[뉴스토마토 황민규기자] LG전자가 자사 구형 스마트폰 업데이트 지원에 사실상 손을 놓으면서 심각한 보안 문제에 노출됐다.
안드로이드 킷캣 업데이트 적용에서 제외된 LG전자의 옵티머스 LTE2 등의 스마트폰이 한국인터넷진흥원(KISA)이 제시하는 안전성 가이드라인에 크게 미달한 것으로 16일 <뉴스토마토> 취재 결과 확인됐다. 사상 최악의 버그로 불리는 하트블리드(Heart Bleed)에도 사실상 무방비로 노출돼 있다.
LG전자(066570)가 지난 2012년 출시한 옵티머스 LTE2에 적용된 오픈SSL(OpenSSL) 버전은 KISA가 권장하는 보안 규격에 크게 미달해 있는 상황. 옵티머스 LTE2에 적용된 OpenSSL 버전은 '1.0.1c'로 확인됐는데, 이는 KISA가 하트블리드 버그에 영향을 받는다며 업데이트를 권장하고 있고 있는 버전이다.
Open SSL(Open Secure Socket Layer)란 인터넷 상에서 데이터를 주고 받을 때 데이터를 암호화 시켜주는 기술을 말한다. 하트블리드는 이 같은 기술의 취약점을 이용해 개인, 기업 등의 개인정보, 금융거래 정보, 회사 업무 관련 정보 등을 빼낼 수 있는 버그로, 지난 4월부터 세계 IT업계의 화두로 떠올랐다.
LG전자는 안드로이드를 배포하는 구글이 "하트블리드 문제는 안드로이드 4.1.1 버전이 적용된 기기에만 해당된다"고 해명한 점을 근거로 "옵티머스LTE2에 안드로이드 젤리빈 4.1.2 버전이 적용돼 있기 때문에 하트블리드 위협으로부터 안전하다"는 입장이다. 불안감에 쌓인 일부 소비자들이 LG전자 AS센터에 오픈SSL 패치 업데이트를 요구했지만 이 또한 거절했다.
KISA를 비롯한 보안업계에서는 안드로이드 4.1.2에 적용된 오픈SSL 버전이 하트블리드에 노출돼 있다는 점을 지적하고 있다. 보안업계 전문가는 "안드로이드 4.1.2 버전에는 오픈SSL 1.0.1c 버전이 적용돼 있는데, KISA에 따르면 이 시스템은 사실상 하트비트(프로토콜)를 비활성화 해놓은 것일 뿐, 해킹을 막을 수 있는 기능은 없다고 봐야 한다"고 설명했다.
물론 LG전자의 옵티머스LTE2는 출시된 지 이미 2년이 지났기 때문에 최신 모델 대비 사용자 수가 상대적으로 적다. 하지만 LG전자가 2년 전 옵티머스LTE2를 출시할 당시만 해도 젤리빈(Jelly bean), 킷캣(KitKat) 운영체제로의 업그레이드를 약속했다는 점에 비춰볼 때 소비자들의 원성에는 충분히 설득력이 있다.
옵티머스LTE2 출시 당시 LG전자 관계자는 홈페이지 인터뷰를 통해 "(옵티머스 LTE2에 탑재된) 2GB 램은 노트북 PC와 비슷한 수준"이라며 "램 용량이 크면 여러 앱을 동시에 사용할 때 안정성이 뛰어날 뿐더러, 앞으로 젤리빈이나 킷캣 같은 차기 OS 업그레이드에서 유리한 고지를 차지할 수 있다"고 말한 바 있다.
하지만 LG전자는 정작 옵티머스LTE2의 킷캣 업그레이드가 좌절되자 그 이유에 대해 '램 용량 부족'이라는 정반대의 답변을 내놓고 있다. 램 용량이 경쟁사 제품 대비 크기 때문에 차기 OS 업그레이드가 가능하다는 처음 주장과 전면 배치되는 해명이다. 반면 같은 사양의
삼성전자(005930) 갤럭시S3 등은 킷캣 업데이트가 이미 완료됐다.
%EA%B9%80%EC%84%B8%EC%97%B0/openSSL.PNG "◇하트블리드 버그의 오픈SSL 서버 공격 방식.(사진=한국인터넷진흥원)")
◇하트블리드 버그의 오픈SSL 서버 공격 방법.(사진=한국인터넷진흥원)
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지