IT

머니투데이

'철통보안' 애플의 배신.."아이폰, 안드로이드만큼 뚫기 쉽다"

차현아 기자 입력 2021. 07. 21. 08:00

기사 도구 모음

음성 기사 옵션 조절 레이어
번역beta

Translated by kakao i

번역할 언어 선택
글자 크기 조절 레이어
[쿠퍼티노=AP/뉴시스]애플이 26일(현지시간) 새로운 아이폰 운영체제 iOS14.5 버전을 배포했다. 애플의 이번 업데이트로 아이폰 사용자가 마스크를 쓰고도 얼굴 인식 해제 기능을 이용할 수 있게 됐으며 사용자의 허락 없이 개인정보를 추적하는 애플리케이션도 차단된다. 사진은 2020년 12월16일 독일 뮌헨의 한 애플 매장. 2021.04.27.

철통 보안을 내걸었던 애플 아이폰이 스파이웨어를 이용한 해킹 공격에 속수무책으로 당했다. 전문가들은 폐쇄형 OS(운영체제)가 안전하다는 통념과 달리, 아이폰도 해커들이 마음만 먹으면 언제든 뚫고 들어올 수 있다고 경고한다. 민간업체의 스파이웨어가 대규모 민간인 불법사찰에 악용될 수 있다는 우려도 나온다.

21일 워싱턴포스트(WP) 등 외신에 따르면 이스라엘 보안기업 NSO그룹이 개발한 스파이웨어 '페가수스'가 전 세계 언론인과 인권운동가 등의 스마트폰을 해킹하는 데 사용됐다. 스파이웨어는 스파이와 소프트웨어의 합성어로 이용자 동의없이 스마트폰에 설치돼 개인정보를 빼내는 프로그램이다.
해킹된 스마트폰 대부분이 아이폰...아이폰12도 뚫렸다
WP에 따르면 국제사면위원회 보안연구소가 페가수스와 관련된 5만개 이상 전화번호 중 67대 스마트폰을 정밀 조사한 결과 37개가 페가수스에 감염됐거나 침입 흔적이 발견됐다. 이 중 34대가 아이폰이었는데, 아이폰12 프로맥스와 아이폰SE 2세대 등 최신 모델도 포함됐다. 34대 중 실제 감염된 아이폰은 23대이며 11대는 침입 흔적만 발견됐다.

페가수스가 정확히 어떤 방식으로 스마트폰에 침투하는지는 알려지지 않았다. 다만 국제사면위원회는 이용자가 특정한 링크를 누르거나 파일을 다운로드 받도록 유도하는 일반 해킹과 달리 페가수스는 스마트폰 취약점을 통해 침투한 것으로 분석했다. 페가수스는 전화번호와 위치 데이터, 통화기록, 연락처를 빼내는 것은 물론 카메라와 마이크를 원격으로 조작할 수도 있다.

WP는 페가수스가 퍼진 통로로 아이폰의 아이메시지(iMassage)를 꼽았다. 아이메시지는 별도의 경고나 승인 과정 없이도 낯선 사람에게서 메시지를 받을 수 있다. WP에 따르면 페가수스의 공격이 성공한 23대 중 13대에서 아이메시지를 이용한 흔적이 드러났으며, 침입에 실패한 11대 중 6대에서도 비슷한 증거가 발견됐다. 글로벌 보안기업 시티즌랩에 따르면 지난해 12월 NSO그룹은 아이메시지 취약점을 이용해 아랍권 매체인 알자지라의 기자와 PD, 앵커의 스마트폰 36대를 해킹하기도 했다.

애플 신제품 아이폰 12 프로 맥스와 12 미니가 공식 출시된 20일 서울 중구 명동 프리스비 매장에 제품이 진열돼 있다. /사진=김휘선 기자 hwijpg@
"아이폰도 안심 못해"...민간인 대규모 사찰 악용 우려도
전문가들은 다소 까다롭긴 하지만 아이폰 역시 안드로이드폰처럼 해킹이 충분히 가능하다고 설명한다. iOS가 폐쇄형 OS라는 특성상 더 큰 피해를 야기할 수 있다는 지적도 있다. 한 번 뚫리면 모바일 백신 앱이 없어 속수무책인데다, 해킹을 당한 사실조차 인지하지 못하고 넘어갈 수도 있다는 것이다. 해킹으로부터 안전한 스마트폰은 사실상 없다는 얘기다.

진철규 윈스 연구개발본부 분석팀장은 "몸값을 요구하는 랜섬웨어와 달리 스파이웨어는 공격한 사실을 굳이 알리지 않기 때문에 모든 데이터가 다 털리고도 모르고 넘어가는 경우가 많을 뿐, 실제 감염비율은 적지 않다"며 "모바일 백신이 있는 안드로이드 환경과 달리 아이폰은 한 번 뚫고 들어오면 모든 데이터를 다 장악한다고 보면 된다"고 말했다.

김승주 고려대 정보보호대학원 교수도 "폐쇄형인 iOS와 달리 안드로이드 OS는 모든 코드가 공개돼 있어 여러 사람들이 검증할 수 있고, 그만큼 보안 취약점을 빨리 찾을 수 있다"며 "특별히 안드로이드보다 iOS가 더 안전하다고 볼 수는 없다"고 말했다.

이런 특성 탓에 스파이웨어가 국가 기관의 불법 사찰에 악용될 우려도 나온다. 실제로 NSO는 지난달 기준 전 세계 40개국 정부 기관 관계자 60명을 고객으로 확보하고 있다. 상업용 스파이웨어 규제를 강화해야 한다는 목소리도 힘을 얻는다. 미첼 바첼레트 유엔 인권최고대표도 "감시기술의 판매와 이전, 사용과 관련해 엄격한 감독, 인가가 필요하다"고 강조했다.

한편 애플은 애플의 보안공학 책임자 이반 크르스티치는 "이번 공격이 아이폰 이용자 대다수에 대한 위협으로 볼 수 없다"며 "새로운 보호장치를 꾸준히 추가하고 있다"고 답했다.

차현아 기자 chacha@mt.co.kr

저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이

포토&TV

    이 시각 추천뉴스