구글 픽셀(Pixel)폰과 삼성전자 안드로이드 스마트폰에서 무단으로 카메라로 사진이나 영상을 찍고, 심지어 통화 음성을 녹음까지 할 수 있는 취약점이 발견됐다.
이스라엘 보안 회사 체크막스(Checkmarx)는 보고서를 통해 “구글과 삼성 안드로이드 스마트폰에서 사용자 몰래 무단으로 카메라와 마이크를 사용할 수 있는 취약점을 발견했다”고 19일(현지 시각) 발표했다.
‘CVE-2019-2234’라고 불리는 이 취약점은 현재 구글과 삼성에 의해 수정됐다. 하지만, 문제는 두 회사뿐만 아니라, 안드로이드 기반 다른 스마트폰에도 같은 취약점이 숨어 있을 가능성이 높다는 점이다.
체크막스가 데모용으로 설계된 가짜 날씨 앱을 이용해 취약점을 검증한 스마트폰은 안드로이드 9를 탑재한 ‘Pixel 2 XL’과 ‘Pixel 3’다. 또한 같은 버전이 탑재된 삼성전자 스마트폰도 똑같은 상황으로 확인됐다.
이 앱은 설치될 때 저장소에 대한 접근 허용만 사용자에게 요구한다. 이후 저장소 접근 권한을 받기만 하면 카메라 앱을 마음대로 조정할 수 있게 된다.
이 취약점을 악용하ㅁ면 사진뿐만 아니라 영상이나 통화 중 음성, 심지어 SD 카드에 저장된 미디어 파일에 마음대로 접근해 훔치는 것도 가능하다. 또한 공격자 서버에 업로드 할 수 있어 GPS 데이터가 포함된 이미지나 비디오를 통해 공격자가 스마트폰의 실제 위치까지 추적할 수 있다.
이러한 취약점을 이용한 악성 앱들은 이전에도 있었지만, 대부분 사용자들에게 카메라 및 마이크, 위치정보, 저장소 등에 대한 접근 권한을 모두 요청해야만 가능했다. 하지만 ‘CVE-2019-2234’ 취약점은 한 가지만 요구하고 있어 사용자가 쉽게 알아차릴 수 없다.
체크막스는 “지난 7월에 이 같은 취약점을 구글에 알렸고, 구글은 곧바로 카메라 업데이트를 통해 수정했다”며, “또 삼성 역시 취약점을 수정했다고 밝혔지만, 언제 발표했는지는 확실하지 않다”고 밝혔다.
체크막스는 다른 제조업체의 안드로이드 스마트폰도 취약할 수 있다고 지적했다. 특정 제조업체 및 모델은 아직 공개되지 않았다.
김들풀 기자 itnews@
