구글은 안드로이드 6.0 마시멜로를 출시하면서 앱 실행에 필요한 하드웨어를 작동시킬 때 포괄적인 접근 권한을 부여하던 방식 대신 특정 하드웨어에 대한 권한을 허용해야만 쓸 수 있도록 세분화된 권한 취득 방식으로 변경했는데요. 즉, 이용자가 카메라나 마이크, 위치 정보, 저장 장치 등 여러 하드웨어에 대한 허용을 하지 않으면 앱은 이러한 하드웨어를 이용하는 기능을 쓸 수 없습니다.
그런데 가끔 이러한 권한 취득을 하지 않고 우회하는 취약점이 종종 발견되는데요. 무엇보다 이런 취약점을 가진 앱은 멀웨어로 탐지가 어려운데, 지난 7월 체크막스(CheckMarx)가 합법적으로 보이는 비 카메라 앱에서 카메라 권한을 취득할 가능성이 있는 방법을 발견하고 해당 취약점(CVE-2019-2234)을 구글과 제품 제조사와 공유했습니다.
이를 접수한 구글 팀은 구글 카메라 앱을 분석한 뒤 특정 작업 및 의도를 조작해 권한이 없는 악성 앱으로 사진을 찍어나 비디오를 녹화할 수 있음을 확인했는데요. 또한 특정 공격 시나리오를 통해 악의적 인 행위자가 다양한 저장 권한 정책을 우회해 저장된 비디오 및 사진 뿐만 아니라 사진에 포함된 GPS 메타 데이터에 대한 액세스 권한까지 부여해 사진 또는 비디오를 찍은 위치를 파싱해 사용자를 찾을 수 있음을 발견했습니다.
결국 악의적인 의도를 가진 공격자라면 피해자의 카메라로 찍은 사진과 비디오를 공격자의 서버에 업로드하고 전화기의 위치를 지도에서 곧바로 확인하는 방법으로 사용자의 위치를 찾아냅니다. 또한 음성 통화나 영상 통화를 자동으로 녹음한 위 이를 몰래 업로드할 수도 있습니다.
이 취약점은 구글과 삼성 카메라 앱에 영향을 주는 것으로 알려졌는데요. 다른 안드로이드 OEM 제조사도 영향을 받을 수 있으나 지금은 구글과 삼성만 지목된 상황입니다. 이 취약점은 공개 규정에 따라 보안 연구 그룹은 7월에 발견해 구글에 경고했고, 삼성은 8월에 해당 버그를 인정했다는군요.
구글은 11월 보안 업데이트를 통해 해당 문제를 수정했는데요. 삼성은 아직 이에 대한 언급이 없는 상황입니다. 하지만 구글이나 삼성이 아닌 다른 제조사의 스마트폰이나 안드로이드 기반 스마트 장치를 쓰고 있더라도 안심할 수 있는 것은 아닌데요. 각 제조사가 입장을 밝혀야 하는 상황인 듯합니다.
직접 보고 듣고 써보고 즐겼던 경험을 이야기하겠습니다.
chitsol@techg.kr
