최신 아이폰에도 존재하는 ‘장비 장악’ 취약점 새롭게 발견돼

입력 : 2021-07-20 21:09

얼마 전 특정 문자열을 발동시키면 아이폰의 와이파이 기능을 마비시킬 수 있게 해 주는 취약점이 발견돼 화제가 된 적이 있다. 애플은 이를 부랴부랴 패치했다. 그런데 이 취약점을 더 연구했더니 새로운 특성이 나타났다.

[보안뉴스 문가용 기자] 페가수스 프로젝트(Pegasus Project)라고 하는 대형 스파이웨어 스캔들 때문에 주가까지 하락한 애플의 아이폰에서 엎친 데 덮친 격으로 아직 패치가 되지 않은 취약점이 발견됐다. 원격 코드 실행을 가능하게 하는 취약점으로, 얼마 전 아이폰 와이파이 기능에서 발견된 디도스 취약점과 깊은 관련이 있는 것으로 알려져 있다.


원래 문제가 됐던 것은 iOS 14.6 버전에서 발견된 디도스 취약점으로, 지난 정기 패치를 통해 해결이 된 바 있다. 애플은 이 취약점에 CVE 번호를 부여하지 않았었다. 하지만 보안 업체 젝옵스(ZecOps)가 분석한 결과, 이 취약점을 통해 원격 코드 실행 공격을 하는 것이 가능하다는 걸 알아냈다. 해당 취약점의 이러한 특성을 모르는 상태에서 애플이 패치를 진행했기 때문에 현재 완전히 최신화 된 아이폰이라 하더라도 원격 코드 실행 공격이 가능하다는 뜻이 된다.

젝옵스 측은 이 취약점에 와이파이데몬(WiFiDemon)이라는 이름을 붙였다. 와이파이데몬 익스플로잇에 성공할 경우 공격자는 원격 코드 실행을 통해 장비를 완전히 장악할 수 있게 되고, 따라서 민감한 데이터를 마음껏 훔쳐낼 수 있게 된다고 한다. 애플도 패치를 마련 중에 있는 것으로 알려져 있다.

먼저 이번에 발견된 취약점과 밀접한 관련이 있다는 디도스 취약점은, 일종의 ‘열형식(string-format) 취약점’이라고 알려져 있다. SSID(서브시스템 식별명)를 %p%s%s%s%s%n로 설정하여 접근점에 연결할 경우 와이파이 기능이 비활성화 된다는 것이 이 취약점의 핵심이다. 이러한 열형식 취약점은 OS가 특정 문자들을 명령으로 잘못 인식하여 생기는 현상이다. 이 디도스 취약점의 경우 %와 특정 문자들의 결합을 iOS가 명령으로 인식했다.

젝옵스는 이 취약점의 근원을 좀 더 깊이 있게 파악하기 위해 연구를 진행했다고 한다. 그 결과 와이파이 연결과 관련이 있는 프로토콜들을 처리하는 시스템 데몬 중 하나인 wifid에서 원격 코드 실행 취약점이 있음을 알게 되었다. 이 wifid는 루트에서 실행된다고 한다. 공격자들은 여러 개의 와이파이 핫스팟들을 구축하되 이름에 %@라는 문자열이 들어가게 설정하면 이 취약점을 익스플로잇 할 수 있게 된다. 오브젝티브C(Objective-C)라는 프로그래밍 언어에서 명령어로 활용되는 문자들이다. 전형적인 UaF 취약점처럼 발동되고, 공격자는 코드 실행 상태에 돌입할 수 있게 된다고 젝옵스는 설명한다.

UaF(Use after Free) 취약점은 프로그램 실행 상황에서 동적 메모리가 잘못 활용될 경우 발동된다. 메모리 할당 위치가 비워진 이후에도 메모리를 가리키는 포인터가 제대로 삭제되지 않는 현상을 말한다. 공격자들은 이 오류를 활용해 여러 가지 프로그램을 해킹한다.

젝옵스는 실험실에서의 ‘개념 증명 공격’을 실시함으로써 wifid의 익스플로잇에 성공할 수 있었다고 한다. 공격에 소요된 장비는 10달러짜리 무선 동글 하나와 리눅스 가상 기계가 전부였다. 하지만 실제 해커들이 이 취약점을 공략한 사례는 아직 찾아보지 못했다고 한다.

그럼에도 이 취약점에 주의를 기울여야 한다고 젝옵스는 설명한다. 왜냐하면 원래의 와이파이 마비 취약점이 워낙 유명해졌기 때문이다. 누구나 해당 취약점에 관심만 갖고 연구하면 찾아낼 수 있는 것이 이번 젝옵스가 발표한 취약점이라고 젝옵스는 강조한다.

현재 일반 사용자들이 아이폰을 보호하기 위해 할 수 있는 일은 ‘설정 -> 와이파이 -> 핫스팟에 자동 연결(Auto-Join)로 들어가 “하지 않음(Never)” 옵션을 활성화시키는 것이다. 또한 확실히 신뢰할 수 없는 정체불명의 와이파이 핫스팟에 연결시키지 않는 건 항상 권장되는 보안 실천 사항이기도 하다. 젝옵스는 “처음 보는 핫스팟 이름에 @와 같은 기호가 있다면 무조건 거르라”고 권장한다.

3줄 요약
1. 최신 iOS에도 원격 코드 실행 취약점 존재한다는 사실이 밝혀짐.
2. 얼마 전 패치된 와이파이 관련 디도스 취약점과 관련이 있는 취약점임.
3. 애플이 패치 발표하기 전까지 와이파이 자동 연결 옵션을 꺼두어야 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 3

  깃허브와 깃랩 사용하면 사실상 대처법이 전무...

• 4

  신종 피싱범죄 조직, 리딩방 회원에 ‘상장 ...

• 5

  ‘K-시큐리티’ 미국 상륙작전! 한국 보안기...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...