본문 바로가기 주메뉴 바로가기 검색 바로가기
악용 우려 심각한 스파이웨어, iOS 보안 한계 입증
상태바
악용 우려 심각한 스파이웨어, iOS 보안 한계 입증
국제 앰네스티가 NSO 그룹의 감시 도구인 페가수스 스파이웨어와 관련, 경각심을 가질 만한 사실을 설명했다. 그리고, 페가수스의 치명적인 위협과 애플, 구글의 방어 간 격차도 함께 밝혔다.
By LILY HAY NEWMAN, WIRED US

개인 스파이웨어라는 암흑의 세계는 오랫동안 사이버 보안계에 경각심을 주었다. 독재 정권이 비윤리적인 중개 기업의 멀웨어를 구매하며 사회운동가와 언론인, 정치 반대파 등의 스마트폰을 목표로 한 사실이 알려졌기 때문이다. 스파이웨어를 비롯한 각종 감시 도구는 주로 iOS 기기와 안드로이드 기기를 표적으로 삼았다. 모두 보안 위협에 꾸준히 대응할 수 없는 탓이다. 그러나 최근, 새로이 보도된 소식은 감시 기술의 문제가 우려한 것보다 훨씬 더 심각하다는 사실을 드러낸다. 게다가 감시 기술 때문에 발생하는 위협의 해결책을 모색하는 보안 전문가가 모바일 기기 제조사, 그중 특히 애플에 더 압박을 가하게 됐다.

2021년 7월, 국제 앰네스티와 포비든 스토리즈(Forbidden Stories)를 포함한 기관 12곳의 연구원과 언론인으로 구성된 단체가 헝가리와 인도, 멕시코, 모로코, 사우디아라비아, 아랍에미리트 등 세계 여러 정부가 악명 높은 이스라엘 스파이웨어 공급사인 NSO 그룹(NSO Group)의 고객일 수도 있다는 사실을 나타낸 과학적 증거를 공개했다. 연구팀은 사회 운동가와 언론인, 기업 임원, 정치인 등 감시 표적이 됐을 수도 있는 이들과 관련이 있는 정보 유출이 이루어진 것으로 추정되는 휴대폰 5만 대가 포함된 유출 목록을 연구했다. 또한, 심각한 보안 침입 문제를 일으키는 NSO 그룹의 페가수스(Pegasus) 스파이웨어에 감염됐거나 감시 대상이 된 기기 37대를 특별히 분석했다. 또, 특수 툴을 제작해, 사용자 스스로 기기가 스파이웨어에 감염됐는지 확인하도록 한다.

7월 20일(현지 시각), NSO 그룹은 강력한 표현과 함께 해당 연구는 여러 언론 기관 단체의 거짓 의혹이라고 주장했다. NSO 그룹 대변인은 “연구팀이 본 유출된 목록은 페가수스 스파이웨어 표적이거나 잠재적인 표적이 아니다. 또, 목록의 수치는 NSO 그룹과 전혀 상관이 없다. 목록에 포함된 명칭이 무조건 페가수스와 관련이 있거나 대대적인 감시의 표적이 됐을 수도 있다는 주장은 모두 거짓이다”라고 말했다. 이후, NSO 그룹은 언론의 문의에 더는 답변하지 않겠다고 밝혔다.

NSO 그룹이 유일한 스파이웨어 공급사는 아니지만, 가장 악명 높다. 2019년, 왓츠앱은 사용자 1,000여 명을 공격했다고 주장하면서 NSO 그룹을 제소했다. 또, 2021년 초, 애플이 iOS 14와 함께 도입한 블래스트도어(BlastDoor) 기능은 악성 링크를 단 한 차례도 클릭하지 않거나 특정 파일을 다운로드하지 채로 감염되는 공격을 막을 노력의 일환으로 등장했다. 그러나 블래스트도어는 의도와 달리 그리 효과가 없는 것으로 확인됐다. 7월 20일(현지 시각), 애플은 iOS 패치를 공개하면서 최근 들어 의혹이 제기된 NSO 그룹 해킹을 다루었다.

NSO 그룹의 스파이웨어 피해 사실이 알려지면서 다수 보안 연구원이 애플과 구글 모두 첨단화된 교묘한 감시 툴에서 사용자를 보호하기 위해 더 많은 조처를 할 수 있으며, 해야 한다고 주장한다.
 
[사진=Freepik]
[사진=Freepik]

개인 연구원인 세드릭 오웬스(Cedric Owens)는 “이번 페가수스 스파이웨어 사태는 오늘날 모바일 기기 보안과 조사 능력에 전반적으로 큰 어려움이 있다는 사실을 드러낸다. 안드로이드와 iOS 기기 모두 NSO가 특정한 이유로 공격을 개시하면서 각종 툴을 보유한 공격자의 공격이 성공할 수 있다는 사실을 보여주면서 안드로이드와 iOS 기기 모두 단 한 차례의 링크 클릭이나 파일 다운로드 없이도 감염될 수 있다고 생각한다. 애플이 자사 제품과 생태계를 광범위하게 통제해도 다른 부분이 없다”라고 말했다.
 
