애플이 지난 9월 13일(현지 시각) iOS 및 맥OS를 비롯한 자사 운영체제에 긴급 보안 업데이트를 내놨다. 아이폰, 맥, 애플워치 등의 보안을 위협하는 구멍을 차단하기 위해서다.
애플이 iOS, 맥OS, 아이패드OS, 워치OS에 긴급 보안 업데이트를 발표했다. 이번 업데이트는 캐나다 토론토 대학교의 사이버보안 연구진(Citizen Lab)이 사우디아라비아 시민운동가의 기기(아이폰)에서 NSO 그룹(NSO Group)의 스파이웨어 감염 사실을 발견한 뒤 이에 대응해 이뤄졌다. NSO 그룹은 정부 및 보안 기관에 스파이웨어 및 감시 소프트웨어를 판매하는 이스라엘 업체다.
이에 따라 iOS 14, 맥OS 11과 10(a.k.a. 빅 서와 카탈리나), 아이패드OS 14, 워치OS 7에 under-active-exploit 취약점을 패치하기 위한 업데이트가 릴리즈됐다.
애플에 의하면 이 취약점은 악성 PDF를 활용하여 악용될 수 있으며, 이로 인해 임의 코드가 실행될 수 있다. ‘임의 코드 실행(arbitrary code execution)’이라는 문구는 애플에서 가장 심각한 버그를 표현하는 방식이다(애플은 마이크로소프트, 구글 등 다른 운영체제 경쟁사와 달리 취약점의 위협 수준에 순위를 매기지 않는다). 애플은 시티즌 랩이 결함을 보고한 공로를 인정했다.
토론토 대학교 뭉크 국제 문제 및 공공 정책 스쿨(Munk School of Global Affairs & Public Policy) 산하의 사이버보안 감시기관 시티즌 랩도 이날 해당 내용을 담은 보고서를 발표했다. 연구진은 “NSO 그룹의 페가수스(Pegasus) 스파이웨어에 감염된 사우디아라비아 시민운동가의 휴대전화를 분석하던 중 아이메시지(iMessage)에서 제로-데이 제로-클릭 익스플로잇을 발견했다”라고 말했다.
시티즌 랩이 ‘FORCEDENTRY’라고 명명한 이 익스플로잇은 NGO 그룹의 페가수스 감시 제품군으로 2021년 2월부터 시민운동가와 다른 사람들의 전화기를 감염시키는 데 사용됐다. 이는 기기에서 주고받는 문자와 이메일을 문서화할 수 있고, 녹화를 위해 카메라와 마이크를 켤 수 있는 스파이웨어로 구성됐다.
시티즌 랩은 ‘FORCEDENTRY’가 페가수스 및 NGO 그룹과 관련돼 있다고 밝혔다. 연구진에 따르면 제로-클릭 익스플로잇에 의해 로드된 스파이웨어에 NGO 그룹과 페가수스의 이전 분석에서 발견됐던 코딩 특성이 포함돼 있었다.
보고서는 “(애플이) 고객에게 극도의 비밀 엄수와 기밀을 약속했음에도 불구하고 NSO 그룹의 비즈니스 모델에서 이를 계속 들춰내려는 시도가 이뤄지고 있었다”라면서, “국제인권법을 위반하면서 무분별하게 이 기술을 사용하려는 정부에 기술을 판매하는 것은 궁극적으로 수사 감시기관의 스파이웨어 발견을 용이하게 한다”라고 전했다.
한편 애플 사용자는 기기의 OS를 통해 소프트웨어 업데이트를 실시하여, 보안 전용 업데이트를 다운로드 및 설치할 수 있다. ciokr@idg.co.kr