(씨넷코리아=권봉석 기자) 삼성전자 갤럭시S4를 시작으로 최근 2년간 6억 대 이상 출시된 삼성전자 갤럭시 스마트폰에 기본 탑재된 키보드 앱에 보안상 문제가 있는 것으로 드러났다. 삼성전자는 물론 스마트폰을 출시한 통신사의 빠른 업데이트와 패치가 요구된다.
미국 모바일 보안 회사인 나우시큐어가 미국시간으로 16일에 밝힌 바에 따르면 갤럭시S4를 시작으로 현재까지 출시된 갤럭시 스마트폰을 외부에서 원격으로 해킹할 수 있는 취약점이 발견되었다. 기본 설치된 키보드 앱에 내장된 모듈인 ‘스위프트키’(Swiftkey)에 보안상 문제점이 숨어있기 때문이다. 새로운 언어팩이 있는지 확인할 때 암호화되지 않은 평문 메시지를 이용하고 있다는 것이다.
이 문제는 이미 2014년 12월에 삼성전자에 보고된 바 있다. 나우시큐어 분석가인 라이언 웰튼은 이 문제점을 악용하면 스위프트키용 프록시 서버를 속이는 방법으로 다음과 같은 일들이 가능하다고 밝혔다.
▶︎ 외부에서 GPS, 카메라, 마이크 등 센서에 접근
▶︎ 이용자가 눈치채지 못하게 악성코드가 숨은 앱을 설치
▶︎ 앱이나 스마트폰 작동 방식을 변형
▶︎ 음성통화 엿듣기
▶︎ 사진, 문자메시지 등 개인정보에 접근
포브스에 따르면 삼성전자는 2014년 나우시큐어를 통해 문제점을 통보받았으며 전혀 대책을 세우지 않았던 것은 아니다. 이미 2015년 3월 하순에 이 문제를 해결할 수 있는 패치를 이동통신사업자에 제공했다는 것이다. 하지만 갤럭시 스마트폰이 전세계 100여개 지역에 수억 대가 팔린 만큼 이들 기기에 문제점을 해결한 패치가 모두 적용되기까지는 상당한 시간이 걸릴 전망이다.
스위프트키 개발사인 스위프트키는 다음과 같이 입장을 밝혔다.
스위프트키 SDK를 이용하는 삼성 기본 키보드에 대한 보안 문제를 전달받았다. 구글플레이나 애플 앱스토어에 올라온 스위프트키에는 최근 문제가 된 기능이 없음을 확인한다. 이번 건을 심각하게 받아들이고 있으며 현재 조사중이다.