“애플은 프라이버시와 보안 강화 노력을 펼친다. 그러나 문제는 애플이라는 기업의 명성이 시사하는 것만큼 최대한의 노력을 하지 않는다는 사실이다.”
매튜 그린, 존스홉킨스대학교

연구원의 iOS 기기 대상 포렌식 조사 시행 능력과 감시 툴 배포 제한을 두고 오랫동안 애플과 보안 업계 간 갈등이 들끓었다. iOS 접근 권한을 확대한다면, 실시간으로 더 많은 공격을 잡을 수 있어 연구원이 각종 공격이 처음 등장하는 과정을 더 깊이 이해하는 데 도움이 될 수 있다. 현재, 다수 보안 연구원이 iOS 내 지표의 사소한 설정에 간혹 진행하는 탈옥에 의존한다. 안드로이드가 설계 측면에서 더 개방적인 것과는 달리 iOS는 ‘식별 가능성’이라고 알려진 한계를 두고 있다. 일부 연구원은 페가수스와 같이 고도의 기술로 제작된 스파이웨어를 효율적으로 퇴치하기 위해 운영 중인 과정을 검토할 수 있는 기기의 파일시스템과 시스템 로그, 기타 각종 원격 측정 기능에 접근해야 한다고 말한다.

연구원의 기기 접근 권한 허가 문제에서 애플을 중심으로 제기된 수많은 비판 주장은 애플이 오래전부터 무너지기 쉬운 안드로이드 생태계보다 더 강력한 보안 보호 기능을 제공해왔기 때문이다.

사이버 보안 기업 센티넬원(SentinelOne)의 수석 위협 연구원인 후안 안드레스 게레로 사드(Juan Andres Guerrero-Saade)는 “보안 업계가 애플에 더 높은 보안 기준을 지닌 사실이 분명하다. 그동안 애플이 구글보다 보안 측면에서 훌륭한 역할을 해왔기 때문이다. 안드로이드 기기는 누구나 무료로 이용할 수 있다. 개인적으로 안드로이드 보안이 누구나 악성 링크 클릭 혹은 악성 파일 다운로드와 같은 문제 없이 공격 표적이 되는 문제를 개선할 것이라고 기대하는 이는 없다고 본다”라고 말했다.

사실, 국제 앰네스티 연구팀은 안드로이드 기기에서 실행 중인 멀웨어보다 애플 기기의 보안 침해 지점을 찾고 조사하는 것이 더 쉬웠다고 밝혔다.

연구팀은 페가수스 발견 관련 장문의 기술 분석문에 “국제 앰네스티의 경험에 따르면, 안드로이드 기기보다 애플 iOS 기기에 조사 연구원이 접근할 수 있는 포렌식 추적이 훨씬 더 많았다. 따라서 연구팀의 연구 방식은 iOS 기기에 더 중점을 두었다. 결과적으로 가장 최근 발견된 페가수스 감염 사례 대부분이 아이폰과 관련이 있다”라고 작성했다.

연구팀이 초점을 맞춘 일부 사항은 애플이 스스로 제품 설계와 마케팅에서 프라이버시와 보안을 강조한 것과 관련이 있다.

존스홉킨스대학교 암호학자인 매튜 그린(Matthew Green) 박사는 “애플은 프라이버시와 보안 강화 노력을 펼친다. 그러나 문제는 애플이라는 기업의 명성이 시사하는 것만큼 최대한의 노력을 하지 않는다는 사실이다”라고 언급했다.

그러나 안드로이드 기기는 iOS 기기보다 접근성 측면에서 더 개방적이지만, 구글도 안드로이드에 접근할 수 있는 가시성 문제와 관련한 비판을 직면했다.

오랫동안 모바일 시스템 정보 접근성 옹호론을 펼쳐온 시장 분석 기관 젝옵스(ZecOps) CEO인 주크 아브라함(Zuk Avraham)은 “안드로이드와 iOS는 다른 종류의 로그를 보유했다. 이 때문에 두 운영체제를 비교하기 매우 어렵다. 안드로이드와 iOS 모두 나름 장점이 있지만, 똑같이 보안 수준이 충분하지 않은 탓에 위협이 되는 공격을 개시하는 공격자가 정체를 숨길 수 있다”라고 말했다.

그러나 애플과 구글 모두 디지털 포렌식이라는 불편한 진실을 드러내는 것을 망설인다. 또, 대다수 개인 보안 연구원이 디지털 포렌식을 위한 접근성 향상이라는 변화를 옹호하는 한편, 일부 전문가는 시스템 원격 측정 접근 권한이 이미 증가한 사실을 인정하기도 했다.

구글 대변인은 와이어드에 보낸 공식 성명을 통해 “끊임없이 이어지는 로그가 국제 앰네스티 연구팀이 설명한 문제와 같은 사항과 같은 포렌식 사용에 더 도움이 된다는 사실을 이해한다. 그러나 반대로 해커가 이를 악용할 수도 있다. 구글은 계속 보안 연구원의 필요와 실제 제공하는 접근성 간의 격차 균형을 유지한다”라고 밝혔다.

