보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

아이폰의 제로클릭 익스플로잇 통해 퍼지는 페가수스

입력 : 2023-09-16 02:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
정부 기관들의 감시 능력은 갈수록 강력해지는 듯하다. 최근에는 러시아에서 망명을 떠난 기자의 아이폰에 페가수스가 수개월 째 활동하고 있었다는 사실이 발견되기도 했다. 물밑에서 벌어지는 일들이 치열하다.

[보안뉴스 문정후 기자] 러시아 유명 기자 갈리나 팀첸코(Galina Timchenko)의 아이폰에서 페가수스(Pegasus) 스파이웨어가 나왔다는 보도로 인해 정부 기관들의 특정 인사 감시 노력이 여전히 진행되고 있음이 다시 한 번 확인됐다. 잘 알려지지 않을 뿐, 여러 정부 기관들에는 감시의 방법과 의지가 충분히 확보되어 있는 것으로 보인다.

[이미지 = gettyimagesbank]


먼저 팀첸코는 러시아의 기자로, 러시아에서 망명을 떠나 라트비아에서 메두자(Meduza)라는 뉴스 사이트를 창립해 운영 중에 있다. 메두자는 러시아어와 영어로 운영된다. 그런데 지난 6월 22일 애플은 팀첸코에게 위협 경고를 보냈다. 팀첸코의 핸드폰이 정부 지원 해킹 공격의 표적이 되고 있는 것으로 보인다는 내용이었다. 애플은 올해 초에도 몇몇 사용자들에게 비슷한 내용의 알림을 전달한 바 있다.

염탐의 표적이 되어
최고 운영자가 애플의 경고를 받자 메두자의 기술 분야 국장은 토론토대학의 시티즌랩(Citizen Lab)에 도움을 요청했다. 시티즌랩은 디지털 스파이 행위와 관련된 수사력을 지난 수년 동안 선보여온 조직이다. 의뢰를 받은 시티즌랩 측은 조사에 착수했고, 팀첸코의 전화기에서 페가수스를 어렵지 않게 발견할 수 있었다. 심지어 페가수스가 2월부터 심겨져 있었다는 사실도 발견할 수 있었다.

시티즌랩은 또 다른 인권 분야 비영리 단체인 액세스나우(Access Now)까지 초청해 조사를 이어갔다. 그리고 이번 주 두 개의 조사 결과 보고서를 발표했다. “페가수스는 제로클릭 취약점을 익스플로잇 하는 방식으로 피해자의 장비에 침투한 것으로 보입니다. 분석했을 때 애플의 홈킷(HomeKit)과 아이메시지(iMessage)를 겨냥한 폰유어홈(PWNYOURHOME) 익스플로잇이 사용되었음이 드러났습니다.” 시티즌랩과 액세스나우 둘 다 특정 국가를 언급하지는 않고 있다.

여기서 언급된 폰유어홈은 이전에 시티즌랩이 발견한 iOS 15와 iOS 16용 제로클릭 익스플로잇 중 하나로 NSO그룹(NSO Group)의 고객들이 페가수스를 유포하기 위해 사용했던 것으로 알려져 있다. 먼저는 홈킷의 스마트홈 기능을 익스플로잇 하고, 그 다음 아이메시지 프로세스를 악용해 장비의 보호 장치를 침해한 후 페가수스를 심는다. 이 과정을 장비 주인이 알아채기는 힘들다.

아이폰 사용자들을 노리는 익스플로잇은 최근 빠르게 늘어나는 추세다. 이번 달 초에만 하더라도 제로클릭 제로데이 취약점 두 개가 iOS 16.6에서 익스플로잇 되고 있는 사실이 발견됐었다. iOS 16.6이라고 하면 최신 버전이었다. 이 때도 역시 공격자들의 궁극적인 목적은 페가수스를 피해자 모르게 심는 것이었다. 그 외에도 여러 iOS 익스플로잇 현황이 요 몇 달 동안 공개되기도 했었다.

원하는 걸 다 가져간 공격자들
이러한 사실은 메두자에서도 이번 주 보도했다. 메두자의 창립자인 팀첸코의 장비에 스파이웨어가 설치됐으며, 이를 통해 공격자가 사실상 장비에 저장된 모든 데이터에 접근했을 가능성이 높다는 내용이었다. 팀첸코가 회사에 출근해 업무를 볼 때 사용하는 비밀번호, 광고주 연락처, 파트너사, 러시아 내에 거주 중인 조력자 정보 등이 여기에 포함된다. “공격자들은 자신들이 원하는 걸 다 가져갔습니다.”

페가수스는 강력한 스파이 기능을 가진 스파이웨어로, 이스라엘의 기업 NSO그룹이 개발해 판매한다. NSO그룹은 “테러리스트나 강력 범죄자들을 모니터링 하기 위한 도구”라고 제품에 대해 설명하지만 이들의 고객사는 거의 대부분 정부 기관들이다. 그리고 정치적으로 반대 세력에 속하는 자들이나 기자들, 활동가나 NGO 단체들을 감시하는 데 페가수스를 활용한다. NSO그룹은 “구매자가 어떤 식으로 페가수스를 사용하든 NSO그룹이 제어할 수 없다”는 입장이다.

하지만 여론은 NSO그룹에 절대적으로 불리하다. 그들의 변명이 상식적이지 않기 때문이다. 메두자는 시티즌랩의 연구원의 말을 인용해 다음과 같이 썼다. “NSO그룹의 고객들은 페가수스수천만에서 수억 달러의 돈을 기꺼이 냅니다. 그리고 더 마음껏 페가수스를 사용하죠.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)