2021.07.27

칼럼|페가수스 스파이웨어 사태, 애플을 위한 변명

Evan Schuman | Computerworld
한 이스라엘 회사의 스파이웨어가 여러 기자의 아이폰에서 발견됐을 때, 애플이 문제라는 지적이 일부 있었다. 하지만 애플은 이번 사건에서 비난의 대상이 아닌 듯 하다. 

보안과 프라이버시 이슈에 관한 한, 애플은 경쟁사들보다 대체적으로 나았다. 비록 마케팅을 위한 이유였지만 말이다. 애플의 iOS와 구글의 안드로이드를 비교해보면, 적어도 애플이 보안과 프라이버시를 지향하는 유의미한 시도를 한다는 점을 부정하긴 어렵다. 구글이 광고를 비롯해 여타 생각할 수 있는 그 무엇이든 파는 걸 우선한다는 점과 비교되는 대목이다. 
 
ⓒGetty Images Bank

그런가 하면 애플은 편의에 따라 배경 정보와 맥락을 생략하며, 진실을 왜곡하고 바꾸는 기업으로도 유명하다. 안테나 게이트배터리 게이트 소동을 기억하는가?

그럼에도 필자는 애플이 비교적 솔직하게 대응하고 있다고 생각한다. 최근 있었던 아이폰 사찰 소동을 두고 하는 말이다. 이 소동은 컴퓨터월드가 지난주에 꽤 충실하게 다루기도 했었다. 간단히 말해, 이 사건은 자칭 '서비스형 감시' 업체인 이스라엘 기반 NSO 그룹의 스파이웨어 ‘페가수스’가 제로 클릭 취약점을 이용해 아이폰에 설치된 것을 말한다. 국제사면위원회는 페가수스를 통해 감시당한 전 세계 언론인이 적어도 180명이라는 점을 확인했다. 

그러나 보통의 아이폰 사용자들이 알아 둘 점이 있다. 이번 사건은 고도로 표적화된 공격이었으며, 일반 사용자들에게 영향을 미쳤을 가능성은 매우 낮다는 점이다. 

애플의 반응은 "이런 류의 공격에 어떻게 대처할 수 있을까?"를 고민하는 것으로 보였다. 

특히 애플 보안 엔지니어링 및 아키텍처 책임자인 이반 크르스틱이 이번 사건에 대해 내놓은 입장문은 다음과 같다. 
 

"애플은 더 나은 세상을 위해 노력하는 언론인, 인권운동가 등을 향해 이뤄진 사이버 공격에 대해 비판적인 입장임을 분명히 한다. 애플은 지난 10년간 보안 혁신 분야에서 업계를 선도해 왔으며, 그 결과 보안 연구원들은 아이폰이 시장에서 가장 안전하고도 확실한 소비자용 모바일 기기라는 데 동의한다. 이번에 밝혀진 공격은 매우 정교하고, 수백만 달러의 개발 비용이 들며, 통상 시효성이 짧고, 특정 개인을 표적으로 삼곤 한다. 즉, 대부분의 사용자에게 위협적이지 않는다는 의미다. 그럼에도 불구하고 애플은 모든 고객을 보호하기 위해 끊임없이 노력하고 있으며, 고객의 기기와 데이터를 위한 새로운 보호 기능을 지속적으로 추가하고 있다.”


위 입장의 숨겨진 뜻을 풀어본다면 대략 다음과 같다. 

"와! 이것은 개인을 상대로 한 국가적 수준의 공격인데. 물론 애플에겐 문제가 없고, 아이폰은 여타 소비자용 모바일 기기를 통틀어 최고의 보안성을 갖추고 있지. 하지만 우리에게도 변명의 여지를 줬으면 좋겠는데. 그 어떤 소비자용 기기도 이런 류의 공격을 막지 못했을 테니까. 또 이런 공격은 정말 드물기도 하고. 애플은 99.99%의 사용자가 실제 겪게 될 공격으로부터 보호할 수 있어.”

일견 타당한 지점이 있다.

소비자용 기기는 민감한 군사, 정부 혹은 기업 프로젝트용 기기만큼 보안이 튼튼하지 않다. 블랙베리 폰은 한때 보안이 우수하다고 알려졌었지만, 전혀 보안성이 탄탄하지 않았다. 과거 오바마 전 대통령이 블랙베리 폰을 선호했지만, 보안상의 이유로 상당히 제한적인 경우에서만 사용할 수 있었다는 점을 떠올려봐도 그렇다. 

