기본 콘텐츠로 건너뛰기

전화위복이 되어야 할 안드로이드의 보안문제



7월말에 언론에 공개되어 이슈가 되기 시작한 안드로이드의 stagefright 취약점에 대한 넥서스 시리즈의 OTA가 진행되고 있습니다. MMS나 웹페이지에 있는 동영상을 보는 것만으로 악성코드 실행이 가능한 이 취약점으로 인해 안드로이드의 보안 문제에 대한 부정적인 시선이 더 늘어나게 되었고 이 문제로 안드로이드에서 아이폰으로 옮겨가게 되었다라는 해외 기자의 글도 소개가 될 정도였습니다. 그러나, 이번 문제가 안드로이드에 부정적인 영향만 있는 것은 아니라는 생각입니다.

사람이 만든 것인데 보안 문제가 발생하지 않는 소프트웨어는 없습니다. 상대적으로 보안이 잘되어있다라는 인식이 있는 애플의 OS X와 iOS도 보안 문제는 계속 발생합니다. 최근에 보도가 되었던 보안 문제들만 살펴보아도 앱스토어 심사과정에서도 걸러지지 않는 것으로 파악되었으나 6개월간 업데이트가 안되었던 앱 공유 프로토콜 문제, 7월에 패치가 된 iOS의 유니코드 문제, 안드로이드의 stagefright 취약점과 비슷한 동영상 재생시 악성코드 실행 위험이 있는 취약점, 썬더볼트 주변기기를 통해 감염되는 맥 악성코드 등이 있습니다.

애플이나 MS와 비교해 안드로이드의 문제는 취약점에 대한 대응에 있습니다. 어떤 취약점에 대한 수정 업데이트를 구글이 만들더라도 그것이 실제 사용자들에게 전달하는 것은 각 제조사들이 결정하고 진행하여야할 문제이기 때문에 기간도 길어지고 업데이트 대상도 불명확하다라는 문제가 있습니다. 더 심각한 것은 구글이 직접 관리하는 넥서스 시리즈조차도 OS의 메이저 업데이트가 아닌 이런 보안 취약점에 대한 업데이트 정책이 명확하지 않았습니다.

지난 8월 6일 구글은 stagefright 취약점 업데이트 제공과 함께 넥서스 시리즈의 앞으로의 업데이트 정책에 대해 공지를 하였습니다. 넥서스 시리즈는 매월 정기적으로 보안 업데이트를 받을 것이고 메이저 OS 업데이트는 2년간, 보안 업데이트는 3년 또는 제품이 단종된 이후 18개월 동안 제공하기로 하였습니다. 또한 삼성과 LG도 이와 비슷한 형태로 보안 업데이트를 제공하기로 구글과 협의를 하였다고 합니다.

구글의 발표 내용은 완벽하지는 않습니다. 협의가 되었다라는 삼성과 엘지의 업데이트 정책은 어떻게 되는 것인지,삼성과 엘지를 제외한 제조사들은 어떻게 할 것인지 등의 문제가 남아있습니다. 이번 발표의 가장 큰 의미는 안드로이드 업데이트 정책이 예측 가능하게 되었다라는 것입니다. 매월 정기 업데이트 정책이 도입되었고 넥서스 시리즈에 한정이지만 자신의 기기가 언제까지 업데이트 지원을 받을지가 명확해졌습니다. 플랫폼 제공 업체가 해야할 기본적인 일 중 하나인 문제 해결의 방향을 제시하였다라고도 할 수 있습니다.

위에서 이야기한 것처럼 문제가 없는 소프트웨어는 없습니다. 중요한 것은 그 문제에 대한 대응 자세이고 구글의 제시한 업데이트 정책은 안드로이드의 특성상 제조사들이 적극적으로 참여할 지는 좀더 지켜봐야할 문제이나 일단 방향은 제대로 잡았다라고 보입니다. 이슈가 된 이번 보안 문제가 안드로이드의 몇몇 문제들을 해결할 전환점이 될 수 있기를 바랍니다.


===


Project just4fun : http://www.just4fun.kr/



이 블로그의 인기 게시물

구글 결제에서 결제 수단 등록 문제

얼마 전 카드를 새로 만들어서 구글 결제의 결제 수단을 교체하려고 하였는데 카드 번호가 잘못되었다라고 하면서 등록이 되지 않았습니다. 관련해서 검색을 해보니 이런 문제가 흔히 발생하고 있더군요. 저처럼 당황하실 분들을 위해 구글 고객센터와 통화해 해결하면서 알아낸 것들을 공유하겠습니다.

IFTTT의 새로운 앱 'Do'

IFTTT 는 간단하게 정의하면 온라인 자동화 서비스라고 할 수 있습니다. 예를 들면 블로그에 포스팅을 하고 이 글을 SNS에 공유하기 위해서는 일일이 각 SNS마다 직접 공유 포스팅을 하거나 Buffer와 같은 서비스를 사용해 공유 포스팅을 하는 과정을 거쳐야 합니다. IFTTT는 이런 과정없이 블로그에 새로운 글이 등록되면 이것을 IFTTT에서 감지해 자동으로 SNS에 공유 포스팅이 등록되게 해줄 수 있습니다. 블로그를 예로 들었지만 IFTTT는 온라인 서비스들을 사용할때 발생할 수 있는 다양한 상황들을 감지해 자동화해줄 수 있는 편리한 서비스입이다. 이런 IFTTT에서 기존 앱의 이름을 IF로 바꾸고 별도의 새로운 앱인 'Do' 시리즈 를 출시하였습니다.

안드로이드 N의 '프리폼 윈도우 모드(freeform window mode)'

안드로이드 N의 개발자 프리뷰에서 가장 큰 변화는 멀티 윈도우 지원이었습니다. 그런데, 프리뷰가 발표된 이후 숨겨진 옵션으로 단순 멀티 윈도우가 아닌 일반 PC OS들처럼 윈도우의 크기와 위치를 자유롭게 조절할 수 있는 '프리폼 윈도우 모드(freeform window mode)'가 존재한다라는 사실이 알려지게 되었습니다. 이 윈도우 모드는 개발자 프리뷰에서는 활성화되어 있지 않았지만 구글의 공식 문서에도 언급이 되어 있는 옵션이었습니다. 어떤 모습인지 궁금하였던 '프리폼 윈도우 모드'의 작동하는 모습이 담긴 영상이 인터넷에 올라왔습니다.