iOS 새로운 취약점 발견, iOS 12.4 ‘반쪽’ 해결책

가 +
가 -

구글 프로젝트 제로팀이 iOS 기기를 사용 불능으로 만드는 새로운 취약점 6개를 발견했다. 그 중 5개는 최신 iOS 12.4에서 패치됐으나 나머지 하나는 현재 진행형이다.

프로젝트 제로팀은 구글은 물론 다른 회사의 취약점까지 분석하며 취약점 발견 시 해당 업체에 통보한다. 취약점 패치를 위한 90일간의 시간을 주고 이후엔 모두에게 공개하고 있다. 프로젝트 제로팀은 윈도우10, 엣지 브라우저, 맥OS 등의 심각한 오류, 취약점을 찾아낸 바 있다.

| 애플 iOS 아이메시지

구글 프로젝트 제로팀이 발견한 취약점은 아이메시지를 공격 루트로 활용해 아이폰을 공격한다. ‘상호작용 없는(interactionless/zero interaction)’ 형태의 취약점은 아이메시지로 잘못된 형식의 메시지를 보내는 것만으로 공격할 수 있다. 지난 5월14일 배포된 iOS 12.3에서 패치된 취약점과 관련성이 나온다.

구글 프로젝트 제로팀은 지난 4월 특정 텍스트가 포함된 문자를 아이메시지로 수신하면 지속적인 충돌을 일으키는 취약점을 애플에 통보한 바 있다. 홈화면을 구동하는 스프링보드에 반복적으로 오류를 일으키고 결국 아이폰을 사용할 수 없는 먹통 상태로 만든다. 한 번 증상이 발생하면 재부팅 후에도 잠금 해제하는 순간 다시 반복된다. 완전 초기화 외에 달리 해결책이 없는 악성 취약점이다. 프로젝트 제로팀은 해당 취약점 발견 즉시 애플 측에 통보했고, 애플은 iOS 12.3에서 해결했다.

하지만 새로 발견된 취약점이 iOS 12.3 대응을 무색하게 만들었다. 공격자가 12.4 이전 iOS 사용자를 대상으로 불법적인 정보 수집 내지 아이폰을 원격 조작하는 등의 악용이 가능하다는 걸 보여준다. 구글 프로젝트 제로팀이 공개한 취약점 내용을 보면 ▲원격 공격자가 메모리를 유출(CVE-2019-8646)할 수 있고, ▲원격 공격자가 앱을 예기치 않게 종료하거나 임의 코드 실행(CVE-2019-8660)과, ▲원격 공격자가 임의 코드 실행(CVE-2019-8647, CVE-2019-8662), ▲예기치 못한 앱 종료와 임의 코드 실행(CVE-2019-8641)을 할 수 있다. 구글 프로젝트 제로팀은 또 다른 원격 공격이 가능한 취약점(CVE-2019-8624)에 대해선 자세한 내용을 공개하지 않고 있다. iOS 12.4에서도 존재하는 취약점이라는 이유에서다.

애플은 7월22일(현지시간) 배포한 iOS 12.4에서 발견된 주요 취약점을 패치했으나, 앞서 언급한 한 가지 취약점이 존재하고 이에 대한 세부 내용은 공개하지 않고 있다. 한편, 해결된 5개 취약점은 8월3일(현지시간) 미국 라스베이거스에서 개최되는 블랙햇(Black Hat) 콘퍼런스에서 시연될 예정이다.