미국의 국립연구소인 국립표준기술연구소(NIST)가 삼성전자의 스마트폰 위치 확인 및 원격 제어 서비스 '내 디바이스 찾기(find my mobile)'에서 치명적인 보안 취약점이 발견됐다고 보안 경보를 울렸다. 이에 대해 삼성전자는 "지난 13일 이미 다 고친 문제"라고 밝혔다. 하지만 NIST의 보안 경보는 24일 나온 것이어서, 문제 해결 여부를 두고 논란이 일고 있다.
NIST는 24일(현지 시각) 미국 국가 사이버 경보 시스템에 올린 글에서 "삼성전자 스마트폰의 원격조종 기능에 소유자 인증 없이 접근할 수 있는 약점이 발견됐다"고 밝혔다. 이 서비스는 스마트폰을 분실했을 때 PC 등으로 인터넷에 접속해 스마트폰의 위치를 파악하고, 사용하지 못하도록 기기를 잠글 수 있게 한 기능이다.
본래 이 서비스를 쓰려면 해당 사이트에 스마트폰 소유자의 아이디와 비밀번호를 넣어 사용자 인증 절차를 밟아야 하지만, 이런 절차를 밟지 않고도 타인의 스마트폰을 원격 제어할 수 있는 '뒷문'이 발견된 것이다. 악성 해커들이 이 취약점을 이용할 경우 소유자가 원하지 않아도 멋대로 스마트폰을 먹통으로 만들 수 있다.
삼성전자는 "지난달에 해당 문제에 대한 제보를 받아 1차 수정을 했고, 13일에 2차 수정을 해 모든 문제를 고쳤다"고 해명했다. NIST가 이미 해결된 문제를 뒤늦게 올렸다는 것이다. 하지만 '해커뉴스' 등 해외 보안 전문 매체들은 NIST의 경보를 인용해 최근까지 이 문제를 보도하고 있다. NIST가 해킹 수법까지 자세히 공개하지는 않아, 현재로선 해당 수법으로 공격할 수 있는지 확인할 수는 없다.
이 보안 취약점을 근본적으로 막으려면 스마트폰에서 '내 디바이스 찾기' 서비스를 꺼야 한다. 스마트폰 설정 앱을 실행한 후, '보안' 화면에서 '내 디바이스 찾기'를 골라 '원격 제어' 기능을 '끔'으로 바꾸면 된다.