: TB의 SNS 이야기 :: 아이폰 스파이웨어 페가수스(Pegasus) 제거 방법 (순정, 탈옥)



지난 iOS 9.3.5 업데이트 배포의 주요 내용은 스미싱으로 링크를 클릭하면 탈옥이 되고, RCS 계열의 멜웨어를 심을 수 있는 심각한 보안 위협이 있었기 때문이다.


보안 연구팀 Citizen Lab 과 모바일 전문 보안 업체 Lookout이 최초로 보도한 이 내용은 아랍에미레이트의 인권 운동가 '아메드 만수어(Ahmed Mansoor)' 를 표적으로 한 스파이웨어를 발견했다고 전했다.


보다 자세히 말하자면, 두 보안 업체가 이를 발견한 것은 아니고 만수어로 부터의 제보가 있었다. 만수어는 아랍에미레이트 교도소에서 비밀리에 일어나는 정보가 있다는 '링크' 를 받았다고 한다. 이전에도 여러번 해킹의 표적이 되었던 만수어는 보안 문제에 정통했고, 링크를 클릭하지 않고 캐나다 토론토 대학에 있는 비영리 보안 연구팀 Citizen Lab 에 보도해 이같은 사실이 알려졌으며, Citizen Lab과 Lookout이 애플에 제보하여 긴급 패치가 이뤄졌다.



사실, '세계 최고 수준의 해커들' 조차 iOS를 해킹, 탈옥하는 것이 쉬운 일이 아닌데 원격으로 탈옥 할 수 있다는 것에 관하여 많은 전문가들과 해커들은 회의적이었다. 그러나 내막을 알고 보면 납득을 할 수 있는 것이 이번 iOS 원격 탈옥 해킹에는 NSO 그룹이 개입됐다는 의혹이다.


NSO 그룹은 이스라엘의 악명 높은 사이버 부대 '8200 Intelligence Unit' 의 지원으로 창립되었으며 미국에 벤처 캐피탈까지 소유한 회사다. 정확히 말하자면 이스라엘을 기반으로 하는 미국 업체로, 2010년에 설립되었으며 미국 투자 전문 회사 '샌프란시스코 파트너스' 소유다.


NSO 그룹이 이번 iOS 해킹 배후로 지목된 이유는 영국에 본부를 둔 프라이버시 인터내셔널(Privacy International)의 개인 정보 보호와 관련한 역추적으로 프라이버시 인터내셔널의 산업감시지수(SSI:Surveillance Industry Index)를 공개했고, NSO 그룹이 맥시코, 파나마 정부 기관 등과 수백만 달러의 계약을 체결했으며 이것이 빙산의 일각에 불과하며 현재 전세계 수많은 PC, 컴퓨터 등이 NSO 그룹의 스파이웨어에 노출됐을 가능성이 높을 것으로 예상됐다. 따라서 만수어가 인권운동가로 활동중인 아랍에미레이트도 NSO 그룹과 관련이 있을 것이고 이에 따라 만수어가 높은 보안을 이유로 사용중인 아이폰을 NSO 그룹이 해킹했을 것이라는 의혹이 지배적이다.


이번 iOS 9.3.4 이하에 유효한 스파이웨어 페가수스(Pegasus)는 RCS(Remote Control System) 계열의 스파이웨어다. 즉, 마치 이전에 대한민국 국정원이 이탈리아 해킹팀으로 부터 구매하여 일반인들을 대상으로 무작위로 배포했다는 '의혹' 의 RCS 9과 유사하다. 


당시 안철수는 유사 프로그램들로 Gamma 그룹의 FinFisher 와 NSO 그룹의 Pegasus를 지적한바가 있었다. 즉, iOS가 화제가 되어서이지 이미 안드로이드폰들은 오래전 부터 노출되어 있는 상황이다.(스미싱을 통한 원격 루팅, 원격 제어)


Non-jailbroken devices - 비-탈옥 기기들은 '무조건 iOS 9.3.5' 이상으로 업데이트 한다. iOS 10 베타 버전을 쓰고 싶다면 지난주 배포 된 iOS 10 퍼블릭 및 개발자 베타 최신 버전으로 업데이트 한다.


