Home > 열린마당 > 공개SW 소식

공개SW 소식

2015년 01월 26일 (월)

ⓒ CIO Korea, Gregg Keizer | Computerworld



구글 보안팀이 최신 안드로이드 운영체제에 대해서만 업데이트를 제공한다는 입장을 밝혔다. 사실상 안드로이드 4.3 젤리빈 이하 버전에 관한 지원을 중단한다는 것과 다름없는 이야기다.

구글은 안드로이드 4.3 젤리빈 이하 버전에 탑재된 핵심 컴포넌트인 웹뷰(WebView) 패치를 중단한다는 방침을 고수하겠다고 23일(현지시각) 밝혔다.

안드로이드 수석 엔지니어인 아드리안 러드위그는 구글 플러스 게시물을 통해 “구글팀은 최근까지 안드로이드 4.3 이하 버전의 웹뷰에 사용된 웹킷(WebKit)에 관한 백 포트(Backport)를 지원해왔다”며, “그러나 웹킷만 하더라도 5백만 줄의 코드로 작성됐으며, 수백만 명의 개발자가 매달 수천 개의 커밋을 새로이 추가하고 있다.”고 말했다. 이어 “2년이나 지속된 웹킷 취약점에 패치를 제공한다는 것은 코드 일부를 바꿔야한다는 뜻인데, 이제 더 이상 최신 상태를 유지하는 것이 실용적이지 않다고 판단했다”고 덧붙였다.

러드위그는 보안 업체 래피드7(Rapid7)의 설계 책임자인 토드 비어즐리의 응답에 회신해왔다. 비어즐리는 구글 보안 팀이 더 이상 안드로이드 4.3 젤리빈 이하 버전에서 사용되는 웹뷰 취약점을 수정하지 않겠다는 입장을 밝혔다고 전한 바 있다.

웹뷰는 젤리빈에 탑재된 기본 안드로이드 브라우저를 동작시키는 핵심 컴포넌트로, 그동안 웹페이지를 표시하고 웹앱을 표시하는 방식이었다. 구글은 4.4 킷캣부터 기본 브라우저를 크롬으로 대체했다.

비어즐리는 웹뷰가 구글의 모바일 브라우저의 핵심일 뿐만 아니라 앱에서 많이 사용되기 때문에 웹뷰에서 발견되는 그 어떤 취약점도 사용자를 위협에 노출시킬 수 있다고 주장했다.

비어즐리는 “웹뷰는 안드로이드에서의 공격 벡터(Attack Vector)다”며, “만일 내가 해커라면 웹사이트를 하나 만들어 웹뷰를 침투해 사람들의 클릭을 유도할 것”이라고 덧붙였다.

비어즐리에 따르면, 안드로이드 보안 대응팀은 2014년 10월 중순 비어즐리의 버그 리포트에 관해 “우리는 웹뷰를 패치하지 않는다”고 회신했다. 비어즐리는 자신의 블로그에서 구글은 집단주의라는 이기심을 재빨리 버리고 웹뷰를 패치를 제공한다고 주장했는데, 현재 모든 안드로이드 기기의 60% 이상이 웹뷰 취약점에 노출돼 있다.

러드위그는 구글의 패치 정책에 따라 대다수 안드로이드나 태블릿의 웹뷰는 업데이트되지 않을 것임을 못박아 말했다.

러드위그는 “우리는 안드로이드 오픈 소스 프로젝트에 따라 안드로이드 취약점에 관한 패치를 제공하고 있으며, 최신 운영체제 2가지에 대해서만 안드로이드 협력업체에 패치를 제공한다”고 말했다.

비어즐리는 지난 24일 인터뷰에서 “처음에는 구글로부터 회신이 왔다는 점에 놀랬다. 사실 구글은 보안에 관련된 문제에 대해 회신을 잘 해주지 않는 편”이라고 말했다. 하지만 “구글이 입장을 철회한 것이 아니라는 점에서 도움되지는 않았다”고 덧붙였다.

젤리빈은 2012년 7월부터 2013년 7월까지 배포됐는데, 이는 웹뷰가 해당 기간 지원됐으며, 이로부터 최소 2년 더 지원됐다는 것을 의미한다.

