이스라엘 스파이웨어 개발사 NSO 그룹(NSO Group)이 지난 몇 년간 안드로이드 기기와 iOS 기기 모두 겨냥한 치명적이면서도 공격 성공률이 높은 해킹 툴로 전 세계 보안 업계를 충격에 빠뜨렸다. 세계 각국의 고객사가 NSO 그룹의 스파이웨어를 악용한 탓에 현재 NSO 그룹이 제재 대상에 이름을 올리고 중대한 법률 소송 대상이 돼, 불확실한 미래를 마주하게 되었다. 그러나 2021년, 사회 운동가와 반정부 인사, 언론인 등을 겨냥해 설치된 NSO 그룹의 iOS 기기 보안 공격 수단인 포스드엔트리(ForcedEntry) 관련 신규 분석 내용은 몇 가지 더 근본적인 경고를 제시했다. 바로 기발하면서 교묘한 해킹 툴을 생성할 수 있는 기관 중 정부 지원을 받는 최고 수준의 기술력을 보유한 단체가 민간 기업이라는 사실이다.
구글의 프로젝트 제로(Project Zero) 버그 퇴치팀이 2021년, 토론토대학교 시티즌 랩(Citizen Lab) 연구팀이 제공한 샘플을 사용해 포스드엔트리를 분석했다. 시티즌 랩은 2021년, 보안 공격 악용에 사용할 수 있는 표적 지정 공격 관련 내용을 대대적으로 공개한 바 있다. 국제 앰네스티 연구팀도 2021년, 보안 공격 악용 문제를 다룬 중대한 연구를 진행했다. 보안 악용은 상호작용이 없는 제로 클릭 공격을 설정한다. 피해자가 악성 링크를 클릭하거나 해킹 공격 개시가 계속 이어질 별도의 작업 승인을 하지 않아도 공격이 이루어진다는 의미이다. 프로젝트 제로팀은 포스드엔트리가 일련의 심각한 전략을 악용해 애플 아이메시지 플랫폼을 공격 대상으로 지정하고는 애플이 수년 동안 추가한 보안 조치를 우회해, 공격 감지가 더 어려워지도록 했다. 그리고는 교묘하게 기기를 장악해 NSO 그룹의 가장 악명 높은 스파이웨어인 페가수스(Pegasus)를 설치했다.
애플은 2021년 9월과 10월, 포스드엔트리 공격을 완화하고, 향후 아이메시지를 겨냥한 비슷한 공격 개시가 더 어려워지도록 할 일련의 패치를 배포했다. 그러나 프로젝트 제로 연구팀은 자체 분석 논문에 포스드엔트리가 “지금까지 발견한 보안 악용 사례 중 사실상 가장 심각한 사례”라고 작성했다. NSO 그룹이 주장한 바에 따르면, 일반적으로 극소수 국가 지원 해커 세력에게만 제공한다고 추정되는 툴을 더 혁신적인 수단으로 툴을 개선했다.
[사진=Freepik]
프로젝트 제로 소속 연구원인 이안 비어(Ian Beer)와 새뮤얼 그로스(Samuel Groß)는 와이어드에 보낸 메일을 통해 “지금까지 제한된 범위에서 시작하면서 해커 세력이 활용할 수 있는 서버나 자바스크립트, 유사 엔진 로드가 없는 상태에서 이처럼 위험한 보안 악용 수준을 본 적이 없다”라고 밝혔다. 이어, “보안 업계 관계자 중, 포스드엔트리처럼 단 한 차례의 원격 코드 실행으로 심각한 피해를 주는 사이버 공격 유형을 해결된 문제라고 보는 이들이 적지 않다. 순수하게 모바일 기기가 제공한 완화 정도가 단 한 차례의 코드 실행 공격 개시를 막을 수 있을 정도로 훌륭하다고 판단한다. 그러나 포스드엔트리는 모바일 기기 보안을 우회한 심각한 공격 개시가 가능하다는 사실과 함께 다수가 의존하는 바를 대대적으로 악용한다는 사실을 입증한다”라고 전했다.
