이미지 확대보기
삼모바일닷컴 등 해외IT전문매체은 14일(현지시간) 구글 프로젝트 제로 연구자의 말을 인용해 삼성전자가 안드로이드의 리눅스 커널에 직접 하드웨어 억세스하기 위한 다운스트림 커스텀 드라이버를 추가해 훨씬 많은 취약점을 만들어냈다고 보도했다. 이같은 변경은 최상위 커널개발자에 의한 검토없이 디바이스기기에 장착되고 있다는 것이다.
이 버그는 구글의 PROCA(Process Authenticator) 보안 서브시스템에 영향을 미쳤다. 삼성전자는 보안웹 사이트에서 버그를 중간 정도의 문제로 설명하고 있다. 안드로이드 9.0 및 안드로이드 10 운영시스템을 실행하고 있는 일부 갤럭시 스마트폰에서 ‘임의의 코드 실행’이 가능케 됐다. 구글은 지난 2019년11월에 삼성전자에개 버그정보를 전했으며 삼성전자는 이달초에 버그에 대한 패치를 발표했다.
구글은 기기 드라이버에 억세스할 수 있는 프로세스를 잠그도록 하고 있지만 삼성전자와 같은 브랜드에 의해 이루어진 변경은 이같은 노력을 약화시키고 있다고 지적했다.
스마트폰 제조업체들은 커널코드를 변경하는 것이 아니라 리눅스에 이미 존재하는 하드웨이에의 직접억세스 기능을 이용할 것을 구글측은 제안했다. 예를 들면 PROCA는 커널에의 읽기및 쓰기 억세스권한을 이미 취득하고 있는 공격자를 저지하는 것을 목적으로 하고 있다. 하지만 삼성전자는 공격자가 원래 그 억세스 권한을 취득할 수 없도록 엔지니어링 시간을 소비할 수 있다는 것이다.
잔 혼씨는 삼성전자와 다른 OEM(주문자 상표부착 생산방식)업체가 기기의 리눅스 커널을 추가하는 커스텀 기능의 일부는 불필요하며 삭제해도 기기에 영향을 주지 않는다고 설명했다.
커널 소스는 안드로이드의 핵심 부분인 리눅스 커널의 소스 코드로 각종 하드웨어를 관리하거나 운영하기 위한 드라이버, 애플리케이션 등을 연결하는 역할을 한다. 지난해 초에는 해외 일부 유저들이 삼성전자가 실수로 배포한 '갤럭시S5' 안드로이드 6.0.1 베타 버전을 받기도 했다.
박경희 글로벌이코노믹 기자 hjcho1017@g-enews.com