반면, 애플은 최신 iOS를 배포함에 따라 여러 세대의 기기를 지원하는데, 구글과는 달리 사용자에게 직접 업데이트를 제공한다. 2011년 10월 처음 출시한 아이폰 4S 이후 버전에 iOS 8이 지원됐다. 마이크로소프트도 윈도우 데스크톱 운영체제에 10년 간 기술지원을 제공하며, 윈도우 폰 8.1은 지금으로부터 3년 뒤인 2017년 7월에 종료된다.

구글의 러드위그는 주기적으로 업데이트를 제공하는 크롬이나 모질라 파이어폭스를 사용하라고 권고했다. 러드위그는 “업데이트를 제공하는 브라우저를 사용하면 현재 알려진 보안 문제로부터 사용자 기기를 보호할 수 있으며, 향후 발견된 보안 문제에 관해서도 역시 지속해서 업데이트를 받을 수 있다”고 말했다.

이어 앱 개발자들은 최상의 보안 지침사항을 따르고, 신뢰할 수 있는 콘텐츠만을 내려받고, 렌더러를 직접 작성하라고 권유했다.

비어즐리는 개발자들이 러드위그의 보안 지침사항을 따르는 것이 좋다고 동의하면서도 “몇몇 내용들은 실없게 느껴진다”고 말했다. 비어즐리는 “다소 비현실적이다. 광고를 렌더링하지마는 아무 조치도 하지 않는 앱들이 정말 많으며, 광고 네트워크가 사용하는 HTTPS의 안정성에 의심이 든다”고 덧붙였다. 또, “렌더러를 직접 쓰라는 것은 정말 말도 안 된다. 안드로이드 4.3 이하 버전을 사용자를 위한 근본적인 해결책은 아니다”고 말했다.

러드위그는 젤리빈 이하 버전을 사용하는 고객들이 킷캣과 롤리팝으로 업데이트하고 있다고 주장했다. 러드위그는 “웹킷 보안 문제에 잠재적으로 노출된 사용자는 줄어들고 있으며, 날마다 많은 사람들이 기기를 업그레이드하거나 새로운 기기를 구입한다”고 자신했다.

물론 구글과 모바일 통신 업체들이 운영체제를 시의적절하게 업데이트를 점차 더 나은 방식으로 제공하고는 있으나, 구글이 제공한 통계 자료를 보면 최신 운영체제로의 이행 속도는 느린 편이다. 여전히 10대 가운데 6대에는 킷캣보다 낮은 버전이 탑재돼 있다.
젤리빈은 킷캣만큼(39.1%) 많은 36%의 점유율을 기록하는 것에 반해, 최신 운영체제인 롤리팝의 점유율은 0.1%에도 못 미치는 수준이다.

비어즐리는 “아직도 오래된 안드로이드 사용하는 것에 대해서는 여러 가지 이유가 있을 것”이라고 답했다. 비어즐리의 말에 따르면, 가장 최신 안드로이드 버전을 탑재한 최신형 스마트폰을 구매할 예산이 없을 수도 있고, 통신 업체가 오래된 기기를 업데이트하기보다는, 최신 기기를 판매하는 것에 가치를 두고 있어서다.

비어즐리는 “앞으로 5년 내로 안드로이드 플랫폼의 파편화 문제는 더 나아질지는 모르겠지만 100%라고 장담하기는 힘들다”고 말했다. 이어, “오래된 안드로이드에 관한 취약점 문제는 계속될 것”이라며, 여전히 윈도우 XP에 관한 공격이 활발하게 이루어지고 있음을 예시로 들었다.

비어즐리는 “전체에서 60%에 해당하는 안드로이드 기기에서 손을 떼겠다는 의미인데, 그다지 도움이 되지는 않을 것”이라며, “구글이 뒤를 보지 않고 앞으로만 나간다는 것, 그것이 아마도 가장 핵심일 것”이라고 덧붙였다.



※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지


[원문출처 : http://www.ciokorea.com/news/23833]

맨 위로
맨 위로