삼성전자가 스마트폰 보안 솔루션 녹스(KNOX)에서 보안 취약점을 발견했다는 이스라엘 벤구리온 대학 사이버보안 연구소의 연구 결과를 삼성전자가 공식적으로 반박했다.
삼성전자는 12일 녹스 공식 블로그에 게시한 공식 답변을 통해 "벤구리온 대학의 연구 결과는 정당한 안드로이드 네트워크 기능이 의도하지 않은 방법으로 사용될 경우 모바일 기기와 응용프로그램(앱) 사이의, 암호화하지 않은 네트워크 연결을 가로챌 수 있다는 것"이라며 "안드로이드 운영체제(OS)나 녹스의 결함을 지적한 것이 아니다"고 밝혔다.
연구진은 이 중간자 공격이 이용자가 직접 설치한 앱에서도 이뤄질 수 있다는 점을 밝혀낸 것이다.
그러나 삼성전자는 "해당 연구 결과는 앱 데이터를 인터넷에 전송하기 전에 반드시 암호화해야 한다는 중요성을 재확인해준 것"일 뿐 안드로이드나 녹스의 취약점을 지적한 것은 아니라는 입장이다. 삼성전자는 특히 안드로이드 OS 차원에서 'SSL/TLS'나 '붙박이 가상사설망(built-in VPN)' 등 보안 솔루션을 이용할 수 있도록 지원하고 있다고 설명했다.
녹스 차원에서도 중간자 공격에 대한 추가 보호 장치가 제공된다. 모바일기기관리(Mobile Device Management, MDM)는 기기에 담긴 민감한 정보를 기업 정책에 따라 적절하게 설정해 주고 공격을 당했을 때는 이를 차단해 주는 기능이고, '퍼앱(Per-App) VPN'은 미리 지정된 안전한 앱만 가상사설망을 통해 전송될 수 있도록 해주는 기능이다.
김세형기자 fax123@sportschosun.com