애플 보안 책임자인 이반 크르스틱(Ivan Krstić)은 “애플은 언론인과 인권 운동가를 비롯해 세계 평화에 이바지하는 많은 사람을 겨냥한 사이버 공격 행위를 확실히 비난한다. 애플은 지난 10년간 보안 혁신을 선도해왔으며, 그 결과 다수 보안 전문가는 아이폰이 시장에 출시된 제품 중 가장 안전하고 보안 수준이 뛰어난 소비자 모바일 기기라는 사실에 동의한다. 페가수스 스파이웨어와 같은 각종 사이버 공격은 매우 교묘하게 고도화되었으며, 수백만 달러를 들여 개발이 이루어지면서 주로 존재하는 기간이 짧다. 그리고, 특정 개인을 공격 대상으로 삼는다. 애플 제품 사용자 절대다수에게는 위협이 되지 않는다는 의미이지만, 애플은 열심히 사용자 보안을 보호한다. 또한, 지속하여 사용자 기기와 데이터를 보호할 새로운 수단을 추가한다”라고 주장했다.

페가수스 스파이웨어의 속임수는 의도적으로 더 많은 시스템 지점 간의 제공 균형 유지에 타격을 주어 공격 행위가 훨씬 더 수월하게 이루어지도록 하는 것이다. iOS 보안 연구원인 윌 스트라파치(Will Strafach)는 “애플이 매우 안전한 방식으로 보안 전문가의 관찰과 iOS 기기 이미지 처리 과정을 지원해, 악성 행동 발견에 도움을 줄 수 있다. 그러나 애플이 이를 우선순위로 두지 않는 듯하다. 이와 관련, 애플이 매우 타당한 정책적 이유로 보안 연구원의 접근성을 확대하지 않을 수도 있다고 생각한다. 다만, 애플에 전적으로 동의하는 것은 아니며, 애플이 보안 연구원의 접근성 부여 관련 태도를 바꾸기를 바란다”라고 말했다.

바이러스 방지 프로그램 개발 기업 멀웨어바이츠(Malwarebytes) 소속 맥과 모바일 플랫폼 연구 총괄인 토마스 리드(Thomas Reed)는 iOS를 더 깊이 분석할 수 있다면, 사용자 보안에 더 도움이 될 것이라는 주장에 동의한다. 그러나 그는 특별히 신뢰할 수 있는 모니터링 소프트웨어를 사용하도록 한다면, 현실적인 위험이 함께 등장할 것이라고 덧붙여 말했다. 이어, 바이러스 방지 프로그램으로 완전히 제거할 수 없는 의심스러우면서도 원하지 않는 프로그램이 존재한다는 사실을 지적했다. 이러한 문제가 발생한 이유는 운영체제가 특수 시스템의 신뢰, 그리고 잠재적인 오류를 제공하기 때문이다. 악성 시스템 분석 툴이 지닌 똑같은 문제가 iOS에도 발견될 수밖에 없다.

리드 총괄은 “몇 년간 감지되지 않은 채로 배포되었다가 몇 년 뒤, 항상 실행되는 데스크톱 시스템에서 국가가 지원한 멀웨어를 발견한 적도 있다. 또, 멀웨어는 실행할 수 있는 보안 해결책이 제각각인 시스템에 배포됐다. 많은 전문가가 이러한 멀웨어를 조사한다는 점이 유용하다. 개인적으로 보안 문제 연구를 위해 몇 가지 가시성을 포기해야 할 상황을 우려했다”라고 덧붙여 전했다.

다수 연구원이 새로이 발견함과 동시에 페가수스 프로젝트는 애플과 구글 모두 민간 스파이웨어 공급사만이 제기하는 문제를 해결하지 못할 것을 사시한다. 잠재적인 페가수스 공격 피해자의 규모와 배포 정도 모두 민간 기업의 스파이웨어 금지를 국제적으로 시행할 필요가 있음을 시사한다.

7월 20일(현지 시각), 미국 국가안전보장국(NSA) 내부고발자인 에드워드 스노든(Edward Snowden)은 페가수스 프로젝트 발견 사실과 관련, 트위터를 통해 “스파이웨어 업계의 거래 금지가 거의 드물지만 최소한 신뢰성을 얻을 수 있는 방법은 감염된 기기를 거의 분리하는 것이다. 문제의 심각도가 더 적은 것도 없고, 반대로 더 심각해지는 문제도 없다”라고 주장했다.

7월 19일(현지 시각), 아마존 웹 서비스는 NSO와 관련된 클라우드 기반시설을 폐쇄하는 등 자체적으로 대응했다.

특히, 개인 감시 시장 전반에 걸쳐 NSO 그룹에서 일어나는 일이 무엇인가를 떠나 사용자 기기는 결과적으로 누구든 비밀리에 표적으로 삼은 공격 행위가 발생한다면, 결국에는 타격을 받게 될 것이다. 구글과 애플 모두 자체적으로 문제 해결책을 예측할 수 없다고 해도 문제에 대처하기 위한 더 나은 방향으로 나아가야 할 것이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
An Explosive Spyware Report Shows the Limits of iOS Security
이 기사를 공유합니다
RECOMMENDED