구글, 안드로이드 9에 추가된 새로운 보안 기능 발표

입력 : 2018-12-24 20:40

새로운 버전의 안드로이드 통해 새 보안 기능 대폭 추가
트래픽 보호는 물론 각종 메모리 변형 공격, 백업 데이터에 대한 보호 기능까지

[보안뉴스 문가용 기자] 안드로이드 최신 버전의 보안 관련 기능이 크게 강화되었다고 구글이 발표했다. 최신 버전은 안드로이드 9 혹은 안드로이드 파이(Android Pie)로, 플랫폼 강화, 익스플로잇 방지, 하드웨어 기반 보안, 사용자 프라이버시 부분에서 많은 향상과 기능 추가가 이뤄졌다고 한다.


올해 가을에 배포되기 시작한 안드로이드 파이를 통해 구글은 파일 기반 암호화(File-based Encryption)을 업그레이드시켰다. 그래서 현재는 외부 스토리지 기기도 지원하는 상태다. 하드웨어 지원이 가능한 메타데이터 암호화 기능과 바이오메트릭프롬프트(BiometricPrompt)라는 API도 새롭게 추가되었으며, 이를 통해 같은 모양의 생체 인증 대화상자를 앱에서 구현할 수 있게 되었다.

그 밖에 애플리케이션 샌드박스(Application Sandbox)를 위한 새로운 보호 기능도 추가됐다. 앱 하나하나 샌드박스에 암호화된 인증 절차를 거치게 하는 것이었다. 이를 통해 앱 분리를 철저하게 하고, 안전 디폴트 설정을 무시하는 현상이 발생하지 않도록 했다. 또한 앱 간 데이터 공유가 지나치게 광범위하게 진행되는 것도 막았다.

안드로이드 파이에는 컨트롤 플로우 인테그리티(Control Flow Integrity, CFI)라는 것도 추가됐다. 미디어 프레임워크와 다른 보안 요소들 내에서는 활성화 되어 있는 것이 기본(디폴트)이며, 컴파일된 코드의 원래 제어 흐름 그래프에 변경이 일어나지 않도록 하는 기능을 가지고 있다. 구글은 이런 CFI에 대한 호환성을 안드로이드 커널에도 추가시켰다.

구글은 정수 오버플로우 살균(Integer Overflow Sanitization) 기능도 강조한다. 정수 오버플로우 문제로 야기되는 메모리 변형 공격이나 정보 노출 취약점을 완화시키기 위해 도입된 보안 기술이다.

안드로이드 프로텍티드 컨퍼메이션(Android Protected Confirmation)이라는 것도 있다. 안드로이드 파이는 하드웨어로 보호되는 사용자 인터페이스(Trusted UI)를 활용해 OS API를 제공하는데, 이를 통해 주요 모바일 OS가 아닌 환경에서도 주요 거래를 실시할 수 있게 된다. 이 때 위 API는 개발자들이 신뢰되는 UI 프롬프트를 사용자들에게 노출시키고, 민감한 거래를 진행할 수 있게 해준다.

키스토어(Keystore)는 비밀 키를 한 층 더 단단하게 보호한다. 이 때 사용되는 것은 키스토어 전용 CPU, RAM, 플래시 메모리로 구성된 하드웨어로, 키의 불법적인 변경을 막는 데 활용된다. 키가드(Keyguard), 보안 키 임포트(Secure Key Import), 3DES 호환 기능, 버전 구축 등도 다 함께 키스토어를 보호한다.

사용자의 프라이버시를 증대시키기 위해 구글은 배경에서 실행되는 앱들의 접근 권한도 축소시켰다. 특히 카메라, 마이크로폰, 센서로의 접근이 제한됐다. 또한 전화 통화, 전화 상태, 와이파이 스캐닝 등에 대한 허용 규칙과 허용 그룹 설정과 관련된 옵션도 새롭게 추가됐다.

안드로이드 파이부터는 사용자의 PIN이나 화면 잠금 패턴, 비밀번호 등을 사용해 백업 파일도 암호화할 수 있다. 그러므로 공격자가 백업용 애플리케이션을 침해해 데이터에 접근하는 게 어려워질 수 있다. 그렇게 하려면 화면 잠금을 해제할 수 있어야 한다.

안드로이드 파이는 암호화 되지 않는 HTTP 트래픽을 전부 차단하도록 설정되어 있다. 물론 사용자가 옵션 조정을 통해 바꿀 수는 있지만, 아무 것도 건드리지 않고 안드로이드를 사용할 경우에는 HTTPS 등의 연결만 허용이 된다. TLS도 디폴트상 활성화 되어 있다.

3줄 요약
1. 구글, 안드로이드 파이 혹은 안드로이드 9에 대한 보안 기능 상세히 발표.
2. 프라이버시 강화, 트래픽 보호, 메모리 보호 등에 초점을 맞춘 여러 기능 추가.
3. 디폴트로는 HTTP도 모두 차단 됨. TLS 활성화도 디폴트.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  웹3 게임 개발자들, 암호화폐 노리는 피싱 ...

• 5

  이반티 보안 취약점 악용한 5개 공격그룹 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...