중국 시스템 칩 회사 ‘Allwinner’가 백도어가 심어진 리눅스 커널 버전을 사용하고 있다는 사실이 드러났다. Allwinner는 많은 저비용 안드로이드 태블릿, 셋톱박스, ARM 기반 PC, 기타 디바이스들에 사용되는 프로세서를 만드는 회사이다.
 
공격자는 루트 권한을 얻기 위해 문서화되지 않은 디버깅 프로세스에 “rootmydevice"라는 텍스트만 보내면 됐다.
 
백도어 코드는 개발자들의 부주의로 디버깅 후 커널에 남아있던 것으로 보인다. 그러나 회사 측에서는 이에 대해 투명하게 밝히지 않고 있다. 백도어 관련 정보가 유출된 후, Allwinner 소유의 깃허브 계정을 통해 삭제된 것이다.
 
‘linux-3.4-sunxi’ 커널은 본래 Allwinner의 태블릿용 ARM 프로세서를 지원하기 위해 개발되었지만 ‘커뮤니티 버전’을 개발하기 위해서도 사용되었다. 해당 커널은 기타 디바이스들의 Orange Pi와 Banana Pi micro-PC에 사용되는 Allwinner 프로세서에 여러 버전의 리눅스를 올리기 위한 기반이 되었다.
 
Allwinner는 리눅스 커널에 대한 GPL 라이센스를 위반한 것으로 기소되었다. Allwinner가 커널에 ‘삽입’한 것에는 공개되지 말아야 할 많은 바이너리들이 포함되어 있었고, 다른 라이센스에 속하는 그래픽 엔진을 지원하는 코드들도 유출되었기 때문이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신기자>