최근 구글은 안드로이드 기기에 한해 치명적인 보안 및 취약점 업데이트를 진행했습니다. 여기에는 퀄컴 칩셋의 DSP에서 발견된 400개가 넘는 코드 취약점이 수정되었습니다.

*DSP는 디지털 신호 프로세서(Digital Signal Processor)의 약자로, 사용자와 펌웨어 사이의 실시간 요청을 전송하는데 매우 핵심적인 역할을 담당하고 있습니다.

이번에 발견된 취약점은 CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208, CVE-2020-11209 로, 권한을 탈취한 뒤에 DoS (Denial of Service) 공격 가능성이 입증되었습니다.

보안 기준 내의 시스템에 대한 무단 액세스를 얻는데 사용되는 네트워크 공격으로, 공격자가 침입하면 해당 장치를 제어하고 스파이 도구로 활용할 수 있습니다. 결론적으로 해당 장치를 쓸모없게 만들거나 멀웨어를 심어 사용자는 인지하거나 제거할 수 없도록 해당 활동을 숨길 수도 있습니다.

또한, 공격자는 개인 데이터에 엑세스할 수 있습니다. 사진, 비디오, 통화 녹음, GPS 위치 데이터, 마이크 데이터를 포함하며, 그런 다음 사용자가 실행 파일을 클릭하는 것을 악용해 액세스하도록 유도할 수도 있습니다.

이와 같은 프로세스가 성공하게 되면, 공격자는 사용자의 장치를 영구적인 서비스 거부를 적용시킬 수 있고, 기기를 벽돌로 만들고 펌웨어를 쓸모없게 만들 수도 있습니다. 

//

퀄컴 스냅드래곤 칩이 탑재된 스마트폰의 시장 점유율은 전체 안드로이드 스마트폰 중에서 40%를 차지하고 있습니다. 그리고 대부분 플래그쉽 스마트폰입니다. 안드로이드가 이미 취약한 상황에서 제조사가 추가 공격에 대처하려는 것은 안봐도 뻔한 악몽이 될 것입니다.

이러한 보안 취약점 문제는 2020년 2월에 퀄컴에 보고되었고, 퀄컴은 2020년 6월에 해당 수정 사항을 배포했지만, OEM 제조사들(삼성전자, LG전자, 샤오미, 소니 등)이 이 문제를 푸시했는지에 대한 여부는 확실치 않습니다. 

게다가 최근 보도에 따르면 구글 조차도 7월 말 현재 이 취약점을 해결하지 못했습니다.