터를 취합하기 위해 구글 플레이 스토어에서 데이터 애널라이저 앱을 활용했다. 연구팀은 구글 플레이 스토어가 없는 전화기의 경우 결과값이 반영되지 않도록 했으며 많은 사람들이 이 조사에 참여할 수 있도록 했다. 그 결과 삼성, LTC, HTC, 모토로라 등 주요 안드로이드 기기 제조사 제품 2만 대의 안드로이드 기기에서 데이터를 확보했다.

구글이 이 연구에 일부 자금을 지원했으며, 연구는 현재도 진행중이다.

캠브리지팀은 안드로이드 기기 제조사들이 최신 보안 업데이트를 적용했는지를 평가해 이를 점수로 환산했다. 캠브리지의 연구 결과에 따르면, 취약점이 있는 보안 문제가 수많은 기기들을 위협할 수 있다. 이는 안드로이드 업데이트가 병목을 일으키기 때문이다. 구글이 새로운 버전이나 보안 패치를 내놓은 후 제조사들은 기기를 출시하기 전에 이것들을 자사 기기에 적용해야 한다. 통신사가 업데이트르를 테스트하고 승인도 해야 하기 때문에 통신사 브랜드 전화기는 더 위험하다. 이는 iOS에서 업데이트가 작동하는 방법과도 확실히 대조된다. 애플은 버튼을 누르면 모든 사람의 아이폰에 정확히 실행되도록 만들어 놓았다.

최고 보안 점수 받은 기기는 ‘넥서스’
캠브리지 연구팀의 조사 결과 넥서스 기기가 10점 만점에서 5.2점으로 가장 높은 점수를 받았다. 넥서스 다음은 LG가 차지했다.

안드로이드 기기의 보안 점수


출처 : AndroidVulnerabilities.org

안드로이드 기기 제조사들은 매월 보안 업데이트를 약속했지만 이를 지키는 기업은 5점 이상을 받은 넥서스밖에 없었다. 이는 시간이 지남에 따라 바뀔 수도 있지만 아직 초기 단계라 매월 정기적인 보안 패치가 얼마나 효과적인지, 제조사들이 이 약속을 장기적으로 지킬 지 여부를 파악하지 못할 수 있다. 매월 정기적인 보안 패치 약속은 안드로이드 기기 전체 가격과 잠금 해제 전화기 이외에 병목 문제를 해결하지 못한다. 업데이트 시 통신사가 키를 쥐고 있기 때문이다.

이 연구에 참여한 다니엘 와그너 박사는 문제의 핵심을 다음과 같이 정리했다.

"구글은 위험을 줄이기 위해 많은 노력을 기울였다. 구글 스토어가 애플리케이션의 안전성을 별도로 실시하기 때문에 여기 있는 애플리케이션을 설치하는 게 좋다. 구글은 플레이 스토어에서만 많은 앱을 올려 놀 수 있지만, 최근 안드로이드 보안 문제는 사용자를 보호하는데 이것만으로는 충분하지 않는 것으로 나타났다. 휴대전화는 업데이트가 필요한데, 대부분의 기기들은 그렇게 하지 않는다.”

플레이 스토어에 있는 앱만 설치하고 그 외 다른 곳에 있는 의심스러운 소프트웨어를 다운받지 않는다면 괜찮을 것이다. 하지만 기기를 업그레이드할 시점이 될 때, 결정하기 전 캠브리지팀의 연구를 확인해 볼 수 있다.
 
*Derek Walter는 미국 캘리포니아 북부에 거주하는 기술 전문 자유기고가다. ciokr@idg.co.kr



2015.10.14

안드로이드 기기 87%, 공격에 취약… 캠브리지대학 조사

Derek Walter | Greenbot
안드로이드 기기 제조사들이 매달 보안 패치를 설치한다고 주장하고 있지만 실제로는 보안과 거리가 먼 것으로 조사됐다.


