안드로이드폰, 정보유출 취약점 공격 코드 주의

 구글 안드로이드(Google Android) 진저브레드 2.3.3 버전 이하의 모든 스마트폰에서 이용자의 정보를 유출시킬 수 있는 취약점에 대한 공격 코드가 공개돼 주의가 시급하다.

 아이넷캅(대표 곽권구)은 6일 안드로이드 스마트폰에서 발견된 보안 취약점에 대한 공격 코드 분석 결과를 공개하고 취약점 패치를 권고했다.

 아이넷캅은 지난달 28일 해외 보안 포럼을 통해 공개된 ‘구글 안드로이드 스마트폰 콘텐츠 프로바이더 URI를 통한 파일 유출 취약점’을 분석, 위험성을 확인했다고 밝혔다.

 공격자가 이번 취약점을 악용해 SMS 스팸 문자나 모바일 메신저 링크, QR 코드 등을 통해 특수하게 조작된 웹 페이지를 사용자가 열어보도록 유도할 경우 정보를 유출하는 공격 스크립트가 실행되면서 사용자 스마트폰에 저장된 개인 정보 및 자료 등이 외부로 유출될 수 있다.

 물론 허가권 보안 모델이 기본으로 적용되어 있어 폰 통화 및 문자 내역과 주소록 등의 개인 정보는 유출되지 않는 것이 확인되었다. 하지만 SD 카드에 저장되는 사진 및 동영상 파일 등의 개인 정보들은 유출이 가능하기 때문에 주의해야한다.

 현재 이클레어 2.0, 2.1 버전부터 프로요 2.2 버전과 진저브레드 2.3.2 버전까지 해당 취약점 영향을 받는 것으로 조사됐다.

 유동훈 아이넷캅 연구소장은 “공식 보안 패치가 적용된 안드로이드 최신 버전으로 즉시 펌웨어 업그레이드해야한다”며 “또 출처가 불분명한 SMS와 메일 등의 웹 주소 링크, SNS(소셜 네트워크 서비스)의 짧은 주소 링크를 함부로 열람하지 않도록 주의해야 한다”고 당부했다.

장윤정기자 linda@etnews.com