"아이폰이 꼭 안드로이드 기기보다 안전할 것이라고 안심할 수는 없다."
애플 흠집내기가 아니다. 마이크로소프트(MS) 고위 임원이 던진 기업 보안 관련 메시지다. 최근 불거진 iOS 악성코드 '페가수스(Pegasus)'와 관련 정황을 분석해 내린 결론이다. 페가수스는 지난 8월 이스라엘 소프트웨어(SW)업체 NSO그룹이 iOS 제로데이 취약점 3가지를 이용해 만든 악성 코드다. 페가수스는 체제 비판적인 인물을 타깃으로 했다는 의심을 받고 있는 악성코드이기도 하다.
브래드 앤더슨 MS 기업부사장(CVP)은 지난주 엔터프라이즈 모빌리티 및 보안 부문 공식 블로그를 통해 iOS 보안취약점 '트라이덴트(Trident)'와 이를 악용해 만들어진 아이폰용 악성코드 또는 '사찰용 SW' 페가수스를 분석한 경험을 공개하며 고객과 파트너들에게 기업내 모바일 보안에 관한 경각심을 일깨웠다.
앤더슨 기업부사장은 이 글에서 애플 아이폰처럼 '통제된 생태계'에 기반한 시스템의 보안이 반드시 구글 안드로이드처럼 '느슨하게 관리되는 생태계'에 기반한 시스템의 보안보다 우월한 건 아니라는 뜻을 전했다. 이어 모바일 기기 활용이 늘고 있는 기업 환경에서 이를 염두에 두고 관련 보안 전략을 수립할 때 갖춰야 할 4가지 관점을 제시했다.
그의 분석과 조언은 이렇게 요약됐다. iOS와 안드로이드의 플랫폼 보안에 대해 상반된 인식은 더 이상 유효하지 않다. 기업의 보안에 관여하는 사람 입장에선 페가수스 악성코드를 만든 NSO그룹과 같은 영리적 조직의 존재를 한층 심각한 위협으로 받아들일 수밖에 없다. 기업 보안 환경에선 이미 사고가 난 이후 대처할 방법을 갖추는 노력이 필요하다.
[☞참조링크: What We Can Learn from the Trident/Pegasus iOS Vulnerability]
■무슨 일 있었나
지난 8월 모바일 보안 전문업체 '룩아웃'과 캐나다 토론토대학교 '시티즌랩'이 분석한 결과에 따르면, 페가수스는 iOS 제로데이 보안취약점 3가지를 이용한 악성코드다. 페가수스가 침입한 아이폰은 사용자가 다른 사람과 주고받은 통신 이력 및 대화 내용과 비밀번호 그리고 위치정보까지 기기의 어떤 데이터든 외부로 유출시킬 수 있게 된다.
[☞참조링크: Disarming a Cyber Mercenary, Patching Apple Zero Days]
이후 애플은 '트라이덴트'라 명명된 보안취약점 3개를 서둘러 패치했지만, 페가수스는 다른 측면에서 긴 파장을 낳았다. 페가수스가 세간의 주목을 받은 이유는 2가지였다. 하나는 운영체제(OS) 취약점을 파고들어 기기 사용자의 보안을 위협하기 위해 기술적으로 정교하고 까다로운 방식으로 만들어졌다는 점. 그리고 다른 하나는 제작 배경의 의외성. 후자 비중이 컸다.
[☞관련기사: 애플 긴급패치 iOS 악성코드 '수상하네']
[☞관련기사: 아이폰 '잠금망' 해제한 어느 회사 이야기]
시티즌랩과 룩아웃의 분석 결과, 페가수스는 불특정 다수를 겨냥한 악성코드가 아니라 이스라엘 첩보기관 출신 인물들이 차린 SW회사 'NSO그룹'에서 판매하는 '제품'이었다. NSO그룹은 페가수스를 라이선스 300개당 800만달러 가량에 판매했다. 라이선스에는 사용자를 위한 제품보증(software assurance)과 주중무휴 기술지원까지 포함돼 있었다.
남의 아이폰에 담긴 정보, 대화내용, 통신기록을 훔치고 그 동선을 파악하기 위해 개당 수만달러짜리 SW를 사고 기술지원을 받는다? NSO그룹은 자신들의 고객이 정부이며 페가수스의 용도가 "범죄 수사 및 예방"이라 밝혔다. 시민 감시 용도임을 간접적으로 인정한 셈이다.
NSO그룹은 자기네 SW를 쓰되 합법적이어야 한다는 계약 조항이 있다고 항변하지만, 정부가 꼭 그렇게 썼다고 보긴 어렵다. 시티즌랩이 페가수스의 존재를 세상에 알린 정황이 그랬다. 시티즌랩은 아랍에미리트연합(UAE) 인권운동가 아흐메드 만수르의 제보를 통해 페가수스를 알게 됐다. 범죄 수사 및 예방이란 목적이 인권운동가를 감시할 충분한 명분이라 보긴 어렵다.
■안드로이드보다 iOS가 안전하란 법은 없다
앤더슨 기업부사장도 페가수스를 라이선스와 기술지원을 갖춘 정식 'SW제품'으로 만들어 버젓이 판매해 온 NSO그룹의 행태에 주목했다. 그는 특정 플랫폼의 취약점을 찾아내 개발업체에 알리는 대신 그걸 이용해 누군가의 정보를 훔치고 빼앗는 도구를 만들어 판매하는 NSO그룹같은 사업체의 존재는 대다수 일반인과 기업의 보안을 위협할 수 있다는 우려를 드러냈다.
