최근 들어 온 세상에 있는 안드로이드 모바일 기기 절반이 보안 업데이트를 받으며 해커가 해킹할 수 있는 취약점이나 도청, 사이버 공격으로부터 좀 더 안전해지고 있다. 덕분에 사용자는 예전보다 좀 더 안전한 환경에서 안드로이드 모바일 기기를 사용할 수 있다. 나쁜 소식은 아직 나머지 절반이 그대로 위험에 노출되어 있다는 것쯤 되겠다. 구글은 세계 14 억대 안드로이드 기기 보안에 관한 연례 보고서에서 안드로이드 모바일 기기의 보안이 앞으로 계속 향상될 것이라고 발표했다. Google Play 스토어 역시 올라오는 악성 코드의 수가 줄어들고 있으며 모바일 장치의 암호화는 갈수록 탄탄해지고 있다. 버그를 제보하고 일정 금액을 받는 소위 말해 버그 바운티도 더 많아지고 있다.

특히나, 구글은 안드로이드와 관련한 심각한 보안 문제를 가장 먼저 언급한 곳으로 이런 발표는 어찌 보면 상당히 의미있는 발표일 수도 있다. 구글은 전 세계 수십 개 모바일 디바이스 제조업체와 수백 개의 이동 통신사가 정기적으로 안드로이드 모바일 기기 및 태블릿을 관리하고 보안 패치하며 서로 협력해야 하는 과제라고 언급했다.

그런 의미로 회사의 연간 패치 비율이 과거의 수준에 비해 50%에 웃돈다고 이야기했지만 이는 아직 괜찮다고 말할만한 충분한 수치는 아니다. 구글의 안드로이드 기기 보안 담당 책임자인 애드리안 루드비히(Adrian Ludwig)는 전 세계에 퍼져있는 안드로이드 모바일 기기 절반이 2016년에 업데이트를 받았다고 전했다. 아직 충분한 수치는 아니지만 분명한 것은 좋은 징후를 나타내는 수치인 것은 확실하다.

2016년, 전 세계에 퍼져있는 안드로이드 모바일 기기 절반가량이 취약점을 패치하지 않고 이 상태로 머물러 있다면 보안 문제가 심각해질 것으로 추측한 바가 있다. 통계에 따르면 2015년, 2016년에는 각각 두 배 정도의 사람들이 안드로이드 보안패치를 했고 이러한 수치로 봤을 때 2017년에는 75%에 이를 수 있다고 보고 있다.

본래 새로운 기능을 추가하거나 보안 패치를 하는 소프트웨어 업그레이드에 관해서는 애플 iOS가 안드로이드보다 상당하게 높은 수치로 우위를 점하고 있었다. 안드로이드 모바일 기기 3% 미만이 모바일 기기 운영체제 최신 버전을 사용하는 반면에 애플은 iOS 기기 약 80%가 iOS 10을 사용하고 있다. 더군다나 iOS 10버전은 나온 지 3주 정도밖에 되지 않은 것으로 고려하면 확실하게 안드로이드보다 아이폰의 사용자 패치율이 더 높게 나타난다.

모바일 인증 보안 회사인 듀오 (Duo)의 R&D 책임자 리치 스미스 (Rich Smith)는 실제로 구글의 패치 비율이 두 배로 증가하는 경우 이는 엄청나게 긍정적인 개선이라고 말했다. 하지만, 이번 수치에서는 오히려 안드로이드 모바일 기기가 어떻게 보안 패치에 뒤처져 있는지 보여주는 사례며, 2016년에 절반 정도의 모바일 기기가 업데이트를 받았다고 해서 그것이 최근에 나오는 버그에 대한 패치는 아닐 것이란 지적을 했다. 즉, 단순히 갈수록 패치하는 수치는 커지고 있지만, 최근에 나온 버그에는 속수무책이라는 것이다. 한 마디로 기간이 긴 업데이트 패치라는 것이다. 스미스는 더불어 패치를 통해 사용자가 가지게 되는 사소한 취약점부터 정말로 중요한 취약점으로까지 모든 취약점에서 보호받아야 한다고 이야기했다.

이에 대한 예시로 2016년에 공개된 쿼드로터(Quadrooter) 공격에 대해 말할 수 있다. 구글이 아닌 듀오 자체에서 한 통계에 따르면 이 취약점은 듀오 인증 응용 프로그램이 설치된 모바일 기기의 약 40%만 패치 되었다고 이야기했다. 한 가지 구글 통계와 다른 점은 듀오의 통계는 전 세계 안드로이드 사용자를 대상으로 한 것이 아니라 비즈니스에 중점을 둔 북미 사용자를 대상으로 한 통계다. 리치 스미스는 구글의 발표가 이른 팡파레가 아니냐는 이야기를 했다.

