퀄컴 스냅드래곤 칩에서 취약점 400건 발견, 사용자 데이터 유출 위험

 

[출처:퀄컴]

현재 많은 안드로이드 계열 스마트폰과 태블릿 등에서 사용되는 연산칩(AP)인 퀄컴 스냅드래곤에서 취약점이 발견됐다. 특히 퀄컴은 이 결함에 대한 수정사항을 발표했지만 이 시점에서 소프트웨어로 안드로이드 기기들에 전달되지 않았거나, 아직 안드로이드 코드 베이스의 일부로 출시되지 않았기에 각별한 주의가 요구된다.

8월 9일 wccftech는 연구원들이 10억대 이상에서 사용되는 퀄컴 스냅드래곤 칩에서 400개 이상의 취약점을 발견했다고 보도했다. 이 결함은 사용자 권한 없이 대상 기기에 악성 앱을 설치하는 데에 악용될 수 있으며, 사용자 데이터를 훔치거나 위치를 추적하고 주변환경에서 나오는 소리를 듣는 등에 악용될 수 있다. 

구체적으로 살펴보면 이번 결함은 비디오, 오디오, 증강 현실 및 기타 멀티미디어 기능을 처리하는 데 사용되는 스냅드래곤 프로세서의 디지털 신호 처리 기능에 직접적인 영향을 미치는 것으로 나타났다. 빠른 충전 기능을 제어하는데도 사용된다. 이 취약성은 공격자가 운영 체제에서 악성 코드를 숨길 수 있도록 했다. 따라서 사용자가 이것을 알아차리고 제거 할 수 없게 했다. 공격자는 또한 안드로이드 기기를 외부 입력에 응답하지 않는 상태로 둘 수 있기에 장치를 사용해서 변경하고 문제를 해결하기가 어렵다.

퀄컴은 체크포인트 리서치사에서 Achilles라고 부르는 이러한 취약점을 경고받고는 버그 수정을 진행하고 있다. 체크포인트 리서치사는 이 버그의 영향을 받는 특정 프로세서에 대한 세부 정보를 포함하여 취약점에 대한 전체 기술 세부 정보를 공개하지 않았다.

구글과 퀄컴은 일반 유저에게 이런 결함에 대한 수정사항을 담은 패치가 언제 배포될 지에 대한 일정을 밝히지 않았다. 무려 10억대가 넘는 장치가 이 버그의 영향을 받는 만큼 기기 숫자를 고려하면 모든 기기에 패치를 배포하고 설치하게 하는 것은 쉽지 않을 것으로 보인다.

퀄컴은 Ars 테크니카와 공유한 성명을 내고는 이 취약점이 악용되었다는 증거가 아직 없다고 주장했다. 다만 사용자가 Google Play 스토어와 같은 신뢰할 수있는 장소에서만 앱을 내려받아 설치하도록 권장했다. 외부 설치 앱을 통해 이번 취약점을 이용할 수 있기 때문이다. 

한편 국내에서는 최신 갤럭시S20 시리즈를 비롯해 LG전자의 스마트폰 등 최신 주요 플래그십 제품에서 퀄컴 스냅드래곤 칩을 탑재하고 있다. 삼성 자체 AP인 엑시노스나 중국의 중저가폰에 들어가는 기린, 미디어텍 칩을 제외한 거의 모든 안드로이드 제품은 스냅드래곤을 채택한 상황이라 각별한 주의가 요구된다.