상단으로 이동하기

구형 삼성 스마트폰 수백만 대 해킹에 노출Posted Jun 19, 2017 10:08:48 AM

황승환

공부해서 남 주는 사람이 되자! 가열차게 공부 중입니다.
dv@xenix.net

삼성의 실수로 수백만 대의 구형 삼성 스마트폰 수백만 대가 해킹에 노출되어 있었다는 주장이 제기됐다고 머더보드가 15일(현지시각) 전했다.

갤럭시 S3부터 탑재된 삭제 불가능한 기본 설치 앱 S 서제스트(S Suggest)는 인기 앱을 추천해주는 앱이다. 2014년 6월 서비스가 중단됐고 삼성이 여기에 사용됐던 도메인 ‘ssuggest.com’가 등록 만료된 것을 그대로 방치해 이 도메인을 통해 해킹이 가능하다고 보안 업체 아누비스 랩의 최고기술책임자 조아 고베이아(João Gouveia)는 주장했다. 다행스럽게 이 도메인은 고베이아가 등록했다.

S 서제스트의 권한 리스트[S 서제스트의 권한 리스트]

고베이아는 도메인을 구입한 후 24시간 만에 약 210만 대의 구형 삼성 스마트폰에서 6억 2,000만 건의 체크인 정보를 확인했다. S 서제스트 앱에는 전화를 원격 재부팅하고 새로운 앱, 패키지를 설치/삭제할 수 있는 권한이 있는데 도메인을 통해 접근이 가능하다고 주장했다.

또 다른 독립 보안 연구원 벤 액티스(Ben Actis)는 S 서제스트가 다른 앱을 설치할 수 있는 권한이 있고 도메인을 통해 백도어를 열어 정보를 탈취하거나 악성 앱을 설치하는 것도 가능하다며 고베이아의 의견에 동의했다.

해당 도메인 등록이 만료된 시점은 언급되지 않았다. 하지만 주장대로라면 고베이아가 등록하기 전까지는 구형 삼성 스마트폰이 수백만 대가 해킹에 노출됐던 것이다.

삼성은 이 기사에 대해 도메인을 제어한다고 해서 악의적인 앱을 설치하거나 사용자의 스마트폰을 제어할 수 없다고 반박했다.

실제 해킹 가능 여부도 중요한 문제지만 여기서 또 하나 얻은 교훈은 종료된 서비스에도 세세한 주의가 필요하다는 점이다. 아직도 많은 구형 스마트폰이 사용되고 있다. 오래된 서비스와 오래된 기기라고 해서 무책임하게 방치하는 것은 옳지 않다.

이 기사를 읽은 분들은 이런 기사도 좋아했습니다.