최근 애플 아이폰의 운영체제(OS) iOS에서 지금까지 알지 못했던 3개의 치명적인 제로데이 취약점이 발견됐다. 제로데이 취약점은 제조사가 패치를 배포하기 전에 악용되는 보안 취약점을 말한다. 이 취약점들은 아이폰이 개발됐을 시점부터 존재한 것으로 드러나 그동안 안드로이드에 비해 상대적으로 안전하다는 평가를 받았던 아이폰의 위상에 금이 가게 됐다.
이번에 알려진 iOS의 제로데이 취약점은 ▲공격자가 메모리 중 커널(OS의 핵심부) 위치를 추측할 수 있는 커널 정보 유출 취약점(CVE-2016-4655) ▲공격자가 사용자 몰래 기기를 탈옥시킨 후 도청 앱을 설치할 수 있도록 하는 취약점(CVE-2016-4656) ▲사용자가 악성 링크를 클릭하면 기기를 위험에 빠트리는 웹킷 취약점(CVE-2016-4657) 세 가지다.
시티즌랩은 이 3가지 제로데이 취약점을 이용한 패키지를 '페가수스(Pegasus)'라고 명명했다. 페가수스 악성 패키지는 시리아의 NSO 그룹이라는 곳이 개발해 전세계 정부에 판매한 것으로 알려졌다. 시티즌랩은 페가수스가 전형적인 스파이 앱이지만, 통상 블랙마켓에서 판매되는 스파이 앱보다 복잡도가 훨씬 높다고 평가했다.
점령 당한 기기는 단순 도청 뿐만 아니라 마이크를 활성화시켜 대화를 엿듣거나 GPS를 추적하는 등의 다양한 악성 행위를 사용자 몰래 할 수 있다. 공격자는 통화기록과 이메일, SMS 외에도 지메일, 페이스북, 라인, 위챗, 왓츠앱, 바이버 등 다양한 앱에도 접근 가능하다.
시티즌랩에 따르면 iOS 7부터 iOS 9.3.4 버전까지 페가수스의 영향을 받는다. 이는 곧 이미 몇 년 동안 아이폰 사용자들이 페가수스의 영향권 내에 있었음을 의미한다. 이번에 아랍에미리트의 한 인권운동가의 아이폰에서 페가수스를 발견하지 않았더라면 여전히 그 존재가 드러나지 않았을 가능성이 높다.
아이폰 및 아이패드 사용자라면 신속하게 iOS 9.3.5로 업데이트하는 것이 좋다. 현재 개발자들에게 배포된 iOS 10 베타 버전에도 해당 취약점이 존재하는지는 아직 확인되지 않았다.