구글이 아이폰 보안 결함 밝혀냈다

구글이 애플 아이폰 보안결함을 밝혀냈다.

IT 전문 매체 더버지는 구글 보안분석팀 프로젝트 제로(Project Zero)가 아이폰 운영체계 iOS에서 6가지 보안 결함을 발견했다고 보도했다.

6가지 결함 중 4가지는 아이메시지에서 나타난다. 공격자가 악성코드를 심은 메시지를 보내면 사용자가 이를 여는 즉시 실행된다. 결함 명칭은 CVE-2019 - 8641, CVE-2019 - 8647, CVE-2019 - 8660, CVE-2019 - 8662다. 나머지 2가지는 CVE-2019 - 8624와 CVE-2019 - 8646로 메모리에 저장된 데이터를 빼내는 데 악용된다.

구글이 아이폰 보안 결함 밝혀냈다

5가지 결함은 지난주 iOS 12.4 업데이트로 해결된 반면 나머지 1가지(CVE-2019-8641)는 아직 패치되지 않은 상태다. 이미 해결된 결함의 세부 내용은 온라인에 공개됐으며 CVE-2019-8641는 처리될 때까지 비공개된다. 90일 안에 해결되지 못한다 해도 규정 상 공개로 전환해야 한다.

이 결함으로 공격자는 앱 충돌, 저장된 파일 읽기 등을 실행할 수 있다. 가장 치명적 결함인 CVE-2019 - 8646은 공격자가 기기 내 파일 내용을 마음대로 읽을 수 있도록 허용한다. iOS 12 이상 이용자 기기에서 작동한다. CVE-2019 - 8624와 CVE-2019 - 8647은 iOS 그래픽 사용자 인터페이스(GUI)를 관리하는 iOS 스프링보드(SpringBoard)에 치명타를 입힐 수 있다.

구글이 아이폰 보안 결함 밝혀냈다

6가지 결함은 모두 이용자 인터랙션(상호작용)이 불필요해 임의적 실행이 가능하다. 즉 누군가가 이런 결함을 악용해 공격하면 이용자는 속수무책으로 당할 수밖에 없는 것이다.

업계 관계자는 ”결함 패치가 아직 완료되지 않은 상태여서 아이폰 이용자의 각별한 주의가 요구된다”며 “이용자는 이러한 공격에 대비해 되도록 빨리 iOS 12.4 업데이트를 할 것을 권한다”고 말했다.

프로젝트 제로가 애플의 보안 결함을 발견한 건 이번이 처음은 아니다. 프로젝트 제로는 지난해 맥OS에서 CoW(Copy-on-Write) 동작 시 공격자가 수정한 파일 시스템 이미지를 이용해 가상관리 보조 시스템을 우회할 수 있다는 점을 발견했다. 이 경우 공격자는 사용자가 설치한 파일 시스템 이미지를 임의로 수정할 수 있으며, 사용자 몰래 기기 내 정보를 빼내거나 컨트롤러 역할까지 할 수 있다. 프로젝트 제로는 해당 보안 결함에 '매우 심각함(high severity)' 등급을 매겼다.

권선아기자 sunak@etnews.com