Jailbroken devices - 탈옥한 기기들은 다음의 단계를 따른다.


Step1. 앱스토어로 부터 페가수스 감염 유.무를 확인 할 수 있는 'Lockout' 을 다운로드 받는다. 순정의 경우 다운로드 받을 필요 없다. Lockout을 통해서 감염 유.무가 확인 되더라도 이와는 상관 없이 어차피 iOS 9.3.5로 판올림 해야 하는 상황이다.


Downloads - Lockout (앱스토어)


Step2. Lockout을 실행한 후 탈옥을 한 기기의 경우 현재 최신 버전인 iOS 9.3.5 보다 펌웨어 버전이 낮기 때문에 아래와 같은 메시지만 나오는 것이 정상이다. 만약 페가수스에 감염됐다면 'Your iPhone has been compromised' 라는 문구와 함께 Lockout has detected Pegasus .. 라는 문구를 볼 수 있을 것이다.



Step3. 만약 페가수스에 감염이 확인되면 지체 없이 순정 iOS 9.3.5 로 판올림 한다. 더이상 탈옥 유지는 의미가 없고 방법도 없다. Cydia Eraser를 쓰는 중이라면 판올림을 하지 않은채로 순정으로 복원(다운그레이드에 해당) 후 → 이전 설정 복원 전 단계에서 → 다시 한번 Lockout으로 검사 후 페가수수 감염 문구가 확인되지 않는다면 그 버전을 유지한 채 재탈옥 해도 무방하다. 단, 이렇게 한 후 다시 이전 설정에서 복원을 불러오면 다시 페가수스에 감염된다. '새 iPhone으로 설정' 해야 한다. iOS 9.3.5에서는 패치됐기 때문에 이전 설정에서 복원을 불러와 페가수스에 감염된다 하더라도 문제가 되질 않는다.


Step4. 그렇다면, 탈옥된 기기들은 늘 페가수스의 위협에 노출되어 있어야 하나? 그렇지 않다. 매번 강조하지만 탈옥폰이 순정폰 보다 보안상 더 유리하다. (tb sns는 iOS 탈옥과 보안에 관해서 만큼은 그렇게 물렁물렁하지 않다.)


① Cydia 실행한다.


② repository: https://coolstar.org/publicrepo/ 를 소스로 추가한다. http://가 아니라 https:// 이니 주소에 유의하자. CoolStar's Repo 소스가 추가됐다면 이제 Cydia에서 'Perl' 패키지를 검색하여 설치한다. Perl의 역할은 페가수스에 감염되게 되면 '/System/Library/Frameworks/JavaScriptCore.framework/Resources/' 에 생성되는 'jsc' 파일을 백업하고 제거하는 역할이다.



④ 다음으로 repository: http://load.sh/cydia 를 소스로 추가한다. (일시적으로 소스 추가가 되지 않을 수도 있다. Bath Mode로 추가한 후 시간이 지난 후 '새로 고침' 후 진행해도 무방하다.) 소스가 추가된 후 'pgcheck package' 를 설치한다. 만약 소스 추가가 되지 않을 경우 'GitHub' 에서 다운로드 하여 수동으로 설치할 수도 있다.


Step5. 패키지 설치가 완료된 후 '리부팅'을 하게 되면 설치된 pgcheck 패키지가 자동으로 백그라운드 프로세스로 구동될 것이다. pgcheck 패키지는 네이밍 그대로 페가수스(Pegasus) 체크(check) 역할로 만약 페가수스에 감염되면 유저에게 경고해주는 역할을 한다.


Lockout 에서 배포한 페가수스에 관한 '보고서' 에 따르면 페가수스는 iOS 7 이상 ~ iOS 9.3.4까지 모두 영향을 줄 수 있는 스파이웨어다.


 T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.


T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.

