상단으로 이동하기

삼성 타이젠, '제로데이' 취약점 40건 발견Posted Apr 4, 2017 10:05:51 AM

이상우

읽을 가치가 있는 글을 쓰고 싶습니다.
aspen@thegear.co.kr

삼성전자 자체 운영체제(OS) '타이젠'이 40건의 제로데이 취약점에 노출됐다. 지난 달 위키리크스(WikiLeaks)가 이 회사 프리미엄 가전의 주력 제품인 스마트TV가 CIA의 사이버 첩보 활동에 활용됐다고 공개한 이후 불거진 또 다른 악재다. 삼성전자는 당시 "위키리크스에 언급된 해킹 피해는 2012년과 2013년에 판매된 스마트TV에 USB 드라이브를 물리적으로 연결해 악성 소프트웨어를 설치하는 것"이라며 "보안 패치가 이미 펌웨어 업데이트를 통해 배포된 상태"라고 설명했다.

하지만 이번 제로데이 취약점 노출의 후유증은 장기화될 가능성이 높다. 왜냐하면 운영체제의 핵심 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기도 전에, 그 취약점을 이용한 악성코드나 프로그램을 제작하여 공격을 감행할 수 있기 때문이다. 별도의 대처방안이 없기 때문에, 가공할만한 피해를 발생할 수 있다는 점에서 보안 전문가들이 가장 우려하는 보안 위협이다.

삼성전자는 구글 안드로이드에 종속돼 있는 생태계에서 벗어나 자체 운영체제 생태계 구축을 위해 타이젠을 개방적으로 만들고 있다. 타이젠은 이미 3,000만 대의 스마트TV와 스마트워치 기어 시리즈, 러시아와 인도, 방글라데시 같은 일부 신흥시장에 판매되는 보급형 스마트폰에 설치돼 있다. 지난해 11월 '삼성 오픈소스 콘퍼런스(SOSCON)'에서 삼성전자는 오픈소스를 통한 협업에 집중하겠다며 올해 1000만 대의 타이젠 제품 출시 목표를 계획한 바 있다. 그러나 이번 사태로 타이젠은 큰 위기에 직면했다. 타이젠 제로데이 취약점을 발견한 이스라엘 보안 전문가 아미하이 나이더만은 "해커가 타이젠 기기를 쉽게 제어할 수 있는 심각한 보안 취약점으로 가득 차 있다."면서 "내가 본 최악의 코드일지 모른다."고 미국 IT전문매체 마더보드와의 인터뷰에서 밝혔다. 그는 "보안 이해도가 낮은 학부 과정을 마친 신입 프로그래머의 작품 같다."고 덧붙였다.

이 보안 취약점은 해커가 원격으로 타이젠 기반 모든 기기를 제어할 수 있다는 의미다. 게다가 타이젠 앱을 내려 받는 '타이젠스토어 앱(타이젠 기기에 앱 및 소프트웨어 업데이트가 제공되는 구글 플레이 스토어 같은)'도 취약점에 노출됐다. 사용자는 자신도 모르는 사이 악의적인 악성 코드가 포함된 앱을 스마트TV와 스마트폰, 스마트워치에 설치할 수 있다고 나이더만은 지적했다. 한편 나이더만은 몇 달 전 이 같은 문제를 삼성전자에 전달했으나 자동 응답 이메일 회신만 있었다고 말했다. 마더보드는 사실 확인 요청에 삼성전자 대변인은 "삼성전자는 보안 및 개인 정보 보호를 매우 중요하게 생각하며 정기적으로 시스템을 점검하고 언제든지 신뢰할 수 있는 잠재적 취약성이 있는지 조사하고 문제를 해결한다."는 원론적인 답변을 내놓았다고 보도했다. 이번 사태로 삼성 스마트TV를 비롯한 사물인터넷(IoT) 제품에 대한 소비자들의 불안은 더욱 깊어지고 있다.


참고링크

이 기사를 읽은 분들은 이런 기사도 좋아했습니다.