(씨넷코리아=권봉석 기자) 안드로이드 스마트폰에 악성코드를 담은 동영상을 한 번만 보내도 외부에서 접근해 전화번호, 주소록, 사진 등 개인정보와 금융정보를 털어갈 수 있는 문제점이 발견되었다. 보안업체 짐페리움이 미국시간으로 27일 공식 블로그를 통해 이와 같이 밝혔다.
짐페리움에 따르면 이 문제점은 안드로이드에 내장되어 있는 사진·동영상·음성 재생 소프트웨어인 스테이지프라이트(Stagefright) 때문에 생긴다. 안드로이드 스마트폰의 번호를 입수한 공격자가 동영상 안에 악성코드를 숨겨서 문자메시지로 전송한 후 이를 받은 스마트폰이 동영상을 처리하는 과정에서 악성코드가 활성화된다.
(Picture courtesy of Zimperium)
안드로이드에 기본 내장된 문자 앱을 이용할 경우 전송된 동영상을 일일이 열어 보아야 하지만 구글 행아웃으로 문자를 수신하는 경우 굳이 동영상을 열어볼 필요도 없다. 행아웃이 동영상이 포함된 문자메시지를 받자마자 처리를 시작하기 때문에 바로 감염된다. 심지어는 이용자가 도착한 동영상을 열어보기도 전에 스마트폰을 감염시키고 자폭하는 것도 가능하다. 짐페리움은 지난 4월 이 문제점을 발견했고 즉시 구글에 알린 상태다.
짐페리움은 공식 블로그를 통해 “아직 이 문제점이 악용된 사례는 없지만 전세계에 보급된 안드로이드 기기 중 95%가 위험에 노출되어 있다”고 밝혔다. 안드로이드 버전 2.2부터 5.1.1까지가 해당 문제점을 안고 있다. 이 문제를 해결하려면 삼성전자, LG전자, 화웨이, 샤오미, HTC 등 각 안드로이드 제조사와 통신사가 업데이트를 배포해야 한다.
현재로서는 모르는 사람이 보낸 동영상을 함부로 열어보지 않는 것 이외에는 대비할 방법이 거의 없다. 구글 행아웃을 쓰고 있다면 문자메시지에 첨부된 사진이나 동영상을 자동으로 다운로드 하지 않도록 ‘MMS 자동 수신’ 기능을 꺼야 한다.