픽셀 2, LG 폰, 삼성 폰에서 고위험군 취약점 발견돼

구글 10 프리뷰 버전 깐 최신 장비에서도 발견되는 예전 취약점
과거 발견됐을 때는 CVE 번호 지정되지 않아…해커들의 장비 장악 가능

[보안뉴스 문가용 기자] 패치가 완전히 된 픽셀 2(Pixel 2) 장비에서 취약점이 발견됐다. 안드로이드 10 프리뷰 버전을 사용한 장비에서도 발견된다고 하는데, 이 취약점은 이전에도 이미 남용된 적이 있다고 한다. 구글 프로젝트 제로(Google Project Zero) 팀에서 발표했다.

[이미지 = iclickart]

문제의 취약점은 CVE-2019-2215로, 바인더 드라이버(binder driver)에서 발견된 일종의 UaF(use-after-free) 버그라고 한다. 익스플로잇에 성공할 경우 시스템 마비를 일으킬 수 있다고 프로젝트 제로의 매디 스톤(Maddie Stone)이 밝혔다.

이 오류는 최근 보안 패치를 마친 픽셀 2 장비의 코드 점검을 진행하던 중에 발견됐다고 한다. 이번에 처음 발견된 게 아니라, 2017년 12월 4.14 리눅스 커널과 AOSP 3.18 커널과 4.4 커널, 4,9 커널에서 이미 한 번 발견된 적이 있는 것이라고 한다.

문제를 추적해나가며 프로젝트 제로 팀은 다른 안드로이드 기반 장비들에도 같은 문제가 있음을 알아냈다.
1) 화웨이 P20
2) 샤오미 홍미 5A
3) 홍미노트 5
4) 샤오미 A1
5) 오포 A3
6) 모토롤라 모토 Z3
7) 안드로이드 8 오레오 기반 LG 장비들
8) 삼성 갤럭시 S7, S8, S9

현재 이 취약점은 해커들의 실제 공격에 익스플로잇 되고 있는 중이라고 한다. “현재까지 저희가 수집한 정보에 따르면 이 취약점을 겨냥한 안드로이드 익스플로잇이 한 개 널리 사용되고 있는데, 이스라엘의 스파이웨어 제조사인 NSO가 만든 것으로 보입니다. NSO는 악명 높은 iOS 멀웨어인 페가수스(Pegasus)를 만든 것으로 유명한 그룹입니다.”

스톤은 “CVE-2019-2215는 UaF 취약점으로, 커널 권한 상승을 일으킬 수 있다”며 세부적인 기술 사항들을 공개하기도 했다. “픽셀 2 장비에서 주로 나타나지만 픽셀 1에도 같은 취약점이 있는 것으로 알려져 있습니다. 또한 픽셀 3와 3a의 경우에는 없는 것으로 보입니다.”

이 취약점이 과거에 리눅스 커널 4.14 버전 등에서 발견되었을 때는 CVE 번호가 따로 지정되지 않았었다. 그래서 2019라는 CVE 번호가 붙은 것이다. “안드로이드의 isolated_app SE리눅스(SELinux) 도메인의 크롬 렌더러 프로세스를 통해 익스플로잇이 가능합니다.”

그러면서 스톤은 “이 취약점을 통해 권한을 상승시키는 데 성공한 공격자라면, 표적이 된 장비를 완전히 장악할 수 있게 된다”고 설명한다. “다만 그렇게까지 익스플로잇을 하려면 취약한 시스템에 악성 애플리케이션이 먼저 설치되어 있어야 합니다.”

악성 애플리케이션이 웹을 통해 배포될 경우, 렌더러 익스플로잇(renderer exploit)과 페어링이 되어야 한다는 점도 있다. “이 취약점은 샌드박스를 통해 접근할 수 있기 때문”이라고 스톤은 설명을 잇는다.

구글은 이 취약점을 ‘고위험군’이라고 분류했다. 2019년 10월에 발표될 여러 가지 패치들을 통해 문제를 해결할 계획이라고 한다.

3줄 요약
1. 패치 다 된 픽셀 2 핸드폰에서 UaF 취약점 발견됨.
2. 이전에도 발견된 것이었으나, 당시에는 CVE 번호가 붙지 않았음.
3. 픽셀 외 많은 장비들에서도 같은 문제 발견됨. 장비 장악당할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)