최근 Google社가 보안전문가들로부터 자체 안드로이드 운영체제 및 플랫폼에서 나타난 보안취약점으로 인해 사용자들이 랜섬웨어에 노출될 수 있을 가능성을 제기했지만, 이를 대비할 수 있는 대응책을 마련하지 못했다는 이유로 비난을 받은 일이 발생하여 관련 내용을 상세히 조사해보기로 한다.

상기 보안결점은 Check Point Software社가 지난 5월9일 발표한 보고서에 언급되어있으며, 안드로이드 마시멜로우 운영체제 버전에 나타난 보안취약성인 것으로 나타났다. 해당 운영체제 버전은 지난 2015년 10월 경 배포되었으며, 보안취약점은 사이버공격자가 사용자에게 어떠한 접근사실을 알리지 않고 사용자의 기기를 통해 어플리케이션을 표시할 수 있게 만드는 것으로 나타났다. 이들의 주장에 의하면 안드로이드형 랜섬웨어의 약 75퍼센트 가량과 금융권 대상의 말웨어들의 약 14퍼센트 가량이 현재 이 보안결점을 악용하고 있다고 주장하고 있는 것으로 나타났다.
[출처: http://blog.checkpoint.com/2017/05/09/android-permission-security-flaw]

하지만 보다 우려되는 사안은 Google社가 해당 보안결점에 대한 패치작업을 거부하고 있으며, 올해 가을에 발표될 신규 안드로이드 버전을 통해 해당 보안결점에 대한 패치를 단행할 것이라는 입장을 표명하고 있는 것으로 나타났다. 이는 다른 안드로이드 운영체제 버전에서도 보안 관련 패치를 만들지 않을 것이라고 예상해볼 수 있는 대목이라 하겠다.

지난 5월 초부터 전 세계 수십만 대의 컴퓨터를 감염시킨 '워너크라이 랜섬웨어'가 발빠르게 확산된 이후 보안전문가들은 앞다투어 Google社를 비판하기 시작하였는데, 이는 전 ㄴ세계 약 10억개 기기 이상에서 활용되고 있는 모바일 플랫폼을 안전하게 보호하지 못했다는 점에 기인해서라 볼 수 있겠다. 새로이 발견된 이번 위험한 보안결점에 대해 보안전문가들은 실제로 매우 악성 보안취약점이라 볼 수 있겠으며, 광범위한 안드로이드 기반의 디지털 기기들에 설치될 수 있는 말웨어의 시작을 알리는 것과 같다고 보고 있는 것으로 나타났다.

Google社의 이러한 행보는 많은 보안전문가들로부터 비난의 대상이 되고 있는 상황이다. 일례로 Microsoft社의 경우는 판매가 중단된 윈도우즈 XP 버전에 대해서도 약 13년 이상의 확장된 서비스 지원을 시행하였으며, 인기를 끌지 못한 윈도우 비스타 운영체제에 대해서도 약 11년의 서비스 지원을 하고 있는 점과 대비해볼 때, 불과 4년 전에 출시된 안드로이드 4.4 버전 조차도 지원이 이루어지지 않고 있기 때문이다.

정책적인 문제 뿐 아니라 안드로이드의 생태계와 관련된 개발환경의 특성을 비롯해 최종사용자에 대한 업데이트나 패치를 제공하는 기반설비의 부적합성이 복합적인 악재로 작용한 것으로 보인다. 물론 안드로이드 기반의 기기들인 Nexus, Pixel, BlackBerry와 같은 안드로이드 기기들은 정기적인 업데이트를 받을 수 있는 것으로 나타나 전체 안드로이드 사용자가 아닌 일부 사용자들만 보안취약성에 대한 업데이트를 제공받을 수 있는 한계점도 드러나게 된 것으로 보인다.

결국 안드로이드 운영체제를 둘러싼 업데이트 기반설비가 복잡하게 얽혀있어 다수의 안드로이드 사용자들은 보안패치가 발표된 이후에도 간편하게 이를 이용할 수 없는 한계를 지니고 있는 것으로 나타나 스스로를 보호하기 위한 자체적인 조치를 사용자 스스로가 취해야 할 상황에 놓여있게 된 것으로 보인다.