"…(페가수스는) 사이버보안 전문가들이 불과 몇년전 강하게 경고했던 현상들의 매우 끔찍한 결과다. 기업 해킹, 온라인 도둑질, 사이버 간첩, 사이버 테러리즘의 배후에 영리적 기업이 있으며, 그게 음성적이지만도 않다. 만일 여러분이 다른 기업이나 공공단체에서 관심을 가질만한 지적재산을 보유했다면 이를 노리는 외부조직은 꼭 이런 복잡한 공격을 수행할 전문지식을 갖출 필요 없이 (페가수스의) 라이선스를 살 돈만 있으면 된다."
그의 우려는 다음과 같은 경고로 이어진다.
"이는 우리가 모두 확고하고 지속적인 공격아래 있다는 점, 모든 플랫폼과 앱이 보안 취약점을 갖고 있다는 점을 상기시킨다. 2년전 나는 iOS플랫폼에 확고하고 절대적인 신뢰를 갖고 있는 고위 임원들의 의견을 헤아릴 수 없이 여러 번 접해 왔다. 그런 논의에서 '난 안드로이드를 믿지 않아요 그건 서부 무법지대 같아서요, 하지만 iOS는 정말 믿음직하죠 그건 통제되고 갈고닦인 생태계니까요' 같은 언급을 흔히 접할 수 있다."
그러나 그는 안드로이드 보안에 대한 불신과 iOS 보안에 대한 맹신은 부적절한 관점이라 지적한다.
"안드로이드나 iOS에 돌을 던지려는 건 아니지만, 이런 관점엔 딜레마가 있다. 모든 모바일OS 개발업체는 그들의 플랫폼을 단련하기 위해 초인적으로 노력하며 가장 안전한 OS를 제공하기 위해 가능한 모든 일을 행한다는 사실을 알고 있다. 그러나 우리의 현시대에서 이런 플랫폼을 만드는 조직들의 놀라운 노력에도 끊임없이 성공적인 공격을 만들어내는 디지털 위협이 존재한다는 것 또한 사실이다."
그는 페가수스 악성코드를 만든 NSO그룹의 사업 특성을 언급하며 다음과 같이 우려하기도 했다.
"페가수스에 관해 염두에 둘 흥미로운 지점이 하나 더 있다. 이 제품은 주로 상대적으로 작은 정부에게 판매됐다. 왜냐면 (예를 들어 G20같은) 강대국 정부들은 이미 저마다 사이버작전을 수행하기 위한 조직을 갖추고 제3자의 도움을 필요로 하지 않는 형태로 운영하고 있기 때문이다. G20 회원국과 같은 나라가 이미 보유한, 그리고 다른 정부들이 보유하려하는 (사이버 감시를 위한) 역량은 어떤 것인지 고민하게 만드는 대목이다."
■MS의 조언 "이미 뚫렸을 수 있다고 생각해라"
앤더슨 기업부사장은 기업들에게 모바일 관련 보안 전략 수립시 다음 4가지 영역에 집중하라는 다소 원론적인 조언을 남겼다.
첫째, 항상 이미 보안사고(Breach)가 발생했을 것이라 간주해야 한다. 조직의 유형은 2가지 뿐이다. 해킹을 당한 곳과, 아직 당한 걸 모르는 곳. 굳이 하나 더 추가하면 '보안사고를 냈지만 그걸 밝힐 수 없는 곳'이 있겠다. 보안 솔루션을 평가하고 활용할 땐 반드시 보안사고 발생 상황을 염두에 두고 침해 상황을 식별해 조치를 취할 수 있는 도구를 갖춰야 한다.
둘째. 심도 깊은 방어체계를 구축해야 한다. 기업은 보안사고를 항상 염두에 두고 있더라도, 가능한한 많은 방어선을 구축하길 원할 것이다. 기업의 계정, 기기, 애플리케이션, 데이터에 관한 다중 보안망을 배포하고 싶어할 것이다.
관련기사
- 아이폰 '잠금망' 해제한 어느 회사 이야기2016.10.20
- 해외 NGO까지 스마트보안관 앱 문제삼은 이유2016.10.20
- 모바일도 예측보안...'룩아웃' 주목2016.10.20
- "국정원이 해킹팀SW로 뭐했는지 파악 어렵다"2016.10.20
셋째. 꾸준히 최신화해야 한다. 앤더슨 기업부사장은 많은 고객들로부터 "내 기기가 가장 보안상 안전하고 통제되고 호환성을 갖췄다고 확신하려면 어떻게 해야겠느냐"는 질문을 받았다고 한다. 그러기 위한 가장 쉬운 방법은 OS, 관리툴 및 보안툴 제조사의 업데이트를 꾸준히 받아 적용하는 것이라는 게 그의 답변이다.
넷째. 포괄적으로 생각해야 한다. 어떤 공격자든 가장 약한 지점을 찾은 다음 튼튼한 것을 무너뜨리려 하기 마련이다. 기업들은 거의 빈틈이 존재하지 않는 통합 방어체계를 제공하도록 잘 구성된 솔루션을 필요로 할 것이다.