안드로이드의 가장 큰 장애물은 운영체제의 잔해물이다. 삼성은 혼자서 13개의 모델을 제공하고 있으며, 각 모델은 운영체제를 각기 달리하여 다른 수준으로 설치하여 약 200개의 다른 통신 사업자로부터 판매된다. 삼성전자의 모바일 보안 담당 책임자인 Henry Lee말에 따르면 그 결과, 삼성에서 가지고 있는 모바일 기기의 모든 버전 소프트웨어가 약 1,500가지에 이르는 것으로 나타났다. 더욱이, Google에서 패치를 받고 적용하는 것처럼 보일지 모르지만 실제로 그렇게 간단한 문제가 아니다. Henry Lee는 삼성 사용자의 약 60%가 2016년에 업데이트를 받았지만 약 15%는 너무 오래되어 운영체제 버전을 설치하기 힘든 안드로이드를 사용하고 있으며 나머지 15%는 단순히 업데이트를 무시한다고 밝혔다.

삼성의 모바일 시장 지배력 덕택에, 이 비율은 그대로 전 세계 모바일 기기 사용자의 수로 볼 수 있다. 삼성 보안 업데이트는 이제 수백 개의 전 세계 통신 사업자에 걸쳐 4억 개 장치에 도달한다. 이는 14억 명이 넘는 안드로이드 모바일 기기 사용자로 상당한 규모다.  

구글의 노력으로 2015년 이후부터 그 효과를 발휘하고 있다. Google과 삼성, LG 등 여러 모바일 기기 제조 업체들은 오래된 버전을 실행하는 안드로이드 기기용 월별 보안 관련 업데이트를 출시하기 시작했다. 구글 역시 업데이트를 보다 원활하게 하려고 작은 크기로 자주 업데이트하는 방식으로 노력하고 있다. 구글은 사용자들이 패치를 자주 할 수 있도록 통신사들에게 압박을 가하고 많은 사용자가 데이터에 얽매여 소프트웨어 업데이트를 미루거나 안 하지 않도록 했다. 또한, A/B 업데이트를 개발하여 기업들이 개발한 새로운 앱과 중요한 엔터프라이즈 소프트웨어와의 호환성 문제가 발생할 경우 중요한 엔터프라이즈 소프트웨어가 우선으로 실행이 되도록 패치했다.

구글은 안드로이드의 보안이 다른 측면에서도 개선되었다는 점도 강조했다. Google Play 스토어의 필터링 정책은 최근 들어 악성 코드를 잘 걸러내고 악성 앱이 사용자의 모바일 기기를 감염시키지 못하게 막는다. 구글 보고서에 따르면 2016년 하반기에는 전체 사용자 중 71%가 가지고 있던 악성 코드가 발견되었다. 이는 1년 전 이 악성코드에 감염된 사용자 절반에 불과하지만, 사용자가 Play 스토어에서 앱을 다운로드 한 수치가 훨씬 더 좋다. 2016년 하반기에 모바일 기기의 0.05% 만이 악성코드에 감염되었다. 이는 전년도에 비해 15% 증가한 수치로 상당히 나아지고 있다는 것이 보인다. 이러한 통계를 봤을 때 Google Play 스토어가 아닌 다른 곳에서 앱을 다운로드받지 않는 것이 현명하다.

사실 이러한 수치는 어떻게 보면 괜찮은데 싶은 수치일 수도 있지만, 소수의 민감한 희생자들에 대한 해킹은 추가하지 않았다. 예를 들어, WikiLeaks에 공개된 CIA 파일, Valt7이 최근 공개되면서 수십 년 동안 CIA에서 모아 온 안드로이드 해킹 기술이 밝혀졌다. 하지만 이는 구글 통계에 포함되지 않은 소수의 사용자를 감시하는 데 사용되었다. 구글은 CIA 해킹 기술의 취약점이 수정되었는지에 대한 여부는 발표하지 않았다.

구글이 Vault 7 취약점이나 스마트 폰 코드에 숨어있는 많은 여러 취약점을 패치 했는지가 확인할 수 없고 본 글과도 관련이 없지만, 구글은 안드로이드 모바일 기기의 보안이 갈수록 괜찮아지고 있다며 발표했다. 하지만 여전히 안드로이드 절반 정도의 사용자가 여전히 취약한 상태로 유지되고 있다는 것 역시 사실이다.