28일 미국 CBS뉴스와 포춘 등 해외언론에 따르면 보안 연구 기업인 짐페리엄(Zimperium)은 해킹의 위험에 노출된 안드로이드폰의 근본적이고 치명적인 결함을 밝혀냈다고 발표했다. ‘무대공포증’이라는 뜻의 ‘스테이지프라이트’(Stagefright)로, 안드로이드 운영체제 내에 탑재된 ‘미디어 플레이백 툴’이라고 짐페리엄은 설명했다. 즉 동영상 등 멀티미디어를 재생할 때 필요한 프로그램이다. 짐페리엄은 이를 가리켜 “모든 안드로이드 취약성의 근원”(the mother of all Android vulnerabilities)이라고 꼽았다.
해커가 이를 이용하면 문자 단 한줄을 보내는 것만으로도 스마트폰을 악성웨어에 감염시켜 원격으로 스마트폰 내 앱이나소프트웨어를 실행할 수 있게 된다. 해커가 신용카드 정보나 사진 등 스마트폰에 든 모든 개인 정보를 빼낼 수 있다는 것이다. 
짐페리엄은 자사 웹사이트에 게재된 블로그를 통해 “안드로이드폰의 95%가 스테이지프라이트를 이용한 해킹 공격에 취약하다”며 “최고통치자로부터 정부, 관료, 기업임원, 보안요원, IT 종사자 등 모든 안드로이드폰 사용자가 해킹 대상이 될 수 있다”고 경고했다. 하지만, 짐페리엄은 아직까지 스테이지프라이트를 이용한 해커의 공격은 없었다고 밝혔다.
짐페리엄에 따르면 스테이지프라이트를 이용한 해킹은 해킹 대상, 즉 사용자가 아무 반응을 하지 않아도, 단지 문자메시지 한 줄로 스마트폰이 해킹될 수 있다는 것이다. 또 문자는 해킹 즉시 삭제돼 어떤 흔적도 남기지 않을 뿐더러, 사용자가 자신의 정보가 빼돌려지고 있다는 사실도 알아차릴 수 없다. 최근 국가정보원이 이탈리아 소프트웨어 기업 ‘해킹팀(Hacking Team)’ 으로부터 구입한 것으로 알려진 ‘원격조정시스템(RCS) 해킹 소프트웨어’와 작동방식은 같으나 훨씬 더 강력하다.
짐페리엄은 지난 4월 이같은 사실을 안드로이드 운영체제의 제작사인 구글에 지난 4월 통보하고 결함을 해결할 수 있는 패치프로그램을 전달했다고 밝혔다. 
구글 대변인은 CBS뉴스와의 통화에서 안드로이드폰 사용자의 보안은 우리 회사에 매우 중대한 문제이기 때문에, 짐페리엄의 요청에 즉각 응답했으며 안드로이드폰 제조사 등 우리의 파트너들에게 즉시 패치프로그램을 공급했다”고 밝혔다. 이어 “최근 출시 폰을 포함한 모든 안드로이드 기기는 해킹을 더욱 어렵게 만드는 기술들을 탑재하고 있다”고 덧붙였다.
하지만 짐페리엄측은 아직 안드로이드폰의 모든 보안 문제가 해결된 것은 아니라고 전했다. 짐페리엄의 안드로이드 연구원 조슈아 드레이크는 미국 공영 라디오(NRR)과의 인터뷰에서 “안드로이드폰 사용자의 20~50%만이 보안 패치 업데이트를 하게 될 것”이라고 추산하며 “안드로이드폰의 제조사들이 문제 해결에 늦게 반응하고 있기 때문”이라고 말했다.
suk@heraldcorp.com
