구글 안드로이드 운영체제에서 암호화폐 지갑 복구 문구와 2단계 인증 코드를 탈취할 수 있는 신규 보안 취약점이 발견됐다. 이번에 확인된 해킹 기법은 일반적인 접근 방식과 달리 화면 상에서 단일 픽셀의 색상 값을 이용해 정보를 유출하는 정교한 수법으로 평가된다.
보안 리서치 그룹은 최근 ‘픽스내핑(Pixnapping)’이라는 이름의 공격 기법을 분석한 논문을 공개하며, 피해 범위가 웹 브라우저뿐 아니라 크립토 월렛 등 비브라우저 앱으로까지 확장될 수 있다고 경고했다. 공격자는 안드로이드의 애플리케이션 프로그래밍 인터페이스(API)를 악용해, 특정 앱에 표시된 픽셀값을 탐지함으로써 민감 정보를 추론해낸다.
눈에 보이는 방식의 정보 탈취가 아니라, 해커가 조작한 반투명 UI 창들을 앱 위에 층층이 쌓아 전체 화면 중 원하는 픽셀만 노출시키는 구조다. 이 픽셀의 색상을 반복적으로 바꾸면서 해커는 이미지 렌더링 타이밍을 추적해 픽셀의 내용, 즉 사용자가 보고 있는 내용을 하나하나 재구성한다.
이 방법은 복잡하고 시간이 많이 소요되기 때문에, 화면에 짧게 나타나는 일시적인 정보에는 효과가 제한적이다. 하지만 복구 문구나 2FA 코드처럼 사용자가 상대적으로 오랫동안 화면에 띄우는 정보를 표적으로 삼는 경우, 공격 성공 확률이 급격히 증가할 수 있다는 분석이다.
기기 내부의 앱끼리 화면 내용을 공유하지 못하도록 제한된 구조를 우회했다는 점에서, 이번 픽스내핑 취약점은 기존 보안 체계로 막기 어려운 신종 위협으로 꼽힌다. 사용자 스스로가 정보 노출 시간과 상황을 인지해, 최소한의 시간 동안만 민감 정보를 노출시키고, 공식 마켓 이외의 앱 설치를 피하는 등 보안 수칙을 철저히 지켜야 할 것으로 보인다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>