최근 애플의 모바일 운영체제인 iOS의 업데이트가 잦아지고 있다. 오는 9월 신형 아이폰과 함께 iOS 10 버전 출시를 앞두고 있는가운데 26일 실시된 추가적인 업데이트가 주목을 받고 있다.
25일 iOS 운영체제의 결함을 이용해 문자 메시지 링크를 클릭하는 것만으로 사용자 아이폰에 스파이웨어를 설치하는 악성코드가 발견되면서 애플이 서둘러 소프트웨어 업데이트 9.3.5 버전을 내놨다.
iOS 업데이트의 통상적인 속성은 첫번째 자리는 iOS 버전을, 두번째 자리는 추가된 주요 기능을, 세번째 자리는 버그나 보안 업데이트가 추가되는 것을 의미한다.
iOS 9.3 버전은 지난 1월 19일 9.2.1 버전이 출시된 이후 3개월 만인 3월 21일 출시됐다. 이후 8월 4일 iOS 9.3.4 버전을 버전을 내놨지만 20여일 만에 추가 보안 업데이트를 단행했다.
아랍에미리트 변호사이자 인권운동가인 아흐메드 만수르가 지난 10일과 11일 잇따라 받은 문자메시지에 덧붙은 링크가 문제였다. 링크를 따라가면 자신의 스마트폰에 저장된 개인정보는 물론 악성코드에 감염돼 공격자 스파이웨어가 사용자 아이폰을 '탈옥' 수준으로 원격조정할 수 있게 된다. 각종 앱을 마음대로 통제하고 사용자의 위치정보, 카메라를 이용한 촬영까지 가능할 정도로 심각한 스파이웨어였다.
미국 시티즌랩과 룩아웃시큐리티가 이 사실을 기반으로 보고서를 25일 공개하자 애플은 발빠르게 9.3.5 버전을 내놨다.
앞서 9.3.1과 9.3.2 버전은 버그 수정이었지만 9.3.3부터는 보안 업데이트에 집중됐다.
9.3.3 버전은 안드로이드 계열 스마트폰에 치명적인 '스테이지 프라이트(stage fright)'는 악성코드가 아이폰에서도 일부 취약하다는 점이 발견됐고 mac OS X에도 영향을 주는 것으로 확인되면서 추가된 보안 업데이트다.
공격자가 안드로이드 기기를 공격할 때, 악성 코드를 희생자의 기기에 심어 원격 작업을 가능하게 한다. 유용성 증명이 함께 쓰여진 버그를 이용하여 안드로이드 필수 요소중 하나인 '스테이지 프라이트'라는 멀티미디어 라이브러리를 공격하면, 악성코드가 심어진 MMS 메시지를 기기에 보내고 악성코드를 심을수 있게 된다.
애플 iOS는 ImageIO(이미지 데이터를 처리하는데 사용 되는 API)에서 발생한다. 악성코드가 심어진 문자메시지의 링크를 클릭하는 순간 아이폰 사용자의 모든 비밀번호를 도난당할 수 있다. 모바일 브라우저인 사파리를 통한 공격도 가능해 링크 웹페이지 방문만으로도 공격에 노출될 수 있다.
이러한 공격에 대응한 iOS 9.3.3 버전은 악의적인 캘린더 이벤트를 통해 기기를 강제 충돌시키는 공격 기법 등 운영체제의 취약점을 이용해 원격으로 임의의 코드를 실행할 수 있는 스파이웨어를 포함한 26개의 취약점도 개선했다.
안드로이 계열 스마트폰은 이 공격을 받게되면 기기를 제어할 수 없는 사실상 '좀비 폰'이 되고 마는 치명적인 스파이웨어다. 아이폰의 경우 스마트폰에 저장된 개인정보 등 일부만 탈취를 당하지만 보안이 뛰어난 것으로 알려진 아이폰에게도 큰 피해를 입히게 된다.
애플은 앞서 38주만에 새 업데이트 버전인 iOS 9.3.4를 지난 4일 내놨다. 메모리 충돌 문제를 고치는 버그 수정과 애플뮤직 서비스 업데이트가 포함 됐지만 중요한 보안 업데이트가 추가됐다. 사용자의 동의 없이 시스템을 조작할 수 있는 공격에 대한 업데이트였다.
이는 탈옥툴 제작으로 유명한 'Team Pangu'의 제보를 통해 이루어졌다. 앱을 통해 커널 권한으로 임의의 코드를 실행할 수 있다는 내용이었다.
하지만 이번에 새롭게 알려진 악성코드는 이스라엘에 기반한 NSO그룹이라는 해킹 전문 스타트업의 소행이라는 주장에 힘이 실리고 있다. 최초 신고자로 알려진 인권변호사 만수르는 이 링크를 클릭하지 않고 토론토대학 시티즌랩으로 보냈다. 보안업체 룩아웃과 함께 2주 만에 아이폰을 완벽하게 통제할 수 있는 스파이웨어를 찾아냈다.
BBC에 따르면, NSO그룹은 세계 각국 정부를 상대로 스파이웨어를 판매하며 가격은 최대 100만 달러에 달하는 것으로 알려졌다.
룩아웃 관계자는 "동시에 3가지 취약점을 파고드는 이 스파이웨어는 우리가 본 것 중 가장 정교한 스파이웨어 패키지였다"고 설명했다.
이 관계자는 "모바일 기기가 우리 삶에 늘 연결되는 와이파이, 3G, 4G 네트워크와 음성통신, 카메라, 이메일, 메시징, GPS, 암호, 휴대폰에 저장된 연락처 정보까지 통합적으로 탈취가 가능한 수준이었다"고 덧붙였다.
국제기구인 프라이버시 인터내셔날(Privacy International)에 따르면, NSO그룹은 멕시코와 파나마에 자신들의 제품을 팔아왔지만, 다른 국가에서도 판매가 이루어진 것으로 보고 있다.
BBC는 이러한 심각한 공격 스파이웨어를 만들어 일반인을 상대로 유포한 책임 문제가 NSO그룹의 지배 지분을 갖고 있는 샌프란시스코 기반 벤처캐피탈 회사 '샌프란시스코 파트너스'로 압축되고 있다고 전했다. 하지만 이 회사는 이 문제에 대해 아직 공식 언급이 없는 상태다.
NSO그룹은 군사 테러와 범죄에 활용할 수 있는 기술을 만들고 있는 것으로 알려져 있지만, 이처럼 일반적인 모바일 기기 사용자에게까지 대상을 무차별 확대하고 있는 지에 대해서는 제대로 알려지지 않았다.
보안전문가인 앨런 우드워드 교수는 BBC와의 인터뷰에서 "매우 드문 제로데이(zero-day) 결함"이라면서 "한 번에 여러가지를 공격할 수 있는 스파이웨어가 발견된 것도 드문데, 지금까지 이용된 이들의 방식에서 알 수 있듯이 iSO 사용자의 보안과 프라이버시에 심각한 위협이 될 수 있는 사례"라고 설명했다.