문자 하나로 안드로이드폰 95% 뚫린다… 치명적 결함 발견

안드로이드폰 이용자의 95%를 해킹할 수 있는 악성코드가 발견됐다. 문자를 보내는 것만으로도 스마트폰을 원격조종할 수 있는 악성코드로 국정원이 구입한 리모트컨트롤서비스(RCS) 프로그램보다 더 강력하다.

미국 공영방송 NPR은 27일(현지시간) 보안업체 짐페리엄(Zimperium)이 안드로이드폰의 치명적인 결함을 발견했다고 전했다.

짐페리엄에 따르면 안드로이드 운영체제에 탑재된 멀티미디어 재생 프로그램인 ‘미디어 플레이백 툴’을 통해 해킹 공격이 가능하다. 짐페리엄은 이런 취약점을 ‘무대공포증(Stagefright) 결점’이라고 이름 붙였다.

이를 이용하면 해커는 문자를 보내는 것만으로도 안드로이드폰에 악성코드를 심어 원격으로 조종할 수 있다. 국정원이 이탈리아 ‘해킹팀’으로부터 구입했다고 알려진 RCS와 작동방식은 같지만 사용자가 악성파일이나 악성링크를 접속하도록 유도할 필요가 없는 것이다. 해커는 사용자의 모든 개인정보를 빼낼 수 있지만 사용자는 자신이 해킹됐다는 사실조차 모를 가능성이 높다.

집페리엄은 블로그를 통해 “안드로이드폰의 95%가 무대공포증 결점을 이용한 해킹 공격에 취약하다”며 관료, 기업임원, IT종사자 등 모든 사용자가 해킹 대상이 될 수 있다고 경고했다. 하지만 아직까지 이런 해킹 공격은 나타나지 않았다고 덧붙였다.

짐페리엄은 지난 4월 이 같은 내용을 구글 측에 알리고 결함을 해결할 수 있는 패치프로그램을 전달했다. 하지만 짐페리엄의 조슈아 드레이크 연구원은 “안드로이드폰 제조사들이 보안 문제에 늦게 반응하고 있다”며 “안드로이드폰 사용자의 20~50%만이 보안 패치를 업데이트할 것”이라고 우려했다.

구글과 집페리엄은 이용자들이 적극적으로 소프트웨어 업데이트를 해줄 것을 당부했다.

박상은 기자 pse0212@kmib.co.kr