: TB의 SNS 이야기 :: 국정원 해킹프로그램 아이폰은 안전할까



#HackingTeam 이 전세계에서 들끓을 때, 한국에서는 '뉴스타파'가 가장 먼저 보도했고, 다음날 '연합뉴스'에서 간략하게 다루기 시작하자, 각 언론사들의 '배껴쓰기 경쟁'이 시작됐다. 이번에 유출된 약 400GB~500GB의 데이터에는 거래 관련 이메일, 해킹툴, zero-day exploits, surveillance tools, 스파이웨어 소스 코드, 각국 정부의 구매 내역과 대금 지불 내역에 관한 스프레드시트를 포함한다.(참고)


우선, 해킹팀은 UEFI BIOS Rootkit을 이용, 타겟 시스템의 RCS(Reomte Control System)A9 에이전트를 공격하는 방식을 이용한 것으로 알려졌다.(참고) 대상에게 이메일, 변조된 웹사이트 제공, SMS 스미싱 등 일단 타겟 시스템에 '설치'를 해야지만 가능한 해킹 방법이다.


다만, 이 해킹팀이 이슈가 됐던 것은, '각국 정부와 거래를 했다는 점.' '독재가 심한 국가와 거래를 했다는 점.' '이것이 국가가 국민을 감시, 국가가 불법 행위를 자행.'했기 때문이다.


'안드로이드폰, PC는 직격'


안드로이드폰의 보안 위험성은 국내 언론에서 익히 다뤘기에 따로 논하지는 않겠다. 특히, '복돌이'라 불리는 안드로이드 폰은, 이탈리아 해킹팀이 한국 정부에게 했던 조언, "국가 배포 프로그램에 스파이웨어를 심어라." 는 논외로 두고라도, 사용자 자체가 보안 구멍이라는 점에서 상시 위험에 노출되어 있다. 불법 크랙 앱을 쓰지 않더라도, 스미싱이나 변조된 웹사이트를 통해서 감염될 수 있다.


PC도 예외는 될 수 없다. 모든 보안 기능을 일시적으로 무력화 시키고, 설치 프로그램에 대하여 보안 예외를 적용시키는 '엑티브엑스', 불법 프로그램 설치가 문제가 될 수 있다. 이탈리아 해킹팀은 전세계에 존재하는 모든 바이러스 백신에 검색되는 지를 계속해서 모니터링 해왔고, 이 부분에 관하여 유지.보수 추가 비용을 청구해왔다.


'아이폰에 관한 가능성'


1. WireLurker


먼저, 우리는 지난 2014년 11월(참고), 최초로 순정 iOS까지 감염시킨다는 'WireLurker'의 등장을 생각해볼 필요가 있다.


보안업체 Palo Alto Networks에서 발견한 이 WireLurker는, Mac/탈옥된 기기 뿐만 아니라 순정 iOS 기기도 감염시킬 수 있는 최초의 멜웨어로 알려졌다. WireLurker는 감염 확인 방법(참고)이 공개되는 등, 크게 이슈화 된, 'NetBus'급이다.


이론적으로 아이폰을 감염시키는 방법은 다음과 같다.


Step1. WireLurker에 감염된 Mac 에 아이폰이 연결된다.

Step2. 감염된 Mac에 순정 아이폰이 연결된다.


그러나, 이 문제는 JB커뮤니티에서 '의혹'이 제기됐었다.(참고) WierLurker는 '정상적인 사용'을 했을 때, 문제가 되지 않으며, Palo Alto Networks에서 주장한 400여개의 앱은 실체가 불분명하고(자신들이 발견 후 즉시 차단됐다 주장.) 현재까지 WireLurker와 관련된 감염 사례가 보도되지 않았다는 점이다.


만약, WireLurker가 실존하는 멜웨어라면, USB접속만으로, 알아서 기기 자율권이 획득된다는 얘기인데, 사용자가 눈치채지 못하게 탈옥을 시키는 것도 모자라서 SSH를 Open시켜서 감염시킨다는 논리다.


WireLurker에는 iOS 8.1 탈옥에 사용됐던 Pangu Team의 exploit 3가지(dyld, 커널, 샌드박스 프로필)이 사용됐다. 이 exploit은 iOS 8.1.1부터 패치됐다. 따라서, 이 방법은 불가다.


