안드로이드 스마트폰을 초기화해도 정보 유출 위험은 피할 수 없는 것으로 판명됐다. 영국 캠브리지대학 연구팀에 따르면 안드로이드 스마트폰은 공장 출하 상태로 공장 초기화를 해도 데이터를 복구할 수 있으며 이는 암호화를 통해 방지할 수 없다고 한다.
연구팀은 안드로이드 2.3에서 4.3까지 5개 제조사가 출시한 스마트폰 21종을 공장 초기화한 뒤 얼마나 데이터를 복원할 수 있는지 조사했다. 하지만 그 결과 모든 단말에서 복원 전 저장하고 있던 연락처와 페이스북, 이미지, 동영상, SMS, 이메일 같은 데이터를 추출하는 데 성공했다는 것.
그 뿐 아니라 단말 중 80%는 G메일과 구글 캘린더 정보에 접근할 수 있는 자격 증명을 복원할 수 있었다고 한다. 다시 말해 안드로이드 스마트폰 대부분에선 공장 초기화를 해도 개인 정보를 복원할 수 있다는 얘기다.
더 심각한 건 안드로이드 스마트폰의 데이터 암호화 기능을 이용해 모든 데이터를 암호화해도 데이터가 복원되어 버린다는 것이다. 연구팀은 데이터가 암호화되어 있더라도 암호해독 키를 저장하는 파일 자체는 공장 초기화로 삭제되지 않는 탓에 암호화된 정보도 돌파하는 게 가능하다고 지적했다.
또 암호 크랙을 방지하기 위해 숫자와 알파벳 대소문자를 무작위로 조합한 11자 이상 암호를 사용하는 방법을 주로 쓰지만 키 입력이 불편한 스마트폰에선 현실적이지 않다. 연구팀은 데이터 복원을 예방하는 효과적인 방법은 공장 초기화를 한 뒤에 저장소에 있는 모든 할당되지 않는 공간을 덮어쓸 목적으로 랜덤 바이트 데이터를 기록하는 것이라고 말한다. 하지만 이런 데이터를 덮어쓰는 방법도 수동 설치가 필요해 쉽지 않다.
연구팀은 결국 데이터 유출 피해를 막는 방법은 낡은 스마트폰을 파는 게 아니라 그냥 갖고 있거나 물리적으로 파괴하는 게 좋다고 조언한다. 덧붙여 이번에 실험한 안드로이드 스마트폰은 안드로이드 4.4 킷캣 이전 운영체제인 만큼 상위 버전 스마트폰이 데이터 유출 위험이 있는지 여부는 알 수 없다.
전자신문인터넷 테크홀릭팀
이석원기자 techholic@etnews.com