외신들에 따르면 갤럭시S3에서도 최근 갤럭시노트2에서 발견된 것과 같은 보안 결함이 있는 것으로 밝혀졌다. 역시 `긴급전화` 기능을 이용해 허가받지 않은 사용자들이 단말기의 잠금 기능을 우회해 단말기 조작을 할 수 있다는 것이다.
6일(현지시각) 엔가젯, 슬래시기어 등은 “아이폰, 갤럭시노트2에 갤럭시S3도 보안 결함 리스트에 추가되었다”며 동일한 방법을 사용해 단말기의 잠금 기능을 우회할 수 있다고 전했다. 그러나 놀라운 것은 다른 단말기들이 제한된 조작만 가능한 것에 비해 갤럭시S3은 완전한 액세스가 가능하다.
갤럭시S3의 보안 결함은 션 맥밀란(Sean McMillan)이라는 사용자가 발견했는데, 방법은 갤럭시노트2에서와 동일하다. 션 맥밀란의 갤럭시S3 해킹 방법은 시크리스트(http://seclists.org/fulldisclosure/2013/Mar/50)에 포스팅되어 있다.
잠금 상태의 화면에서 긴급전화(Emergency Call) 버튼을 눌러 ICE(emergency contacts) 메뉴로 들어가 홈버튼을 누르고 재빨리 전원 버튼을 눌러 끈다. 그리고 전원 버튼을 다시 눌러 켠다. 이 과정이 성공하면 단말기의 잠금이 해제된 상태의 홈스크린을 보여준다.
엔가젯에 따르면 이 상태에서는 단말기를 재부팅하기 전까지 잠금 기능이 복귀되지 않는다. 즉 한번 해제되면 단말기를 다시 시작하기 전에는 무장 해제된 상태에서 타인의 단말기를 마음대로 사용할 수 있다는 것이다.
하지만 쉽게 이 상태로 만들 수 있는 것은 아니며 맥밀란은 “꽤 여러 번의 시도 끝에 성공했다”고 밝혔다. 직접 실험해본 엔가젯 역시 “우리의 경험상 그리 단순한 과정이 아니다”며 “거의 포기하기 직전까지 `문자 그대로` 수백번 시도했다”고 전했다.
엔가젯은 “먼저 안드로이드 4.0.4로 구동되는 갤럭시S3로 시도해본 결과 실패했으며 4.1.2 젤리빈 탑재 갤럭시S3로 엄청난 시도 끝에 성공했다”고 밝혔다. 덕분에 카메라 촬영은 하지 못했으며 “홈버튼과 전원버튼을 누르는 시간차가 관건인 것으로 보이지만 정확한 답을 알 수 없다”고 덧붙였다.
또 엔가젯은 “삼성전자는 전날 갤럭시노트2의 보안 결함이 알려지자 이를 조속히 해결하기 위해 노력하고 있다고 답변했는데 답변서에서 `갤럭시노트2`라고 하지 않고 `갤럭시 단말기들(Galaxy devices)`이라고 표현했다”며 삼성전자가 이미 인지했을 수 있음을 시사했다.
전일 갤럭시노트2에서도 유사한 방법으로 허가받지 않은 사용자가 잠금 기능을 우회, 사용할 수 있음이 유투브 영상을 통해 공개되었다. 갤럭시S3과 비교하면 해킹 방법이 쉬운 대신 단말기 사용도 극히 제한된다. 해킹 후 잠깐 나타났다 사라지는 홈스크린 버튼에서 재빨리 위젯 등을 실행시킬 수 있는 정도다.
박현선기자 hspark@etnews.com