바레인 정부가 피해자와의 어떠한 상호작용도 없이 아이폰에 실행할 수 있는 스파이웨어를 포함해 첨단화된 멀웨어를 구매하고는 인권 운동가가 소지한 기기에 설치했다는 매우 충격적인 폭로가 이어졌다. 바레인 정부가 구매한 스파이웨어는 별도의 링크 클릭이나 사용자의 허가가 없어도 설치와 감시가 가능하다. 그러나 토론토대학교 시티즌랩(Citizen Lab)이 최근 발표한 스파이웨어 관련 사이버 보안 문제는 매우 불쾌하면서도 갈수록 익숙한 문제가 되고 있다.
단 한 차례의 클릭이 없어도 사이버 공격이 개시되는 이른바 ‘제로 클릭(zero-click)’ 공격은 어느 플랫폼에서나 발생할 수 있으나 대중적으로 크게 주목받은 일련의 해킹 공격을 통해 해커가 애플 아이메시지 서비스의 취약점을 찾아 공격을 개시한 사실이 드러났다. 많은 보안 전문가가 애플의 문제 해결 시도 부재를 지적한다. 더 심각한 문제는 애플이 가장 심각한 위험에 노출된 사용자를 보호하기 위해 취할 수 있는 조치가 없다는 점이다.
iOS 최신 버전에서 이루어지는 상호작용이 없는 사이버 공격은 지금도 발생 사례가 극도로 적으며, 주로 전 세계 고위급 인사 중 소수만 겨냥한다. 다시 말해, 일반 아이폰 사용자가 스파이웨어 공격에 노출될 확률은 매우 낮다. 그러나 바레인 정부의 사이버 공격 사례는 가장 심각한 수준의 위험에 노출된 애플의 아이메시지 보안 위험 무력화 노력이 완전히 성공하지 않았다는 사실을 입증한다. 현재 애플이 아이메시지에서 발생한 보안 문제에 얼마나 법적 책임을 질 의사가 있는가를 둘러싼 의문점을 제기할 수 있다.
[사진=Freepik]
오랫동안 맥OS와 iOS 기기를 사용해온 보안 전문가인 패트릭 와들(Patrick Wardle)은 “지금도 모든 사용자의 데이터와 메시지를 받아들이는 iOS 기기에 감지할 수 없는 스파이웨어 앱이 존재한다는 사실에 화난다. 만약, 누군가가 아이메시지에서 제로클릭 공격을 개시한다면, 전 세계 어디에나 공격을 보내고 결국 언제든지 일반 사용자 누구나 위험에 노출된다”라고 설명했다.
애플은 iOS14의 아이메시지 제로클릭 공격을 종합적으로 다룰 대비를 했다. 가장 주목할 만한 새로운 기능인 블래스트도어(BlastDoor)는 iOS 기기 환경 전체에 타격을 주기 전 잠재적인 악성 공격 개시 요소를 제거하고자 기기에 전송되는 아이메시지에 별도의 보호막을 형성하는 것과 같은 역할을 한다. 그러나 상호작용이 없는 공격은 계속 발생한다. 시티즌랩 연구팀이 최근 발견한 보안 문제와 2021년 7월, 국제앰네스티가 발표한 연구 내용 모두 제로클릭 공격으로 블래스트도어를 무력화할 수 있다는 사실을 입증한다.
애플은 블래스트도어를 피한 제로클릭 공격은 물론이고 국제앰네스티가 언급한 '메가로던(Megalodon)’과 시티즌랩스가 언급한 ‘포스드엔트리(ForcedEntry)’와 같은 제로클릭과 관련된 공격을 일으키는 취약점 수정 사항을 배포하지 않았다. 애플 대변인은 와이어드에 블래스트도어 외에도 아이메시지 보안을 더 강화하려 노력하고 있으며, 2021년 9월 중으로 배포될 것이 유력한 iOS15에 새로운 보안 기능을 추가할 것이라고 밝혔다. 그러나 추가 보호 사항에 포함된 부분과 메가로던과 포스드엔트리 등 블래스트도어를 무력화하는 것으로 알려진 공격 방어 여부 등은 확실하지 않다.
애플 보안 엔지니어링 및 아키텍처 총괄인 이반 크르스틱(Ivan Krstić)은 공식 성명을 통해 “지금까지 알려진 제로클릭 공격과 블래스트도어를 우회한 공격 모두 고도의 기술이 적용된 교묘한 사이버 공격이며, 천문학적인 비용을 들여야 개발할 수 있다. 또, 종종 일시적으로만 존재하며, 특정 개인을 겨냥한 공격을 개시한다”라며, “애플 기기 사용자 절대다수는 공격 위험성이 없다는 의미이지만, 애플은 모든 고객을 보호하기 위해 계속 최대한 노력할 것이다”라고 말했다.
많은 보안 전문가는 아이메시지의 상당수 설계 목적과 기능 때문에 공격 보호가 어렵다고 말한다. 공격 지점의 범위는 매우 넓다. 겉으로는 드러나지 않지만, 수많은 코드와 여러 요소를 계획 없이 구성해 각종 메시지와 사진, 영상, 링크, 미모지, 앱 통합 등 여러 가지를 얻어 모든 것이 원활하게 작동한다. 각각의 기능과 iOS 내 다른 부분의 상호연결을 통해 해커가 악용할 수 있는 결함을 찾을 수 있는 새로운 기회를 생성한다. 아이메시지 제로클릭이 몇 년 전 등장한 이후 전반적으로 아이메시지 서비스의 취약점을 줄이는 데 어느 정도 구조를 재구성해야 한다는 사실이 갈수록 분명하게 드러났다. 물론, 구조 재구성이 최선은 아닌 듯하다.
