주요 메뉴 바로가기 (상단) 본문 컨텐츠 바로가기 주요 메뉴 바로가기 (하단)
로고

구글, 픽셀폰에 ‘직접 설치하는’ 새로운 보안 대비책 마련

조회수  

18

흔히 백도어처럼 소프트웨어 개발⋅유통 과정 중에는 정상적인 인증 과정을 거치지 않은 일부 악성코드가 숨어있을 수도 있다. 대부분의 스마트폰에는 이런 악성코드를 방지하는 기능들이 제공되고 있다.

8월 7일(현지시간) 구글은 픽셀폰의 보안을 더욱 강화하는 새로운 기능을 발표했다. 바로 펌웨어의 손상 여부를 사전에 알 수 있는 ‘픽셀 바이너리 투명도(Pixel Binary Transparency)’ 기능이다. 해당 기능은 픽셀폰의 펌웨어 소프트웨어를 해킹이나 위협으로부터 막아준다.

언제나 해킹이나 데이터 유출에 노출될 위험이 있는 소프트웨어 (출처: NordVPN)

주로 백도어와 같은 대부분의 악성코드는 사용자에게 기본적으로 제공되는 초기 소프트웨어 패키지인 ‘팩토리 이미지’에 설치된다. ‘팩토리 이미지’는 다른 운영체제나 소프트웨어가 설치되지 않은 초기 단계로 일부 손상되거나 초기화해야 할 때 사용하게 된다.

구글이 발표한 기능도 ‘팩토리 이미지’와 관련이 있다. 구글은 “픽셀 바이너리 투명도 기능이 공식 팩토리 이미지에 대한 메타데이터를 기록하는 공개 암호화 로그”라고 설명했다.

즉, 구글이 출시한 초기 소프트웨어 패키지에 대한 보조 데이터들 기록과 대조해 문제가 있는지 파악한다는 것. 만약 팩토리 이미지의 메타데이터와 동일하다면, 픽셀 바이너리 투명도 기능은 잠재적인 공격이나 악성코드로부터 영향을 받지 않았다고 판단한다.

뒤집어진 나무 모양을 보이는 머클트리 (출처: River)

악성코드의 영향을 받았는지 증명하기 위해서 머클트리(Merkle Trees) 방식이 사용된다. 머클트리는 트리구조를 형성하고 있는 암호화 과정을 의미하는데, 포함하는 모든 정보는 토너먼트 형식처럼 두 개씩 쌍을 지어 하나의 큰 데이터로 압축된다. 만약 하나로 압축된 데이터 중 일부가 공격이나 악성코드 등으로 변화가 생기면 최종적으로는 데이터 전체가 다른 값으로 변경되기 때문에 데이터의 위변조를 증명하기에 적합하다.

기기의 보안에 대해 우려되는 픽셀폰 사용자들은 파일을 직접 다운로드하면 된다. 대조에 사용되는 기준 파일에 대한 정보는 ‘https://developers.google.com/android/binary_transparency/tile‘‘을 참고하면 된다. 만약 해당 파일과 대조해 테스트가 실패하면 ‘실패(FAILURE)’를, 통과하면 ‘통과(OK)’를 출력한다.

사실 안드로이드폰 내부에는 ‘픽셀 바이너리 투명도’와 유사한 기능이 제공되고 있다. 바로 ‘안드로이드 확인 부팅(Android Verified Boot)’이다. 이 기능은 안드로이드 운영체제(OS) 8.0 이상을 실행하는 안드로이드폰에 제공되는 자체 검사 부팅 버전이다. 구글은 실행된 모든 코드가 일반적인 제조업체(OEM)에서 제공되고 있는지 확인하는 기능이라고 설명한다.

(출처: 스렛포스트(ThreatPost))

‘픽셀 바이너리 투명도’ 기능은 픽셀폰 사용자들에게만 제공될 예정이다. 이미 안드로이드 확인 부팅 기능이 기본적인 보안 역할을 제공하기 때문에 픽셀폰 사용자들에게 필요성이 크거나 사용률이 높지는 않을 것으로 추측된다. 추가적인 보안 수단 정도로만 작용할듯싶다. 만약 안드로이드 확인 부팅 기능에 문제가 생기더라도 픽셀폰의 보안을 더욱 강화할 수 있다.

IT 전문 매체인 Wccf테크(WccfTech)의 푸르칸 샤히드(Furqan Shahid) 안드로이드 전문 에디터도 이미 안드로이드 폰 전체에서 안드로이드 확인 부팅 기능이 탄탄하게 제공되고 있기 때문에 픽셀 바이너리 투명도 기능을 사용하지 않아도 될 것 같다고 전망했다.

