'철통보안' 애플의 배신.."아이폰, 안드로이드만큼 뚫기 쉽다"

차현아 기자 2021. 7. 21. 08:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

[쿠퍼티노=AP/뉴시스]애플이 26일(현지시간) 새로운 아이폰 운영체제 iOS14.5 버전을 배포했다. 애플의 이번 업데이트로 아이폰 사용자가 마스크를 쓰고도 얼굴 인식 해제 기능을 이용할 수 있게 됐으며 사용자의 허락 없이 개인정보를 추적하는 애플리케이션도 차단된다. 사진은 2020년 12월16일 독일 뮌헨의 한 애플 매장. 2021.04.27.

[쿠퍼티노=AP/뉴시스]애플이 26일(현지시간) 새로운 아이폰 운영체제 iOS14.5 버전을 배포했다. 애플의 이번 업데이트로 아이폰 사용자가 마스크를 쓰고도 얼굴 인식 해제 기능을 이용할 수 있게 됐으며 사용자의 허락 없이 개인정보를 추적하는 애플리케이션도 차단된다. 사진은 2020년 12월16일 독일 뮌헨의 한 애플 매장. 2021.04.27.

철통 보안을 내걸었던 애플 아이폰이 스파이웨어를 이용한 해킹 공격에 속수무책으로 당했다. 전문가들은 폐쇄형 OS(운영체제)가 안전하다는 통념과 달리, 아이폰도 해커들이 마음만 먹으면 언제든 뚫고 들어올 수 있다고 경고한다. 민간업체의 스파이웨어가 대규모 민간인 불법사찰에 악용될 수 있다는 우려도 나온다.

21일 워싱턴포스트(WP) 등 외신에 따르면 이스라엘 보안기업 NSO그룹이 개발한 스파이웨어 '페가수스'가 전 세계 언론인과 인권운동가 등의 스마트폰을 해킹하는 데 사용됐다. 스파이웨어는 스파이와 소프트웨어의 합성어로 이용자 동의없이 스마트폰에 설치돼 개인정보를 빼내는 프로그램이다.
해킹된 스마트폰 대부분이 아이폰...아이폰12도 뚫렸다
WP에 따르면 국제사면위원회 보안연구소가 페가수스와 관련된 5만개 이상 전화번호 중 67대 스마트폰을 정밀 조사한 결과 37개가 페가수스에 감염됐거나 침입 흔적이 발견됐다. 이 중 34대가 아이폰이었는데, 아이폰12 프로맥스와 아이폰SE 2세대 등 최신 모델도 포함됐다. 34대 중 실제 감염된 아이폰은 23대이며 11대는 침입 흔적만 발견됐다.

페가수스가 정확히 어떤 방식으로 스마트폰에 침투하는지는 알려지지 않았다. 다만 국제사면위원회는 이용자가 특정한 링크를 누르거나 파일을 다운로드 받도록 유도하는 일반 해킹과 달리 페가수스는 스마트폰 취약점을 통해 침투한 것으로 분석했다. 페가수스는 전화번호와 위치 데이터, 통화기록, 연락처를 빼내는 것은 물론 카메라와 마이크를 원격으로 조작할 수도 있다.

WP는 페가수스가 퍼진 통로로 아이폰의 아이메시지(iMassage)를 꼽았다. 아이메시지는 별도의 경고나 승인 과정 없이도 낯선 사람에게서 메시지를 받을 수 있다. WP에 따르면 페가수스의 공격이 성공한 23대 중 13대에서 아이메시지를 이용한 흔적이 드러났으며, 침입에 실패한 11대 중 6대에서도 비슷한 증거가 발견됐다. 글로벌 보안기업 시티즌랩에 따르면 지난해 12월 NSO그룹은 아이메시지 취약점을 이용해 아랍권 매체인 알자지라의 기자와 PD, 앵커의 스마트폰 36대를 해킹하기도 했다.

애플 신제품 아이폰 12 프로 맥스와 12 미니가 공식 출시된 20일 서울 중구 명동 프리스비 매장에 제품이 진열돼 있다. /사진=김휘선 기자 hwijpg@

애플 신제품 아이폰 12 프로 맥스와 12 미니가 공식 출시된 20일 서울 중구 명동 프리스비 매장에 제품이 진열돼 있다. /사진=김휘선 기자 hwijpg@
"아이폰도 안심 못해"...민간인 대규모 사찰 악용 우려도
전문가들은 다소 까다롭긴 하지만 아이폰 역시 안드로이드폰처럼 해킹이 충분히 가능하다고 설명한다. iOS가 폐쇄형 OS라는 특성상 더 큰 피해를 야기할 수 있다는 지적도 있다. 한 번 뚫리면 모바일 백신 앱이 없어 속수무책인데다, 해킹을 당한 사실조차 인지하지 못하고 넘어갈 수도 있다는 것이다. 해킹으로부터 안전한 스마트폰은 사실상 없다는 얘기다.

진철규 윈스 연구개발본부 분석팀장은 "몸값을 요구하는 랜섬웨어와 달리 스파이웨어는 공격한 사실을 굳이 알리지 않기 때문에 모든 데이터가 다 털리고도 모르고 넘어가는 경우가 많을 뿐, 실제 감염비율은 적지 않다"며 "모바일 백신이 있는 안드로이드 환경과 달리 아이폰은 한 번 뚫고 들어오면 모든 데이터를 다 장악한다고 보면 된다"고 말했다.

김승주 고려대 정보보호대학원 교수도 "폐쇄형인 iOS와 달리 안드로이드 OS는 모든 코드가 공개돼 있어 여러 사람들이 검증할 수 있고, 그만큼 보안 취약점을 빨리 찾을 수 있다"며 "특별히 안드로이드보다 iOS가 더 안전하다고 볼 수는 없다"고 말했다.

이런 특성 탓에 스파이웨어가 국가 기관의 불법 사찰에 악용될 우려도 나온다. 실제로 NSO는 지난달 기준 전 세계 40개국 정부 기관 관계자 60명을 고객으로 확보하고 있다. 상업용 스파이웨어 규제를 강화해야 한다는 목소리도 힘을 얻는다. 미첼 바첼레트 유엔 인권최고대표도 "감시기술의 판매와 이전, 사용과 관련해 엄격한 감독, 인가가 필요하다"고 강조했다.

한편 애플은 애플의 보안공학 책임자 이반 크르스티치는 "이번 공격이 아이폰 이용자 대다수에 대한 위협으로 볼 수 없다"며 "새로운 보호장치를 꾸준히 추가하고 있다"고 답했다.

[관련기사]☞ 여행이 악몽으로…10일간 감금된 채 성폭행 당한 英 여성의 고백중학생 제자 성폭행하고 "당했다"던 여교사 '감형' 왜?"연기시켜 주겠다며 포르노"… '인도 톱 여배우' 남편의 만행"400명 앞 속옷 내려, 단체 비명"…정준하, 과거 '무도' 하차 위기비키니 안 입었다고…노르웨이 女비치핸드볼팀 '벌금형' 위기
차현아 기자 chacha@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.