국내 1호로 정식출시된 안드로이드폰인 모토로이가 얼마전까지 엄청난 가격의 공짜폰으로 풀리다가,
최근 드로이드X의 루팅과 함께 같은 방식으로 루팅이 되자 다시 판매고가 늘었지요.
전처럼 짧은 약정과 공짜 할부금 만큼의 이점은 없지만, 루팅이 되고 프로요가 약속된 만큼 모토로이의 수명도 좀 더 늘어나지 않을까합니다.
루팅 후 1Ghz로 오버클락된 모토로이
루팅을 하시는 분들 중에는 리눅스 시스템에 지식이 있는 분도 계시겠지만 전혀 없는채로,
루팅을 하면 오버클락도 할 수 있고, 게임도 다운로드 받을 수 있다더라~ 하는 말에 너도 나도 루팅을 시도해보는 경우도 종종 보입니다.
하지만, 루팅이 적법/위법의 여부를 벗어나 기본적으로 제공되는 소프트웨어에 임의로 변경을 가한 것이니 만큼,
워런티를 받을 수 없다는 문제가 있습니다. 사용자가 책임을 지고 가야할 부분이지요.
루팅된 안드로이드폰에서는 보안문제가 발생할 수 있다
하지만, 정말이 보안문제가 언론이나 보안전문 업체가 말하는 것만큼 심각하냐는데는 의문이 있습니다.
왜냐하면 안드로이드 시스템은 기존의 보안문제가 심심찮게 터지던 윈도우즈가 아닌 리눅스 기반의 운영체제이기 때문이지요.
리눅스 운영체제의 모든 정보 - 가 담긴 파일은 크게 관리자(Root), 사용자(Owner), 일반(Public)으로 구분되어 있으며
각각 읽기, 쓰기, 실행 권한이 지정됩니다.
특히, 관리자권한인 Root의 경우 항상 Root권한으로 접속하는게 아니라,
Root 권한이 필요할 때마다 권한을 발급해주는 식 입니다. 리눅스의 su 명령이 그것이지요.
관리자 권한을 요청하는 어플리케이션
루팅된 안드로이드 역시, 특정 어플리케이션이 관리자 권한을 요구하는 경우 SU가 실행되며,
이 때 사용자는 권한을 줄것인지 말 것인지를 결정할 수 있습니다.
마찬가지 이유로 관리자 권한이 주어진 어플리케이션 목록을 확인할 수 있고요.
설령 루팅된 안드로이드폰이라고 할지라도 사용자가 의도적으로 권한을 허가하지 않는 이상
- 스파이웨어, 트로이목마, 데이터요금 폭탄 등 - 악성 어플리케이션이 루트권한을 가질 수는 없습니다.
물론, 이러한 어플리케이션들이 루트권한이 없이도 정보유출 등을 할 수도 있겠지만,
이러한 부분은 루팅과는 관계없는 악성 어플리케이션의 문제이지요.
관리자 권한을 가진 어플리케이션 목록
물론 현재 문제되고 있는 보안문제는 악성 어플리케이션이 마치 유용한 어플리케이션인양 행세하며,
백그라운드로 사용자 정보를 유출하는 프로세스를 동작하는데 문제가 있습니다.
이러한 문제는 안드로이드의 발전에 큰 장애임이 분명하지만, 루팅 자체와는 큰 관계가 없는 부분이지요.
루팅은 그저, 사용자에게 관리자의 권한을 주는 것에 불과하며, 그 이후로 사용자의 행동에 따라 보안위협이 달려있다고 봅니다.
결국 사용자가 스마트해져야 한단 말이지요. 스마트해져야 한다고 리눅스 OS를 해박하게 이해하라는 것이 아니라,
검증된 어플리케이션을 사용하며, 기기에 무리를 줄 수 있는 위험한 명령을 실행하지 않아야 하는 정도의 스마트함 말이지요.
이야기가 겉돌긴 했습니다만, 루팅 그 자체가 심각한 보안위협을 초래하진 않는다고 생각합니다.
다만, 사용자가 루팅권한을 가진 만큼 더 높은 수준의 명령을 접근할 수 있으며
- 사용자의 허가 여부에 따라 악성 프로그램 역시 접근 가능하다는게 문제이지요.
7월22일자로 Birdman에 의한 안드로이드의 플럭앤플레이 오류를 이용한 트로이 목마 방식의 루트 해킹 방식은 새롭고 간단한 루팅의 길을 열었지만 한편으로는 안드로이드폰의 보안에도 큰 구멍이 생겼다는 점이 간과되는 듯 합니다.미국에서 22일에 뚫린 루팅이 한국까지 하루-내지 이틀만에 열풍이 일 정도니 인터넷 시대의 정보력은 대단합니다.이 방식을 이용한 앱은 만들기도 어렵지 않아 루트 권한을 이용한 사용자 정보를 쉽게 빼내갈 수가 있습니다. 루팅이 된 폰의 경우 매우 쉽게 공격을 받을 수 있습니다. 간단한 앱으로 폰이 벽돌로 될 수 있습니다. 문제는 루팅을 하진 않은 사람의 폰도 이 방식을 사용하면 쉽게 루트 권한을 가질 수 있고, 공격의 대상이 될 수 있다는 것 입니다. 구글에서 빠른 패치가 나오지 않으면 보안에 심각한 문제가 될 것이고 안드로이드 열풍에 찬물을 끼얹는 효과가 될 듯 합니다. 당분간 인터넷 뱅킹 등 보안 솔류션이 미비된 상태의 앱 실행은 자제하여야 하겠습니다.아울러 마켓등이 아닌 곳에서 받은 앱은 사용에 신중을 기하여야 할 것 같습니다.우리은행의 V3나 삼성카드의 Droid X avs 등도 아직 루팅 트로이목마를 검출못하는 것으로 보아 보안 솔류션은 아직 믿을 것이 못되는 같습니다.특히 gmail의 패스워드는 쉽게 해킹되어 해커에게 노출될 가능성이 높아 졌습니다. 구글 메일에는 개인의 주요 신상 정보, 은행 구좌 등의 정보등은 넣지 마시길 바랍니다.모토로이가 그 동안 루팅이 되지 않았다는 것은 비교적 안전한 폰이었다는 것이었는데 이제 안전은 물 건너간 것 같습니다.
