퀄컴 스냅드래곤 프로세서는 매우 많은 제조사에서 사용하는 모바일 프로세서인데요. 최근 이 프로세서와 관련된 보안 취약점이 발견됐습니다. 이 보안 취약점은 외부 공격자들이 개인용 데이터 및 암호화 키 저장소를 들여다볼 수 있는 것으로 퀄컴은 관련 패치를 배포했다고 밝혔습니다.
이번 문제는 퀄컴 QSEE(Qualcomm Secure Execution Environment)에 저장된 개인 데이터 및 암호화 키를 검색할 수 있는 버그를 NCC그룹의 보안 연구원인 키건 라이언(Keegan Ryan)이 지난 해 발견해 보고(CVE-2018-11976)한 것입니다. QSEE는 하드웨어적으로 격리된 영역으로 개인의 민감한 데이터를 저장한 뒤 안드로이드 운영체제나 프로그램의 요청에 따라 안전하게 처리할 수 있도록 설계했습니다. 하지만 라이언은 퀄컴의 ECDSA 암호화 서명 알고리즘으로 QSEE 보안 영역에서 처리된 데이터를 검색할 수 있는 것을 확인했다는군요.
키건 라이언은 관련 내용을 백서로 공개했고, 퀄컴도 패치를 발표했습니다. 하지만 안드로이드 운영체제에서 패치를 제공해야만 하는데, 제조사에서 모든 제품에 패치를 제공하기 어려울 것으로 보입니다.
이 문제에 영향을 받는 퀄컴 칩셋이 너무 많기 때문인데요. 퀄컴 스냅드래곤 200 시리즈, 400 시리즈, 625, 660, 670, 710, 712, 820, 835, 845 등 무려 40여개 칩셋이나 됩니다. 이 중에 최근 출시된 제품도 있는 반면 업데이트 지원이 끝난 구형 제품들은 제조사에서 패치를 배포해야 하는데 지금은 그럴 가능성이 매우 낮은 상황입니다.
퀄컴 스냅드래곤 프로세서 제품을 쓰는 안드로이드 이용자는 제조사의 보안 패치를 꼭 설치하고, 배포되지 않는 구형 제품 이용자는 주의할 필요가 있을 것 같네요.