게다가 IT 매체인 테크레이더(TechRadar)는 사용자에게 편리한 기능도 안드로이드 확인 부팅 기능이라고 설명했다. 일반적인 제조업체에서 기본적으로 제공하는 안드로이드 확인 부팅 기능과 달리 구글의 새로운 ‘픽셀 바이너리 투명도’ 기능은 직접 수동으로 관련 지침을 확인한 후 파일을 설치해서 진행해야 하기 때문이다.

(출처: dredeszone)

소프트웨어에 대한 잠재적인 공격들은 최근 몇 년간 계속 증가하는 추세다. 구글에 따르면 미국 경제잡지인 포튠(Fortune)지가 선정한 500대 기업과 정부기관에 이르기까지 언제든 소프트웨어의 코드에 백도어가 설치되거나 공급망 공격을 받아 쉽게 데이터에 액세스했거나 할 위험성이 존재한다. 올해 6월에는 세계 최대 파운드리 기업인 대만 TSMC도 공급망 공격으로 심각한 데이터 유출이 보고된 바 있다. 규모가 큰 기업도 무분별한 공급망 공격 앞에서는 속수무책이라는 걸 여실히 보여주는 사건이었다.

악성코드가 심어진 소프트웨어가 사전에 판가름나지 않으면 기기는 해킹당하거나 데이터 유출을 막기 힘들어진다. 구글의 새로운 기능을 사용하면 마주할 수 있는 위험한 상황을 최소화하고 기기의 보안을 더욱 철저하게 유지할 수 있다.

테크플러스 에디터 최현정

tech-plus@naver.com​

CP-2023-0021@fastviewkorea.com

댓글0

300

댓글0

[Techplus] 랭킹 뉴스

  • 낫싱이 선보인 첫 스마트워치 강점은 '가격’
  • 테크노 ‘팬텀 V 플립’, 갤럭시 Z5 절반 가격?
  • 스포티파이 ‘잼(Jam)’, 좋아하는 음원 실시간으로 동시 청취해봐
  • 구글 ‘픽셀 8 시리즈’ 카메라, 예상되는 다양한 기능은?
  • 게티 이미지, AI 이미지 생성 도구 출시…저작권은?
  • ‘도조 슈퍼컴 D1 칩 생산 늘린다’…테슬라, TSMC와 파트너십 확대

[Techplus] 공감 뉴스

  • 아이폰15 "문제 많네"...소비자 고민 더한다
  • 아이폰 15 프로 맥스, 10배 광학 줌 지원않는 이유는?
  • 요가도 해? 성장한 테슬라의 휴머노이드, 새로운 영상 공개
  • [용어로 읽는 IT] - 어떻게 줄였을까? 1.5mm 베젤 선보인 아이폰 15 프로
  • 소문과 다르네…취약한 아이폰 15 프로 모델 ‘내구성’
  • '저렴한 구독료 이젠 없다'…유튜브, 프리미엄 라이트 폐지

댓글 많은 뉴스

[Techplus] 인기 뉴스

  • 낫싱이 선보인 첫 스마트워치 강점은 '가격’
  • 테크노 ‘팬텀 V 플립’, 갤럭시 Z5 절반 가격?
  • 스포티파이 ‘잼(Jam)’, 좋아하는 음원 실시간으로 동시 청취해봐
  • 구글 ‘픽셀 8 시리즈’ 카메라, 예상되는 다양한 기능은?
  • 게티 이미지, AI 이미지 생성 도구 출시…저작권은?
  • ‘도조 슈퍼컴 D1 칩 생산 늘린다’…테슬라, TSMC와 파트너십 확대

[Techplus] 추천 뉴스

  • 아이폰15 "문제 많네"...소비자 고민 더한다
  • 아이폰 15 프로 맥스, 10배 광학 줌 지원않는 이유는?
  • 요가도 해? 성장한 테슬라의 휴머노이드, 새로운 영상 공개
  • [용어로 읽는 IT] - 어떻게 줄였을까? 1.5mm 베젤 선보인 아이폰 15 프로
  • 소문과 다르네…취약한 아이폰 15 프로 모델 ‘내구성’
  • '저렴한 구독료 이젠 없다'…유튜브, 프리미엄 라이트 폐지

댓글 많은 뉴스

공유하기

https://tech-plus.co.kr/102123/

로고
광고문의 파트너스 입점문의
  • 테크플러스
  • 서울 서초구 양재대로2길 22-16 호반파크 1관 7층
  • 사업자등록번호 : 743-87-00675
  • 대표번호 : 02-2168-9418
  • 청소년보호책임자 : 김태우
  • 발행인 : 김태우
  • 편집인 : 김태우

테크플러스-Techplus의 모든 콘텐츠는 저작권법의 보호를 받은 바, 무단 전재, 복사, 배포 등을 금합니다.
© Copyright by 테크플러스-Techplus. All Rights Reserved.

ad-close