더구나 모토롤라가 자랑하던 droid X 의 새로운 보안대책인 eFuse를 간단하게 무력화시킨 이 방법은 Steven Bird 라는 핵커가 Droid X가 출시된지 1주일도 안되서 성공한 새로운 방법이라 충격도 매우 큽니다. 모토롤라의 eFuse는 뻥이었다는 소리까지 나오는군요. eFuse란 만일 해커가 부터로더나 롬을 손을 대면 하드웨어적으로 퓨즈를 넣어 폰을 벽돌로 만드는 방어책으로 기존의 커스텀롬을 사용한 해킹에는 강력한 무기가 될 수 있지만 새로운 본 방법에는 속수 무책으로 루터 권한을 빼앗긴 것이었습니다.
제가 보는 보안 문제는 개개인의 역량에 달려있다고 봅니다.
아무리 강조하고 알려주고 가르쳐 주고 백신 설치해 주고 자동업데이트 되도록 해 봐야~
그렇게 ActiveX는 정말로 100% 신뢰하며 절대로 이곳은 날 배신할 곳이 아니라는 확신이 서는곳이거나
정말 죽었다 깨도 사용해야 하는 인터넷 뱅킹 말고는 설치하지 말라고 누누이 말했거늘........
하루가 멀다하고 각종 악성코드에 악성코드 허위진단 어플까지 설치해서 이거 결재해야 하냐고 물어봅니다.
사실 컴퓨터 사용하시는 대부분의 남녀노소는 보안의 중요성을 알지도 알고싶어 하지도 않습니다.
단지 컴이 느려지고 문제가 생기니 그때서야 돈아까워 하며 컴119 같은곳을 부르기도 하지요
백신하나 없는 제 컴이 왜 바이러스며 악성코드 안걸릴까요.....
가끔 걸리긴 합니다....
바로 C: 밀어버립니다.
데이터는 C: 에 없기 때문이죠...
그만큼 어떠한 경로로 바이러스며 악성코드가 전달되는지를 100%는 아니지만 상식적인 수준에서 알고 있다는 겁니다.
이 상식이라는 수준이 참... 우리에겐 상식이지만 일반인에겐 지식이니......
아무튼 안드로이드고 아이폰이고 WM이고 간에 바이러스며 악성코드가 걸리는건 그건 사용자의 문제인겁니다.
지아무리 보안 잘 해놔도 뚫을놈은 뚫습니다. 아니 사용자가 보안을 열어 줍니다.
트로이 목마가 무엇인지는 아실겁니다.
보안은 사용자가 보안에 대한 지식이 없으면 뚫리는 겁니다.
보안 어플로 되는게 아닌거죠...
보안 어플은 알려진 바이러스나 해킹 어플이나 악성코드를 잡아줄뿐... 새로운것에는 대책이 없다는거죠...
길게 썼지만 즉! 루팅과는 큰 영향이 없다는 겁니다.
리눅스를 사용해 보셔서 아시겠지만
터미널로 접속할때 root 계정 바로 접속되게 해 놓나요?
거의 대부분 su 명령으로 root 권한 가져오죠...
하루에 바이러스 및 악성코드를 수 백개씩 잡아줘야 하는 친구가 사용하는 스맛폰에 왜 바이러스가 없을까요?
간단합니다. 공격할 OS가 다른데 될리 없죠
두서가 없이 썼네요
아무튼 루팅과 보안문제는 돈육님의 말씀처럼 사용자의 과실로 일어나는거지 루팅 했다고 보안이 허술해 지는건 아니라고 보는 겁니다.
예를 들어 대문을 닫아놨는데 초인종을 눌러서 택배입니다. 라고 말하니까 그냥 문 열어 주는거와
인터폰의 화상을 보고 아 늘 오시는 택배기사님 맞는지 확인하고 문 열어주는거 차이라고나 할까요?
우리아이에겐 택배고 택배 할아버지가 와도 초인종 누르든지 말던지 열어주지 말라고 했습니다.
아 너무 길다 ^^ 마칠께요
왠 바이러스가 있다고 백신이 나오는지 이해가 안갑니다.
악성코드도 마찬가집니다.
인터넷에서 유료 프로그램 해킹해서 나온것에 악의적으로 심어진 코드는 보고 사례가 있더군요.
불법으로 다운 받거나 출처가 불분명한것은 설치 하지 않으면 됩니다.
그리고 설치시에 해당 어플의 권한이 명시되죠.
마켓에는 사용자들의 피드백으로 그런 악성 프로그램은 발딛기 어렵습니다.
(사실 조금더 강력한 정책이 필요하다고 봅니다만..)
이런 마당에 무슨 악성코드 치료나 백신이 필요한지 이해가 안갑니다.
얼마전 찌라시 뉴스에 나온 윈도우즈용 바이러스가 sd에 옮겨진거 보고 바이러스 있다고 하시는 분들이 많더군요.
안드로이드 바이러스 백신이 필요한게 맞습니까?