Home > 전체기사

최신 아이폰에도 존재하는 ‘장비 장악’ 취약점 새롭게 발견돼

  |  입력 : 2021-07-20 21:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전 특정 문자열을 발동시키면 아이폰의 와이파이 기능을 마비시킬 수 있게 해 주는 취약점이 발견돼 화제가 된 적이 있다. 애플은 이를 부랴부랴 패치했다. 그런데 이 취약점을 더 연구했더니 새로운 특성이 나타났다.

[보안뉴스 문가용 기자] 페가수스 프로젝트(Pegasus Project)라고 하는 대형 스파이웨어 스캔들 때문에 주가까지 하락한 애플의 아이폰에서 엎친 데 덮친 격으로 아직 패치가 되지 않은 취약점이 발견됐다. 원격 코드 실행을 가능하게 하는 취약점으로, 얼마 전 아이폰 와이파이 기능에서 발견된 디도스 취약점과 깊은 관련이 있는 것으로 알려져 있다.

[이미지 = pixabay]


원래 문제가 됐던 것은 iOS 14.6 버전에서 발견된 디도스 취약점으로, 지난 정기 패치를 통해 해결이 된 바 있다. 애플은 이 취약점에 CVE 번호를 부여하지 않았었다. 하지만 보안 업체 젝옵스(ZecOps)가 분석한 결과, 이 취약점을 통해 원격 코드 실행 공격을 하는 것이 가능하다는 걸 알아냈다. 해당 취약점의 이러한 특성을 모르는 상태에서 애플이 패치를 진행했기 때문에 현재 완전히 최신화 된 아이폰이라 하더라도 원격 코드 실행 공격이 가능하다는 뜻이 된다.

젝옵스 측은 이 취약점에 와이파이데몬(WiFiDemon)이라는 이름을 붙였다. 와이파이데몬 익스플로잇에 성공할 경우 공격자는 원격 코드 실행을 통해 장비를 완전히 장악할 수 있게 되고, 따라서 민감한 데이터를 마음껏 훔쳐낼 수 있게 된다고 한다. 애플도 패치를 마련 중에 있는 것으로 알려져 있다.

먼저 이번에 발견된 취약점과 밀접한 관련이 있다는 디도스 취약점은, 일종의 ‘열형식(string-format) 취약점’이라고 알려져 있다. SSID(서브시스템 식별명)를 %p%s%s%s%s%n로 설정하여 접근점에 연결할 경우 와이파이 기능이 비활성화 된다는 것이 이 취약점의 핵심이다. 이러한 열형식 취약점은 OS가 특정 문자들을 명령으로 잘못 인식하여 생기는 현상이다. 이 디도스 취약점의 경우 %와 특정 문자들의 결합을 iOS가 명령으로 인식했다.

젝옵스는 이 취약점의 근원을 좀 더 깊이 있게 파악하기 위해 연구를 진행했다고 한다. 그 결과 와이파이 연결과 관련이 있는 프로토콜들을 처리하는 시스템 데몬 중 하나인 wifid에서 원격 코드 실행 취약점이 있음을 알게 되었다. 이 wifid는 루트에서 실행된다고 한다. 공격자들은 여러 개의 와이파이 핫스팟들을 구축하되 이름에 %@라는 문자열이 들어가게 설정하면 이 취약점을 익스플로잇 할 수 있게 된다. 오브젝티브C(Objective-C)라는 프로그래밍 언어에서 명령어로 활용되는 문자들이다. 전형적인 UaF 취약점처럼 발동되고, 공격자는 코드 실행 상태에 돌입할 수 있게 된다고 젝옵스는 설명한다.

UaF(Use after Free) 취약점은 프로그램 실행 상황에서 동적 메모리가 잘못 활용될 경우 발동된다. 메모리 할당 위치가 비워진 이후에도 메모리를 가리키는 포인터가 제대로 삭제되지 않는 현상을 말한다. 공격자들은 이 오류를 활용해 여러 가지 프로그램을 해킹한다.

젝옵스는 실험실에서의 ‘개념 증명 공격’을 실시함으로써 wifid의 익스플로잇에 성공할 수 있었다고 한다. 공격에 소요된 장비는 10달러짜리 무선 동글 하나와 리눅스 가상 기계가 전부였다. 하지만 실제 해커들이 이 취약점을 공략한 사례는 아직 찾아보지 못했다고 한다.

그럼에도 이 취약점에 주의를 기울여야 한다고 젝옵스는 설명한다. 왜냐하면 원래의 와이파이 마비 취약점이 워낙 유명해졌기 때문이다. 누구나 해당 취약점에 관심만 갖고 연구하면 찾아낼 수 있는 것이 이번 젝옵스가 발표한 취약점이라고 젝옵스는 강조한다.

현재 일반 사용자들이 아이폰을 보호하기 위해 할 수 있는 일은 ‘설정 -> 와이파이 -> 핫스팟에 자동 연결(Auto-Join)로 들어가 “하지 않음(Never)” 옵션을 활성화시키는 것이다. 또한 확실히 신뢰할 수 없는 정체불명의 와이파이 핫스팟에 연결시키지 않는 건 항상 권장되는 보안 실천 사항이기도 하다. 젝옵스는 “처음 보는 핫스팟 이름에 @와 같은 기호가 있다면 무조건 거르라”고 권장한다.

3줄 요약
1. 최신 iOS에도 원격 코드 실행 취약점 존재한다는 사실이 밝혀짐.
2. 얼마 전 패치된 와이파이 관련 디도스 취약점과 관련이 있는 취약점임.
3. 애플이 패치 발표하기 전까지 와이파이 자동 연결 옵션을 꺼두어야 안전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)