MMS만으로도 감염될 수 있는 Stagefright

  최근 안드로이드 스마트폰의 95%가 위험에 노출될 수 있는 취약점인 Stagefright가 일반에 공개되었습니다. Stagefright가 무엇인지 간단히 살펴보고 예방법 또한 간단히 살펴보았습니다.

  레이니아입니다. 최근 Zimperium이라는 모바일 시큐리티 스타트업에서 안드로이드 취약점을 발견하여 구글에 전달했다는 뉴스가 있었습니다. Stagefright라고 불리는 취약점인데요. 문제는 이 취약점 패치에 시간이 좀 걸릴 예정이며, 취약점이 단순히 스마트폰 메시지만 받아도 생길 수 있다는 점입니다.

  이에 새로운 소식을 간단히 전해드립니다.

---

Stagefright 취약점

  Stagefright라고 불리는 취약점은 안드로이드 OS에서 미디어를 포함한 텍스트 메시지를 받을 때 발생하는 문제입니다. 미디어를 포함한 텍스트 메시지, 흔히 ‘MMS’라고 불리는 것인데요. 안드로이드는 MMS를 받게 되면 사용자가 이를 열어서 확인하기 전에 안드로이드 시스템 자체적으로 파일을 처리하여 사용자에게 출력할 준비를 합니다.

  따라서 만약 미디어에 악성 코드가 포함되어있다면, 메시지를 수신하는 즉시 악성 코드가 안드로이드 시스템에 영향을 미치게 됩니다.

  최근에 있었던 iOS를 먹통이 되게 하는 일련의 문자와 비슷하게 보입니다만, 결과는 차이가 있습니다. iOS에서는 단순히 스마트폰이 리부트되고 시리 등을 이용해 해당 메시지를 삭제하면 다시 원상태로 사용할 수 있었다면, 안드로이드에서 이 취약점이 공격당하면 더 큰 피해를 받을 수 있습니다. 공격자는 감염자 스마트폰의 애플리케이션이나 카메라 등 스마트폰 기능에 접근할 수 있게 됩니다.

  더욱 큰일은 이 취약점은 안드로이드 프로요 버전부터 최신 OS인 롤리팝에 이르기까지 대부분의 안드로이드 스마트폰에서 작동한다는 점입니다. 전체 안드로이드 스마트폰 중 95%가 이러한 취약점에 노출되어있다고 합니다. Zimperium은 구글에 해결책을 보고했으나, 90일이 지나도록 사후 대처가 완료되지 않아 대중에 공개했다고 합니다.

  구글은 현재 취약점과 해결책을 인지하였으며, 조만간 취약점을 수정할 예정이라고 합니다. 하지만 문제는 구글 안드로이드는 제조사별로 일부 커스터마이징이 들어가 있으며, 스마트폰 캐리어에 따라서 다양한 이종이 있다는 점입니다. 구글이 취약점을 해결하여 공지하면, 각 제조사는 이를 받아서 다시 알맞게 적용하고 이를 다시 소비자에게 제공해야 하는데요.

  이 시간이 조금 걸릴 수 있어서 사용자가 당분간 주의해야 합니다.

Stagefright 취약점 예방법

  Stagefright 취약점을 완벽하게 막는 방법은 없습니다만, 일부 예방하는 방법은 있어서 간단히 소개해드립니다. 간단히 말씀드리면 MMS를 자동으로 처리하지 않도록 설정해주면 되는데요. 제가 가지고 있는 안드로이드 스마트폰인 갤럭시 노트4에서 적용할 수 있는 방법을 소개해드리도록 하겠습니다.

1) 행아웃

  먼저 구글 행아웃을 SMS로 사용하시는 분입니다. 레퍼런스 폰인 넥서스 시리즈를 사용하시는 분이나 구글 메신저에 이어 구글 행아웃을 주로 사용하시는 분은 아래와 같은 단계를 진행하시면 됩니다.

  행아웃을 실행하고 왼쪽 위에 있는 메뉴를 누른 후 ‘설정’ 버튼을 눌러줍니다. 설정으로 들어가서 설정 메뉴 중 ‘SMS’를 눌러줍니다.

  저는 행아웃이 기본 메신저 앱이 아니라서 잠시 설정 후에 계속 진행하였습니다. 아래 고급 항목에 가면 MMS 자동 수신 메뉴가 있습니다. 이를 해제해주면 MMS가 자동 수신되지 않습니다.

2) 삼성 메시지 앱

  삼성 메시지 앱도 마찬가지로 비슷한 과정을 거치면 됩니다.

  메시지 앱을 실행한 후 오른쪽 위에 있는 더보기 버튼을 누르고 설정 메뉴로 들어갑니다. 역시 설정에서 멀티미디어 메시지(MMS) 항목을 설정하여 하위 메뉴로 이동하면 됩니다.

  멀티미디어 메시지(MMS) 항목에서 행아웃과 마찬가지로 ‘자동으로 가져오기’ 옵션을 꺼주면 됩니다. 그러면 역시 멀티미디어 메시지가 도착하더라도 곧바로 다운로드하지 않고 메시지 도착 알림만 알려주게 됩니다.

---

  위와 같은 방법을 사용한다고 해서 100% 안전한 것은 물론 아닙니다. 다운로드 버튼을 누르면 멀티미디어 콘텐츠를 안드로이드가 처리하기 시작하는데요. 알고 보니 멀티미디어 콘텐츠 안에 악성 코드가 있었다면 위의 예방법이 아무짝에도 소용없긴 합니다.

  또한, 일반 웹 페이지에서 이미지를 로딩하는 과정에서 웹 페이지 콘텐츠에 악성코드가 숨어있으면... 이건 예방할 방법이 없습니다. 그래도 위의 예방법을 사용하면 자동으로 문자를 받아서 악성 코드에 감염될 일은 일단 예방할 수 있으니 나쁜 방법은 아니리라 생각합니다. 대신 필요한 MMS를 열어야 하나 말아야 하나 고민은 되겠네요. 조심하며 패치를 기다리는 게 최선입니다. 간단하게 보안 관련 소식 전해드립니다. 그럼 지금까지 레이니아였습니다.:)

· 관련 포스트 및 링크

- 파이어폭스 브라우저, 플래시 일시 접근 금지시켜

- 정말 쉬운 파일 전송, Send Anywhere

- 눈길을 사로잡는 올레 CCTV 텔레캅 서비스

- 무인양품 아로마 디퓨저 직구하기 - (3) 기타

- 2014 최악의 비밀번호, 효과적인 비밀번호 관리 방법은?