삼성전자는 12일 녹스 공식 블로그를 통해 "이스라엘 벤구리온 대학의 연구 결과는 정당한 안드로이드 네트워크 기능이 의도하지 않은 방법으로 사용될 경우 모바일 기기와 응용프로그램 사이의 암호화하지 않은 네트워크 연결을 가로챌 수 있다는 것"이라며 "이는 안드로이드 운영체제(OS)나 녹스의 결함을 지적한 것이 아니다"고 밝혔다.
이에 앞서 벤구리온 대학 사이버보안 연구소는 지난달 갤럭시S4 등에 탑재된 녹스에서 사용자 데이터를 외부인이 쉽게 가로챌 수 있는 취약점이 확인됐다고 발표한 바 있다.
벤구리온 대학의 연구진이 시험한 모의공격은 이른바 '중간자 공격(Man in the Middle attack)'이라고 불리는 공격기법이다. 이는 통신을 연결한 두 대상 사이에 중간자가 침입해 둘이 서로 대화하는 내용을 훔쳐보는 방식이다.
연구진은 이 중간자 공격이 이용자가 직접 설치한 앱에서도 이뤄질 수 있다는 점을 지적했다.
이에 대해 삼성전자는 "해당 연구 결과는 앱 데이터를 인터넷에 전송하기 전에 반드시 암호화해야 한다는 중요성을 재확인한 것일 뿐"이라며 실제로 안드로이드나 녹스의 취약점을 밝힌 것은 아니라고 강조했다.
이와 함께 삼성전자는 안드로이드 OS 차원에서 'SSL/TLS'나 '붙박이 가상사설망(built-in VPN)' 등 보안 솔루션을 이용할 수 있도록 지원하고 있다고 설명했다.
녹스 차원에서도 중간자 공격에 대한 추가 보호 장치가 제공된다. 녹스는 미국 국립표준기술연구소(NIST)가 인정하는 FIPS 140-2 암호화 알고리즘을 사용하고 있다.
이 사안을 최초 보도했던 미국 월스트리트저널 기사에서 패트릭 트레이너 조지아텍 교수는 "녹스에서 제공하는 장치를 적절히 설정하면 앞서 언급한 이슈를 해결할 수 있을 것으로 보인다"며 "삼성전자는 보안 문제를 막기 위해 모든 사용자에게 이런 보호장치를 강력히 권장할 필요가 있다"고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
