삼성 안드로이드의 앱 서명키가 유출되어 멀웨어에 사용되었다는 주장이 나왔습니다.
https://news.hada.io/topic?id=7956
====

• 개발자의 암호화 서명 키는 안드로이드 보안의 핵심요소
• 구글 안드로이드 보안팀에서 올린 글에 유출된 키들에 대한 설명이 있는데, 일부 키가 삼성/LG/Mediatek 소유의 키임
• 심지어 이 키들은 "플랫폼 인증서 키" 라서 거의 루트 접근에 가까움
  - 시스템에 "android" 앱을 인증하는데 사용 하는 키임
  - 이 "android" 앱은 권한이 높은 사용자 ID인 "android.uid.system" 으로 실행되어 사용자 데이터 액세스 권한 및 시스템 권한을 보유함
  - 이 인증서로 서명된 모든 앱은 안드로이드 OS에 대해서 같은 수준의 권한으로 실행이 가능

• 유출된 삼성의 키는 삼성페이, 빅스비, 전화 앱 등 약 101개에 이르는 페이지에 있는 수백개의 앱들에 사용되었음
• 심지어 삼성은 오늘까지도 해당 키를 교체 하지 않았음
• 얘기가 더 이상한 것은, APKMirror 설립자가 말하길 VirusTotal에서 해당 키로 서명한 멀웨어는 2016년 것이라는 것
====

앱 서명(코드 서명)은 어떤 실행파일에 인증서로 “서명”하여 이 프로그램이 올바른 개발자(기업)가 배포한 것임을 인증하고, 체크섬을 활용하여 변조가 없음을(무결성) 보장할수 있게 하는 것입니다.
https://ko.m.wikipedia.org/wiki/코드_서명

즉 단말기에서는 삼성의 인증서로 서명된 앱은 삼성이 배포한 것이므로 믿어도 된다고 판단되는거죠.

국내에서 코드 서명 인증서의 유출사건은 간간히 있어왔고, 2016년 관련 대책이 논의된적이 있었던 것 같습니다.
[보안SW 코드서명 인증서 유출 사고 경험담 : 시사점과 대응책은 무엇?] (이유지 | 2016년 4월 29일)
https://byline.network/2016/04/1-137/

한국전자인증은 유출방지 캠페인도 하고 있네요.
[한국전자인증,코드사인 인증서 유출방지 캠페인 실시](2019년 August 8일)
https://cert.crosscert.com/한국전자인증코드사인-인증서-유출방지-캠페인-실/

캠페인의 방향은 “EV 인증서를 도입하라”인 것 같지만요. (EV 인증서는 발급 비용이 비쌉니다.)

한편, 이 문제에 대하여 질의하자 삼성은 다음과 같은 답을 보내왔다고 합니다.
"삼성은 갤럭시 기기의 보안을 중요하게 생각하며, 2016년부터 해당 문제를 인지하고 보안패치를 진행하였으며, 현재까지 해당 취약점과 관련된 보안 사고는 알려진 바 없습니다. 항상 소프트웨어 업데이트로 장치를 최신 상태로 유지하는것을 추천합니다."