화웨이 기기, 문서화 안 된 API로
구글 서비스 설치
화웨이 기기에서 문서화 안 된 API로 구글 서비스가 설치가 제공된다.
원문 링크
https://twitter.com/topjohnwu/status/1178848902755127296
본 글은 원문을 바탕으로 의역하여 정리한 글입니다.
다소 틀린 부분이 있을 수 있으니 원문을 한 번 읽어보실 것을 권장합니다.
본 게시글 기준 시각 : 2019. 10. 01. 20:39
1. 10시 47분경, 매지스크(Magisk) 개발자 John Wu(topjohnwu)의 트위터에 새로운 화웨이 기기에서 구글 서비스 설치 관련해서 무언가 발견했다는 글이 기재되었습니다.
2. 19시 40분경, John Wu(topjohnwu)의 미디엄에 새로운 화웨이 기기는 표준 안드로이드 시스템에서 찾아볼 수 없는 권한, 문서화되어 있지 않는 화웨이의 특정 MDM API를 통해서 구글 서비스를 설치한다는 글이 기재되었습니다.
3. 화웨이의 새로운 기기에서 구글 플레이 서비스를 설치해주는 'LZPlay' 앱의 권한에는 'Huawei Security Authorization SDK', 화웨이에서 제공하는 자체 MDM(모바일 장치 관리) API의 권한이 있었으며, API 참조 문서에 설명되어있지 않는 권한이 있습니다. 이 앱의 유일한 목적은 라이선스가 없는 기기에 구글 서비스를 설치하는 것이고, 이 앱의 합법성에 대해서는 모른다고 합니다.
4. 하지만, 합법적이라고 하더라도 시스템 이미지를 핸들링 할 수 있으며 악의적인 변조 가능성이 있기 때문에 보안 관점에서 처음부터 존재해서는 안 되는 백도어라고 합니다.
5. 추가적인 부분은 시스템 이미지가 있어야 하지만 화웨이 장치가 없어서 진행할 수 없으며, 어쩌면 더 많은 권한이 있을지도 모른다고 합니다.
미중 무역 갈등의 여파로 인해서 화웨이에서 구글 라이선스 인증을 받아 정상적으로 구글 서비스를 이용할 수 있는 신제품을 출시할 수 없다 보니.. 이를 우회하여 소비자에게 구글 서비스를 이용할 수 있도록 하기 위해서 자체 MDM API를 통해서 설치를 진행할 수 있는 앱을 암묵적으로 허용해주고 있는 것으로 보입니다. 매지스크 개발자분께서는 이것이 합법적이라고 하더라도 시스템 이미지를 핸들링할 수 있기 때문에 보안 관점에서 처음부터 존재해서는 안 되는 백도어라고 말씀하시는데.. 이 부분에 있어서는 약간의 의문이 남습니다.
MDM 자체는 국가, 기관, 기업에서 중요한 보안 정보가 유출되어 피해를 입히는 것을 방지하기 위해서 모바일 디바이스를 컨트롤할 방법을 강구하게 되었고, 그 결과 펌웨어 레벨에서 단말기 기능 및 애플리케이션 등 시스템에 대해서 제어할 수 있고, 일반적인 상황에서 삭제가 불가능하고 불가피한 경우 데이터 유출이 불가능하도록 만들어진 솔루션 중 하나입니다. 대표적으로 삼성 KNOX가 있으며, 이외에도 많은 OS 및 단말기에서 자체적으로 API를 제공해주고 있습니다. 그렇게 보안이 깐깐하다고 알려진 iOS 조차 말이지요.
이번에 이슈가 된 'LZPlay' 앱 같은 경우 MDM 권한을 활용해서 구글 서비스를 설치, 사용자가 구글 서비스를 이용할 수 있도록 해주고 있는 것인데.. 과연 이게 문제가 되는 것인가 생각해보면 의문이 남습니다. 보안 관점에 있어서는 시스템을 핸들링 할 수 있기 때문에 다소 걱정이 될 수 있다고는 생각되기도 하지만, 기본적으로 MDM API를 이용하기 위해서는 해당 제조사(또는 솔루션 제공사)로부터 권한을 부여받아야 되기 때문에 일반적으로 쉽게 사용할 수 없습니다.
그리고 앞서 MDM 솔루션이 만들어진 배경을 설명하면서 이야기했다 싶이 국가, 기관, 기업에서 중요 정보가 유출되어 피해를 입는 경우를 사전에 방지하기 위해서는 중요 대상자의 모바일 디바이스 통제가 어느 정도 필요로 한 것은 분명합니다. 많은 기업들이 산업 스파이로 인해서 피해를 입는 것을 생각해보면 충분히 무슨 의미인지 이해되실 것이라 생각합니다. 'LZPlay' 앱에서 사용한 권한은 이를 위한 권한 중 하나이고, 소비자가 구글 서비스를 제대로 이용할 수 없는 것을 대응하기 위해서 MDM이 가지고 있는 권한을 사용한 것인데 과연 이것이 문제인가? 의문이 남습니다.
여담으로, 이번 이슈와 비슷한 것이 사례가 무엇이 있을까 생각을 해보니.. 멀리 갈 필요도 없고 당장 우리나라에서도 비슷한 사례가 있었던 것이 떠오릅니다. 바로 J2 Pro를 기반으로 하고 있는 공신폰입니다. 자의든 자의가 아니든 사용하신 분들이 다소 계신 것으로 알고 있는데 J2 Pro를 기반으로 하고 있는 공신폰 같은 경우 KNOX 컨테이너를 이용해서 기능을 제한했었던 것으로 알고 있으며, 이를 정상적으로 사용하고 싶으셨던 분들께서는 한때 KNOX Customization 버그를 이용하셨던 분들도 더러 있는 것으로 알고 있습니다. MDM 솔루션 활용 방식은 이번 이슈와 전혀 반대이지만 유사한 사례 중 하나로 생각됩니다.
이번 이슈에 대해서 화웨이에서 아직까지 별다른 반응이나 이야기가 없는 상황이므로 향우 어떻게 될지는 조금 느긋하게 지켜봐야 될 것으로 생각하며, 이만 글을 마칩니다.