2. Mask Attack(프로파일 설치 보안 취약)



작년 11월(참고)에 나온 'masque attack'은, 역시 '보안업체' FireEye(참고 1, 2)에서 최초 제기된 '아이폰을 대상으로 하는 스미싱'이었다. FireEye는 iOS의 보안 취약점인 '프로파일 설치'를 타겟으로 한 멜웨어를 발견했으며, Masque Attack이라 명명, 시연 동영상까지 공개됐다.


이메일/SMS/메시징 앱을 통해서 불특정 다수에게 특정 링크를 보낸 후, 사용자가 클릭했을 시, 정상 앱을 가짜 앱으로 덮어 쒸우는 방식으로, 사용자가 눈치를 채지 못할 수도 있다는 점에서 '프로파일 보안 취약'은 타겟이 될 수 있고 위험할 수 있다.(금융앱 등이 덮어쒸워졌을 시 사용자 아이디, 비밀번호, 카드번호, 통장번호 등이 통째로 유출되는 상황이 발생할 수도 있으며, 해킹팀의 스파이웨어가 심어질 수도 있다.)


즉, 기업 또는 공기관에서 배포하는 특정 앱이 문제인데, 이탈리아 해킹팀에서도 이 부분을 노리라는 '친절한' 조언을 한 것으로 알려졌다.


→ 프로파일 설치 안하면 문제되지 않으며, '기업/기관'을 대상으로 하는 iOS의 근본적인 취약점을 노린 masque는 계속해서 변종이 발견됐고, 'URL masque, Plugin masque'는 iOS 8.1.3에서 패치, Mainfest masque, Extension masque는 iOS 8.4에서 패치됐다. 재미있는 점은, 이 masque attack은 계속해서 FireEye에서만 발견되는 중으로 이 역시 JB커뮤니티에서 의혹이 제기됐다.


3. 결론


즉, '도둑질(piracy, 불법 크랙 프로그램 혹은 앱, 트윅 등)' 하지 않는 다는 전제라면, 애플의 최신 OS를 쓴다는 전제에서, 판올림이 될 때 마다, DFU복원을 한다는 전제라면(시스템 상주 메모리 삭제), '순정폰은 안전하다.'라는 결론을 낼 수 있다.


탈옥폰은 안 안전하냐? 그렇지는 않다. masque attack과 같은 부분들은 Firewall iP, Protect My Privacy, tsProtector 정도로 사용자 몰래 데이터를 설치 또는 수집할 때 경고 팝업이 생성된다. 아울러, 탈옥 후 SSH를 아예 닫아버리는 방법 등 보안 관련 조치할 방법은 탈옥이 더 많고, 과거부터 현재까지 탈옥폰이 더 안전해왔다. 다만, 탈옥이라는 것 자체가 마치 '프로파일 설치' 처럼, 비인가 트윅을 설치하는 과정이기에, JB에서 인증되지 않은 또는 piracy 행위 등을 목적으로 '잘 모르고 쓸 경우 프로파일 취약 보다 더 위험'하다.


4. 예외가 될 수 있는 극단적 상황


메신저 별로, 폰 자체를 분실했을 경우에는 문제가 될 수 있다. 예를 들자면 '텔레그램, Viber, 왓츠앱(도 업데이트 되어 암호화를 지원한다.)(참고), iMessage'와 같은 메세지는 해킹이 불가다. 그러나, '카카오톡'은 잘 알려졌다시피, 사용자 인증 없이 PC연결 후 프로그램으로 '카카오톡 서버에서 삭제된 대화까지 복원' 할 수 있다. 이는, 암호화 되지 않은 메신저에 해당되는 내용으로, 시스템 상주 메모리 조각을 맞추는 방식으로 알려졌다. 따라서, 최신 업데이트를 OTA나 아이튠즈를 통한 기본 업데이트가 아닌, DFU방식의 업데이트를 하는 것이 중요하다.


하나더 극단적인 상황을 들자면, 폰을 분실했고, 사용자가 '암호잠금 설정을 하지 않았다는 전제'라면, 탈옥 또는 프로파일 설치 후 → 다시 돌려주는 것이다. 물론, 이 마저도 업데이트를 하는 순간 해당사항이 되지 않을 가능성이 높다.


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

728x90
반응형
Posted by T.B

댓글을 달아 주세요