【서울=뉴시스】김민기 기자 = 삼성전자의 갤럭시S2가 특정코드가 포함된 웹페이지에 접속하면 공장 출하 상태의 초기화 상태가 된다고 25일(현지시간) 미국 IT전문매체 씨넷, 폰아레나 등이 보도했다.
아르헨티나 부에노스아이레스에서 열린 오코파티보안컨퍼런스(Ekoparty security conference)에서 베를린 기술 대학의 래비 보르가온카르(Ravi Borgaonkar) 보안위원은 특정코드(USSD)가 포함된 웹페이지를 삼성 갤럭시S2로 접속하면 사용자의 확인 절차 없이 자동으로 공장 출하 상태의 초기화가 되는 장면을 시연하면서 보안 취약점에 대해 지적했다.
삼성 갤럭시 시리즈의 터치 인터페이스인 '터치위즈'는 인터넷 링크를 클릭하면 특정코드를 자동으로 다이얼하는 기능이 있다. 래비 연구위원은 이 기능을 이용해 HTML 코드의 싱글 라인을 클릭해 갤럭시S2의 데이터를 삭제하는 것을 시연했다.
이 코드는 'Frame src="tel:*2767*3855%23"/'로, 이 코드가 포함된 웹페이지에 접속되면 사용자 의도와는 무관하게 폰의 모든 자료가 삭제되고 공장 출하 상태로 초기화된다. 근거리무선통신(NFC), OR코드 등 다양한 방법으로 이뤄질 수 있다.
문제는 이 코드 자체가 일반인에게 공개된 점과 이 코드에 접속되면 사용자의 동의 없이 초기화 된다는 점이다. 외신은 이 코드가 삼성이 특정 목적을 위해 삽입된 것인지 테스트용으로 삽입했다가 정식 펌웨어에서 삭제하는 것을 잊은 것인지는 아직 확인 되지 않았다고 밝혔다.
또 일부 외신에서는 갤럭시S3를 포함한 모든 삼성 갤럭시 시리즈에 동일한 문제가 있다고 보도했지만 더 버지(The Verge)는 자체 테스트 결과 갤럭시S2에만 이러한 문제가 발생했다고 보도했다.
갤럭시S3의 최신 펌웨어(4.0.4)에서는 이 문제가 해결돼 이 코드가 포함된 웹페이지에 접속하면 초기화는 실행되지 않고 다이얼만 보여지는 것으로 알려졌다.
