안드로이드의 보안이 취약하다는 것은 이제 상식이 된 것 같다. 기존에도 악성 앱이나 악성 링크에 취약하다는 점들이 알려져 있기는 했지만, 최근 국정원의 해킹 툴 사용으로 더 크게 이슈가 되는 느낌이다. 어떤 소프트웨어든 —iOS나 안드로이드나— 사람이 만드는 것이고, 그렇다 보니 당연히 완벽할 수는 없다. 그러니 완벽하게 만들려고 노력하는 게 중요하기는 하지만, 그보다 더 중요한 것은 빠르게 문제를 수정하는 것이다. 하지만 안드로이드에선 그게 안 되고 있다. 이 문제에 대해 Vice에 올라온 Lorenzo Franceschi-Bicchierai의 글을 전문 번역했다.
덧. 애플 안티가 보안 문제 때문에 ‘다크 사이드’로 돌아서는 모습이 대단히 재밌는 글이다.
대단히 보안이 좋은 안드로이드!
나는 지난 주 브루클린에서 열린 한 컨퍼런스에서 몇몇 해커와 보안 전문가들과 함께 어울리다가 내가 가진 소니 폰을 꺼냈다.
“맙소사! 기자가 안드로이드를 쓰는군요. 대단히 보안이 좋아 보입니다!”
내 옆에 있던 남자가 매우 비꼬는 말투로 얘기했다.
비록 내가 그의 야유를 웃어넘기긴 했지만, 정보 보안에 대해 글을 쓰는 사람으로서 나는 내심으론 그가 옳다는 것을 알고 있다. 그 일이 있은 후 바로 며칠 뒤인 지금, 그의 농담은 거의 예언처럼 보인다.
당신이 이미 들었다시피, 월요일, 한 보안 연구원이 안드로이드의 소스 코드 내에 해커가 간단한 멀티미디어 메시지만으로 사용자를 해킹하고 감시할 수 있는 일련의 버그가 있다는 것을 밝혀냈다.
만약 당신의 안드로이드 기기가 Stagefright라는 라이브러리의 허점을 이용한 버그에 취약할지도 모른다는 걱정을 하고 있다면, 안 좋은 소식이 있다. 정말로 취약하다는 것이다. 실제로 9억 5천만 대의 폰이 버그에 취약한 것으로 보인다.
버그를 발견한 연구원, Joshua Drake는 “모든 기기가 버그에 취약하다고 생각해야 합니다.”라고 말했다.
지난 주의 나는 확실히 Stagefright에 대해선 알지 못했지만, 안드로이드의 보안이 훌륭하지 않다는 것은 알고 있었다. 여전히 나는 나를 비꼰 녀석을 무시한다. 왜냐하면, 솔직히 말해서, 내가 팬보이면서 동시에 (애플의) 안티이기 때문이다.
내가 단순히 퀵타임에서 영화 예고편을 보려 할 때마다, 애플이 자신들의 앱(아이튠즈)을 내 목구멍에 밀어 넣으려 했던 10대 시절부터 나는 애플 제품을 싫어했다. 나는 애플의 울타리 쳐진 정원(walled garden)을 좋아한 적이 없었고 “우리가 모든 것을 통제합니다” 식의 접근법을 싫어했다. 특히 나는 애플 팬보이들에게서 보이는 “오 세상에, 새로운 iThing이 나온다니” 같은 멍청한 숭배 의식(reverence)과 이상 흥분 상태(hysteria)를 싫어했다.
그래서 몇 년 전 오리지널 아이폰이 나왔을 때, 나는 친구들이나 처음 보는 사람들과의 꽤 많은 열띤 토론들에서 결코 아이폰을 사지 않겠다고 맹세하곤 했다. 그때 이후로 나는 오직 안드로이드 폰만을 써왔다. 처음에는 HTC 제품들을 썼고, 지금은 소니 폰을 쓰고 있다.
이젠 싫다. 이제 나는 다크 사이드(옮긴이 주: 스타워즈에 등장하는 포스의 어두운 면)로 갈 준비가 됐다.
