세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
구글에서 미는 ‘안드로이드 포 워크’, 치명적인 취약점 있다
  |  입력 : 2017-02-17 16:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일반 ID와 업무용 ID 구분하는 보안 기능, 사실상 무용지물
사용자들에게 해당 사실을 알려 ‘안드로이드 포 워크’의 의존도 낮춰야


[보안뉴스 문가용 기자] 안드로이드 포 워크(Android for Work)에 저장된 데이터를 위협하는 ‘중간 앱 공격(app-in-the-middle)’이 등장했다. 안드로이드 포 워크는 5.0 롤리팝 버전에서 최초로 도입된 보안 기능으로 갈수록 보편화되고 있는 BYOD 현상을 보다 더 안전하게 만들고자 개발되었다.


안드로이드 포 워크의 원리는 간단하다. 업무용 ID와 일반 ID를 만들어 상황에 맞는 ID로 일을 처리하면 된다. 업무용 앱이나 이메일, 문서 작업 등은 당연히 업무용 ID로 관리하고, 그 외 나머지 일들은 일반 ID로 처리하면 된다. 마치 망을 분리하는 것처럼, 기기 내 사용 권한을 분리하는 것이다. 이 기능을 활용함으로써 회사 내의 같은 업무용 모바일 기기를 여러 사람이 안전하게 사용할 수도 있게 된다.

얼른 생각해도 안전을 위한 구조로 보인다. 업무용 ID에서 했던 문서 작업이나 설치했던 앱은 일반 ID로 접근이 불가능하니 기업의 중요한 데이터 역시 안전하게 보호될 것이기 때문이다. 하지만 안전이란 게 생각만큼 그렇게 간단히 보장되지 않는다. 이번 RSA에서 보안 전문업체인 스카이큐어(Skycure)는 “안드로이드 포 워크의 분리 논리 내에 취약점이 존재한다”고 설명한다.

“이 취약점을 익스플로잇 하기 위한 악성 앱을 중간에 삽입하면 원래는 보이지 않아야 할 데이터나 앱들에 접근할 수 있게 됩니다.” 스카이큐어의 CTO이자 공동 창립자인 예어 아밋(Yair Amit)의 설명이다. “일반용 ID로 특수 제작된 앱을 설치하면 업무용 ID에서 하는 일들이 보이기 시작합니다. 보일 뿐 아니라 일반용 ID로도 업무용 ID에서 할 작업들을 할 수 있게 되고요.”

물론 스카이큐어는 이미 작년 말에 이 취약점에 대해 구글에 알렸고, 구글과 합의된 절차를 통해 이번 RSA의 강연장에 섰다. 둘이 협의한 내용을 발표하고, 구글은 뒤에서 이 오류에 대한 픽스를 개발하고 있다. “안드로이드 포 워크는 분명히 좋은 시스템입니다. 하지만 아직은 저희가 발견한 오류가 있기에, 완전히 신뢰만 할 수는 없는 부분도 있고요. RSA를 통해 이 사실을 공개하는 건, 안드로이드 포 워크의 패치가 곧 뜨니 다들 업데이트를 잊지 말라고 당부하기 위해서입니다.”

이런 공격법을 스카이큐어는 ‘중간자 공격’과 비슷하다고 해서 ‘중간 앱 공격’이라고 부른다. “이 앱은 매우 위험합니다. 기업 입장에서는 직원들의 일반적이고 사적인 ID를 검사할 수가 없습니다. 그러니 이 부분에서 어떤 앱이 설치되는지 알지 못하죠. 여기에서 뭔가 은밀한 일들을 진행해도 속을 수밖에 없습니다. 그 허점을 노린 공격이기도 합니다.”

일단 공격의 시작은 사용자가 악성 앱을 일반 ID로 설치하게끔 유도하는 것이다. 이 앱은 안드로이드에 탑재된 시스템 수준의 허용치를 요구하며 업무용 ID에 접근한다. 스카이큐어는 이 부분에 대해 자세하게 설명하지는 않았다. “익스플로잇 방법을 너무 상세히 공개하면 위험할 수 있기 때문”이다. 다만 이 앱을 설치한 후에는 업무용 이메일을 열람하고 비밀번호를 탈취하는 등 굉장히 민감한 정보들을 훔치는 게 가능해진다는 것을 강조했다.

중간 앱 공격 중 하나는 알림 접근(Notification Access)을 통해서 실행된다. 안드로이드 포 워크의 알림 기능은 개인용 알림 기능과 같은 인터페이스를 가지고 있고, 둘 다 기기 시스템 수준에서 처리되는 기능이기 때문에 업무용 ID와 일반 ID의 중간 다리 역할을 할 수 있게 된다. 비슷한 것으로는 접근 허용(Accessbility Permissions) 공격이 있다.

이런 취약점은 구글이 안드로이드를 ‘업무용 플랫폼’으로 계속해서 미는 흐름에 있어서 치명적으로 작용할 수 있다. “사실상 일반 ID와 업무용 ID를 구분하는 것의 이유가 없어지게 하는 취약점이니까요.” 아밋은 구글에서 해결책을 제시하기 전까지 이런 취약점이 있다는 걸 직원들에게 알려야 한다고 설명한다. “이게 만병통치약이 아니라는 것만 알려줘도 도움이 됩니다. 맹목적인 신뢰를 깨는 것이 보안의 첫 걸음이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)