삼성전자가 자체 개발한 운영체제(OS) '타이젠'에서 제로데이 위협 40건이 무더기로 발견돼 타이젠을 탑재한 삼성전자 스마트기기들이 해킹에 무방비로 노출될 가능성이 크다는 주장이 제기됐다.

제로데이 위협은 소프트웨어의 취약점을 공격하는 기술로 취약점에 대한 패치가 나오지 않은 상황에서 이뤄지는 공격을 의미한다.

4일(현지시각) 주요외신에 따르면 이스라엘 보안업체인 에쿠스소프트웨어의 아미하이 나이더만 연구원은 "타이젠 OS에서 40건의 제로데이 보안 취약점이 발견됐다"며 "소프트웨어의 보안 패치가 나오지 않았기 때문에 심각한 위협에 노출돼 있다"고 경고했다. 그는 특히 "타이젠OS는 마치 학부생이 개발한 것 같다"며 "최악의 코드다"라고 비난했다.

그가 지적한 타이젠의 제로데이 취약점은 모두 원격으로 해커가 기기에 접근할 수 있는 '원격 코드 실행(remote-code execution)'과 연관됐다. 이로 인해 삼성 스마트TV나 스마트워치, 휴대폰 등 타이젠 OS로 구동되는 전자기기를 원격으로 해킹할 수 있다. 타이젠이 탑재된 대표적인 스마트 기기는 스마트워치인 기어S시리즈와 Z1, Z3 등의 스마트폰, SUHD TV 등이다.

또 삼성전자가 자체 구축한 앱마켓인 '타이젠 스토어'도 설계상 결함인 '힙 오버플로우' 오류가 존재하는 것으로 나타났다. 힙 오버플로우는 원래 프로그램이 가르키고 있는 포인터 영역을 해커가 바꿔서 공격하는 것을 말한다. 삼성전자는 타이젠스토어에 인증된 삼성 소프트웨어만 기기에 설치할 수 있도록 하는 인증 장치를 마련했지만 힙 오버플로우 오류로 인해 해커가 인증 절차를 시작하기 전에 이를 탈취할 수 있다.

그는 "실제 한 해커는 이 결함을 이용해 다운로드 되는 소프트웨어를 중간에서 가로챈 뒤 악성코드를 자신의 삼성TV에 유포하는데 성공했다"고 밝혔다. 나이더만은 이어 "삼성전자 측에 이 같은 사실을 알렸지만 돌아온 회신은 자동응답 이메일이었다"고 강조했다.

삼성전자 측은 이와 관련해 "보안과 프라이버시를 매우 중요하게 여긴다"며 "나이더만 측과 협력해 문제를 해결해 나가고자 한다"고 밝혔다.