[더구루=오소영 기자] 구글이 삼성전자의 애플리케이션 프로세서(AP) '엑시노스'를 탑재한 갤럭시 스마트폰과 워치의 보안 우려를 경고했다. 보안 취약점이 알려지기 전에 공격이 발생했다고 분석했다. 삼성은 문제를 인지한 후 소프트웨어(SW) 업데이트를 조치했다.
25일 업계에 따르면 구글 위협분석그룹(TAG)은 삼성 엑시노스 칩의 보안 취약점을 기술한 보고서를 발표했다.
TAG는 메모리 관리와 관련된 UAF(Use-After-Free) 문제를 지적했다. 프로그램이 작업을 위해 메모리 공간을 빌린 후 작업이 끝나면 메모리를 해제(Free)하게 된다. UAF는 해제 후 다시 메모리를 사용하려 할 때 발생한다. 해제된 메모리에 악성코드를 넣고 시스템을 공격할 수 있다.
TAG는 취약점의 심각성을 평가하는 공통 취약점 등급 시스템(CVSS)에서 고위험으로 분류되는 8.1을 매겼다. 이번 조사에 해당하는 칩으로 △엑시노스 9820 △9825 △980 △990 △850 △W920을 거론했다. 해당 칩은 삼성전자 갤럭시 S10·S20 시리즈와 노트10·10+, A51·A71 5G 에 쓰였다. 엑시노스 W920은 갤럭시 워치에 탑재됐다.
TAG는 취약점이 알려지기 전에 공격이 발생했다고 지적했다. 문제점을 발견하자마자 삼성에 즉각 보고했다고 밝혔다.
삼성전자는 보고를 받은 후 문제 해결을 위해 사용자들에 보안 패치를 제공했다. 소프트웨어 업데이트를 통해 보안을 강화할 수 있도록 해 TAG의 우려를 해소했다.
