"녹스 보안 허점"에…삼성 "업데이트로 해결"

"공인인증서·스크린캡처 등 구멍"

이스라엘 연구진 해킹 위험 주장

삼성 "킷캣 이상 OS서 이미 보완"

4월부터 보안패치 순차적 배포도

갤S4등 2014년 이전 출시 제품

사용자가 최신 OS 업데이트 해야

갤럭시 스마트폰 등 삼성전자 주요 전자제품 보안프로그램인 녹스의 일부 버전에서 개인정보 유출 등을 일으키는 허점이 있었던 것으로 확인됐다. 하지만 삼성전자 측은 이를 해결하기 위한 보안 업데이트를 올리며 방지하고 있다고 해명했다.

28일 업계에 따르면 이스라엘 텔아비브대학의 유리 카노노프 및 아비사이 울 교수는 지난 5월 하순 발표한 ‘안드로이드 운영체제의 격리보안공간들: 삼성 녹스 사례 연구’ 보고서를 통해 녹스의 일부 버전에서 3자가 보안체계를 속이거나 피해 이용자의 정보를 탈취해 위·변조할 수 있는 위험이 발견됐다고 밝혔다. 데이터 송·수신자 사이에 끼어들어 교신 내용을 엿보거나 변조하는 ‘중간자공격(MITM)’ 방식에 약점이 있고 녹스 1.0버전 애플리캐이션(앱)은 악성 앱이 정상 공인인증서를 위조하더라도 이를 정상으로 착각한다고 덧붙였다.

암호 해킹 위험에도 노출돼 있다는 게 이들의 주장이다. 녹스 일부 버전은 사용자가 녹스 계정에서 나가거나 프로그램을 꺼도 암호프로그램인 이크립트FS 프로그램은 꺼지지 않아 해당 폴더에 녹스 이용정보가 남는다. 녹스가 꺼져 있는 상태에서 3자가 해당 폴더에 들어가 녹스 이용정보 등을 변조할 수 있다. 자판으로 치는 내용을 몰래 엿보는 ‘키보드 스니핑’이나 화면 내용을 갈무리하는 ‘스크린 캡처’에 대한 보안 구멍도 지적됐다.



녹스는 악성키보드 앱에 대비해 삼성전자의 공식 키보드만 작동하도록 했고 화면캡처 기능을 제한하는 기능도 갖췄다. 하지만 시스템운영관리자의 계정으로 로그인한 해커에 대해선 보안 기능이 제대로 작동하지 않거나 복사 데이터를 임시로 저장하는 ‘클립보드’를 통하면 정보를 몰래 엿볼 수 있다는 주장도 나왔다.

이에 대해 삼성전자의 한 관계자는 “악성앱과 관련한 보안인증서 취약 문제는 안드로이드4.4 버전(일명 ‘킷캣’) 이상의 운영체제(OS)부터는 대부분 해결할 수 있도록 보완조치를 취했다”며 “클립보드를 통한 취약점에 대해선 지난 4월부터 보안프로그램 패치를 순차적으로 진행하고 있어서 점진적으로 해결이 될 것”이라고 밝혔다. 다만 삼성전자 갤럭시S4를 비롯해 2014년 이전에 출시된 구형 제품은 사용자가 최신 버전으로 OS업데이트를 해야만 녹스의 보안 취약점을 막을 수 있다고 덧붙였다. /민병권기자 newsroom@sedaily.com