By KATE O'FLAHERTY, WIRED US

2024년 4월, 애플은 92개국 아이폰 사용자에게 스파이웨어 표적이 되었다는 경고를 전송했다. 애플이 전송한 경고문에는 “애플은 애플 아이디와 관련된 아이폰의 보안을 원격으로 침해하려는 귀하가 악성 스파이웨어 공격 표적이 되었음을 감지했습니다”라고 작성되었다.

경고 알림을 받은 사용자는 재빨리 X(구 트위터)를 비롯한 SNS에 접속하여 경고 알림의 의미를 파악하려 했다. 피해자 대부분 인도에 거주 중인 아이폰 사용자로 확인됐으나 유럽 사용자도 애플의 경고 메시지를 받았다.

몇 주가 지난 시점에도 아이폰 스파이웨어 공격과 관련하여 알려진 바는 거의 없었다. 하지만 과거 스마트폰 제조 업계 대기업이었던 블랙베리(Blackberry)는 해당 공격이 중국 스파이웨어 공격 작전인 ‘라이트스파이(LightSpy)’와 관련성이 있다는 점을 시사하는 내용의 연구 논문을 발행했다.

‘교묘한 iOS 삽입’이라는 설명으로도 알려진 라이트스파이는 2020년 홍콩 민주화 시위대를 겨냥한 공격으로 처음 등장했다. 하지만 가장 최근 발견된 라이트스파이 공격은 초기보단 공격 수준이 훨씬 더 심각하다.

연구팀은 보고서에 “라이트스파이는 매우 특수한 위치 데이터와 인터넷 전화 도중 기록된 음향 등 피해자의 개인 정보를 빼내는 데 주력하는 완전한 기능을 갖춘 모듈형 감시 툴셋이다”라고 기술했다.

애플이 아이폰 사용자를 표적으로 삼은 스파이웨어 공격 알림을 발행한 것은 이번이 처음이 아니다. 애플은 스파이웨어가 전 세계 유력 인사를 계속 감시 표적으로 삼은 탓에 2021년 이후 150개국 이상의 아이폰 사용자에게 공격 경고 알림을 보냈다. 애플은 와이어드의 의견 공개 요청에 답변하지 않았다.

스파이웨어는 국가 단위 적이 무기화할 수 있는 대상이다. 스파이웨어 구축은 보통 언론인, 정치계 반정부 인사, 정부 근로자, 특정 분야 기업가를 포함한 특수한 집단에 소속된 이들을 표적으로 삼을 확률이 매우 높다.

제로클릭 공격
스파이웨어는 공격자가 스마트폰의 마이크에 접근하고, 왓츠앱, 시그널 등 암호화 앱 메시지를 포함하여 피해자가 작성한 모든 정보를 보도록 한다. 공격자는 피해자의 위치 추적과 패스워드 수집, 각종 앱의 정보 수집 등도 가능하다.

과거, 스파이웨어는 피싱을 통해 전달되면서 피해자가 링크에 접속하거나 이미지를 내려받도록 요청하는 방식으로 진행되었다. 오늘날에는 스파이웨어를 기기에 자동으로 설치할 수 있는 아이메시지나 왓츠앱 이미지 등을 통한 이른바 ‘제로클릭 공격’ 방식으로 스파이웨어가 전달된다.

2021년, 구글 프로젝트 제로 연구팀은 사우디 사회 운동가를 표적으로 삼은 아이메시지 기반 제로클릭 공격 이용 과정을 상술한 보고서를 발행했다. 연구팀은 “기기를 사용하지 않는 방법 외에는 제로클릭 공격을 이용한 악용을 막을 방법이 없다. 제로클릭 공격은 방어 수단이 없는 무기이다”라고 경고했다.

아이메시지를 통한 제로클릭을 이용한 스파이웨어 감염 체인은 보안 기관 카스퍼스키(Kaspersky)가 2023년, 트라이앵귤레이션 작전(Operation Triangulation)의 일부분을 통해 입증한 공격이다.

피해자가 제로클릭 악용 사항을 포함한 첨부 파일이 있는 아이메시지를 수신하기만 하면, 제로클릭 공격이 발생한다. 카스퍼스키 글로벌 연구분석팀 수석 보안 연구원 보리스 라린(Boris Larin)은 “추가 상호작용이 없다면, 메시지는 취약점을 촉발하여 권한 강화를 위한 코드를 실행하는 결과를 초래하면서 스파이웨어 감염 기기의 전면 통제 권한을 부여한다”라고 말했다.

공격자가 기기에 스파이웨어를 확실히 설치한다면, 메시지는 자동 삭제된다.
 
페가수스 급증
가장 유명하면서 널리 알려진 스파이웨어는 이스라엘 기업 NSO 그룹(NSO Group)이 iOS와 안드로이드 소프트웨어의 취약점을 노리도록 개발한 스파이웨어인 페가수스(Pegasus)이다.

스파이웨어가 존재하는 유일한 이유는 정부 기관의 범죄, 테러 대응 목적으로만 스파이웨어를 판매한다고 주장하는 NSO 그룹과 같은 공급사 때문이다. 트렌드마이크로(Trend Micro) 사이버 보안 자문 위원 리차드 웨너(Richard Werner)는 “유럽과 북미의 각국 정부 기관을 포함한 모든 고객이 취약점을 공개하지 않는 데 동의했다”라고 전했다.