통신사님 제조사님, 제발 업데이트 좀 해주세요
오해는 하지 마라. 안드로이드는 여러 가지 방면에서 훌륭하다. 나는 안드로이드의 오픈 소스 정신과 커스터마이징 할 수 있다는 점을 사랑한다. 하지만 나는 한 가지 단순한, 하지만 대단히 근본적인 이유 때문에 더 이상 안드로이드를 쓸 수 없게 됐다.
구글은 여전히 소프트웨어 업데이트에 있어서 매우 약간의 통제력만을 가지고 있고, 안드로이드 사용자들이 기본적으로 업데이트를 받거나, 새로운 버전의 운영 체제를 사용하기 위해서는 통신사와 폰 제조사의 처분에 따라야 한다.
예를 들어, 소니는 신제품인 엑스페리아 Z 폰 라인에 안드로이드 5.0 롤리팝을 업데이트 해주는데 6달이 넘게 걸렸다. 구글이 롤리팝을 공개한 후, 소니가 6달보다 더 짧은 작업 시간을 약속했었음에도 말이다. 그냥 비교를 한번 해보자면, 애플이 지난 해 9월 iOS 8을 공개했을 때, 모든 아이폰 사용자들은 iOS 8을 즉시 업데이트 할 수 있었고, 심지어 2011년에 나온 아이폰 4S에서도 iOS 8을 업데이트 할 수 있었다.
보안 전문가 Cem Paya는 이 문제를 구글이 안드로이드를 만들 때, 알면서도 한 결정이라고 말한다. Paya는 이를 악마의 거래(Faustian deal)라고 말한다: “안드로이드의 통제권을 양보하는 대신, 아이폰에게 시장 점유율을 뺏어온다.”
기본적으로 구글은 통신사들에게 안드로이드 폰에 블로트웨어를 설치할 수 있게 해주는 대가로 모바일 시장에서 애플과 싸울 수 있는 기회를 가진다는 것에 행복해했다. 대신 구글은 통신사와 제조사들에게 안드로이드의 통제권을 넘기고, 운영 체제의 업데이트를 한번에 할 수 없게 됐다.
어떤 통신사와 제조사들이 다른 곳들에 비해 더 낫기는 하지만, 업데이트를 하는 문제에서는 모든 통신사와 제조사가 아주 형편없다. 이보다 좋게 표현해주기는 힘들다.
보안 연구원인 Nicholas Weaver는 (지금은 지워진) 트윗에서 이렇게 썼다.
“윈도우 업데이트가 당신의 컴퓨터에 적용되기 전에 델과 인터넷 서비스 제공업체(ISP)들을 거쳐야만 한다고 상상해본 적이 있나요? 그 둘이 신경이나 쓸까요? 그런 걸 안드로이드라고 부릅니다.”
2013년 미국 자유 인권 협회는 연방 통상 위원회(FTC)에 주요 통신사들이 고객의 안드로이드 폰에 빠르게 보안 업데이트를 해주는데 실패함으로써 사용자를 해커와 사이버범죄에 노출시킨다고 소를 제출했다.
그때 이후로 조금 변한 게 있기는 하다. 구글은 이제 구글 플레이 서비스 덕분에 몇몇 업데이트에서는 좀 더 많은 통제력을 가지고 있다. OS와 별도인 API들은 백그라운드에서 자동으로 업데이트된다. 하지만 보안은 그리 많이 향상되지 않았다. 예를 들어 바로 몇 달 전만 해도, 구글은 구버전 OS를 쓰는 60%의 안드로이드 사용자들에게 영향을 끼치는 보안 취약점을 고쳐 주길 거부했다. (구버전 사용자들에게 있어서 그 버그는 고쳐지지 않았으며, 앞으로도 고쳐지지 않을 것이다.)
FTC에 소를 제기한 사람들 중 하나는 2년이 지난 지금, 안드로이드의 업데이트가 “여전히 형편없다”고 얘기한다.
