Offcanvas

보안

코딩 실수 덕분에... 일부 안드로이드 앱이 하트블리드 피한 사연

2014.04.23 Jeremy Kirk  |  IDG News Service
하트블리트 버그에 취약할 것으로 간주됐던 몇몇 안드로이드 앱이 사실상 스스로 치료된 것으로 드러났다. 우습게도 네이티브 오픈SSL 라이브러리가 도입된 과정에서 발생한 코딩 오류 덕분이었다.

보안기업 파이어아이는 하트블리드 취약점 노출을 확인하기 위해 총 5만 4,000개의 안드로이드 애플리케이션을 검사했다. 지난 4월 7일 대중에게 공개된 이 취약점은 오픈SSL 코드 라이브러리에 내장됐던 것이다.

파이어아이 측은 조사 결과 몇몇 게임과 오피스 기반 애플리케이션이 취약하다는 사실을 발견했다. 원인은 대개 이들 애플리케이션이 안드로이드 OS의 라이브러리가 아닌 독자적인 네이티브 오픈SSL 라이브러리를 이용하고 있기 때문이었다.

율롱 창을 비롯한 3인의 연구진은 회사 블로그를 통해 "이에 따라 개발자들에게 이 사실을 통보했다"라고 밝혔다.

하지만 몇몇 안드로이드 오피스 앱의 경우 처음에는 취약한 것처럼 보였지만 자세히 분석한 결과 하트블리드 버그가 동작하지 않는다는 사실을 발견했다. 공통적인 코딩 실수 덕분이었다.

연구진은 "자세히 살펴본 결과 이들 앱은 네이티브 코드 연결 상에서 실수가 있었거나 죽은 코드를 보유하고 있었다"라고 밝혔다. 이어 "이에 따라 SSL 기능을 호출하려 하면 취약하지 않은 오픈SSL 라이브러리(안드로이드 OS 내장)로 연결됐다"라고 설명했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.