해외 해킹대회서 아이폰 해킹당해...샌드박스도 뚫려

Pwn2Own 대회에서 아이폰 데이터 정보 해킹 성공

글로벌 보안업체 카스퍼스키 보안 뉴스 블로그(http://threatpost.com/)에 따르면, 24일(현지시간)부터 캐나다 밴쿠버에서 개최하는 ‘CanSecWest’ 보안컨퍼런스 행사 중 하나의 이벤트로 열린 스마트폰 해킹 대회 Pwn2Own’콘테스트에서 애플의 스마트폰 아이폰이 해킹된 것으로 알려졌다.

유럽의 두 연구원이 아이폰(iPhone) SMS 문자 데이터 정보를 빼내는데 성공한 것. 게다가 이들은 아이폰의 지워진 메시지까지도 절취한 것으로 알려졌다.

룩셈브루크 대학의 와인만(Ralf Philipp Weinman)과 자이나믹스(Zynamics)의 연구원인 이오조(Vincenzo Iozzo)는 서로 협조해 취약점을 찾아내고 익스플로잇(exploit)을 만들었다. 취약점을 연구하는데 2주정도의 시간이 걸린 것으로 전해지고 있다.

이 두 연구원은 이 익스플로잇을 이용해 특정사이트를 만들고 아이폰으로 이 사이트에 접속하면 SMS가 유출되도록 해, 20초 만에 SMS 정보를 유출했다. 물론 이 과정에서 브라우저의 세션 충돌 문제가 발생하기도 했지만, 몇 가지 기술을 이용해 공격을 성공적으로 마쳤다. 이 같은 방식을 이용하면, 아이폰의 샌드박스를 공격해 조작된 사이트에 접속하기만 해도 SMS 데이터를 유출 할 수 있다.

와인만은 SMS 정보를 빼낸 것뿐만 아니라 전화 연결 목록, 사진, 음악 파일 등을 유출하는데 성공해, 결국 Pwn2Own에서 우승을 차지했다.

이들은 아이폰 샌드박스(Sandbox)에서 루트가 아닌 모바일 유저라고 불리는 권한에서 이 익스플로잇을 이용하여 모든 권한을 얻을 수 있었다. 웨인만은 취약점에 대한 공개적인 이야기는 거부했으며 단지, 취약점을 가지는 부분을 찾는 기술을 개발하고 있다고 전했다.

한편, 올해 4회를 맞는 Pwn2Own 2010은 CanSecWest 보안 컨퍼런스의 행사 중 하나로 대회 시작 전부터 주목을 끌었다. 24일(현지시간) 시작된 이 대회는 10만 달러의 상금을 걸고 웹 브라우저와 스마트폰의 보안 결함을 찾는 것으로 진행됐다.

아이폰 해킹으로 와인만과 아이조는 15,000달러의 상금을 손에 쥐게 됐다. 티핑 포인트 ZDI는 이 대회를 통해 이번 취약점에 대한 소유권을 독점했으며, 이 취약점을 애플에 보고하고 내용에 대해서는 애플이 패치를 출시하기 전까지 공개하지는 않겠다고 밝혔다.

[오병민 기자(boan4@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다