아이폰 스파이웨어 페가수스(Pegasus) 제거 방법 (순정, 탈옥)

지난 iOS 9.3.5 업데이트 배포의 주요 내용은 스미싱으로 링크를 클릭하면 탈옥이 되고, RCS 계열의 멜웨어를 심을 수 있는 심각한 보안 위협이 있었기 때문이다.

보안 연구팀 Citizen Lab 과 모바일 전문 보안 업체 Lookout이 최초로 보도한 이 내용은 아랍에미레이트의 인권 운동가 '아메드 만수어(Ahmed Mansoor)' 를 표적으로 한 스파이웨어를 발견했다고 전했다.

보다 자세히 말하자면, 두 보안 업체가 이를 발견한 것은 아니고 만수어로 부터의 제보가 있었다. 만수어는 아랍에미레이트 교도소에서 비밀리에 일어나는 정보가 있다는 '링크' 를 받았다고 한다. 이전에도 여러번 해킹의 표적이 되었던 만수어는 보안 문제에 정통했고, 링크를 클릭하지 않고 캐나다 토론토 대학에 있는 비영리 보안 연구팀 Citizen Lab 에 보도해 이같은 사실이 알려졌으며, Citizen Lab과 Lookout이 애플에 제보하여 긴급 패치가 이뤄졌다.

사실, '세계 최고 수준의 해커들' 조차 iOS를 해킹, 탈옥하는 것이 쉬운 일이 아닌데 원격으로 탈옥 할 수 있다는 것에 관하여 많은 전문가들과 해커들은 회의적이었다. 그러나 내막을 알고 보면 납득을 할 수 있는 것이 이번 iOS 원격 탈옥 해킹에는 NSO 그룹이 개입됐다는 의혹이다.

NSO 그룹은 이스라엘의 악명 높은 사이버 부대 '8200 Intelligence Unit' 의 지원으로 창립되었으며 미국에 벤처 캐피탈까지 소유한 회사다. 정확히 말하자면 이스라엘을 기반으로 하는 미국 업체로, 2010년에 설립되었으며 미국 투자 전문 회사 '샌프란시스코 파트너스' 소유다.

NSO 그룹이 이번 iOS 해킹 배후로 지목된 이유는 영국에 본부를 둔 프라이버시 인터내셔널(Privacy International)의 개인 정보 보호와 관련한 역추적으로 프라이버시 인터내셔널의 산업감시지수(SSI:Surveillance Industry Index)를 공개했고, NSO 그룹이 맥시코, 파나마 정부 기관 등과 수백만 달러의 계약을 체결했으며 이것이 빙산의 일각에 불과하며 현재 전세계 수많은 PC, 컴퓨터 등이 NSO 그룹의 스파이웨어에 노출됐을 가능성이 높을 것으로 예상됐다. 따라서 만수어가 인권운동가로 활동중인 아랍에미레이트도 NSO 그룹과 관련이 있을 것이고 이에 따라 만수어가 높은 보안을 이유로 사용중인 아이폰을 NSO 그룹이 해킹했을 것이라는 의혹이 지배적이다.

이번 iOS 9.3.4 이하에 유효한 스파이웨어 페가수스(Pegasus)는 RCS(Remote Control System) 계열의 스파이웨어다. 즉, 마치 이전에 대한민국 국정원이 이탈리아 해킹팀으로 부터 구매하여 일반인들을 대상으로 무작위로 배포했다는 '의혹' 의 RCS 9과 유사하다. 

당시 안철수는 유사 프로그램들로 Gamma 그룹의 FinFisher 와 NSO 그룹의 Pegasus를 지적한바가 있었다. 즉, iOS가 화제가 되어서이지 이미 안드로이드폰들은 오래전 부터 노출되어 있는 상황이다.(스미싱을 통한 원격 루팅, 원격 제어)

Non-jailbroken devices - 비-탈옥 기기들은 '무조건 iOS 9.3.5' 이상으로 업데이트 한다. iOS 10 베타 버전을 쓰고 싶다면 지난주 배포 된 iOS 10 퍼블릭 및 개발자 베타 최신 버전으로 업데이트 한다.

