구글, 삼성 엑시노스 칩셋서 제로데이 버그 18개 발견…4개는 심각한 수준

구글의 제로데이 버그 조사팀이 삼성의 모바일 애플리케이션 프로세서(AP)인 엑시노스(Exynos) 칩셋에서 18개에 달하는 보안 취약점을 발견했다. 이에 따라 관련 엑시노스 모델이 사용된 스마트폰에 대한 빠른 보안패치 필요성이 제기되고 있다.

16일(현지 시간) 해외 IT전문매체에 따르면, 구글의 제로데이 버그 조사팀인 프로젝트제로(Project Zero)는 스마트폰용 엑시노스 AP에서 18개에 달하는 보안 취약점을 발견했다고 보고했다. 발견된 18개의 제로데이 버그 중 4개는 심각한 수준으로 확인돼 사용자 동의 없이 스마트폰에 대한 원격 코드 실행이 가능한 것으로 알려졌다.

제로데이 버그란 제조사나 개발자가 버그를 최근 알게 됐다는 뜻으로 주로 보안을 약화시킬 수 있는 버그들이 많이 발견된다. 이번에 엑시노스에서 발견된 제로데이 버그들은 Internet-to-baseband RCE(원격 코드 실행) 버그로 해커가 보안에 취약한 스마트폰에 대해 사용자 허가 없이 임의로 조작할 수 있다.

팀 윌리스(Tim Willis) 프로젝트 제로팀 책임자는 해커가 스마트폰을 공격하는 데 필요한 정보는 오직 전화번호뿐이라며 버그의 심각성을 경고했고, 노련한 해커들은 최소의 노력으로 스마트폰을 손상할 수 있는 익스플로잇(exploit·취약점 공격)을 만들 수 있을 것으로 내다봤다. 이어 "취약점 공개로 해커들이 치명적인 익스플로잇을 만들 수 있기 때문에 정책상 예외를 설정해 치명적인 4개의 제로데이 버그 공개를 연기하기로 결정했다"고 덧붙였다. 나머지 14개의 제로데이 버그도 치명적이지는 않지만 여전히 보안에 위험을 초래한다고 언급했다.
제로데이 버그가 발견된 칩셋이 사용된 스마트폰 기종으로는 삼성전자의 △갤럭시 S22 △갤럭시 M33 △갤럭시 M13 △갤럭시 M12 △갤럭시 A71 △갤럭시 A53 △갤럭시 A33 △갤럭시 A21 △갤럭시 A13 △갤럭시 A12 △갤럭시 A04 시리즈 등이며 비보의 △S16 △S15 △S6 △X70 △X60 △X30 시리즈도 영향을 받는다. 그뿐만 아니라 구글의 △픽셀 6시리즈 △픽셀 7시리즈와 함께 엑시노스 W920 칩셋을 사용한 모든 웨어러블 장치, 엑시노스 Auto T5123 칩셋을 사용하는 모든 차량도 해당된다.

삼성은 이미 영향을 받는 칩셋의 취약성을 해결할 수 있는 보안 업데이트를 다른 공급업체들에 제공했지만 다양한 기종과 판매 수량이 많아 적용에 상당한 시간이 필요할 것으로 전망된다. 구글은 3월 업데이트를 통해 영향을 받는 픽셀 스마트폰에 대해 보안 업데이트를 실시한 바 있다.

전문가들은 제조사의 보안 업데이트가 제공되기 전까지 공격 원점을 제거하기 위해 와이파이(Wi-Fi) 통화와 VoLTE(Voice-over-LTE)를 비활성화하면 해커들의 공격을 방어할 수 있다고 밝혔지만 전화 통화가 불가능해지기 때문에 제조사가 제공하는 업데이트를 최신으로 유지할 것을 권장하고 있다.


장용석 글로벌이코노믹 기자 break627@g-enews.com