삼성이 개발한 운영체제(OS) '타이젠'의 제로데이 취약점이 발견됐다. IT 전문매체 <아스테크니카>는 4월5일(현지시간) 미숙하게 코드를 짠 탓에 삼성 타이젠의 보안에 구멍이 뚫렸다고 보도했다. 제로데이란 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 패치가 발표되기 이전의 공격을 제로데이 공격이라고 한다.

타이젠 OS에는 알려지지 않은 40건의 제로데이 취약점이 있는 것으로 분석됐다. 이스라엘 보안업체 '에쿠스 소프트웨어'의 아미하이 나이더만 연구원은 카스퍼스키랩의 '보안 분석가 서밋'에서 이같은 내용을 발표했다. 나이더만 연구원은 <마더보드>와의 사전 인터뷰에서 "이전에 보지 못한 최악의 코드"라며 "마치 학부생을 데려와서 소프트웨어 프로그래밍을 한 것 같다"라고 타이젠의 코드에 대해 비판했다.

▲  삼성 스마트 TV (출처: 삼성전자 공식 홈페이지)
▲ 삼성 스마트 TV (출처: 삼성전자 공식 홈페이지)

현재 타이젠 OS는 삼성전자의 사물인터넷(IoT) 기기에 사용되고 있다. 삼성 스마트 TV와 스마트워치인 삼성 '기어', 러시아·인도 등 일부 국가의 삼성 폰 등이 타이젠 기반으로 만들어졌다. 또 스마트 세탁기와 냉장고 등에도 타이젠 OS가 적용될 예정이다. 이 때문에 이번에 발견된 보안 취약점은 스마트 가전 기기 전반에 대한 위협이 될 수 있다.

타이젠의 제로데이 취약점은 미국 중앙정보국(CIA)의 해킹 도구보다 훨씬 광범위하게 영향을 미칠 수 있다. 지난달 위키리크스는 CIA가 삼성 스마트TV를 도청장치로 활용하려 했다는 내용의 문건을 폭로했다. CIA의 해킹 도구는 USB 장치를 통해 악성코드를 심는 방식이어서 물리적인 제약이 있었다. 하지만 나이더만에 따르면 타이젠 OS의 보안 취약점을 이용하면 물리적인 접근 없이 해킹할 수 있다.

나이더만 연구원은 CIA의 해킹 도구와 달리 원격으로 악용할 수 있는 결함을 발견했다고 주장했다. 특히 앱스토어인 '타이젠 스토어'에 주목했다. 나이더만은 스토어 앱 내에 악용 가능한 결함을 발견했다며, 스토어 앱이 높은 권한을 가진 계정으로 실행되기 때문에 이를 악용하면 기기 전체를 탈취할 수 있다고 전했다.

나이더만은 삼성 측에 이런 사실을 사전에 알렸지만 자동 응답 이메일만 받았다고 밝혔다. "삼성전자는 보안 및 개인 정보 보호를 매우 중요하게 생각하며 정기적인 시스템 점검과 잠재적 취약점이 있는지 조사하고 해결한다"는 내용이다. 이런 내용이 공개된 후 삼성 측은 취약점을 해결하기 위해 나이더만과 협의하고 전 세계 보안 전문가들과 보안 위협에 대비하겠다고 밝혔다.

저작권자 © 블로터 무단전재 및 재배포 금지