정용환 기자
안드로이드에는 잠금화면 보안 수준을 높이기 위해 지문 인증과 얼굴 인식 인증을 비활성화하는 잠금 모드가 탑재되어 있다. 한 프로그래머가 이 잠금 모드와 부모 제어를 무시할 수 있는 시크린 브라우저가 안드로이드에 탑재되어 있다고 보고했다.
이에 따르면 이 브라우저는 설정 화면에서 개인정보취급방침을 표시하는데 사용되는 브라우저로 크롬 등 웹브라우저와는 별도라고 한다. 시도한 결과 유튜브를 방문해 영상을 재생하는데 성공했다고 한다.
이 브라우저는 기록이 남지 않고 세션이 끝날 때 로그인한 구글 계정에서 자동으로 로그아웃되기 때문에 상당한 개인정보보호 브라우저라고 할 수 있다. 또 보호자가 브라우징에 제한이 걸리는 부모 제어도 무시해버린다는 것. 다만 뒤로 가기를 사용하면 설정 화면으로 돌아가 버리기 때문에 쓰기는 그다지 좋지 않다고 한다.
또 브라우저에서 mm이라는 자바스크립트 객체가 작동하고 있다는 걸 발견했다. 이 객체 내용을 살펴보면 3가지 함수로 이뤄지며 그 중 2개는 로컬 암호화 키를 설정하는데 사용되며 보안 취약성으로 이어질 때 사용하는 것이라고 한다. 이 브라우저를 발견한 프로그래머는 구글에 보고했고 구글 측에선 이는 보안상 취약성에 맞지 않고 부모 제어를 무시할 수 있는 건 의도된 동작이라는 답이 돌아왔다고 한다.
하지만 그가 2023년 6월 블로그에 이 문제를 공개하자 공개 3일 뒤 구글로부터 당신의 보고를 재검토할 것이라는 연락이 있었다고 한다. 2024년 2월 그는 연락처 앱으로부터 브라우저를 기동할 수 있는 방법을 발견했다. 락다운 모드에선 긴급 통보 기능과 연락처 애플리케이션만 사용 가능하게 되어 있지만 이 연락처에 등록한 웹사이트 링크로부터 브라우저를 기동하는 게 가능하게 되어 있었다고 한다.
이 문제에 대해서도 프로그래머는 구글에 보고했다. 하지만 구글은 2023년 6월 잠금 모드를 회피할 수 있는 문제를 보고한 부모 제어를 회피할 수 있는 문제에 병합한 채 대응하지 않았다고 한다. 또 구글은 안드로이드 잠금 모드를 피할 수 있는 문제는 의도된 동작이라고 답했다.
또 구글에선 이 문제는 다른 문제와 중복됐을 수 있어 닫혔다는 메시지가 왔다고 한다. 이 프로그래머는 추적할 수 없는 시크릿 브라우저를 즐길 수 있으면 다행이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
