전세계 안드로이드 스마트폰 10대 중 9대가 보안 위협에 노출돼 있다는 연구결과가 나왔다. 안드로이드 운영체제(OS)의 새로운 보안 취약점이 발견된 것은 아니다. 전세계 많은 안드로이드 스마트폰 사용자가 이미 보안 취약점이 알려진 구형 안드로이드 버전을 쓰기 때문에 나온 결과다.
10대 중 9대, 최소 13가지 보안 위협에 노출
케임브리지대학교 연구팀은 지난 2011년 5월부터 ‘디바이스 애널라이저’라는 이름의 스마트폰 응용프로그램(앱)을 이용해 데이터를 수집했다. 구글플레이에서 앱을 무료로 제공하고, 앱을 내려받은 이들의 안드로이드 스마트폰을 분석 대상으로 삼았다. 케임브리지대학교가 4년여 기간 동안 수집한 안드로이드 기기 데이터는 총 2만1713개 수준이다. 이 가운데 이미 보안 취약점이 알려진 구형 안드로이드 버전으로 구동하는 스마트폰은 87.7%에 달했다.
구형 안드로이드로 동작하는 스마트폰은 최소 13개 이상의 보안 취약점을 갖고 있다고 연구팀은 분석했다. 특히 지난 7월 발견된 ‘MMS 해킹’도 여기 해당한다. 안드로이드 스마트폰에 멀티미디어메시지(MMS)를 보내는 것만으로도 해킹 코드를 실행할 수 있는 보안 취약점이다. 안드로이드 스마트폰의 내장 미디어 재생장치 ‘스테이지프라이트’의 허점을 이용한 해킹 방법으로, 발견 당시 크게 문제가 되기도 했다.
안드로이드 스마트폰의 이같은 보안 위협은 사용자의 잘못은 아니다. 문제는 구글과 제조업체가 안드로이드를 다루는 독특한 방식과 관련이 깊다. 구글은 안드로이드에서 보안 취약점을 발견할 때마다 이를 개선한 최신 버전을 내놓는다. 예를 들어 구글은 지난 7월 MMS 해킹 취약점이 발견된 이후 보안 패치를 내놨다. 하지만 구글의 패치는 즉각 사용자에게 전달되지 않는다. 안드로이드 스마트폰에서 업데이트는 제조업체와 이동통신업체의 몫이기 때문이다.
[rel]케임브리지대 연구팀도 이번 보고서에서 “안드로이드 생태계의 업데이트 병목현상은 치명적인 보안 취약점을 해결하고 이를 업데이트하는 데 실패한 제조업체의 문제”라고 지적했다. 케임브리지대 안드로이드 스마트폰 보안 취약점 연구팀은 ‘안드로이드취약점닷오알지’ 홈페이지를 만들고, 연구 결과를 공개했다. 좀 더 자세한 연구 결과는 PDF 자료로 받아볼 수 있다.
'넥서스'가 기준…LG 1위, 삼성 3위
케임브리지 대학교 연구팀은 이번 연구 결과에서 제조업체별로 보안 점수를 매겼다. 점수 산정에 쓰인 지표는 ‘F’와 ‘U’, ‘M’ 3가지다. 이른바 ‘FUM 점수’다. ‘F'는 알려진 보안 취약점으로부터 자유로운 안전한 제품의 비율을 뜻한다. ‘U’는 최근 제조업체가 실시한 안드로이드 업데이트 비율을 말한다. M은 제조업체가 보안 취약점을 해결하기 위한 업데이트를 아직 진행하지 않는 제품의 개수를 의미한다.
연구팀의 FUM 점수에 따르면, 구글의 레퍼런스 스마트폰인 '넥서스' 시리즈는 5.17점이다. 넥서스 스마트폰 시리즈는 구글이 안드로이드 업데이트를 진행할 때마다 이를 실시간으로 적용할 수 있는 제품이라는 점에서 상대적으로 안전하다. 넥서스 시리즈의 5.17점은 안드로이드 스마트폰의 보안 기준점수인 셈이다.
안드로이드 스마트폰 제조업체 중에서는 LG전자가 3.97점을 받아 1위로 평가됐다. 안드로이드 보안 문제를 해결하는 데 다른 업체와 비교해 적극적으로 나선 업체라는 뜻이다. 모토로라는 3.07점으로 2위, 삼성전자는 2.75점을 받아 3위에 올랐다. 삼성전자의 뒤로는 소니(2.63점)와 HTC(2.63점), 에이수스(2.35점) 등이 있다.
제품별 보안 점수도 흥미롭다. 케임브리지대 연구팀의 FUM 점수에서 가장 높은 점수를 받은 제품은 삼성전자가 만든 ‘갤럭시 넥서스’로 나타났다. 4.71점으로 평가받았다. ‘넥서스4’는 3.69점, ‘넥서스7’은 3.25점을 받았다.