최근 애플 아이폰의 운영체제(OS) iOS에서 지금까지 알지 못했던 3개의 치명적인 제로데이 취약점이 발견됐다. 제로데이 취약점은 제조사가 패치를 배포하기 전에 악용되는 보안 취약점을 말한다. 이 취약점들은 아이폰이 개발됐을 시점부터 존재한 것으로 드러나 그동안 안드로이드에 비해 상대적으로 안전하다는 평가를 받았던 아이폰의 위상에 금이 가게 됐다.


iOS 9.3.5 버전 업데이트는 통상적인 보안 패치 중 하나라고 생각할 수 있지만 그 배경에는 심각한 제로데이 취약점이 있었던 것이 드러났다. / IT조선
iOS 9.3.5 버전 업데이트는 통상적인 보안 패치 중 하나라고 생각할 수 있지만 그 배경에는 심각한 제로데이 취약점이 있었던 것이 드러났다. / IT조선
애플은 25일(현지시간) 부랴부랴 해당 취약점을 보완한 iOS 9.3.5 버전을 배포하기 시작했다. 하지만 해당 취약점을 애플에 제보한 캐나다 토론토대학의 시티즌랩이 발표한 보고서를 보면, 공격자는 그동안 이 제로데이 취약점을 이용해 전세계 반 정치세력들을 도청해 온 것으로 나타났다.

이번에 알려진 iOS의 제로데이 취약점은 ▲공격자가 메모리 중 커널(OS의 핵심부) 위치를 추측할 수 있는 커널 정보 유출 취약점(CVE-2016-4655) ▲공격자가 사용자 몰래 기기를 탈옥시킨 후 도청 앱을 설치할 수 있도록 하는 취약점(CVE-2016-4656) ▲사용자가 악성 링크를 클릭하면 기기를 위험에 빠트리는 웹킷 취약점(CVE-2016-4657) 세 가지다.

시티즌랩은 이 3가지 제로데이 취약점을 이용한 패키지를 '페가수스(Pegasus)'라고 명명했다. 페가수스 악성 패키지는 시리아의 NSO 그룹이라는 곳이 개발해 전세계 정부에 판매한 것으로 알려졌다. 시티즌랩은 페가수스가 전형적인 스파이 앱이지만, 통상 블랙마켓에서 판매되는 스파이 앱보다 복잡도가 훨씬 높다고 평가했다.


페가수스가 장악한 아이폰에서 해커가 수행할 수 있는 기능들. / 시티즌랩 제공
페가수스가 장악한 아이폰에서 해커가 수행할 수 있는 기능들. / 시티즌랩 제공
모든 공격은 휴대폰 단문메시지(SMS)로 시작해 사용자로 하여금 악성 링크를 클릭하도록 유도한다. 이를 통해 기기를 감염시키는데 성공하면 사용자 권한의 악성코드를 커널 권한으로 상승시킨다. 일단 악성코드가 iOS 커널을 공격하는데 성공하면 이후 사용자는 손쓸 도리가 없게 된다. 사용자는 단 한번 링크를 잘못 클릭하는 것 만으로 강제로 기기가 탈옥되는 셈이다.

점령 당한 기기는 단순 도청 뿐만 아니라 마이크를 활성화시켜 대화를 엿듣거나 GPS를 추적하는 등의 다양한 악성 행위를 사용자 몰래 할 수 있다. 공격자는 통화기록과 이메일, SMS 외에도 지메일, 페이스북, 라인, 위챗, 왓츠앱, 바이버 등 다양한 앱에도 접근 가능하다.

시티즌랩에 따르면 iOS 7부터 iOS 9.3.4 버전까지 페가수스의 영향을 받는다. 이는 곧 이미 몇 년 동안 아이폰 사용자들이 페가수스의 영향권 내에 있었음을 의미한다. 이번에 아랍에미리트의 한 인권운동가의 아이폰에서 페가수스를 발견하지 않았더라면 여전히 그 존재가 드러나지 않았을 가능성이 높다.


시티즌랩은 아랍에미리트 인권운동가가 수신한 SMS 악성 링크에서 페가수스의 존재를 파악하고 애플에 제보해 치명적인 취약점을 방지할 수 있었다. / 시티즌랩 제공
시티즌랩은 아랍에미리트 인권운동가가 수신한 SMS 악성 링크에서 페가수스의 존재를 파악하고 애플에 제보해 치명적인 취약점을 방지할 수 있었다. / 시티즌랩 제공
해당 취약점을 최초 제보한 인권운동가는 앞서 한국 국정원이 구입한 것으로 알려져 논란이 됐던 이탈리아 해킹팀의 원격 조정 시스템(RCS) 스파이 앱의 타깃이기도 했다. 때문에 그는 피싱 문자를 받자마자 악성 링크임을 알아보고 해당 문자를 시티즌랩에 분석 의뢰했다.

아이폰 및 아이패드 사용자라면 신속하게 iOS 9.3.5로 업데이트하는 것이 좋다. 현재 개발자들에게 배포된 iOS 10 베타 버전에도 해당 취약점이 존재하는지는 아직 확인되지 않았다.