지역별 뉴스를 확인하세요.

안드로이드폰 문자만 받아도 해킹 위험

동영상 파일 첨부된 메시지 이용
기기 95%인 전세계 9억5000만 대 해당
비디오 재생 내장 도구에 취약점

대부분의 안드로이드폰이 비디오 파일이 첨부된 텍스트 메시지만 받아도 해킹 당할 수 있는 것으로 밝혀졌다.

28일 IT 전문매체 CNET에 따르면 전세계 안드로이드 기기의 95%인 약 9억5000만 대가 이 같은 취약점을 가진 것으로 드러났다.

모바일 보안업체 짐퍼리엄(Zimperium)이 처음 발견한 이 문제는 안드로이드 기기에서 비디오 등 멀티미디어 파일을 재생할 때 쓰이는 내장(built-in) 도구인 '스테이지프라이트(Stagefright)'의 취약점 때문이다.

짐퍼리엄 측에 따르면 이 문제가 더욱 심각한 것은 다른 악성 코드와 달리 이 취약점은 이용자가 아무런 행동을 하지 않고 그저 메시지를 수신하기만 해도 해킹 당할 수 있다는 점이다.

"일반적인 해킹의 악성 코드는 이용자가 첨부된 파일을 열거나 링크를 클릭해야 감염되거나 작동되지만 스테이지프라이트의 결함으로 안드로이드폰 사용자들은 잠자는 동안에도 해킹을 당할 수 있고 그 흔적도 말끔히 지울 수 있기 때문에 해킹을 당한 사실도 모를 수 있다"고 짐퍼리엄 측은 설명했다.

해킹을 시도하는 사람이 전화번호만 알면 악성 코드가 포함된 비디오 파일을 전송한 후 상대방이 열어 보지 않아도 상대방 기기에 있는 모든 정보를 마음대로 할 수 있다는 것.

이 취약점은 안드로이드 2.2 이후 버전에서 발견됐으며 특히 젤리빈(Jelly Bean) 이전 버전을 쓰는 이용자들이 가장 큰 위험에 노출돼 있는 것으로 알려졌다.

짐퍼리엄 측은 지난 4월 이 문제가 확인된 후 안드로이드 체제 제작사인 구글이 단말기 제조업체들에게 패치를 배포했지만 20~50%의 기기에만 패치가 적용됐을 것으로 추정하고 절반 이상이 계속 위험에 노출될 것으로 전망했다.

애플이 소프트웨어와 하드웨어를 모두 통제하는 폐쇄형 운영체제인 아이폰의 경우 소프트웨어 업데이트를 일괄적으로 배포하는 게 쉽지만 개방형 체제인 안드로이드는 최신 소프트웨어를 배포해도 일괄 업데이트가 어렵기 때문.

구글이 업데이트 소프트웨어를 만들어 단말기 제조업체에 제공하지만 제조사는 자신들의 입맛에 맞게 이를 수정하며 통신사들도 조금씩 손을 대기 때문에 일괄적인 업데이트는 불가능에 가깝다.

이런 이유로 보안업체 'F-Secure'에 따르면 지난 1분기 동안 보고된 모바일 악성코드의 99%는 안드로이드 기기를 대상으로 한 것으로 나타났다.

짐퍼리엄은 "아직 해커들이 이 취약점을 이용하지는 않은 것으로 보이지만 조만간 공격을 감행할 위험은 매우 높다"고 경고했다. 한편 짐퍼리엄은 오는 8월 1일 라스베이거스에서 개막하는 보안 관련 컨퍼런스인 블랙 햇(Black Hat)에서 이번에 발견한 내용을 공개할 예정이다.

박기수 기자

park.kisoo@koreadaily.com