삼성전자 "보안솔루션 '녹스' 취약 논란, 문제없다"

[아시아경제 김영식 기자] 삼성전자는 스마트폰 보안 솔루션 녹스(KNOX)의 보안 취약점 논란에 대해 "이스라엘 벤구리온 대학 사이버보안연구소의 보고서는 안드로이드 운영체제나 녹스에 결함이나 버그가 있다고 지적한 것이 아니다"는 공식 입장을 표명했다.

삼성전자는 12일 공식 블로그인 'samsungknox.com'에 게시한 글을 통해 "최근 벤구리온 대학 사이버보안연구소가 삼성 갤럭시S4의 녹스 보안 플랫폼에서 결함을 발견했다는 보도가 있었다"면서 "연구 결과는 모바일 기기와 응용프로그램 간 암호화하지 않은 네트워크 연결을 가로채기 위해 적법한 안드로이드 네트워크 기능을 의도하지 않은 방법으로 사용할 수도 있다는 것으로, 안드로이드 녹스의 결함을 지적한 것이 아니다"고 밝혔다.

벤구리온 대학의 연구진은 연결된 두 대상 사이에 중간자가 침입해서 둘이 서로 대화하는 내용을 훔쳐보는 '중간자 공격(MitM)'이라 불리는 기법을 시험해 모의 실험한 결과 이용자가 직접 설치한 애플리케이션(앱)에서도 이뤄질 수 있다는 점을 밝혀냈다.

삼성전자는 "해당 연구 결과는 앱 데이터를 인터넷에 전송하기 전에 반드시 암호화해야 한다는 중요성을 재확인해준 것"일 뿐, 실제 안드로이드나 녹스의 취약점을 지적한 것은 아니라는 입장을 밝혔다. 또 중간자 공격에 대해 추가 보호 기능을 제공한다면서 "모바일기기관리(MDM), '퍼앱(Per-App) VPN', FIPS140-2 암호화 알고리즘을 예로 들었다.

또 월스트리트저널(WSJ) 기사에서 보안 취약성에 우려를 표명한 패트릭 트레이너 조지아공대 교수도 삼성전자가 제공하는 녹스의 추가 보안 기능을 살펴보고 "적절한 설정을 통해 제기된 문제를 해결할 수 있을 것이며, 삼성전자가 모든 사용자에게 이를 강력히 권해야 한다"고 말했다고 덧붙였다.

김영식 기자 grad@asiae.co.kr