Jailbroken devices - 탈옥한 기기들은 다음의 단계를 따른다.

Step1. 앱스토어로 부터 페가수스 감염 유.무를 확인 할 수 있는 'Lockout' 을 다운로드 받는다. 순정의 경우 다운로드 받을 필요 없다. Lockout을 통해서 감염 유.무가 확인 되더라도 이와는 상관 없이 어차피 iOS 9.3.5로 판올림 해야 하는 상황이다.

Downloads - Lockout (앱스토어)

Step2. Lockout을 실행한 후 탈옥을 한 기기의 경우 현재 최신 버전인 iOS 9.3.5 보다 펌웨어 버전이 낮기 때문에 아래와 같은 메시지만 나오는 것이 정상이다. 만약 페가수스에 감염됐다면 'Your iPhone has been compromised' 라는 문구와 함께 Lockout has detected Pegasus .. 라는 문구를 볼 수 있을 것이다.

Step3. 만약 페가수스에 감염이 확인되면 지체 없이 순정 iOS 9.3.5 로 판올림 한다. 더이상 탈옥 유지는 의미가 없고 방법도 없다. Cydia Eraser를 쓰는 중이라면 판올림을 하지 않은채로 순정으로 복원(다운그레이드에 해당) 후 → 이전 설정 복원 전 단계에서 → 다시 한번 Lockout으로 검사 후 페가수수 감염 문구가 확인되지 않는다면 그 버전을 유지한 채 재탈옥 해도 무방하다. 단, 이렇게 한 후 다시 이전 설정에서 복원을 불러오면 다시 페가수스에 감염된다. '새 iPhone으로 설정' 해야 한다. iOS 9.3.5에서는 패치됐기 때문에 이전 설정에서 복원을 불러와 페가수스에 감염된다 하더라도 문제가 되질 않는다.

Step4. 그렇다면, 탈옥된 기기들은 늘 페가수스의 위협에 노출되어 있어야 하나? 그렇지 않다. 매번 강조하지만 탈옥폰이 순정폰 보다 보안상 더 유리하다. (tb sns는 iOS 탈옥과 보안에 관해서 만큼은 그렇게 물렁물렁하지 않다.)

① Cydia 실행한다.

② repository: https://coolstar.org/publicrepo/ 를 소스로 추가한다. http://가 아니라 https:// 이니 주소에 유의하자. CoolStar's Repo 소스가 추가됐다면 이제 Cydia에서 'Perl' 패키지를 검색하여 설치한다. Perl의 역할은 페가수스에 감염되게 되면 '/System/Library/Frameworks/JavaScriptCore.framework/Resources/' 에 생성되는 'jsc' 파일을 백업하고 제거하는 역할이다.

④ 다음으로 repository: http://load.sh/cydia 를 소스로 추가한다. (일시적으로 소스 추가가 되지 않을 수도 있다. Bath Mode로 추가한 후 시간이 지난 후 '새로 고침' 후 진행해도 무방하다.) 소스가 추가된 후 'pgcheck package' 를 설치한다. 만약 소스 추가가 되지 않을 경우 'GitHub' 에서 다운로드 하여 수동으로 설치할 수도 있다.

Step5. 패키지 설치가 완료된 후 '리부팅'을 하게 되면 설치된 pgcheck 패키지가 자동으로 백그라운드 프로세스로 구동될 것이다. pgcheck 패키지는 네이밍 그대로 페가수스(Pegasus) 체크(check) 역할로 만약 페가수스에 감염되면 유저에게 경고해주는 역할을 한다.

Lockout 에서 배포한 페가수스에 관한 '보고서' 에 따르면 페가수스는 iOS 7 이상 ~ iOS 9.3.4까지 모두 영향을 줄 수 있는 스파이웨어다.

▲ T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.

T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.