사이버 보안 기업인 CPR(Check Point Software)은 퀄컴이 개발한 스마트폰 음성·SNS 등 기능을 제공하는 스마트폰용 칩셋인 모바일 스테이션 모뎀 MSM에 악성코드를 통해 외부에서 통화 기록에 액세스하는 등 취약성이 있다고 밝혀 눈길을 끈다.
퀄컴에 의해 개발된 MSM은 안드로이드OS 하이엔드 모델용으로 설계됐으며 4G LTE와 고해상도 녹화 등 고급 기능을 지원하고 있다. 또 안드로이드 단말은 퀄컴 MSM 인터페이스 QMI를 통해 MSM 소프트웨어 구성 요소와 카메라, 지문 스캐너 같은 장치 서브시스템 통신을 가능하게 하는 독자 프로토콜이 있지만 이런 QMI를 통해 악의적 인물이 MSM을 악용할 수 있는 취약점이 발견됐다고 밝히고 있다.
이번에 발견한 취약점을 악용한 공격자는 안드로이드OS 자체를 시작점으로 이용해 악성 코드를 삽입하고 사용자 통화 기록과 SMS 등으로 액세스할 수 있게 되는 것이다.
MSM은 구글과 삼성전자, 샤오미, 원플러스 등 5G 스마트폰을 중심으로 사용되어 영향을 받은 단말은 전 세계 스마트폰 중 30%에 이른다고 한다. 퀄컴은 2020년 8월에도 모바일 단말용 SoC인 스냅드래곤에 400개 이상 취약점이 발견되고 있어 공격자가 위치 정보와 단말 미디어에 무단 액세스할 우려가 있다는 게 CPR 조사에 의해 밝혀지고 있다. 관련 내용은 이곳에서 확인할 수 있다.