안드로이드 펌웨어 취약점 발견…LG·ZTE 등 해당

제조사·이통사 안드로이드 시스템 코드 수정 과정에서 취약점 발견
마이크 제어나 스마트폰 잠금 등 로그캣 접근 가능
LG전자, 에이수스, ZTE 등 스마트폰 10종 해당

[아시아경제 한진주 기자] 에이수스와 LG, ZTE, 에센셜 등 일부 안드로이드 기기에서 스마트폰을 잠그거나 마이크를 제어할 수 있는 펌웨어 보안 취약점이 발견됐다.

11일(현지시간) 모바일 보안 기업 크립토와이어에 따르면 스마트폰 제조사들이 안드로이드 시스템을 수정하기 위해 작성한 코드에서 보안 결함이 드러났다. 이번에 펌웨어 버그가 발견된 기기는 총 10종이며, 관련 제조사인 에이수스와 에센셜, LG전자, ZTE 등의 스마트폰이 해당되는 것으로 드러났다.

안젤로스 스타브루 크립토와이어 최고경영자는 "스마트폰 공급망에 있는 제조사나 이동통신사들이 자사 앱을 추가하고 시스템을 변경할 수 있는 개방형 안드로이드 시스템 특성에서 비롯된 것"이라며 "이렇게 시스템을 수정하는 과정에서 소프트웨어 오류나 공격이 발생할 가능성이 높아지며, 이 문제가 완전히 사라지기는 어렵다"고 지적했다.

에이수스의 젠폰 V라이브에서 발견된 보안 취약점은 완전히 스마트폰 시스템 전반을 통제 가능한 수준인 것으로 드러났다. 크립토와이어는 보안취약점을 악용하면 공격자가 스크린샷이나 동영상 녹화, 전화통화, 문자메시지 읽기나 수정 등의 권한을 가질 수 있다고 지적했다. 에이수스는 "최근 보안 문제를 인식했고 해결하기 위해 신속하게 노력중"이라고 밝혔다.

예를 들어 공격자가 해당 보안 취약점을 노린 앱을 만들어서 배포하면 기기 정보에 접근하기 위해 특별한 권한을 부여받지 않고도 로그 등에 접근이 가능하다고 크립토와이어는 설명했다. ZTE의 블레이드 스파크에서는 통화 내역이나 GPS 정보 등을 담고 있는 '로그캣'이라는 로그에 접근할 수 있다. 또 LG전자의 G6도 로그캣 로그가 노출되거나 기기 잠금 등이 가능하다. 에센셜 폰에서는 기기를 재설정해 데이터나 캐시를 모두 없앨 수 있다.

펌웨어 보안 취약점은 이용자가 개인적으로 조치를 취하기가 어렵다. 관련 제조사들이 해당 보안 취약점에 대해 수정하고 패치를 배포하겠다는 계획이지만 업데이트까지는 몇 달 가량 시간이 걸릴 수 있다.

구글 측은 "크립토와이어 측이 지적한 문제는 안드로이드 운영체제 자체보다는 제3의 업체들과 관련된 응용프로그램에 영향을 미치는 부분"이라고 설명했다.

한진주 기자 truepearl@asiae.co.kr