애플의 iOS에서 발견된 제로데이...특정 기업과 인물 겨냥한 표적 공격에 활용돼

[이미지 = iclickart]

공격의 표적이 된 건 북미 지역의 포춘 500대 기업 중 하나, 독일의 VIP 한 명, 일본 통신사 임원 중 한 명, 사우디아라비아와 이스라엘의 보안 대행 서비스 업체 몇 군데라고 한다. 이러한 사실을 보안 업체 젝옵스(ZecOps)가 발표했다.

젝옵스는 자사 고객 사이트 한 곳에서 발생한 사건을 대응하는 과정 중에 문제의 취약점들을 발견했다고 한다. 공격자들은 특수하게 조작된 메일을 iOS 모바일메일(MobileMail) 인박스에 전송함으로써 이 취약점을 발동시킬 수 있었다고 한다. 취약점들이 발견된 건 iOS 6~13.4.1 버전까지라고 한다. iOS 6 이전 버전에도 취약점이 있을 가능성이 있지만 직접 확인한 건 아니라고 젝옵스는 덧붙였다.

iOS에서 제로데이 취약점이 발견되는 건 흔치 않은 일이다. 심지어 이미 실제 공격에 활용되고 있는 제로데이 사례는 더더욱 희귀하다. 따라서 이번 발표는 공격자나 보안 전문가 모두에게 큰 관심을 끌 것으로 보인다. 애플은 특별히 입장 발표를 하지는 않았지만 두 가지 취약점들에 대한 베타 업데이트를 개발해 배포하기 시작했다. 정식 패치는 iOS 13.4.5 버전을 통해 공개될 예정이다.

젝옵스는 자사 사이트의 FAQ 란을 통해 “여러 가지 이유 때문에 패치 개발 전에 취약점 기술 내용을 공개하기로 했다”고 말했다. “먼저 이 취약점들은 그 자체만으로 iOS 사용자들에게 피해를 입힐 수 없습니다. 추가적인 정보 유출 취약점과 커널 오류를 같이 익스플로잇 하지 않으면 소용이 없기 때문입니다.”

또한 젝옵스는 이 버그 두 가지가 애플의 베타 업데이트를 통해 이미 공개된 마당이기 때문에 숨길 이유가 없다고 주장하기도 했다. 오히려 공격자들만 알게 되는 게 더 위험한 상황을 초래할 수 있다며 젝옵스는 “더 많은 기업들이 방어할 기회를 얻게 된다”고 말했다.

이 제로데이 취약점들 중 한 가지는 원격 힙 오버플로우 버그로 iOS 13.4/13.4.1 버전에서 발견되었다. iOS 13 버전에서 메일(Mail) 애플리케이션이 열려있기만 하다면 사용자의 개입이 전혀 필요하지 않기 때문에 일종의 ‘제로 클릭 취약점’으로 분류되기도 한다. 공격자들은 메모리를 크게 소모시키도록 메일을 만들어 발송함으로써 취약한 장비를 마비시킬 수 있다. 메일 자체가 고용량일 필요는 없다.

두 번째 취약점은 ‘아웃 오브 바운드 라이트(out-of-bounds write)’ 취약점으로, 역시 특수하게 조작된 이메일을 전송함으로써 익스플로잇 할 수 있다. 하지만 위의 취약점처럼 ‘제로 클릭’으로 분류되지는 않는다. 피해자가 메일을 클릭해야 하기 때문이다.

보안 업체 카스퍼스키(Kaspersky)의 글로벌 연구 분석 국장인 코스틴 라이우(Costin Raiu)는 “꽤나 심각한 취약점들로 원격 코드 실행으로까지 이어질 수 있다”고 설명한다. “사용자가 클릭을 하지 않아도 된다는 특징이 특히나 이 취약점을 위험하게 만듭니다. 사실상 사용자에게 아무런 힌트도 주지 않는 은밀한 공격을 성립시킬 수 있기 때문입니다.”

한 가지 다행인 점은 버그 익스플로잇이 쉽지 않다는 것이다. 그래서 젝옵스가 국가 지원을 받는 해커가 이 취약점 익스플로잇의 배후에 있는 것으로 예상하는 것이다. “iOS 익스플로잇이란 것이 애초에 간단치 않은 작업입니다. 애플이 iOS의 소프트웨어적인 측면과 하드웨어적인 측면을 아주 단단하게 관리하기 때문입니다. 지금 이를 익스플로잇 하고 있는 공격 단체는 제3자로부터 취약점과 개념증명용 익스플로잇을 구매했을 가능성이 높습니다. 제로디움(Zerodium)과 같은 취약점 거래 회사가 존재하니 가능한 시나리오입니다.”

제로디움은 지금도 비싼 값을 주고 공개적으로 iOS 익스플로잇을 사들이는 중이다. 피해자의 클릭을 하나도 필요로 하지 않는 익스플로잇의 경우 200만 달러를 제공한다. 하지만 라이우는 “여기에는 한 가지 맹점이 있다”고 지적한다. “그냥 ‘익스플로잇’과 ‘안정적인 성공률을 보이는 익스플로잇’은 전혀 다른 것입니다. 전자는 이론적으로만 가능할 수도 있지만, 후자는 실전에서의 활용도가 분명한 것이기 때문입니다.” 라이우는 공격자들이 이론적인 익스플로잇을 사들이고, 자체 연구를 통해 실제 무기로 발전시켰을 것이라고 보고 있다.

젝옵스는 “iOS 사용자들이 이 취약점을 통해 공격을 당했을 때, 디폴트 메일 애플리케이션이 평소보다 살짝 느려졌다는 것 외에 특이한 점을 느낄 수 없다”고 설명한다. 그러나 iOS 12가 설치된 장비에서는 공격으로 인한 시스템 정지 상태가 유발되기도 했다. “아직 공격자들도 이 제로데이 취약점을 익스플로잇 하는 데에 있어 완전히 능숙해진 건 아닌 듯합니다.”

iOS 사용자들은 다음 애플 공식 업데이트를 반드시 적용해야만 안전해질 것이라고 젝옵스는 권고했다.

3줄 요약

1. iOS에 이메일만 보내도 원격 코드 실행 가능케 하는 제로데이 취약점 발견됨.

2. 이미 특정 공격 단체가 이 익스플로잇을 활발하게 사용해 표적 공격 하고 있음.

3. 애플 측은 현재 베타 패치를 공개적으로 배포 중. 정식 패치는 조만간 발표 예정​

Copyrighted 2015. UBM-Tech. 117153:0515BC

[출처 : 보안뉴스(https://www.boannews.com/default.asp​), ​https://www.boannews.com/media/view.asp?idx=87774&page=1&mkind=1&kind=1​]