‘아이폰을 탈옥했다’는 말이 있다. 제조사가 제한한 여러 기능을 사용하기 위해 잠금장치를 해제한 걸 의미한다. 탈옥한 폰은 인터페이스를 개인화하고 화려하게 꾸밀 수 있다. 유료 애플리케이션(앱)을 무료로 쓸 수 있다. 멀티태스킹도 가능하다. 활용도가 무궁무진하다. 탈옥하는 이들이 늘어나고 옹호하는 이유다. 업계는 전체 아이폰 사용자의 10%쯤이 탈옥했을 거라고 추정한다.

하지만 탈옥을 하면 다양한 보안 문제를 겪을 수밖에 없다. 운영체제(OS) 업데이트도 안돼 취약점 개선이 이뤄지지 않는다. 애프터서비스(A/S)도 불가하다. 외부로부터의 해킹 위험이 늘어나는 이유다. 전문가들은 탈옥을 하지 않는게 가장 좋은 방법이라고 조언하며 규칙적인 업데이트가 필요하다고 입을 모은다.

아이클릭아트
아이클릭아트
26일 관련업계에 따르면 한동안 잠잠했던 아이폰 탈옥 이슈가 다시 수면 위로 올라왔다. 최근 아이폰 해킹 조직 언커버(uncOver)가 iOS 11에서 최신 업데이트 버전인 iOS 13.5까지 사용할 수 있는 탈옥 툴을 내놨기 때문이다. 이 툴은 2013년 이후 출시된 아이폰5s 상위 기종에서 모두 사용할 수 있다.

아이폰 탈옥에 목말라 있던 사용자들은 환호했다. 다수 IT 분야 온라인 커뮤니티에는 이같은 소식을 빠르게 공유했다. 회원 수 30만명이 넘는 한 포털 사이트 카페에는 25일 새벽 3시 ‘아이폰 iOS 13.5 탈옥하기’라는 제목의 게시글이 올라왔다. 스크린샷을 포함해 상세 탈옥 방법이 담겼다. 이 글은 게시 하루 만에 조회수 3000건을 넘겼다.

또 다른 게시글은 탈옥 후 스마트폰에서 트윅(Tweak, 일종의 유틸리티)을 사용하는 방법을 다뤘다. 트윅 종류도 함께 소개했다. 트윅 중에는 앱스토어에서 앱 다운그레이드나 업데이트 방지 등을 수행하는 트윅도 있다.

이들이 이처럼 환호하는 이유는 오랜만에 탈옥 툴이 등장했기 때문이다. 제조사인 애플은 탈옥을 달가워 하지 않는다.

애플은 "아이폰 소프트웨어를 무단으로 개조하는 행위는 아이폰 소프트웨어 사용권 계약을 위반한다"며 원천적으로 불법으로 간주한다. 이에 애플은 탈옥한 폰에 OS 업그레이드를 지원하지 않는다. A/S도 물론이다. 특히 애플은 2010년 탈옥폰을 무력화할 수 있는 특허를 출원하기도 했다. 이처럼 애플이 강력히 통제하면서 탈옥 관련 앱 소스는 한동안 사라졌다.

아이폰 탈옥, 해킹 피해 키우는 수단 된다

애플이 탈옥을 금기시 하는 가장 큰 이유는 해킹 위협 때문이다. 탈옥이 무조건 해킹으로 이어지는 건 아니지만 해킹 확률을 높일 수 있다. 취약점 때문이다. 특히 탈옥 툴 자체가 iOS 취약점을 이용해 만들어진다는 점에서 위험은 크게 높아진다.

실제 이번 탈옥을 주도한 ‘Pwn20wnd’는 애플이 취약점을 보안 패치할 때까지 최소 2~3주 시간이 걸릴 것이라고 예고했다. 이어 "만약 애플이 다음 버전 출시 전인 9월까지 취약점을 해결하지 못하면 iOS14 버전까지 탈옥 툴을 사용할 수 있을 것이다"라고 설명했다.

최신 OS 업그레이드도 이뤄지지 않는다. 최근 애플을 포함한 다수 스마트폰 제조사는 OS 보안 취약점을 개선하기 위해 업데이트를 진행하는 경우가 많다. 업데이트를 진행하지 않으면 취약점을 그대로 방치하는 결과를 빚어 보안 사고가 발생할 확률이 커진다. 악성 앱 등을 통해 스마트폰이 장악되거나 오작동을 일으키는 것이 일례다.

