"암호화해도 노출될 수 있어" 삼성 갤럭시 '보안 폴더', 심각한 취약점 드러나 - M투데이
"암호화해도 노출될 수 있어" 삼성 갤럭시 '보안 폴더', 심각한 취약점 드러나 - 엠투데이
[엠투데이 임헌섭 기자] 삼성 갤럭시 스마트폰의 \'보안 폴더(Secure Folder)\' 기능에서 심각한 보안 취약점이 드러나 화제다.보안 폴더는 데이터나 앱을 분리된 공간에서 비밀스럽게 관리할 수 있
www.autodaily.co.kr
- 보안 폴더(Secure Folder) 기능 개요
- 보안 폴더는 삼성 갤럭시 스마트폰에서 앱, 사진, 동영상 등의 민감한 데이터를 별도의 보안 공간에 저장할 수 있는 기능
- 지문, 패턴, PIN, 패스워드 등의 잠금장치를 사용해 접근을 제한
- 2016년 갤럭시 S7 시리즈부터 도입되어 안전한 데이터 보관을 지원
- 발견된 보안 취약점
- 보안 폴더가 '업무 프로필(Work Profile)'로 구현된 방식이 문제의 원인
- 안드로이드 시스템에서는 보안 폴더를 일반 업무 프로필로 인식
- 업무 프로필 내 앱들이 기본 프로필 데이터에 접근할 수 있는 권한을 가짐
- 의도와 다르게 민감한 정보가 노출될 가능성이 있음
- 공격 시나리오
- 물리적으로 잠금 해제된 스마트폰에 접근할 경우 위험이 발생
- 공격자가 특정 앱을 설치해 추가 업무 프로필을 생성할 수 있음
- 직접 파일 접근은 제한되지만, 안드로이드 미디어 피커 기능을 통해 미디어 데이터(사진, 동영상) 열람 가능
- 보안 리스크 평가
- 직접적인 파일 접근은 차단되지만, 미디어 데이터 노출은 심각한 문제
- 특히 개인 정보나 민감한 자료가 미디어 형식으로 저장된 경우 위험도가 증가
- 물리적 접근이 가능할 경우 공격자가 비교적 쉽게 데이터를 열람할 수 있음
- 보안 권고
- 삼성은 보안 취약점을 확인했으나 구체적인 보안 업데이트 계획은 발표되지 않음
- 사용자는 보안 폴더 내 저장된 민감한 데이터를 외부로 이동하거나 삭제를 고려
- 물리적 보안 강화: 스마트폰을 타인에게 노출하지 않도록 주의
- 잠금 해제 시 추가 인증 방법(이중 인증, 스마트 락 해제 제한) 적용
- 삼성의 보안 패치 발표 시 즉각 업데이트 필요
- 결론
- 보안 폴더 기능은 물리적 접근이 가능할 경우 한계를 드러냄
- 기업 및 개인 사용자는 보안 폴더를 '완벽한 보안 공간'으로 오인하지 않도록 주의
- 장치 관리 정책을 통해 업무 프로필 접근을 제한하는 등의 정책적 조치 필요
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Cisco Small Business 라우터 RCE 취약점 악용 및 웹쉘 배포 공격 (0) | 2025.03.08 |
|---|---|
| CISA, Adobe ColdFusion 및 Oracle Agile PLM 취약점 KEV 카탈로그에 추가 (0) | 2025.03.08 |
| Sliver C2 서버 취약점, TCP 하이재킹을 통한 트래픽 가로채기 가능 (0) | 2025.03.06 |
| Parallels Desktop 0-Day 취약점, 루트 권한 상승 가능 (CVE-2024-34331) (0) | 2025.03.06 |
| Exim 메일 전송 취약점(CVE-2025-26794)으로 악성 SQL 주입 가능 (0) | 2025.03.06 |