클릭 없이도 아이폰·애플워치·맥 감염시킨 후 문자·전화 기록 전송
(샌프란시스코=연합뉴스) 정성호 특파원 = 아이폰 제조업체 애플이 아이폰과 맥 컴퓨터 등에 중대한 보안 취약점이 있다며 13일(현지시간) 긴급 소프트웨어 업데이트를 내놨다.
일간 뉴욕타임스(NYT)는 애플이 이날 아이폰과 애플워치, 맥 컴퓨터를 감염시킬 수 있는 보안상의 취약점을 차단한 새 운영체제(OS) 업데이트를 내놨다고 보도했다.
아이폰의 경우 iOS 14.8을 설치하면 된다.
토론토대학의 사이버보안 감시기구인 시티즌랩의 수석연구원 존 스콧-레일튼은 "애플 제품을 가지고 있느냐? (그렇다면) 오늘 당장 업데이트하라"고 말했다.
이번 조치는 시티즌랩이 사우디아라비아 시민운동가의 아이폰이 스파이웨어 '페가수스'에 감염됐다는 사실을 발견한 뒤 나왔다.
애플은 시티즌랩이 지난 7일 이런 사실을 발견한 뒤 밤낮없이 작업해 보안 패치를 마련했다고 밝혔다.
페가수스는 침투성이 고도로 높은 스파이웨어로, 이스라엘의 보안기업 'NSO 그룹'이 만들었다. NYT는 이 스파이웨어가 '제로(0) 클릭에 원격 통제' 기법을 이용해 "감시를 위한 성배로 여겨진다"고 평가했다.
정부나 범죄자, 용병 등이 클릭 한번 없이도 애플 기기를 감염시켜 이용자가 알지도 못하는 사이 기기에 침입할 수 있기 때문이다.
페가수스는 이렇게 감염된 기기의 카메라나 마이크를 켜고, 문자 메시지나 이메일, 전화 등을 기록하는 한편 이를 다시 전 세계의 정부 기관에 있는 NSO 고객에게 전송할 수 있다.
암호화해 전송된 메시지나 전화도 마찬가지다.
페가수스는 이같은 새로운 방법으로 기기에 침입해 최대 6개월까지 이용자도 모르게 기기를 원격으로 통제·조작할 수 있다고 NYT는 전했다.
스콧-레일튼 연구원은 "이 스파이웨어는 아이폰 이용자가 자기 기기로 할 수 있는 모든 것 이상을 할 수 있다"고 말했다.
지금까지는 스파이웨어에 감염될 경우 기기나 이메일로 의심스러운 링크가 전송돼 이용자들이 이를 눈치챌 수 있었다. 하지만 페가수스는 제로 클릭 기법을 사용해 이런 단서조차 남기지 않는다.
애플은 시티즌랩의 평가가 맞다고 확인하면서 당초 올해 나올 예정인 차기 운영체제(OS)인 iOS 15에 스파이웨어 장벽을 넣을 계획이었다고 밝혔다.
NSO 그룹은 오랫동안 논란의 대상이 돼 왔다. 이 회사는 엄격한 인권 기준을 충족하는 정부에만 스파이웨어를 판매한다고 밝히고 있지만, 최근 6년 새 사우디나 멕시코, 아랍에미리트(UAE) 등의 시민운동가와 반체제 인사, 변호사, 의사 등의 전화기에서 페가수스가 발견됐다고 NYT는 전했다.
최근에는 에마뉘엘 마크롱 프랑스 대통령의 휴대전화도 페가수스 해킹 가능성이 제기돼 그가 전화기와 번호를 바꾸기도 했다.
sisyphe@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스