오늘날 지속적으로 이뤄지는 국가적 수준의 공격을 (잠시 동안이라도) 막아낼 기업 보안 플랫폼은 거의 없다. 이를 감안하면 개인을 겨냥한 대규모 공격을 평범한 아이폰이 방어할 수 있다고 가정하는 것은 현실적이지 않다. 

이는 모든 사이버보안의 핵심 전제이기도 하다. 대부분의 공격자들은 돈 앞에 합리적이고 실용적이다. 이들은 통상 수백 곳의 타깃을 노리지만, 공격은 돈이 되는 한 곳만 대상으로 하곤 한다. 적어도 목표물 중 한 곳을 포기하고 다른 타깃을 겨냥하는 것이 합리적이라고 판단하기 전까지는 그렇다. 개인이든 회사든 가능성이 높은 공격 유형에 걸맞은 보안을 갖추는 것이 합리적인 이유이기도 하다. 

만약 공격자가 당신의 개인 휴대전화에 접근하는 대가로 2,500만 달러를 받는 계약을 체결했다면, 여러 해커가 팀을 꾸려 수주 동안 당신의 기기를 50가지 다른 방법으로 24시간 내내 공격할 수 있다. 그런 공격에서 살아남을 수 있도록 설계된 소비자용 기기는 없다. 공격자들에게 이득이 될 만한 대상이 아니기 때문이다. 

페가수스 해킹 사건의 경우가 바로 그렇다. 

이번 사건을 보도한 뉴스들은 안전하다고 여겨진 애플 기기와 iOS가 어떻게 타격을 받았는지에 초점을 맞추곤 했다. 하지만 이번 사건에서 애플의 잘못이랄 것이 없는 게 확실하다. 애플은 상황에 맞춰 적절한 조치를 취했다 (그리고 페가수스의 최초 설치를 가능하게 했던 모든 결함을 수정할 방안을 모색하는 중이기도 하다). 

* Evan Schuman는 CBS뉴스닷컴, 리테일위크, 컴퓨터월드,이위크의 칼럼니스트이자 리테일 기술 사이트 ‘스토어프론트백토크’의 설립 편집자다. ciokr@idg.co.kr



2021.07.27

칼럼|페가수스 스파이웨어 사태, 애플을 위한 변명

Evan Schuman | Computerworld
한 이스라엘 회사의 스파이웨어가 여러 기자의 아이폰에서 발견됐을 때, 애플이 문제라는 지적이 일부 있었다. 하지만 애플은 이번 사건에서 비난의 대상이 아닌 듯 하다. 

보안과 프라이버시 이슈에 관한 한, 애플은 경쟁사들보다 대체적으로 나았다. 비록 마케팅을 위한 이유였지만 말이다. 애플의 iOS와 구글의 안드로이드를 비교해보면, 적어도 애플이 보안과 프라이버시를 지향하는 유의미한 시도를 한다는 점을 부정하긴 어렵다. 구글이 광고를 비롯해 여타 생각할 수 있는 그 무엇이든 파는 걸 우선한다는 점과 비교되는 대목이다. 
 
ⓒGetty Images Bank

그런가 하면 애플은 편의에 따라 배경 정보와 맥락을 생략하며, 진실을 왜곡하고 바꾸는 기업으로도 유명하다. 안테나 게이트배터리 게이트 소동을 기억하는가?

그럼에도 필자는 애플이 비교적 솔직하게 대응하고 있다고 생각한다. 최근 있었던 아이폰 사찰 소동을 두고 하는 말이다. 이 소동은 컴퓨터월드가 지난주에 꽤 충실하게 다루기도 했었다. 간단히 말해, 이 사건은 자칭 '서비스형 감시' 업체인 이스라엘 기반 NSO 그룹의 스파이웨어 ‘페가수스’가 제로 클릭 취약점을 이용해 아이폰에 설치된 것을 말한다. 국제사면위원회는 페가수스를 통해 감시당한 전 세계 언론인이 적어도 180명이라는 점을 확인했다. 

그러나 보통의 아이폰 사용자들이 알아 둘 점이 있다. 이번 사건은 고도로 표적화된 공격이었으며, 일반 사용자들에게 영향을 미쳤을 가능성은 매우 낮다는 점이다. 

애플의 반응은 "이런 류의 공격에 어떻게 대처할 수 있을까?"를 고민하는 것으로 보였다. 