애플은 2020년, 프로젝트 제로 연구팀의 제로 클릭 공격 위협 수준 추적 연구 이후 iOS14 업데이트 사항에 블래스트도어(BlastDoor)라는 이름의 아이메시지 보안 시스템을 추가했다. 비어와 그로스는 블래스트도어가 상호작용 없는 아이메시지 공격 전송이 이전보다 훨씬 더 어려워지도록 만드는 데 성공한 것처럼 보인다고 말했다. 또, 와이어드에 보낸 메일을 통해 “해커 세력의 공격 개시가 이전보다 더 어렵고 위험 수준을 강화한 것은 제로 데이 공격 개시 자체가 이전보다 힘들어지도록 하는 계획의 일부분이다”라고 언급했다.
포스드엔트리는 아이메시지가 GIF와 같은 파일을 수락하고 해석해, 피해자가 아무 행동을 하지 않더라도 악성 PDF 파일을 열도록 하는 방식의 취약점을 악용한다. 물리적 스캐너의 이미지에 포함된 텍스트 처리에 이용하는 레거시 압축 툴의 취약성을 이용해, NSO 그룹 고객사가 아이폰 전체를 열도록 한다. 기본적으로 1990년대, 사진 복사와 스캔 압축에 사용된 알고리즘이 현대 통신 소프트웨어에도 내재했으며, 모든 보안 결함 및 파일과 함께 등장할 수 있다.
교묘한 공격 수법은 GIF 파일 실행 부분에서 끝나지 않는다. 다수 해커 세력이 이른바 명령 및 제어 서버로 멀웨어를 무사히 배포하고자 지시 사항을 전송한다. 그러나 포스드엔트리는 자체 가상 환경을 설정한다. 공격의 전체 구조가 자체적으로 설립돼, 아이메시지의 기이하게 고립된 영역에서 실행되어 공격 감지가 더 어려워지도록 한다. 프로젝트 제로 연구팀은 “매우 놀라운 동시에 끔찍한 공격이다”라고 결론을 내렸다.
시티즌 랩 수석 연구원 존 스콧 레일튼(John Scott-Railton)의 발언을 인용하자면, 프로젝트 제로의 기술적 심층 분석 내용은 포스드엔트리의 공격 방식을 상세히 설명한다는 사실뿐만 아니라 민간 기업이 개발한 멀웨어의 심각성과 위험성 수준을 드러냈다는 점에서 매우 주목할 만하다.
스콧 레일튼은 “매우 심각한 국가 주도 공격 역량인 동시에 매우 교묘한 공격 수단이다. 또한, 전혀 멈출 수 없는 독재자가 포스드엔트리를 동원한 공격을 행사할 때, 매우 끔찍하다고 말할 수 있다. 그리고, 지금 당장 공격 개시에 동원할 수 있는 또 다른 해킹 툴에 대한 궁금증은 시간이 지나야 답을 찾을 수 있다. 만약, 포스드엔트리와 같은 해킹 툴을 악용한 공격이 시민 사회에 위협을 가한다면, 긴급 사태이다”라고 말했다.
수년간의 논쟁 끝에 민간 스파이웨어 개발사의 행위를 심각하게 다루고자 하는 정치적 의지가 이전보다 더 커진 상황이다. 일례로, 로이터 통신의 최초 보도 내용에 따르면, 미국 국회의원 18인은 12월 14일(현지 시각). 재무부와 국무부에 NSO 그룹과 다른 감시 기술 기업 3곳을 제재 대상에 포함할 것을 요구했다.
비어와 그로스는 “스파이웨어 공격 논란은 NSO 그룹에만 예외적으로 발생한 사항이 아니다. 포스드엔트리와 비슷한 수준의 공격에 악용될 수 있는 여러 소프트웨어 서비스를 제공하는 기업이 많다. NSO 그룹은 이번에 감시 공격 문제와 관련해 주목받은 기업일 뿐이다”라고 말했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202112/3608_4722_328.jpg)
뉴스레터 신청