이미지 출처 : The Register

최근 캠브리지대학이 안드로이드 기기의 보안 상태가 얼마나 취약한지를 조사한 결과, 안드로이드 기기 제조사들이 적시에 보안 업데이트를 제공하지 못해 사용자들을 공격에 무방비 상태에 놓이게 하는 것으로 파악됐다.

캠브리지대학 연구팀은 데이터를 취합하기 위해 구글 플레이 스토어에서 데이터 애널라이저 앱을 활용했다. 연구팀은 구글 플레이 스토어가 없는 전화기의 경우 결과값이 반영되지 않도록 했으며 많은 사람들이 이 조사에 참여할 수 있도록 했다. 그 결과 삼성, LTC, HTC, 모토로라 등 주요 안드로이드 기기 제조사 제품 2만 대의 안드로이드 기기에서 데이터를 확보했다.

구글이 이 연구에 일부 자금을 지원했으며, 연구는 현재도 진행중이다.

캠브리지팀은 안드로이드 기기 제조사들이 최신 보안 업데이트를 적용했는지를 평가해 이를 점수로 환산했다. 캠브리지의 연구 결과에 따르면, 취약점이 있는 보안 문제가 수많은 기기들을 위협할 수 있다. 이는 안드로이드 업데이트가 병목을 일으키기 때문이다. 구글이 새로운 버전이나 보안 패치를 내놓은 후 제조사들은 기기를 출시하기 전에 이것들을 자사 기기에 적용해야 한다. 통신사가 업데이트르를 테스트하고 승인도 해야 하기 때문에 통신사 브랜드 전화기는 더 위험하다. 이는 iOS에서 업데이트가 작동하는 방법과도 확실히 대조된다. 애플은 버튼을 누르면 모든 사람의 아이폰에 정확히 실행되도록 만들어 놓았다.

최고 보안 점수 받은 기기는 ‘넥서스’
캠브리지 연구팀의 조사 결과 넥서스 기기가 10점 만점에서 5.2점으로 가장 높은 점수를 받았다. 넥서스 다음은 LG가 차지했다.

안드로이드 기기의 보안 점수


출처 : AndroidVulnerabilities.org

안드로이드 기기 제조사들은 매월 보안 업데이트를 약속했지만 이를 지키는 기업은 5점 이상을 받은 넥서스밖에 없었다. 이는 시간이 지남에 따라 바뀔 수도 있지만 아직 초기 단계라 매월 정기적인 보안 패치가 얼마나 효과적인지, 제조사들이 이 약속을 장기적으로 지킬 지 여부를 파악하지 못할 수 있다. 매월 정기적인 보안 패치 약속은 안드로이드 기기 전체 가격과 잠금 해제 전화기 이외에 병목 문제를 해결하지 못한다. 업데이트 시 통신사가 키를 쥐고 있기 때문이다.

이 연구에 참여한 다니엘 와그너 박사는 문제의 핵심을 다음과 같이 정리했다.

"구글은 위험을 줄이기 위해 많은 노력을 기울였다. 구글 스토어가 애플리케이션의 안전성을 별도로 실시하기 때문에 여기 있는 애플리케이션을 설치하는 게 좋다. 구글은 플레이 스토어에서만 많은 앱을 올려 놀 수 있지만, 최근 안드로이드 보안 문제는 사용자를 보호하는데 이것만으로는 충분하지 않는 것으로 나타났다. 휴대전화는 업데이트가 필요한데, 대부분의 기기들은 그렇게 하지 않는다.”

플레이 스토어에 있는 앱만 설치하고 그 외 다른 곳에 있는 의심스러운 소프트웨어를 다운받지 않는다면 괜찮을 것이다. 하지만 기기를 업그레이드할 시점이 될 때, 결정하기 전 캠브리지팀의 연구를 확인해 볼 수 있다.
 
*Derek Walter는 미국 캘리포니아 북부에 거주하는 기술 전문 자유기고가다. ciokr@idg.co.kr

X