"2014년부터 삼성이 출시한 모든 휴대폰, 전화번호만 알아도 '해킹' 가능하다"

cnet

[인사이트] 전형주 기자 = 삼성전자 단말기에 보안상 결함이 있는 것으로 알려졌다. 심지어 전화번호만 알려져도 해킹이 가능하다는 주장도 나왔다.

이에 삼성전자는 새로 업데이트를 해 위험도를 낮추기로 했지만, 여전히 단말기 대다수는 아직 업데이트가 실시되지 않은 것으로 알려졌다.

최근 삼성전자는 2014년 이후 출시된 단말기에 대해 보안 업데이트를 하기로 했다고 밝혔다.

삼성전자에 따르면 이번 업데이트는 구글이 발표한 안드로이드 패치에 더해 갤럭시 등 단말기에서만 발견된 19개 취약점에 대한 패치도 포함돼 있다.

삼성 단말기를 직접 해킹해보는 영상 / YouTube '알고리즘 투게더 with 거니'

취약점 19개에는 2개의 치명적인 취약점도 포함돼 있는데, 하나는 보안 부트로더, 다른 하나는 큐램(Quram) 라이브러리에서 발견됐다고 한다.

첫 번째는 힙 기반 버퍼 오버플로우 취약점으로, 해커가 익스플로잇(공격)에 성공할 경우 보안 부팅을 피해 임의로 앱을 실행시키는 등 휴대폰을 조작할 수 있다.

두 번째 취약점은 메모리 덮어쓰기를 유발하는 문제로, 익스플로잇에 성공할 경우 임의의 코드를 원격에서 실행할 수 있다. 이 취약점은 큐램 내 qmg 라이브러리에서 발견된 것으로 알려졌다.

이 두 가지 취약점은 2014년 이후 삼성전자가 출시한 모든 단말기에서 발견됐다. 당시 삼성이 qmg라는 이미지 포맷을 지원하기 시작한 탓이다.

사진=고대현 기자 daehyun@

보안 업데이트 발표 이후에도 여전히 업데이트되지 않은 삼성 휴대폰 / YouTube '알고리즘 투게더 with 거니'

qmg는 한국의 큐램소프트(Quramsoft)라는 회사가 고안한 서드파티 포맷이다.

다만 삼성은 "적절한 확인을 통해 버그를 해결했다"는 말 외에 취약점에 대한 기술적 정보를 제공하지 않고 있다고 한다. 더구나 업데이트 진척 상황도 여전히 지지부진한 것으로 알려졌다.

이에 대해 삼성전자 관계자는 인사이트에 "관련 내용을 아직 정확히 알지 못한다"며 "자세하게 확인해보고 조치하겠다"고 밝혔다.