적어도 2021년 8월부터 교묘한 공격 능력을 지닌 해커 세력이 맥OS와 iOS 기기 결함을 악용해 홍콩 언론 기관과 민주주의 웹사이트에 방문한 사용자의 애플 기기에 멀웨어를 설치한 것으로 드러났다. 특정 집단을 표적으로 삼는 이른바 워터링홀 공격(watering hole attack)을 광범위한 넷 공간에서 발견했으며, 불운하게도 해커의 공격에 감염된 웹 페이지에 접속한 아이폰과 맥 기기에 백도어를 무차별적으로 심었다.
애플은 홍콩 내 애플 기기를 겨냥한 사이버 공격을 확산할 수 있는 각종 버그를 대상으로 패치 작업을 시행했다. 그러나 11월 11일(현지 시각), 구글 위협 분석 그룹(Threat Analysis Group)이 홍콩의 해커 세력이 얼마나 심각한 공격을 개시했는지, 그리고 그 공격이 얼마나 널리 확산됐는지 입증했다. 이번 워터링홀 공격은 해커 세력이 무자비하게 악용한다는 사실이 알려진 제로 데이(zero-days) 공격의 또 다른 사례이다. 언론인, 반정부 인사 등 매우 유명한 인물에게 집중하여 대상을 지적한 공격과는 달리 국가의 지원을 받는 것으로 의심되는 사이버 공격 세력이 이번 공격을 이어갔다.
구글 위협 분석 그룹이 발표한 바에 따르면, 최근의 홍콩 내 사이버 공격은 언론 기관과 유명 민주주의 노동 및 정치 단체의 웹사이트 보안을 공격하는 데 특히 초점을 맞추었다. 해커 세력이 처음부터 웹사이트 보안을 공격한 방법은 확실하지 않다. 다만, 피해자의 기기에 멀웨어가 한 번 설치되면 백그라운드에서 실행되어 감염 기기에 파일을 다운로드하거나 데이터를 수집하고 스크린 캡처와 키보드 입력 내용을 기록할 수 있다. 또, 오디오 녹음과 각종 명령 실행도 가능하다. 각각의 피해자 기기의 신원 식별용 지문도 생성했다.
[사진=Pixabay]
iOS 기기와 맥OS 기기 공격은 각각 다른 접근방식을 택했다. 그러나 모두 여러 가지 취약점을 결합해 해커가 피해자 기기를 제어하고는 멀웨어를 설치하도록 한다. 구글 위협 분석 그룹은 iOS 기기 악용 방법 전체를 분석할 수 없었으나 해커가 공격을 개시하는 데 동원된 사파리의 핵심 취약점을 확인했다. 맥OS 공격에는 웹키트(WebKit) 취약점과 핵심 버그가 동원됐다. 애플은 2021년 내내 구글 위협 분석 그룹이 발견한 문제 모두 패치 작업을 진행했으며, 공격에 악용된 맥OS의 취약점은 판구랩(Pangu Lab)이 2021년 4월과 7월에 진행한 콘퍼런스를 통해 설명한 바 있다.
또, 연구팀은 워터링홀 공격으로 피해자 기기에 전달된 멀웨어가 신중한 과정을 거쳐 설계됐으며, 소프트웨어 엔지니어링 확장 제품으로 추정된다고 밝혔다. 멀웨어는 모듈 디자인을 적용했으며, 여러 차례의 공격에 걸쳐 다른 시점에 다른 여러 구성요소가 배포되었을 수도 있다.
중국 정부의 지원을 받는 해커 세력이 위구르족을 겨냥한 공격을 포함해 워터링홀 공격에 지나치게 많은 제로데이 취약점을 악용한 사실이 알려진 적이 있다. 2019년, 구글 프로젝트 제로(Project Zero)는 약 2년 전에 사라진 중국의 제로데이 공격 한 건을 찾아내는 기념비적인 성과를 거두었다. 또, 특정한 개인을 공격 대상으로 삼지 않고 불특정 다수를 공격하는 데 악용된 iOS 제로데이를 최초로 대중적으로 발견한 사례이기도 하다. 제로데이 수법은 다른 여러 해커 세력도 악용했다. 구글 위협 분석 그룹의 셰인 헌틀리(Shane Huntley) 총괄은 조사 당시 멀웨어 유포 특성을 예측하지 않았으며, 공격의 특별한 특성의 기술적 증거가 충분하지 않았다고 밝혔다. 이어, 해커 세력의 활동과 공격 표적 지정이 정부 산하 해커 조직의 활동과 일치한다고 덧붙였다.
헌틀리 총괄은 “홍콩에서 발견된 이번 워터링홀 공격과 관련, 제로데이 공격과 발견 사례 모두 대중적으로 이루어질 수 있으며, 그 사례가 증가한다는 사실에 주목할 만하다. 제로데이 악용 사례 감지 증가는 긍정적인 징조이다. 취약점을 수정하고 사용자를 보호할 수 있다. 그리고, 실제 발생할 수 있는 취약점 악용 사례를 전체적으로 파악해, 더 많은 정보를 보유한 채로 피해 예방 방법과 공격 퇴치 방법을 결정할 수 있다”라고 말했다.
애플 기기는 강력한 보안 수준과 멀웨어 문제가 다른 기기보다 적다는 명성을 오랫동안 유지했다. 그러나 이번 워터링홀 공격 사례로 해커 세력이 아이폰과 맥에서 갈수록 더 많은 제로데이 취약점을 발견하고 악용할 수 있는 수준으로 진화했다는 사실을 이해할 수 있다. 지금까지 광범위하게 이루어진 워터링홀 공격이 여러 차례 발견되면서 해커 세력은 특정한 고위급 인사만 공격 표적으로 삼지 않고, 불특정 다수를 겨냥하면서 소유한 기기와 상관없이 피해를 줄 수 있다는 사실을 알 수 있다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202111/3533_4643_4713.jpg)
뉴스레터 신청