특히 애플 보안 엔지니어링 및 아키텍처 책임자인 이반 크르스틱이 이번 사건에 대해 내놓은 입장문은 다음과 같다. 
 

"애플은 더 나은 세상을 위해 노력하는 언론인, 인권운동가 등을 향해 이뤄진 사이버 공격에 대해 비판적인 입장임을 분명히 한다. 애플은 지난 10년간 보안 혁신 분야에서 업계를 선도해 왔으며, 그 결과 보안 연구원들은 아이폰이 시장에서 가장 안전하고도 확실한 소비자용 모바일 기기라는 데 동의한다. 이번에 밝혀진 공격은 매우 정교하고, 수백만 달러의 개발 비용이 들며, 통상 시효성이 짧고, 특정 개인을 표적으로 삼곤 한다. 즉, 대부분의 사용자에게 위협적이지 않는다는 의미다. 그럼에도 불구하고 애플은 모든 고객을 보호하기 위해 끊임없이 노력하고 있으며, 고객의 기기와 데이터를 위한 새로운 보호 기능을 지속적으로 추가하고 있다.”


위 입장의 숨겨진 뜻을 풀어본다면 대략 다음과 같다. 

"와! 이것은 개인을 상대로 한 국가적 수준의 공격인데. 물론 애플에겐 문제가 없고, 아이폰은 여타 소비자용 모바일 기기를 통틀어 최고의 보안성을 갖추고 있지. 하지만 우리에게도 변명의 여지를 줬으면 좋겠는데. 그 어떤 소비자용 기기도 이런 류의 공격을 막지 못했을 테니까. 또 이런 공격은 정말 드물기도 하고. 애플은 99.99%의 사용자가 실제 겪게 될 공격으로부터 보호할 수 있어.”

일견 타당한 지점이 있다.

소비자용 기기는 민감한 군사, 정부 혹은 기업 프로젝트용 기기만큼 보안이 튼튼하지 않다. 블랙베리 폰은 한때 보안이 우수하다고 알려졌었지만, 전혀 보안성이 탄탄하지 않았다. 과거 오바마 전 대통령이 블랙베리 폰을 선호했지만, 보안상의 이유로 상당히 제한적인 경우에서만 사용할 수 있었다는 점을 떠올려봐도 그렇다. 

오늘날 지속적으로 이뤄지는 국가적 수준의 공격을 (잠시 동안이라도) 막아낼 기업 보안 플랫폼은 거의 없다. 이를 감안하면 개인을 겨냥한 대규모 공격을 평범한 아이폰이 방어할 수 있다고 가정하는 것은 현실적이지 않다. 

이는 모든 사이버보안의 핵심 전제이기도 하다. 대부분의 공격자들은 돈 앞에 합리적이고 실용적이다. 이들은 통상 수백 곳의 타깃을 노리지만, 공격은 돈이 되는 한 곳만 대상으로 하곤 한다. 적어도 목표물 중 한 곳을 포기하고 다른 타깃을 겨냥하는 것이 합리적이라고 판단하기 전까지는 그렇다. 개인이든 회사든 가능성이 높은 공격 유형에 걸맞은 보안을 갖추는 것이 합리적인 이유이기도 하다. 

만약 공격자가 당신의 개인 휴대전화에 접근하는 대가로 2,500만 달러를 받는 계약을 체결했다면, 여러 해커가 팀을 꾸려 수주 동안 당신의 기기를 50가지 다른 방법으로 24시간 내내 공격할 수 있다. 그런 공격에서 살아남을 수 있도록 설계된 소비자용 기기는 없다. 공격자들에게 이득이 될 만한 대상이 아니기 때문이다. 

페가수스 해킹 사건의 경우가 바로 그렇다. 

이번 사건을 보도한 뉴스들은 안전하다고 여겨진 애플 기기와 iOS가 어떻게 타격을 받았는지에 초점을 맞추곤 했다. 하지만 이번 사건에서 애플의 잘못이랄 것이 없는 게 확실하다. 애플은 상황에 맞춰 적절한 조치를 취했다 (그리고 페가수스의 최초 설치를 가능하게 했던 모든 결함을 수정할 방안을 모색하는 중이기도 하다). 

* Evan Schuman는 CBS뉴스닷컴, 리테일위크, 컴퓨터월드,이위크의 칼럼니스트이자 리테일 기술 사이트 ‘스토어프론트백토크’의 설립 편집자다. ciokr@idg.co.kr

X