“안드로이드, 최악의 보안 구멍 OS…원인은”

가 +
가 -

안드로이드는 리눅스, 윈도우를 제치고 보안에 가장 취약한 운영체제 1위에 올랐다. 미국표준기술연구소(NIST)가 공개한 ‘국가취약점 데이터베이스(NVD)’를 보면 2019년 한해 가장 많은 보안 취약점이 발견된 운영체제는 구글 안드로이드로 총 414건이었다.

‘취약점’은 보안 결함을 의미하고 악의적인 공격에 이용될 수 있다. 공격자는 목표 대상이 많이 사용하는 소프트웨어나 운영체제의 가장 약한 연결고리를 찾는다. 안드로이드, 리눅스, 윈도우 서버, 윈도우10이 이번 목록 상위에 올랐다. 한편 애플 iOS는 목록에서 빠졌다.

구글 보안 연구팀인 프로젝트 제로가 지난해 발견한 ‘해킹된 웹 사이트 일부를 방문할 경우 아이폰에서 일정한 활동을 감시할 수 있는 코드를 심을 수 있는 취약점’을 애플이 빠르게 iOS 업데이트를 통해 패치한 결과다. 애플은 해당 취약점을 2019년 2월7일 공개된 iOS 12.1.4에서 패치했다. 관련 웹 사이트는 중국의 소수 민족인 위구르 족을 겨냥한 것으로, 안드로이드와 윈도우 환경에서도 취약점으로 악용되었다.

그러나 이 같은 보안 취약점을 이유로 안드로이드가 위험하다는 판단은 성급하다. VPN 서비스 평가 사이트인 <TheBestVPN>에 따르면 보안 취약점 414건 중 146건은 안드로이드 고유의 문제라기 보다 안드로이드를 채택한 스마트폰 제조사의 사전 앱 권한 설정 때문이라는 지적이다.

누구나 검토를 할 수 있고, 취약점을 없앨 ‘눈’이 많아서 오픈소스는 안전하다고 여기는 통념이 존재한다. 그러나 현실은 다르다. 누구나 코드를 확인할 수 있지만, 누구나 이를 실천하는 것은 아니다. 또 이 때문에 누구도 품질을 책임지지 않는 경향이 있다. 다시 말해, 개발자와 기업은 안드로이드 운영체제를 사용하면서 자신의 자원을 투자해 보안을 적극 점검하지 않는다. 다른 사람이 개발한 코드이기 때문이다.

또한 이번 조사에는 포함되지 않았지만, 최근 발견된 안드로이드 기기 취약점(아마존 킨들 파이어 등 특정 기기의 루트 권한이 일시적으로 탈취되는 문제)에 대한 원인도 미디어텍 칩으로 밝혀졌다. 실제로 미국표준기술연구소가 공개한 ‘제품별 취약성 평가’ 순위를 보면 이미 많은 브라우저가 지원 중단한 어도비 플래시 플레이어가 1위를 차지했다. 어도비 아크로뱃이 2위, 마이크로소프트 오피스는 3위에 올랐다. 안드로이드는 해당 순위에 포함되지 않았다. 애플 아이튠즈와 워치OS는 하위권에 포함됐다.