삼성 갤럭시 S10, 국제 해킹대회서 보안 2차례 뚫려
상태바
삼성 갤럭시 S10, 국제 해킹대회서 보안 2차례 뚫려
  • 최형주 기자
  • 승인 2019.11.11 16:11
  • 댓글 0
이 기사를 공유합니다

한 팀에게만 2차례 해킹, 지문인식 관련 해킹 기법은 쓰이지도 않아

[CCTV뉴스=최형주 기자] 삼성전자의 스마트폰 갤럭시S10이 지난 6일부터 7일 양일간 도쿄에서 개최된 해킹 대회 ‘PWN2OWN TOKYO 2019’를 통해 2차례 해킹 당했다.

지난 2010년부터 개최된 PWN2OWN 해킹 대회는 전 세계 해커들이 모여 각종 프로그램과 디바이스의 취약점을 찾고, 해킹에 성공할 경우 상금을 받는 대회다.

올해 이 대회에 참가한 해커들은 다양한 제품에서 18개의 버그를 발견해 총 31만 5천 달러(약 3억 6천만 원)의 상금을 가져갔다.

플루오로아세테이트 팀이 우승컵을 들어올리고 있다(사진: zerodayinitiative.com)

갤럭시 S10 해킹에 성공한 팀은 올해 대회에서 우승하고 폰 마스터(Pwn Master) 컵을 들어올린 리차드 쥬(Richard Zhu)와 아맷 카마(Amat Cama)의 플루오로아세테이트(Fluoroacetate, 이하 플루오로) 듀오다.

플루오로는 6일 S10을 해킹하기 위해 자바스크립트(JavaScript)의 저스트인타임(Just-In-Time) 컴파일러 버그를 사용한 후, UAF(Use After Free, 사용 후 취약점이 발생하는 버그) 메모리 손상 취약점을 통해 S10의 샌드박스를 우회했다. 이후 플루오로는 NFC 구성 요소 취약점을 악용해 스마트폰에 저장된 사진들을 해킹했고, 3만 달러(약 3500만 원)의 상금을 획득했다.

이들은 대회 이틀째인 7일에도 S10 해킹에 성공했다. 이날은 S10이 연결된 불량 기지국과 스택 오버플로(Stack Overflow)라는 취약점을 이용, 악성파일을 S10에 설치하는 방법으로 또 다시 S10 해킹에 성공해 5만 달러(약 5800만 원)를 획득했다.

 

갤럭시S10 소개페이지(자료: 삼성전자 홈페이지 캡쳐)

최근 삼성전자의 갤럭시 S10은 초음파 지문인식의 취약점으로 몸살을 앓았다. 지문인식과 관련된 소프트웨어 패치 이후 추가적인 인증 오류 사례가 보고되지는 않았지만, 이번 대회를 통해 갤럭시 S10은 한 팀에게만 2차례나 해킹 당하는 수모를 겪으며 다시 한 번 취약한 보안성을 드러내 우려를 자아내고 있다.

한편 대회를 통해 해커들은 ▲샤오미 미9(Xiaomi Mi9)에서 3회 ▲티비링크 AC1750 와이파이 라우터(TP-Link AC1750 Smart WiFi Router)에서 3회 ▲넷기어 나이트호크 WiFi 라우터 R6700(NETGEAR Nighthawk Smart WiFi Router - R6700)에서는 2회 ▲삼성 갤럭시 S10에서 2회 ▲삼성 Q60 TV에서 1회 ▲소니 X800G TV에서 1회 ▲아마존 에코 쇼5(Amazon Echo Show 5)에서는 1회 취약점을 발견했다. 발견된 취약점들은 곧바로 각 기업에 전달돼 보완 조치될 예정이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.