세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
애플의 3년전 소스 코드, 깃허브 통해 유출됐다
  |  입력 : 2018-02-09 18:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아이부트라는 OS의 중요한 요소 깃허브에 공유돼
iOS 사용자가 업데이트만 잘 한다면 큰 걱정거리 아니야


[보안뉴스 문가용 기자] 애플의 iOS 플랫폼의 핵심 요소 중 하나인 아이부트(iBoot)의 소스 코드로 보이는 코드가 깃허브(GitHub)에 공개되는 일이 벌어졌다. 이 코드를 업로드 한 이는 지오시바(ZioShiba)라는 인물이며 지금은 깃허브 측에서 해당 게시물을 삭제한 상태다. 애플이 저작권을 근거로 삭제를 요청했기 때문이다.

[이미지 = iclickart]


아이부트는 iOS 기반 기기들이 시동 걸릴 때 제일 먼저 실행되는 부분 중 하나로 iOS의 핵심 요소들을 로딩시키는 기능을 가지고 있다. 또한 플랫폼의 무결성과 커널 서명을 확인하는 역할도 담당한다. 즉 iOS에서 아이부트는 굉장히 중요하며 핵심적인 요소라는 것으로, 애플은 아이부트에 대한 20만 달러짜리 버그바운티까지도 실시하고 있다.

아이부트에서 발견된 취약점들은 ‘기기 탈옥’에 활용될 수 있다. 능숙한 해커라면 기기 통제권을 앗을 수도 있다.

깃허브에 노출된 아이부트 코드의 진위여부를 두고 여러 의견이 오고 갔다. 하지만 애플이 직접 ‘저작권’을 언급하며 깃허브에 공고를 보냈고, 그것에 대해 깃허브가 빠르게 반응해 게시물을 삭제했다는 것이 모든 것을 설명해주고 있다. 누군가 나서서 ‘진짜’라는 말을 하지만 않았을 뿐 그 코드가 진짜 코드였다는 게 현재는 기정사실로 받아들여지고 있다.

그래서 현재 문제가 되고 있는 건 게시물이 살아있던 시간 동안 누가 코드를 가져갔으며, 그 중에 iOS 생태계에 위협을 가할 만한 인물이 얼마나 있느냐는 것이다. 많은 전문가들은 “여러 가지 실험적인 공격 시도가 일어날 것이며, 당분간 iOS에 대한 공격이 빈번하게 발생할 것”이라고 보고 있다.

또한 굳이 공격을 하지 않더라도 누군가 해당 코드에서 취약점을 발견하면 비싼 값에 거래될 수도 있다. iOS의 취약점이 얼마나 높은 가치를 가지고 있는지는 익히 증명되어 온 바다. 특정 기업들이나 정부 기관들은 iOS의 제로데이 취약점에 수백 만 달러를 투자하기도 한다.

보안 전문가인 러스티 카터(Rusty Carter)는 보안 전문 외신인 시큐리티위크(SecurityWeek)를 통해 “이번에 코드가 이렇게 유출된 것만 봐도 iOS 생태계가 세간의 믿음과 달리 완벽하지 않다는 걸 알 수 있다”는 점을 지적했다. “애플 사용자들은 개인이나 기업이나 모두 기기의 보안성에 대한 믿음이 강력한 편입니다. 이번 코드 유출 사건을 통해 ‘그렇지도 않다’는 걸 알고 보안을 더 강화한다면 오히려 이번 사건을 좋은 쪽으로 돌릴 수 있게 될 겁니다.”

애플의 대변인은 “3년 전 자사가 개발한 소스 코드가 유출된 것으로 보이지만, 해당 코드의 노출 여부가 애플 제품 및 서비스의 보안성을 크게 좌지우지 하지는 않는다”고 말했다. 그 이유는 “애플이 만드는 모든 하드웨어와 소프트웨어에 여러 겹의 보안 장치가 존재하기 때문”이다. 사용자가 소프트웨어 업데이트만 최신으로 한다면 애플은 항상 안전하다고 애플 측은 전달했다.

실제로 이번에 유출된 아이부트의 코드는 실제 iOS 기기에서 거의 사용되지 않고 있다고 한다. 최근 애플이 조사한 바에 의하면 iOS 사용자 대부분(93%)이 최신 소프트웨어를 사용하고 있고, 그러므로 이번 유출 사고가 미칠 영향은 크지 않다고 분석되기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)