구글, 주요 제조사 계약에 보안 업데이트 2년 의무화 추가

황승환 | 기사입력 2018/10/24 [22:15]

구글, 주요 제조사 계약에 보안 업데이트 2년 의무화 추가

황승환 | 입력 : 2018/10/24 [22:15]

구글 안드로이드 OS는 오픈 소스로 누구라도 사용할 수 있는 것으로 알려져 있지만 구글 맵, 플레이 스토어, 유튜브 등의 구글 서비스를 사용하기 위해서는 구글과 라이선스 계약을 체결해야 하고 상당히 까다로운 조건을 제조사에게 요구하고 있다. 지난 5월 구글 I/O 개발자 콘퍼런스에서 안드로이드 보안 책임자는 보안 업데이트와 관련해 주요 제조사와 새로운 계약 내용을 추가했다고 언급했지만 구체적인 내용에 대해서는 설명하지 않았다. 더 버지는 24일(현지시각) 구글이 추가한 보안 업데이트 계약 조항에 대한 정보를 입수해 공개했다.

구글 안드로이드 보안팀은 매달 보안 업데이트 패치를 내놓고 있지만 제조사와 통신사는 여러 가지 이유로 뒤늦게 적용하거나 아예 적용하지 않고 있는 것이 현실이다. 이런 이유로 안드로이드가 보안에 취약하다는 지적은 계속되고 있고 이 문제를 해결하기 위해 구글이 보안 업데이트 관련 조항을 라이선스 계약에 추가한 것이다.

새로운 조항에 따르면 2018년 1월 31일 이후 출시됐고 10만 명 이상이 사용하는 안드로이드 기기는 최소 2년 동안 보안 업데이트를 제공해야 한다. 이 조항에 해당되는 기기에 대한 보안 업데이트는 이미 상당수 기기에 적용되고 있으며 2019년 1월 31일부터 해당되는 기기는 의무를 준수해야 한다. 

출시 후 1년 이내 최소 4회 이상의 보안 업데이트를 제공해야 하고 최소 횟수 제한은 없지만 2년 동안은 의무적으로 보안 업데이트를 제공해야 한다. 조금 부족해 보일 수 있지만 이것만이 아니다. 제조사는 구글이 파악한 취약점에 대해 특정 기간 내 업데이트 패치를 해야 한다. 월 말 업데이트 기준으로 90일 이전에 발견된 취약점에 대해 패치를 제공해야 하고 버그에 대해서도 같은 기준으로 패치를 제공해야 한다. 기기 취약점, 버그에 대한 빠른 패치를 강제하고 있다고 할 수 있다. 이런 내용을 지키지 않을 경우 구글은 향후 해당 제조사 기기에 대한 라이선스 승인을 보류할 수 있고 이로 인해 기기 출시가 불가능해질 수 있다.

구글 대변인은 이 보도에 대해 90일 내 보안 패치 요구는 최소한의 요구 사항으로 현재 30개 이상의 안드로이드 기기 제조사의 200개 모델이 이 조항을 준수하고 있다고 밝혔다.



  • 도배방지 이미지