포브스는 "탈옥은 아이폰 공격 영역을 넓힌다"며 "iOS 업데이트 자격도 잃어 결국에는 아이폰을 완전히 망가뜨린다"고 지적했다. 제이크 무어 이셋(ESET) 사이버보안 전문가 역시 "스마트폰을 탈옥할 때마다 위험이 도사린다"며 "탈옥을 진행하는 과정 중에 위험이 더 증가한다"고 밝혔다.

실제 탈옥된 아이폰을 상대로 대규모 해킹 공격이 벌어진 사고도 있다. 2015년 유명 탈옥 툴인 ‘시디아'를 이용했던 아이폰과 아이패드의 22만5000개 계정이 해킹당해 개인정보가 유출됐다. 계정을 도난당한 일부 유저는 구매하지도 않은 앱이 결제 목록에 올라가는 피해를 보기도 했다. 이들 계정이 이용했던 기기가 모두 악성코드 ‘키레이더'에 감염돼 벌어진 사고다. 간단한 방식이지만 해킹 규모는 애플 역사상 최대로 알려졌다.

팔로알토 네트웍스는 사고 당시 "키레이더에 감염되면 앱스토어에 등록된 사용자 아이디와 비밀번호, 기기 고유번호를 모두 잃는다"며 "키레이더는 앱스토어 구매 목록을 탈취하거나 백신 프로그램 실행을 방해하기도 한다"고 설명했다.

탈옥 툴 등장에 잇따라 떠오른 아이폰 취약점 논란
사용자, iOS 업데이트 등 보안 대응 힘써야

탈옥 툴 출시는 애플 보안 논란에 불을 붙이는 결과를 낳았다. 해킹 조직이 탈옥 툴을 내놨다는 말이 아이폰 취약점이 발생했다는 말과 같기 때문이다.

앞서 애플은 4월 보안 기업 젝옵스(ZecOps)에 의해 메일 앱에서 취약점이 발견돼 논란을 빚었다. 해당 취약점은 수년간 5억대 이상의 아이폰에 영향을 미친 것으로 드러났다. 애플은 취약점을 공식 인정했다.

젝옵스에 따르면 미국과 독일, 일본, 사우디아라비아 지역의 주요 기업 임원과 유명 인사가 해당 취약점으로 사이버 공격을 받아 피해를 봤다. 회사는 "아이폰 사용자가 최신 버전의 iOS로 업데이트했더라도 해커가 원격으로 대다수 정보를 탈취할 수 있었다"고 밝혔다.

취약점을 사고파는 업체로 유명한 제로디움(Zerodium)은 최근 아이폰 취약점이 많아 2~3개월 동안 관련 취약점을 거래하지 않겠다고 밝혔다.

보안 전문가들은 아이폰 뿐 아니라 어느 기기든 취약점이 존재할 수 있다는 점에서 이에 대응할 수 있는 방안은 철저히 지켜줄 것을 당부했다. 김승주 고려대 정보보호대학원 교수는 "스마트폰 취약점은 안드로이드 기기이든 아이폰이든 구분 없이 동일하게 나올 수밖에 없다"며 "스마트폰 제조사가 이같은 취약점에 대응하고자 신규 OS 업그레이드를 진행하는 만큼 사용자는 즉각적으로 해당 버전을 업그레이드해 보안을 챙겨야 한다"고 강조했다.

김평화 기자 peaceit@chosunbiz.com

포스트 코로나 시대 핵심 인프라로 주목받는 클라우드를 살펴볼 수 있는 콘퍼런스가 열린다. / IT조선
포스트 코로나 시대 핵심 인프라로 주목받는 클라우드를 살펴볼 수 있는 콘퍼런스가 열린다. / IT조선
행사 홈페이지
https://sites.google.com/chosunbiz.com/cloud2020

등록 페이지
https://docs.google.com/forms/d/e/1FAIpQLScYgpd-WNruWePbnSmx_3m8U0jktknX8yjukOsX6OSrIw0LlQ/viewform

관련기사