픽셀폰 '해킹 취약' 결함…구글 "SW 업데이트 통해 수정"

구글이 픽셀9 시리즈와 픽셀워치3 등 신제품을 최근 공개한 가운데 구글 픽셀폰에 해킹에 사용될 수 있는 소프트웨어가 포함되어 있다는 소식이 나왔다. 미국 사이버 보안 업체 아이베리파이(iVerify)는 2017년 9월 이후 출시된 대부분의 구글 픽셀폰에 스마트폰을 감시하거나 원격 제어할 수 있는 소프트웨어가 포함돼 있다고 밝혔다고 더버지 등 외신들이 보도했다. 아이베리파이는 회사의 엔드포인트 탐지 및 대응(EDR) 기술을 사용해 올해 초 팔란티어 테크놀로지스(Palantir Technologies)의 안전하지 않은 안드로이드 기기를 발견했는데 이 과정에서 구글 픽셀폰의 결함이 드러났다. 아이베리파이는 스미스 마이크로(Smith Micoro)가 개발한 '쇼케이스.apk'라는 이름의 안드로이드 패키지를 펌웨어에서 발견했다. 해당 패키지 코드는 휴대폰을 데모 기기로 전환하기 위한 것으로, 오프라인 매장에서 휴대폰을 디스플레이로 사용하기 위해 만들어진 것이다. 문제는 이 패키지에 원격 코드 실행이나 원격 패키지 설치 기능 등 불필요한 시스템 권한 기능이 포함되어 있다는 점이다. 아이베리파이 측은 "앱 취약성으로 인해 수백만 대의 안드로이드 기기가 중간자 공격에 취약해져 사이버 범죄자들이 악성 코드와 위험한 스파이웨어를 주입할 수 있게 됐다"며, “사이버 범죄자들은 앱 인프라의 취약성을 이용해 안드로이드 기기에서 시스템 권한으로 코드나 셸 명령을 실행하여 기기를 장악하고 사이버 범죄와 침해를 저지를 수 있다"고 밝혔다. 에드 페르난데스(Ed Fernandez) 구글 대변인은 워싱턴포스트에 “다가오는 픽셀 소프트웨어 업데이트를 통해 지원되는 모든 픽셀 기기에서 해당 문제를 수정할 것”이라고 밝혔다.