# 갤럭시 노트3 네오는 진짜 이례적인 것 같습니다. J5 2015도 삼성의 최저가형 치고는 오래 받는 것이죠 - 삼성 스마트폰 카페 회원 A 씨

# 오늘 G5-V20 보안 패치 명단에서 제외됐다는데 사실입니까. 옆 동네 S사는 5년 전 모델도 보안패치 해줬는데 LG는 뭘까요 - LG 모바일 카페 회원 B 씨

최근 12월에 진행된 삼성전자와 LG전자의 스마트폰 보안패치를 두고 관련 커뮤니티에서 반응이 엇갈리고 있다. 

28일 삼성 스마트폰 카페, LG 모바일 사용자 카페 등에 따르면 LG G5와 V20이 12월 보안패치 리스트에서 제외된 것을 두고 의견이 분분하다. 구형 스마트 폰까지 보안패치를 진행한다는 사실에 안도하면서도 이제 보안 패치가 없을 것이라며 성토가 이어지고 있다.

보안 패치가 없어도 사용하는 데 큰 지장은 없어...운영체제 업데이트가 중요
삼성전자와 LG전자는 보안패치를 진행할 때마다 기능 개선과 추가 등 버그 수정도 함께 진행한다. 그래서 관련 커뮤니티에서는 매달 진행되는 보안 패치 내역을 확인해 자신이 사용하는 스마트폰을 확인한다.

오히려 사용자들이 반기는 것은 보안패치보다 운영체제 업데이트다. 보안에 취약해지거나 스마트폰의 기능을 제대로 사용할 수 없어도 판올림(안드로이드 운영체제를 업그레이드하는 용어를 지칭) 리스트에서 제외되는 것보다 낫다는 것이 사용자들의 의견이다.

예를 들면, 운영체제 버전에 따라 모바일 게임이나 스마트폰 뱅킹, SNS를 사용할 때 제약이 많다.

스마트폰 뱅킹 앱은 안드로이드 OS 4.0(아이스크림 샌드위치) 미만은 실행할 수 없다. 카카오톡은 안드로이드 OS 4.4(킷캣) 미만에서 실행할 수 없다. 트위터는 안드로이드 OS 2.3(진저브레드) 이상에서 실행할 수 있지만, 모든 기능을 사용하려면 안드로이드 OS 4.1(젤리빈) 이상 운영체제에서 사용하는 것을 권고한다.

카카오 관계자는 "안드로이드 OS 4.4 미만 버전 사용자는 카카오톡을 최신 버전으로 업데이트할 수 없다. 현재 사용 중인 카카오톡이 지원중단 버전에 포함되면 서비스 자체를 이용할 수 없다"며 "안정적인 서비스를 이용하려면 최신 버전의 OS로 업데이트해야 한다"고 말했다.

그 결과 일부 사용자들은 커스텀 롬(안드로이드 운영체제를 개인이 개조한 버전)을 자신의 스마트폰에 강제 설치해 사용하기도 한다.

한 스마트폰 사용자는 "현재까지 별다른 문제는 발생하지 않았지만, 찝찝한 것은 사실이다"라며 "최신 스마트폰으로 교체하지 않는 이상 검증되지 않은 운영체제를 강제 설치해 사용할 수밖에 없다"고 말했다.

구글은 운영체제 2년, 보안패치 3년 지원...제조사는 제각각
구글은 안드로이드 보안 게시판을 통해 매달 진행되는 패치 내역을 공지한다. 또한 구글이 직접 출시한 스마트폰 넥서스 시리즈와 Pixel(2016)은 최소 2년, Pixel 3(2018)와 Pixel 2(2017)는 3년까지 업데이트를 보장한다.

이에 비해 삼성전자와 LG전자는 구글처럼 '최소 업데이트와 지원 기간'을 명시하지 않는다. 안드로이드 OS 자체가 누구나 무료로 사용할 수 있는 오픈 소스 기반이라 제조사가 임의대로 변형해서 사용하기 때문이다.

그래서 구글이 보안 취약점을 공개하고, 패치를 진행하더라도 제조사는 기기마다 다른 설정을 사용하는 탓에 패치 시기가 늦춰지거나 보안 패치 적용 기기가 달라지는 것이다.

현재 구글은 보안 심각도 평가를 심각(Critical), 높음(High), 보통(Moderate), 낮음(Low), 없음(No Security Impact) 등 총 5개로 구분한다.

이러한 기준에 따라 삼성전자와 LG전자는 심각과 높음부터 우선적으로 보안 패치를 진행하며, 보통과 낮음은 시간을 두고 순차적으로 진행한다.

삼성전자 관계자는 "모든 보안 패치 내역은 삼성 모바일 시큐리티 사이트에서 확인할 수 있다"며 "구글이 진행하는 보안 패치에 따라서 최대한 빠르게 진행한다"고 말했다.

최근 G5와 V20을 보안패치 리스트에서 제외했던 LG전자는 당초 입장을 번복해 "두 기종은 이미 12월에 일부 진행했고, 내년 초에 이어서 진행할 예정이다"라고 말했다.

구글-제조사-통신사의 구조적인 문제, 해결의 실마리 찾나
구글의 운영체제는 스마트폰 사용자에 오기까지 안드로이드 팀, 칩셋 제조사, 스마트폰 제조사, 통신사 등 적어도 4단계의 과정을 거친다.

이는 안드로이드 OS는 무료인 탓에 제조사의 수정과 통신사의 인증을 받아야 한다. 그 결과 같은 스마트폰이라도 통신사에 따라 업데이트 일정이 다른 것도 이러한 과정 때문이다.

구글이 최신 운영체제를 공개하더라도 스마트폰 제조사는 공개된 소스를 가지고 수정한 탓에 업데이트와 패치가 늦어지고, 이러한 피해는 고스란히 소비자가 떠안는다.

그래서 구글은 2017년 8월 안드로이드 OS 8.0(오레오)과 함께 '프로젝트 트레블'을 공개했다. 프로젝트 트레블은 기존 안드로이드 운영체제 업데이트 지연으로 사용자의 불만이 구글로 향하자 제조사가 빠르게 대응할 수 있도록 개선한 시스템이다. 이후 오레오를 탑재한 기기에서는 이전보다 업데이트와 패치 속도가 빨라졌다.

또 올해 10월 안드로이드 OS 보안 가이드라인에 2018년 1월 31일 이후 출시된 10만 명 이상이 사용하는 단말기는 2년 동안 보안 업데이트를 제공해야 한다는 조항을 추가했다.

다만 2018년 1월 31일 이전에 출시된 기기는 해당하지 않아 보안패치 리스트에서 제외되면 보안에 취약해질 수밖에 없다.

업계 관계자는 "스마트폰 교체 주기는 길어지고, 신제품 출시 주기는 빨라지고 있어 구형 스마트폰이 많아지고 있다. 제조사의 주력 기종이 아닌 이상 업데이트와 패치에서 소외될 수밖에 없다"며 "구글-제조사-이통사로 연결되는 구조를 바꿀 수 없는 탓에 사용자들이 겪는 불편함은 계속될 것으로 보인다"고 말했다.