안드로이드 9, 10, 11, 12 기기를 손상시킬 수 있는 CVE-2022-22292로 추적되는 보안 취약점이 발견됐다. 이 CVE-2022-22292 취약점은 심각한 문제로 평가돼 2021년 11월 27일 삼성에 보고됐고, 삼성은 지난 2월 SMR(보안 유지 관리 릴리스) 프로세스 내에서 이 취약점에 대한 보안 패치를 실행했다. 

이번 취약점을 발견한 사이버 보안 기업 Kryptowire 연구원에 따르면, 취약점은 삼성의 시스템 권한으로 실행이 가능한 모바일 앱 내부에 있었다. 연구원은 해당 앱 내에 사용자의 승인 없이 누군가 권한 있는 작업을 수행할 수 있게 하는 요소가 있다고 경고했다.

Kryptowire 연구원은 “취약점은 공격자에게 ▲모든 사용자 데이터 삭제 ▲전화 걸기 ▲앱 설치·제거 ▲임의의 루트 인증서 설치 ▲HTTPS 보안 해제 등의 기능을 허용하게 할 수 있다”라고 설명했다. 

Alex Lisle Kryptowire CTO는 “삼성의 모바일 앱은 주요 해킹에 노출돼 있다. 해커들에게 점점 더 매력적인 표적이 되고 있어 앞으로 주기적인 주의와 보안 패치가 필요하다"라고 강조했다.

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.

곽중희 기자 다른기사 보기