이미지 확대보기
취약성은 대상이 칩에 의해 렌더링된 비디오나 기타 콘텐츠를 다운로드할 때 악용될 수 있다. 대상도 권한이 전혀 필요 없는 악성 앱을 설치해 공격을 받을 수 있는 것이다. 이 경우 데이터 유출을 피할 수 없다.
스냅드래곤은 CPU와 그래픽 프로세서와 같은 많은 구성 요소를 제공하는 통합 칩이다. 스냅드래곤 내부의 디지털신호처리(DSP) 기능은 충전 능력과 비디오, 오디오, 증강현실, 그리고 다른 멀티미디어 기능을 포함한 다양한 작업을 콘트롤한다. 전화기 제조업체들은 또한 DSP를 사용해 맞춤형 기능을 가능하게 하는 전용 앱을 실행할 수 있다. 과거에는 DSP 칩이 별도 제작돼 기기에 장착됐었다.
보안 회사 체크포인트의 개발자들은 취약성에 대한 보고서에서 "DSP 칩은 최종 사용자에게 더 많은 기능을 제공하고 혁신적인 기능을 가능하게 하는 비교적 경제적인 솔루션을 제공하지만 비용이 수반된다"고 썼다. 보고서는 또 "DSP 칩은 '블랙박스'로 관리되고 있어 위험에 더 취약하다“고 지적했다.
퀄컴은 결함에 대한 수정안을 내놨지만 현재까지 스냅드래곤을 사용하는 안드로이드 기기나 운영체제에도 통합되지 않았다. 언제 퀄컴 패치를 추가할 것인지를 구글에게 묻자 회사 측은 퀄컴에 확인해 보라고 했다. 퀄컴은 물음에 응답하지 않았다.
체크포인트는 수정 사항이 최종 사용자 기기에 적용될 때까지 취약성 및 취약성 활용 방법에 대한 기술 세부 정보를 보류하고 있다. 체크포인트는 이 취약성을 ‘아킬레스’라고 명명했다.
퀄컴 관계자는 "체크포인트가 공개한 퀄컴 컴퓨팅 DSP 취약점에 대해 OEM 업체들과 검증하고 적절한 해결책을 제공하기 위해 노력했다"면서 "현재 이 약점이 악용되고 있다는 증거는 없다"고 밝혔다. 관계자는 최종 사용자가 패치를 사용할 수 있게 되면 기기를 업데이트하고 구글 플레이 스토어 등 신뢰할 수 있는 위치에서 애플리케이션을 설치하도록 권장한다고 부연했다.
이러한 악용으로부터 자신을 보호하기 위해 도움이 되는 지침은 별로 없다. 플레이에서 앱을 다운받는 것은 도움이 되지만 구글의 앱 조사 기록은 제한적이다. 또한 부비트랩 멀티미디어 콘텐츠를 효과적으로 식별할 수 있는 방법도 없다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
![[현장] AI컴퓨팅 전력소비 줄이기에 '사활'](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=184&h=118&m=1&simg=2024041917582903842edf69f862c1182354136.jpg)
