구글, 안드로이드 무선랜 보안구멍 메워

2017년 10월 발표된 Wi-Fi 버그 '크랙(KRACK)' 대응 패치

컴퓨팅입력 :2017/11/08 09:51

구글이 안드로이드 무선랜 기능에 내재한 보안 버그 '크랙(KRACK)'을 해결한 패치를 곧 내놓기로 했다.

미국 지디넷은 7일(현지시간) 구글이 KRACK 버그를 비롯한 보안취약점을 해결한 패치를 내놨다고 보도했다. [☞원문보기]

KRACK 버그는 무선인터넷 사용시 통신 내용을 보호하기 위한 와이파이(Wi-Fi) 암호화 표준 'WPA2' 프로토콜에서 발견됐다. 키 재설치 공격(Key Reinstallation Attack) 줄임말이다. 키 재설치 공격이 성공하면, WPA2 프로토콜을 쓰는 모든 모바일 기기와 통신장비로 오가는 내용을 제3자에게 도청당할 수 있다는 경고가 지난달 나왔다. [☞관련기사]

구글이 무선인터넷에 널리쓰이는 WPA2 보안프로토콜의 취약점을 노리는 '키 재설치 공격(KRACK)' 버그를 해결한 안드로이드용 보안패치를 만들었다고 공지했다. [사진=Pixabay]

당시 버그를 발견한 보안전문가 매씨 반호프는 버그가 공격자에게 기기 사용자의 무선 인터넷 통신내용 도청뿐아니라 트래픽 복호화, 연결 가로채기, 중간자공격까지 허용할 수 있다고 지적했다. 그는 이 버그가 안드로이드6.0과 이후 버전 운영체제(OS)를 구동하는 기기 보안을 특히 취약하게 만들 수 있다고 덧붙였다.

구글은 지난 6일 '안드로이드 시큐리티 불레틴' 공지를 통해 3가지 보안패치레벨 내용을 소개했다. 각각은 정기보안패치(2017-11-01), 퀄컴칩버그패치(2017-11-05), KRACK버그패치(2017-11-06)에 해당했다. [☞원문보기]

구글은 또 "안드로이드 오픈소스 프로젝트(AOSP) 저장소에도 이 문제에 대응하는 소스코드 패치가 48시간 안에 배포될 것"이라며 "(패치가) 적용되면 이 게시판에 AOSP 링크를 추가하겠다"고 공지했다.

날짜가 빠른 2가지 패치는 배포된 상태지만 아직 KRACK버그패치는 배포되지 않고 있다. 구글 픽셀, 넥서스, 안드로이드원, 구글플레이에디션 등 기기의 사용자는 무선업데이트(OTA) 방식으로 이를 적용받을 수 있을 전망이다.

구글이 KRACK패치를 정상 배포하더라도 삼성, LG 등 다른 OEM 파트너의 안드로이드 기기를 쓰는 사용자는 해당 제조사가 직접 제공하는 패치를 적용해야 한다. 플래그십 모델로 출시된 기기였다면 제조사의 대응에 따라 빠르게 패치를 제공받을 수 있지만, 출시된 후 1년 이상 지났거나 중저가 기기라면 더 이상 소프트웨어 업데이트를 제공받지 못할 수도 있다.

구글 설명에 따르면 KRACK 패치는 안드로이드8.0 오레오 버전부터 안드로이드5.0.2 롤리팝 버전까지 현시점에서 과거 3년간 출시된 안드로이드에 대응한다.

관련기사

IT미디어 아스테크니카는 8일자 보도로 관련 소식을 전하면서 "안드로이드5.0 기기까지 실제로 패치를 하려는 OEM 제조사가 있을지 확신이 서지 않지만 구글이 신경쓰는 점은 잘한 일"이라고 평했다. [☞원문보기]

애플도 이달초 iOS 기반 모바일 기기의 KRACK 버그를 해결한 패치를 정식 배포한 바 있다. [☞관련기사]