이 문제에서 가장 최악의 부분을 얘기해보자. Drake는 실제로 Stagefright 버그의 일부에 대해서 4월 9일 처음 구글에게 알려줬다(그는 5월 초에 추가적인 내용을 보고했다). 기특하게도 구글은 빠르게 버그에 대응하고 제조사들에게 거의 즉각적으로 패치를 보냈다.
그럼 이제 다 괜찮은 걸까? 그렇지 않다. 그건 (전혀) 중요하지 않았다. 왜냐하면 앞서 말했다시피, 이제 실제로 사용자에게 패치가 적용되는건 통신사와 제조사에게 달렸기 때문이다.
Hey, they should recall Android phones too!
— Thomas Fox-Brewster (@iblametom) 2015년 7월 27일
한 번 더 강조하겠다: 패치는 준비가 됐다. 구글은 그 패치들을 몇 달 전에 승인했다. 하지만 당신의 폰이 얼마나 오래됐냐—매우 오래된 폰이라면 제조사들이 지원을 하지 않을 것이다—에 따라, 그리고 당신 폰의 제조사와 통신사가 업데이트에 있어서 얼마나 게으른가에 따라 당신은 앞으로 (운이 좋다면) 몇 주간, (아마 대부분은) 몇 달간 패치를 받지 못할 것이다. (매우 확실한 확률로) 완전히 패치를 받지 못할 수도 있다.
안드로이드의 열린 환경(open nature)을 생각하면, 업데이트를 하는 것은 수많은 “작동 부분”을 필요로 하는 “엉망이고, 예측할 수 없는 비즈니스”라고 Android Central은 표현한다.
이것이 안드로이드와 아이폰의 근본적인 차이점이다. iOS에 버그가 있을 때면, 애플은 버그를 패치하고 모든 아이폰 사용자에게 패치가 준비되자마자 업데이트를 제공한다. 다른 절차는 없다.
똑같은 일이 안드로이드에서 발생하는 경우, 일단 구글이 버그를 패치한다. 그리고… AT&T, 버라이즌, HTC, 소니가 신경을 써서 사용자들에게 업데이트를 해줘야 될 정도로 충분히 중요한 패치인지 판단을 하는데, 그게 언제인진 아무도 모른다. (비록 기특하게도, 그들이 신경을 쓰기 시작하기는 했다. OS를 업데이트해주는 것이 경쟁 이점으로 보인다는 것을 알게 된 게 가장 큰 이유다.) 심지어 구글이 모든 것을 통제하는 넥서스 폰조차도, Stagefright 패치를 아직 받지 못했다.
결론
그럼 만약 당신이 안드로이드 폰을 가지고 있다면 무엇을 해야 할까? 그건 당신한테 달렸다. 당신에게 어떤 선택을 하라고 내가 왈가왈부할 수는 없지만, 여기 선택지가 있다.
먼저 통신사와 제조사가 손을 댄 안드로이드를 폰에 유지하면서, 몇 주 늦게 보안 업데이트를 받거나, 아니면 그냥 보안 업데이트 없이 살 수 있다. (만약 당신이 넥서스 폰을 가지고 있다면 좀 더 낫겠지만, 구글이 앞으로 계속 넥서스 폰을 유지할지 아닌지 누가 알겠는가.)
혹은 폰을 루팅한 후, 좀 더 빠르게 업데이트되는 안드로이드 기반의 훌륭한 운영체제인 CyanogenMod를 폰에 설치할 수도 있다. 이는 좋은 대안이지만, CyanogenMod를 설치하는 게 손쉬운 일은 아니다. 그리고 어떤 폰에서는 업데이트를 받으려면, 마음 좋은 능력자의 선의에 의존해야 한다. 그래서 다시 한 번 말하지만, 당신이 원하는 대로 바로 업데이트를 받지 못할 수도 있다.
혹은 마지막으로, 그냥 포기해버리고 애플로 갈아탄 후 아이폰을 구입할 수도 있다.
내 스스로가 나를 싫어하게 되겠지만, 나는 마지막 옵션을 선택할 것이다.