이스라엘서 아이폰 보안 뚫는 스파이웨어 재등장

페가수스 이어 두번째, 보안 취약점 악용한 제로 클릭 공격 방식

(지디넷코리아=남혁우 기자)페가수스에 이어 아이폰의 보안을 뚫고 침투하는 스파이웨어 ‘레인’이 발견됐다.

이 스파이웨어는 이스라엘의 보안기업 쿼드림(QuaDream)이 것으로 이미 여러 국가의 언론인, 정치인 및 비정부 기구(NGO) 직원 기기에서 확인됐다.

12일(현지시각) 더레지스터 등 외신에 따르면 마이크로소프트(MS)와 인터넷 감시기관 시티즌랩은 보안 보고서를 발표했다.

애플 아이폰14 풀 라인업

쿼드림은 국가 정부를 대상으로 첨단 디지털 공격 기술을 판매해온 이스라엘 기업이다. 장비나 소프트웨어(SW)의 보안 취약점들을 악용해 대상자의 특정 행동 없이 장치를 해킹할 수 있는 제로 클릭 공격 방식을 주로 사용하는 것으로 알려졌다.

이번 스파이웨어는 iOS 캘린더 앱의 취약점을 악용한 것으로 파악되고 있다. 누군가가 표식을 인식하지 못한 채 초대를 보내 대상의 캘린더에 날짜가 지난 이벤트를 자동으로 추가하는 순간 경로를 통해 스파이웨어가 감염되는 방식이다. 다만 아직 정확한 코드 구조나 감염 경로는 추적 중이다

확보한 스파이웨어 샘플은 iOS 14를 대상으로 시스템을 침투할 수 있는 것이 확인됐다. 샘플의 부 기술은 최신 iOS버전에서는 더 이상 작동하지 않을 수 있지만 마이크로소프트는 그에 따른 업데이트가 진행됐을 것이라고 분석했다.

보고서에 따르면 쿼드림은 싱가포르, 사우디아라비아, 멕시코, 가나를 포함한 다양한 정부 고객에게 레인을 판매했으며 인도네시아와 모로코에도 서비스를 제공한 것으로 나타났다. 스파이웨어를 구입한 국가에서는 소수의 야당 인사와 언론인, 이익 단체의 휴대전화를 해킹하거나 추적하기 위해 주로 쓰였다.

이 과정에서 발생한 일반 피해자도 식별할 수 있었지만, 전체 일반 피해자 수 등에 대해서는 공개하지 않았다.

쿼드림은 외부 노출을 줄이기 위해 이스라엘 외부에 판매할 때는 키프로스에 등록한 인리치(InReach)라는 기업을 통해 판매한 것으로 나타났다.

마이크로소프트 보안 전문가는 "제로 클릭 공격 방식은 감지나 예방이 어려울 뿐 아니라 침투 흔적을 제거하기 위해 멀웨어를 추가로 사용하기도 한다"며 "스파이웨어의 표적이 될 수 있다고 생각하는 사람은 항상 iOS의 잠금 모드를 활성화해야 한다"고 권장했다.

남혁우 기자(firstblood@zdnet.co.kr)