구글, 안드로이드 9에 추가된 새로운 보안 기능 발표

입력 : 2018-12-24 20:40

새로운 버전의 안드로이드 통해 새 보안 기능 대폭 추가
트래픽 보호는 물론 각종 메모리 변형 공격, 백업 데이터에 대한 보호 기능까지

[보안뉴스 문가용 기자] 안드로이드 최신 버전의 보안 관련 기능이 크게 강화되었다고 구글이 발표했다. 최신 버전은 안드로이드 9 혹은 안드로이드 파이(Android Pie)로, 플랫폼 강화, 익스플로잇 방지, 하드웨어 기반 보안, 사용자 프라이버시 부분에서 많은 향상과 기능 추가가 이뤄졌다고 한다.


올해 가을에 배포되기 시작한 안드로이드 파이를 통해 구글은 파일 기반 암호화(File-based Encryption)을 업그레이드시켰다. 그래서 현재는 외부 스토리지 기기도 지원하는 상태다. 하드웨어 지원이 가능한 메타데이터 암호화 기능과 바이오메트릭프롬프트(BiometricPrompt)라는 API도 새롭게 추가되었으며, 이를 통해 같은 모양의 생체 인증 대화상자를 앱에서 구현할 수 있게 되었다.

그 밖에 애플리케이션 샌드박스(Application Sandbox)를 위한 새로운 보호 기능도 추가됐다. 앱 하나하나 샌드박스에 암호화된 인증 절차를 거치게 하는 것이었다. 이를 통해 앱 분리를 철저하게 하고, 안전 디폴트 설정을 무시하는 현상이 발생하지 않도록 했다. 또한 앱 간 데이터 공유가 지나치게 광범위하게 진행되는 것도 막았다.

안드로이드 파이에는 컨트롤 플로우 인테그리티(Control Flow Integrity, CFI)라는 것도 추가됐다. 미디어 프레임워크와 다른 보안 요소들 내에서는 활성화 되어 있는 것이 기본(디폴트)이며, 컴파일된 코드의 원래 제어 흐름 그래프에 변경이 일어나지 않도록 하는 기능을 가지고 있다. 구글은 이런 CFI에 대한 호환성을 안드로이드 커널에도 추가시켰다.

구글은 정수 오버플로우 살균(Integer Overflow Sanitization) 기능도 강조한다. 정수 오버플로우 문제로 야기되는 메모리 변형 공격이나 정보 노출 취약점을 완화시키기 위해 도입된 보안 기술이다.

안드로이드 프로텍티드 컨퍼메이션(Android Protected Confirmation)이라는 것도 있다. 안드로이드 파이는 하드웨어로 보호되는 사용자 인터페이스(Trusted UI)를 활용해 OS API를 제공하는데, 이를 통해 주요 모바일 OS가 아닌 환경에서도 주요 거래를 실시할 수 있게 된다. 이 때 위 API는 개발자들이 신뢰되는 UI 프롬프트를 사용자들에게 노출시키고, 민감한 거래를 진행할 수 있게 해준다.

키스토어(Keystore)는 비밀 키를 한 층 더 단단하게 보호한다. 이 때 사용되는 것은 키스토어 전용 CPU, RAM, 플래시 메모리로 구성된 하드웨어로, 키의 불법적인 변경을 막는 데 활용된다. 키가드(Keyguard), 보안 키 임포트(Secure Key Import), 3DES 호환 기능, 버전 구축 등도 다 함께 키스토어를 보호한다.

사용자의 프라이버시를 증대시키기 위해 구글은 배경에서 실행되는 앱들의 접근 권한도 축소시켰다. 특히 카메라, 마이크로폰, 센서로의 접근이 제한됐다. 또한 전화 통화, 전화 상태, 와이파이 스캐닝 등에 대한 허용 규칙과 허용 그룹 설정과 관련된 옵션도 새롭게 추가됐다.

안드로이드 파이부터는 사용자의 PIN이나 화면 잠금 패턴, 비밀번호 등을 사용해 백업 파일도 암호화할 수 있다. 그러므로 공격자가 백업용 애플리케이션을 침해해 데이터에 접근하는 게 어려워질 수 있다. 그렇게 하려면 화면 잠금을 해제할 수 있어야 한다.

안드로이드 파이는 암호화 되지 않는 HTTP 트래픽을 전부 차단하도록 설정되어 있다. 물론 사용자가 옵션 조정을 통해 바꿀 수는 있지만, 아무 것도 건드리지 않고 안드로이드를 사용할 경우에는 HTTPS 등의 연결만 허용이 된다. TLS도 디폴트상 활성화 되어 있다.

3줄 요약
1. 구글, 안드로이드 파이 혹은 안드로이드 9에 대한 보안 기능 상세히 발표.
2. 프라이버시 강화, 트래픽 보호, 메모리 보호 등에 초점을 맞춘 여러 기능 추가.
3. 디폴트로는 HTTP도 모두 차단 됨. TLS 활성화도 디폴트.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  사이버 공격자들, 실제로 인공지능을 어떻게 ...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  개인정보 유출 사고 대응방안 논의... 공공...

• 4

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 5

  깃허브에서 활동하는 개발자들을 노리는 고급 ...