삼성 해킹 파장 내 갤럭시는 괜찮을까?소스코드 공개만으론 위협 아냐 취약점 있으면 악용 우려 엔비디아 해킹 악명 높인 국제 사이버범죄 집단 랩서스(Lapsus$) 갤럭시 기밀 소스코드를 빼내
갤럭시 기밀 소스코드 유출은 문제지만, 스마트폰이 유통되고, 해커들이 날뛰면 뚫리지 않을 곳이 없긴 하다. 물론 더 보안을 잘 했어야 하겠지만, 그걸 뚫어내는 것이 모순 아니겠나! 그리고 그걸 다시 막으면 되고, 같은 방식을 당하지 않으면 된다고 본다.
전세계에 적을 두고 방어해야하는 어려움이 있지만, 이미 악동들, 범죄자들이 활개를 칠 수 있다는 상황은 달갑지 않을 것이다.
유능한 애들을 풀어서 해결해야 할 일이겠다. 삼성이 저런데, 다른 곳은 오죽하겠나? 아이폰도 좋지 않은 상황일 것이라 생각한다. 마음 놓고 있고 싶지만 어쩔 수 없을 수도 있는 거 아닐까?
후속 조치에 만전을 기해주면 좋겠다. 앞선 보안과 서비스를 기대하자.
삼성 해킹 파장…내 갤럭시는 괜찮을까?
소스코드 공개만으론 위협 아냐…취약점 있으면 악용 우려
임유경 기자
입력 :2022/03/08 17:04
수정: 2022/03/08 17:31
엔비디아 해킹으로 악명을 높인 국제 사이버범죄 집단 랩서스(Lapsus$)가 삼성전자에서 갤럭시 기밀 소스코드를 빼내, 온라인상에 공개하는 사건이 발생했다. 이번 사건으로 탈취·유출된 데이터는 190기가바이트(GB)에 이른다.
이 중에는 생체인증, 녹스 등 갤럭시 보안과 관련된 기능을 구현하는 프로그램의 소스코드도 포함됐다. 갤럭시의 보안 기능을 담당하는 소스코드가 유출됐다면, 일반 사용자들에게도 직접적인 보안 위협이 발생하는 것은 아닐까?
소스코드 공개 자체가 보안의 위협이 되진 않는다는 것이 보안 전문가들의 진단이다. 하지만, 만에하나 소스코드상에 취약점이 있을 경우 공격에 악용될 수 있는 만큼 빠르게 오류를 찾고 패치에 나서야 한다는 조언이 나온다.
갤럭시S22 울트라 (사진=지디넷코리아)
사이버범죄집단 랩서스는 지난 5일 텔레그램 채널을 통해 '삼성의 기밀 소스코드'라며, 190GB에 달하는 데이터를 P2P 데이터 공유 방식 토렌트로 공개했다.
이후 지난 7일 삼성전자도 사내 공지를 통해 "최근 외부의 정보 탈취 시도를 인지해 즉시 대응 체제를 가동했다"는 글을 올리며, 해커에 의한 침해 사고 발생 사실을 확인했다.
랩서스가 삼성전자에서 빼내 유출한 데이터에는 최신 갤럭시 스마트폰에 적용된 내부 프로그램의 소스코드다. 여기에는 '생체 인식 잠금 해제 작업을 위한 알고리즘' '삼성 계정 인증 및 권한을 부여기술' '보안 플랫폼 녹스' 등 갤럭시 보안 기능의 핵심이라 할 수 있는 프로그램과 기술의 소스코드도 포함됐다.
일반 갤럭시 이용자들 입장에서 보면, 이번 사고로 개인 단말기에 대한 공격이 발생할 수 있는 것 아니냐는 우려가 생길만한 지점이다.
소스코드가 유출되면 보안도 뚫리는 것일까?
인증 전문 정보보호 업체 드림시큐리티의 배웅식 기술 담당 상무는 이런 질문에 "소스코드 공개 여부가 해킹 위협과 직접적으로 연관된 것은 아니다"며 "그러한 논리라면 이미 (소스코드가) 공개되어 있는 암호화 알고리즘은 아무도 사용하지 않아야 하는데, 그렇지 않다"고 설명했다.
김승주 고려대 정보보호대학원 교수도 "소스코드가 공개됐다고 해서 그것이 바로 해킹으로 직결된다는 논리가 맞으려면, 오픈소스로 되어 있는 모든 것은 다 보안이 깨져야 하는데 그렇지 않다"며 "소스코드가 공개된다 하더라도, 소스코드에 오류가 존재하지 않으면 해킹으로 연결되지 않는다"고 설명했다.
랩서스가 유출한 갤럭시 관련 소스코드가 담긴 폴더들(이미지=지디넷코리아)
■"혹시 모를 취약점에 빠르게 찾고 패치하는 과정 필요"
쉽게 설명하면 이번 사고는 빌딩 설계도가 공개된 것과 비슷한 상황이다. 설계도가 공개 됐다고 해서 도둑이 빌딩에 침입할 수 있는 것은 아니다. 설계도의 공개 여부보다 빌딩에 보안장치가 잘 갖춰져 있느냐가 중요한 문제다. 빌딩에 보안장치가 잘 갖춰져 있다면 도둑이 설계도를 손에 넣어도 아무 소용이 없다.
하지만 설계도가 공개되면서 도둑이 보안이 허술한 지점을 더 쉽게 찾을 수 있게 됐다는 점은 우려해야 한다. 원래는 건물에 직접 가서 보안 장치가 어디있나 일일이 확인해야 했는데, 설계도가 있으면 보안 취약지점을 분석하는 시간이 단축된다. 도둑이 어떤 통로에는 보안장치가 없다는 사실을 더 빨리 찾아내서 그 부분을 뚫고 빌딩에 침입할 수 있다.
이번 사건의 경우에도 만에 하나 소스코드상에 취약점이 발견될 수 있다는 가정 아래, 신속한 대응이 필요하다는 게 전문가들의 의견이다.
김승주 교수는 "삼성이 체크를 했더라도 미처 발견하지 못한 오류가 존재할 수도 있다. 또 일반적으로 해커들은 프로그램에서 소스코드를 유추하는 리버싱 과정을 거치고 그 소스코드를 가지고 취약한 부분을 찾는데, 소스코드가 공개됐으면 그 과정을 단축할 수 있기 때문에 취약점을 분석하는 시간 자체가 줄어들 수 있다"고 말했다.
이어 "따라서 평상시보다 좀 더 모니터링 체계를 강화할 필요가 있다"며 "버그바운티를 포함해 다양한 모니터링 제도를 동원해서 취약점을 찾고 고치는 조치를 취해야 한다"고 조언했다.
댓글 영역