전체적인 문제 진단은 시행하지 않았지만, 애플은 몇 가지 방법을 선택해 고도의 기술을 악용한 아이메시지 해킹을 다룰 수 있다. 많은 전문가는 애플이 특별 설정을 제공해, 공격 위험성이 큰 사용자가 기기에서 아이메시지를 잠금 설정하도록 지원할 수 있다고 언급했다. 아이메시지 잠금은 이미지와 링크 등 신뢰할 수 없는 콘텐츠를 아예 차단하는 옵션과 연락처에 없는 이가 보낸 메시지를 받기 전 사용자가 실행할 수 있는 설정을 포함한다.
그러나 아이메시지 잠금 설정 옵션이 그다지 매력적인 대안이 아닐 수 있다. 혹은 대다수 사용자에게는 합리적이지 않은 기능으로 볼 수도 있다. 예를 들어, 사용자는 휴대폰 연락처에 약국의 자동 알림 전호를 저장하지 않아도 처방전 준비 사실을 알리는 텍스트 알림을 받고자 할 것이다. 또, 얼마 전 술집에서 우연히 만나 번호를 교환한 사람이 보낸 사진과 기사 링크를 바로 열고자 할 수도 있다. 그러나 아미메시지 잠금 설정과 같이 더 극단적인 기능 선택은 해커의 공격 대상이 될 법한 소수 사용자를 보호하는 데 매우 유용하다.
사실, 시티즌랩 소속 연구원을 포함한 다수 보안 전문가는 애플이 아이메시지 자체를 실행할 수 없도록 하는 옵션을 제공해야 한다고 주장한다. 애플은 항상 사용자가 아이메시지를 삭제하도록 지원하는 것을 기피했다. 또, 아이메시지는 여러 측면에서 애플의 가장 중요한 핵심 요소 중 하나이다. 그러나 iOS에서 이미 페이스타임과 같은 앱을 삭제할 수 있으며, 사파리 등 애플 기기의 여러 핵심 서비스를 비활성화할 수 있다. (설정에 접속하고 스크린타임을 선택한 뒤 ‘콘텐츠 및 프라이버시 제한’을 찾고 ‘모든 앱 허용’을 선택하면 된다.)
시티즌랩 관계자도 아이메시지 삭제로 제로클릭 공격을 막는 대신 다른 단점이 있다는 사실을 인정한다. 제로클릭 공격은 왓츠앱 등 완전히 다른 커뮤니케이션 앱에서도 등장할 수 있다. 따라서 아이메시지를 제거한다고 해서 문제를 완전히 해결하는 것은 아니다. 또, 사용자가 최종 암호화 기능이 적용된 아이메시지 대신 SMS 텍스트 메시지에 의존하도록 유도한다면, 전반적인 보안 수준이 약화된다.
여전히 아이메시지에 일종의 보안 모드 제공을 애플이 공격 위험성이 매우 높은 상황에서 iOS에 의존하는 사용자에게 실질적이면서도 의미 있는 조치라고 할 수 있다.
와들은 “애플이 아이메시지를 완전히 제거할 수 있도록 한다면 매우 좋을 것이다. 블래스트도어와 같은 보호 기능을 최우선으로 추가할 수 있으나 모래성을 쌓는 수준에 불과한 보호 조치이다”라고 설명했다.
모두 애플의 아이메시지 제로클릭 공격 해결 의사와 공격 퇴치에 택하는 전략에 달려있다.
오랫동안 iOS 연구원으로 활동을 이어온 iOS용 보안 앱인 가디언 파이어월(Guardian Firewall)을 개발한 윌 스트라파치(Will Strafach)는 “제로클릭 공격 보안은 매우 복잡하다. 개인적으로 지금까지 발견된 모든 공격을 아이메시지 제로클릭 보안 조치 실패라고 생각하지 않는다. 아이폰은 특수 기기가 아닌 주요 소비자 기기이면서도 신뢰도가 매우 높은 기기이다. 다만, 애플 내부에서도 아이메시지 제로클릭 공격을 방어할 연구를 시급성이 커지는 문제로 받아들이고 자체 보안팀이 아이메시지와 같은 보편적인 공격 벡터 확산이 더 어렵도록 만들기 위해 필요한 자원을 확보하기를 바란다”라고 말했다.
iOS15에서 애플이 제안하는 제로클릭 공격 해결책을 더 자세히 밝혀야 한다. 그러나 애플이 제로클릭 공격을 막기 위한 노력이 제한적으로 이루어졌다는 사실에 가장 최근 발견된 아이메시지 제로클릭 공격의 단기 해결책이 없다는 사실까지 더해진 상황은 제로클릭 공격이 해결하기 어렵다는 사실과 제로클릭 공격을 막기 위해 더 큰 노력이 필요하다는 사실을 시사한다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202109/3369_4454_3150.jpg)
뉴스레터 신청