셀러브라이트 해킹에 취약한 픽셀 모델 유출

• 셀러브라이트 내부 자료 유출로, 어떤 Pixel 스마트폰이 데이터 추출 공격에 취약한지가 드러남
• 유출된 정보에 따르면 Pixel 6~9 시리즈는 기본 구글 OS 상태에서 셀러브라이트 장비로 데이터 추출 가능
• 반면 GrapheneOS를 설치한 Pixel은 2022년 이후 빌드부터 셀러브라이트 접근이 거의 불가능한 것으로 나타남
• 잠금 해제 상태(언락) 에서도 최신 GrapheneOS는 데이터 복사 불가, 단 사용자가 직접 접근 가능한 정보만 확인 가능
• 보안성 면에서 비영리단체가 만든 GrapheneOS가 구글 공식 OS보다 강력하다는 점이 주목됨

셀러브라이트 유출 내용

• 흐릿한 스크린샷에는 셀러브라이트 장비가 해킹 가능한 Pixel 모델 목록이 포함되어 있음
  • 이미지 출처는 rogueFed로 표시됨
• 셀러브라이트는 법집행기관 대상 브리핑에서 자사 기술이 Pixel 6, 7, 8, 9의 데이터를 추출할 수 있다고 설명
  • 잠금 해제(unlocked) , AFU(After First Unlock) , BFU(Before First Unlock) 상태 모두에서 가능
  • 단, 비밀번호 강제 해제(brute-force) 기능은 없으며, 기기 완전 제어는 불가능
• eSIM 복사는 여전히 불가능하며, Pixel 10 시리즈는 물리 SIM 제거 방향으로 전환 중

GrapheneOS의 보안 성능

• 동일한 Pixel 기기라도 GrapheneOS를 실행 중인 경우 셀러브라이트 접근이 크게 제한됨
  • 표에 따르면 2022년 말 이전 버전에서만 접근 가능
  • Pixel 8과 9는 이후 출시되어 셀러브라이트 접근 불가
• BFU 및 AFU 상태 모두에서 최신 GrapheneOS는 데이터 추출 차단
• 2024년 말 기준, 완전히 잠금 해제된 GrapheneOS 기기조차 데이터 복사 불가
  • 단, 사용자가 직접 접근 가능한 정보는 여전히 열람 가능

유출자 및 후속 상황

• 유출자는 두 차례 회의 통화에 무단 접속했으며, 아직 탐지되지 않았다고 주장
• rogueFed는 회의 주최자 실명을 공개했으며, 해당 스크린샷은 재게시되지 않음
• 이 사건 이후 셀러브라이트가 회의 참가자 검증을 강화할 가능성이 언급됨

구글의 입장 문의

• Ars Technica는 구글에 공식 OS보다 GrapheneOS가 더 안전한 이유를 문의함
• 구글의 답변은 아직 없음, 추후 응답 시 기사 업데이트 예정