728x90
반응형
Posted by T.B

댓글을 달아 주세요

  1. BlogIcon GeNoiRC 2016.09.01 06:48 신고  댓글주소  수정/삭제  댓글쓰기

    Tb님 bath mode가 뭔지 설명좀 부탁드려도 될까요?
    Perl 은 잘 설치가 되었는데 ^^; 소스 추가하기에서 pgcheck 소스 주소를 추가할때 계속 컨넥 에러가 떠서 아직 설치를 못했네욤 ;ㅁ; 주기적으로 계속 시도를 해보곤 있지만서도 ^^;

    • BlogIcon T.B 2016.09.01 06:49 신고  댓글주소  수정/삭제

      소스 추가 할 때 노멀 밑에 있는 메뉴우 말하는 겁니다 ~^ (굿모닝입니다 ^)

    • BlogIcon GeNoiRC 2016.09.01 11:25 신고  댓글주소  수정/삭제

      pgcheck 와 lookout는 일단 페가수스 감염을 진단하는 수단으로서는 동일한 기능을 한다고 봐도 될런지+_+
      lookout 을 설치해서 주기적으로 확인한다면 pgcheck는 패스 해도 되는걸까요?

    • BlogIcon T.B 2016.09.01 11:41 신고  댓글주소  수정/삭제

      본문에 써있듯이 다른 기능이구요. lookout이나 pgcheck이나 유사 기능 맞습니다. 돌다리는 두들겨야 하니까요~

    • BlogIcon GeNoiRC 2016.09.01 11:46 신고  댓글주소  수정/삭제

      아 제가 본문을 여러번 봤는데도 이해를 잘 못했나 봅니다 ;ㅁ; 소스추가가 안되서 본문에 링크 걸어놓으셨던 곳에 가서 zip 파일을 받아 압축 풀고 gif만 파일 빼고 ifunbox로 아이폰에 옮겨놓긴 했는데 이게 설치가 된건지를 잘 모르겠어서 lookout에만 의지를 해도 될까 싶어서 질문을 올렸었습니다 ^^:;;;;;

    • BlogIcon T.B 2016.09.02 05:44 신고  댓글주소  수정/삭제

      제놀님을 위해 따로 조만간 시간이 되는데로 따로 포스팅을 남기도록 하겠습니다 -_- (굿모닝입니다~^)

  2. BlogIcon Bigwing 2016.09.01 09:25 신고  댓글주소  수정/삭제  댓글쓰기

    순정 유저, 바로 판올림하러 갑니다.
    감염되어 있더라도 판올림 하면 안전해지는거죠?
    그리고 좋은 아침입니다^^~

  3. BlogIcon BabyGain 2016.09.02 16:48 신고  댓글주소  수정/삭제  댓글쓰기

    lookout 프로그램 실행시 "Your iPhone has been jailbroken" 탈옥됬다구만 나오는데

    혹시 감염된건가요?

  4. BlogIcon BabyGain 2016.09.02 19:06 신고  댓글주소  수정/삭제  댓글쓰기

    앗.. 제가 이해를 잘 못 했네요 ㅎㅎ 즐거운 주말되세요~

  5. BlogIcon _SEAN 2016.09.04 16:13 신고  댓글주소  수정/삭제  댓글쓰기

    SETP ④에서 막히네요 ㅠㅠ

    문제점
    1. http://load.sh 소스 추가 안됨. 서버가 죽은(?) 듯
    2. GitHub에서 zip file(pgcheck-master) 받았는데 아이폰 혹은 아이패드에 설치하는 방법을 모르겠습니다. 확장자를 deb으로 바꾸면 될까 싶었는데 그것도 안되네요.

    • BlogIcon T.B 2016.09.04 16:15 신고  댓글주소  수정/삭제

      Lockout 설치하셨으면 설치 안하셔도 되요. 저도 윗분 문의 때문에 reddit 뒤졌는데 거기서도 서버 다운이라고 하네요 -_- Perl은 백그라운드에서 실시간으로 감염 유.무를 확인해주는 트윅입니다.

  6. BlogIcon _SEAN 2016.09.04 17:09 신고  댓글주소  수정/삭제  댓글쓰기

    실은 iOS 버전이 7.1.2라서 Lockout 설치를 못합니다..ㅋㅋ
    http://load.sh/cydia 살아날 때 까지 기다려야 겠네요 ㅎㅎ