[디지털데일리 이종현기자] 삼성, LG, 구글, 샤오미, 원플러스 등 전 세계 휴대전화 40% 이상에서 사용되는 퀄컴칩에 취약점이 발견됐다. 공격자들은 해당 취약점을 통해 안드로이드 폰에서 스파이 활동을 명령하고 마비시키며 악의적인 활동을 숨길 수 있다.
19일 글로벌 보안 기업 체크포인트 테크놀로지스는 퀄컴의 디지털 시그널 프로세서(DSP)에서 400개 이상의 취약점이 발견됐다고 밝혔다. DSP 칩은 지구상 대부분의 안드로이드 휴대전화에 내장돼 있다는 것이 체크포인트 측 설명이다.
국제 해킹대회인 ‘데프콘’에서 발표된 ‘아킬레스(Achilles)’라는 제목으로 발표된 연구논문에서 체크포인트 연구진은 ‘휴대전화가 사용자를 염탐’하고 ‘휴대전화가 응답하지 않으’며 ‘휴대전화가 악성 활동을 감춘다’고 해당 취약점의 위험성을 전했다.
휴대전화의 사진, 비디오, 통화기록, 실시간 마이크 데이터를 유출하고 사용자가 이를 알아챌 수 없도록 하고 컨트롤 권한을 빼앗을 수도 있다.
체크포인트 연구진은 “퀄컴의 DSP가 해커들에게 심각한 공격점”이라며 “DSP 칩은 제조사 외에는 다른 누군가가 설계, 기능 혹은 코드를 검토하기 매우 복잡할 수 있기 때문에 블랙박스로 관리돼 리스크에 훨씬 더 취약하다”고 말했다.
이에 대해 퀄컴은 해당 취약점을 인정하고 관련 벤더사에 통보했다. 이후 패치를 통해 취약점을 개선한 상태다. 하지만 해당 패치를 휴대전화에 적용하는 것은 삼성, LG, 구글, 샤오미 등 벤더사에 달렸다. 소비자들은 벤더사들이 조치(Fix)를 시행하도록 기다릴 수밖에 없는 상태다.
이은옥 체크포인트 코리아 지사장은 “해커들의 악의적인 공격은 이제 디바이스를 넘어 칩까지 노리고 있다”며 “제조사가 제공하는 패치가 나올 때까지 손을 놓고 있으면 그들에게 개인정보를 비롯한 거의 모든 정보가 들어 있는 스마트폰을 그대로 넘겨주는 것과 마찬가지다. 이와 같은 피해를 예방하기 위해서는 반드시 기술력을 갖춘 전문 보안 벤더의 애플리케이션(앱)을 통해 대비해야 한다”고 주장했다.