NSO 그룹의 주장과 달리 스파이웨어는 언론인과 반정부 인사, 시위대를 계속 표적으로 삼았다. 일례로, 사우디아라비아 언론인이자 반정부 인사인 자말 카슈끄지(Jamal Khashoggi)의 아내 하난 에라트르(Hanan Elatr)는 카슈끄지가 사망하기 전 페가수스 공격 대상이 된 것으로 알려졌다. 2021년, 벤 허바드(Ben Hubbard) 뉴욕타임스 기자는 자신의 스마트폰이 두 차례 페가수스 공격 표적이 된 사실을 알게 되었다.

페가수스는 모로코에서 수감 후 고문을 당한 것으로 알려진 정치 운동가 나아마 아스파리(Naama Asfari)의 부인 클라우드 마그닌(Claude Magnin)의 아이폰에도 몰래 설치되었다. 또한, 태국 민주화 운동 시위대와 러시아 언론인 가리나 팀첸코(Galina Timchenko), 복수 영국 정부 관료 등도 페가수스의 표적이 되었다.

2021년, 애플은 NSO 그룹과 그 모기업을 상대로 애플 사용자 감시 및 감시 공격 표적을 삼은 책임이 있다며, 소송을 제기했다.

소송은 지금도 진행 중이며, NSO 그룹은 소송을 기각하려 했다. 하지만 여러 전문가가 스파이웨어 공급사의 운영 능력이 존재하는 한 문제 자체가 사라지지 않을 것이라는 의견을 내놓았다.

보안 기업 멀웨어바이츠(Malwarebytes) 수석 프라이버시 옹호 전문가 데이비드 루이즈(David Ruiz)는 집착과도 같은 잔혹한 운영 기업이 스파이웨어 배포 배후에서 사회의 위험성을 더한다고 비난했다.

스파이웨어 제거
제로클릭 공격을 전달하는 스파이웨어를 마주쳤을 때 전문가는 스스로 공격 위험에서 보호하거나 기기 보안을 복구할 방법이 거의 없다고 말한다. 익스프레스VPN(ExpressVPN) 수석 정보보안책임자 애론 엔겔(Aaron Engel)은 “스파이웨어의 표적이 되었을 때는 스파이웨어에 감염된 하드웨어 및 그와 관련된 모든 계정 전체를 폐기하는 것이다. 기기를 새로 구매하고, 연락처도 새로 생성하고, 기기와 연결된 계정도 새로 개설해야 한다”라고 말했다.

스파이웨어 탐지는 어려울 수도 있다. 하지만 보안 교육 기관 KnowBe4의 최고 보안인식 옹호 책임자 자바드 마릭(Javvad Malik)이 설명한 바와 같이 지나치게 빠른 배터리 소모, 예상치 못한 차단, 과도한 데이터 사용량 등 비정상적인 행동이 스파이웨어 감염 조짐이 될 수 있다고 설명했다. 특정 앱이 스파이웨어를 탐지했다고 주장할 수도 있으나 앱의 탐지 효과는 제각각이며, 신뢰할 수 있는 탐지 결과를 위해 전문가의 도움이 필요하다.

픽셀 프라이버시(Pixel Privacy) 소속 소비자 프라이버시 옹호 책임자 크리스 호크(Chris Hauk)도 배터리 소모가 기기의 스파이웨어 설치를 강력히 암시하는 신호라고 언급했다. 호크는 “스파이웨어 대부분 기기가 효율적으로 실행되도록 개발되지 않는다”라고 전했다.

사용자는 설치하지 않은 앱과 브라우저 탈취 탓에 발생하는 경로 재지정을 강요하는 앱, 기본 브라우저나 검색 엔진의 설정을 변경한 앱도 경계해야 한다.

2023년 초반 카스퍼스키 연구팀은 페가수스, 레인(Reign), 프레데터(Predator) 등 iOS 스파이웨어 감염 조짐을 탐지할 방법을 공개했다. 페가수스 감염 시 예상치 못한 시스템 로그인 Shutdown.log를 남겨서 iOS 기기의 sysdiagnose 아카이브 내에 저장하기 때문에 효과가 있다.

기기 보안을 유지할 또 다른 노력으로 적어도 하루에 한 번은 기기를 재부팅하는 것이다. 라린은 “기기 재부팅은 공격자가 스파이웨어를 다시 설치하도록 재차 요구하며, 시간이 지날수록 스파이웨어 탐지율을 높인다”라고 설명했다.

스파이웨어 공격 대상이 될 위험성이 있다면, 아이메시지와 페이스타임을 비활성화하여 제로클릭 공격 피해 위험성을 낮출 수 있다. 그와 동시에 기기 소프트웨어를 최신 버전으로 업데이트하고, 메일 등 메시지 내 링크는 클릭하지 않아야 한다.

사이잭스(Cyjax) 사이버 보안 정보 애널리스트 애덤 프라이스(Adam Price)는 “최신 소프트웨어 버전으로 업데이트를 마치면, 합법적으로 인증된 출처에서만 앱을 설치할 수 있다”라고 전했다.

스파이웨어 피해자가 되었다면, 액세스 나우(Access Now)의 디지털 보안 도움(Digital Security Helpline), 국제 앰네스티 보안 연구소 등을 통해 스파이웨어 제거 시 도움을 받을 수 있다. 반면, 특정 기능을 비활성화하면서도 놀라울 정도로 유용한 애플의 락다운 모드는 사용자의 기기가 처음부터 스파이웨어 위치를 변경하도록 한다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Apple’s iPhone Spyware Problem Is Getting Worse. Here’s What You Should Know