삼성의 안드로이드 커널 수정과 보안, 그리고...

현재 삼성의 스마트폰은 안드로이드라는 오픈소스 운영체제(OS) 체제에서 동작합니다. 삼성은 성능과 차별점을 만들어내기 위해서 당연히 이 안드로이드를 수정해서 사용할 것입니다. 그리고 수정 대상에는 운영체제의 핵심인 커널(Kernel)도 해당되리라고 생각됩니다. 그런데 최근 구글이 삼성의 커널 수정을 비판하는 글을 게시했습니다.

우선 이 사안은 국내 언론에도 아래와 같은 기사로도 알려졌습니다.

구글 "삼성, 안드로이드 소스코드 함부로 수정 마라" (ZDNet)

이 기사는 아래와 같은 인용으로 시작됩니다.

구글 보안 전문가 조직 '프로젝트 제로'가 스마트폰 제조사들이 안드로이드 운영체제(OS)에서 리눅스 코드를 임의로 수정하는 관행 때문에 보안 위협이 발생한다고 경고했다.

기사 내용은 PROCA 즉 Process Authenticator라는 삼성의 고유 서브 시스템에 대한 것인데 사실 기술적인 부분에서의 해석이 일반인들 대상이라 좀 부족하다고 생각되네요. 그래서 구글이 직접 게시한 글을 찾게 되었습니다. 바로 아래 글입니다.

Mitigations are attack surface, too - Posted by Jann Horn, Project Zero

PROCA는 삼성의 A50에 탑재된 특수한 서브 시스템으로 프로세스 아이덴티티(Identity) 추적 용도로 제작되었습니다. 여기서 추적한 내용이 실제와 다른 경우가 발생할 수 있는데 이 이유가 삼성이 수정한 커널의 함수의 오작동에서 기인했다는 글입니다.

안드로이드 커널은 리눅스 커널을 기반해서 개발되었습니다. 이 커널은 오픈소스로 많은 사람들이 개발되고 빠르게 보안 이슈가 수정되고 있습니다. 이걸 외부 세력(?)에서 수정하는 것은 보안 문제를 야기시킬 가능성이 없지는 않습니다. 그걸 검증한 인력 또한 상대적으로 적으니까요.

물론 위의 축약은 제가 읽고 이해한 일부분의 내용 만으로 정리한 것으로 명확하지는 않습니다. 좀 더 자세한 내용이나 상세한 기술적 이슈는 원글을 읽어보시기를 추천드립니다.

 

하고 싶은 말?

구글이 비판하는 것과 비슷하게, 왜 삼성이 굳이 이런 서브시스템을 만들어 넣었는지 개인적으로도 의문이 듭니다. 이미 안드로이드는 오랜 시간 비바람을 견디며 구축한 충분하고도 넘치는 보안 체계를 갖추고 있습니다. 이런 상황에서 굳이 삼성만의 자체적인 보안 시스템을 넣었네요. 마치 공인인증이라는 자체 인증 시스템을 억지로 만들고 유지하려 하는 이상한 대한민국의 그림자와 살짝 닮은 것 같기도 하네요.

정말 왜 그랬을까요? 혹시 구글과 결별할 가능성을 염두에 두고 있는 것일까요?

그나저나 이번 구글이 보안 문제를 경고해 준 것을 고마워 해야 하는 것은 맞겠지만, 구글의 독점화 현상이 나날이 높아지는 상황 또한 경계해야 하는 게 아닌가 하는 생각 또한 나날이 많아지고 있습니다. 안드로이드는 오픈소스지만 사실상 구글의 사유물이라고도 생각될 정도니깐요.

그리고 안드로이드의 인증을 받지 않은 일부 중국 스마트폰은 과연 어떤 상황일까요? 뭐 사실상 지켜보는 이 없이 마음대로 주무르고 있을 게 뻔할 테니 그렇다면 보안 문제도 심할까요? 물론 이런 보안 문제를 걸기 전에 먼저 중국 정부의 감청과 규제를 문제 삼는 게 마땅하겠지만요.

그냥 이 소리가 하고 싶어서 이 글을 쓰게 된 것 같습니다.🤪