보안 · 2 min read · Feb 04, 2026

구글의 불완전한 스테이지프라이트 패치로 안드로이드 사용자들이 해커의 희생양이 되다

연구자들이 구글이 안드로이드 스마트폰과 태블릿을 위해 발행한 반쪽짜리 스테이지프라이트 패치의 결함을 발견하다

안드로이드의 스테이지프라이트 버그가 구글에게 진짜 골칫거리가 되고 있는 것 같습니다. 안드로이드 기기의 ‘스테이지프라이트 버그’를 수정하는 데 구글이 기대했던 것보다 더 오랜 시간이 걸리고 있습니다!

지난달 말 보안 연구원인 조슈아 드레이크가 스테이지프라이트 취약점의 세부 사항을 공개했을 때, 구글은 필요한 패치를 신속하게 제공했습니다. 다양한 다른 안드로이드 제조업체와 통신사들도 대부분의 안드로이드 기기에서 문제를 해결하기 위해 손을 잡았습니다. 그들 중 일부는 실제로 스테이지프라이트 버그의 결과로 월간 패치를 배포하겠다고 발표했습니다.

그러나 구글이 발표한 패치는 반쪽짜리로 급하게 수정된 것 같습니다. 엑소더스 인텔리전스의 연구자들은 구글이 발행한 패치 중 하나에서 결함을 발견했으며, 적절한 조건에서 안드로이드 기기가 여전히 스테이지프라이트 공격에 취약하다고 말합니다.

구글, 안드로이드 제조업체 및 통신사들이 각자의 기기에 적절한 패치를 발행한 지 이제 막 8일이 지났습니다. 패치 배포 후, 엑소더스 인텔리전스 연구자들은 안드로이드 기기에서 시스템 충돌을 성공적으로 유발할 수 있었습니다. 연구팀은 MMS를 통해 적절하게 인코딩된 mp4 파일을 사용하여 전화를 공격한 것으로 보입니다.

연구자들은 이메일을 통해 다음과 같은 성명을 보냈습니다: “요약하자면, 스테이지프라이트 취약점은 여전히 악용 가능하며, 구현된 4줄 패치는 결함이 있습니다. 우리는 여전히 9억 5천만 개 이상의 안드로이드 기기에 영향을 미치는 결함을 유발할 수 있었습니다.”

현재 이 버그가 코드 실행만을 위해 악용될 수 있는지 아니면 시스템 종료에도 사용될 수 있는지는 불확실합니다.

한편, 엑소더스가 문제와 패치를 구글에 보고하자마자 구글은 즉시 결함에 대한 패치를 오픈 소스화했습니다.

구글은 이미 이 문제에 대한 두 번째 패치를 발송했다고 확인했습니다.

구글은 성명에서 다음과 같이 말했습니다: “우리는 이미 사용자 보호를 위해 파트너에게 수정을 보냈으며, Nexus 4/5/6/7/9/10 및 Nexus Player는 9월 월간 보안 업데이트에서 OTA 업데이트를 받을 것입니다.”

현재 비-Nexus 전화기에도 두 번째 패치가 제공될지는 확인되지 않았습니다. 그러나 이 기기들은 구글, 안드로이드 제조업체 및 일부 통신사에 의해 이미 확인된 바와 같이 곧 배포될 월간 패치 시스템에 이 새로운 패치가 포함될 것으로 보입니다.

일반적으로 버그나 취약점이 발견될 때는 회사가 결함을 이해하고 문제를 완화하기 위한 적절한 패치를 제공할 수 있도록 표준 30일 통지 기간이 있어야 합니다. 그러나 엑소더스 인텔리전스 연구자들은 버그를 매우 빨리 공개했으며 구글은 강조된 결함에 대한 패치를 설계하고 배포할 수 있는 시간이 일주일도 채 되지 않았습니다.

그러나 엑소더스는 이 결함이 이미 4개월 전에 구글에 보고된 스테이지프라이트 취약점 공개의 일부라고 생각하며, 놀랍게도 구글은 여전히 결함이 있는 패치를 사용하고 있었습니다. 따라서 현재 스테이지프라이트 공격에 대한 강한 대중의 인식이 있는 상황에서 엑소더스는 이 버그를 비밀로 유지할 수 없었습니다.

엑소더스는 다음과 같이 덧붙였습니다:

이 버그에 대한 지나치게 많은 관심이 집중되었습니다. 우리는 이 결함이 결함이 있다는 것을 알아차린 유일한 사람들이 아닐 것이라고 믿습니다. 다른 사람들은 악의적인 의도를 가질 수 있습니다.

그러나 구글은 안드로이드 기기에 존재하는 주소 공간 배치 무작위화(ASLR)와 같은 완화 시스템의 중요성을 강조했습니다. 구글은 “현재 90% 이상의 안드로이드 기기에 ASLR이라는 기술이 활성화되어 있어 사용자를 이 문제로부터 보호합니다.”라고 말했습니다.

현재로서는 안드로이드 사용자들이 알 수 없는 출처에서 받은 메시지를 열 때 주의하고 경계해야 합니다. 스테이지프라이트에 대한 자세한 분석과 스테이지프라이트 공격을 방지하는 방법에 대해서는 이전 기사에서 언급된 내용을 참조하시기 바랍니다.

Share: X/Twitter LinkedIn
#보안

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.