출시 앞둔 iOS 13, 잠금 우회 공격 취약점 존재

GM 버전에선 작동...iOS 13.1에선 패치될 듯

컴퓨팅입력 :2019/09/16 10:45    수정: 2019/09/16 10:57

오는 20일 정식 배포 예정인 iOS 13 버전에 기기 잠금 상태를 우회할 수 있는 취약점이 존재하는 것으로 나타났다.

이를 발견한 보안전문가는 애플이 월말께 패치를 내놓을 것이라 내다봤다.

애플은 지난 6월부터 수차례 iOS 13 시험판을 내놨다. 잠금 우회 취약점은 최근 배포된 '골드마스터(GM)' 버전까지 존재하는 것으로 파악됐다. GM 버전은 iOS 앱 개발자에게 미리 배포되는 완성판 성격이라, 이 버전의 문제는 일반 사용자에게 동일하게 나타날 여지가 있다.

스페인 보안 연구원 호세 로드리게스는 이 취약점을 지난 13일 소개했다.

(사진=씨넷)

취약점 탓에 잠금 상태인 기기의 연락처 정보를 조회할 수 있다.

방법은 이렇다. 영상통화가 걸려온 상태에서 사용자 지정 메세지 전송 기능을 선택하고, 이 상태에서 음성인식 인공지능(AI) 비서 '시리'를 이용해 화면 읽기 기능인 '보이스 오버'를 활성화한다. 활성화한 보이스 오버 기능을 다시 비활성화한 뒤 사용자 지정 메시지 전송 화면으로 돌아가면 휴대폰에 입력된 연락처 정보가 나타난다.

로드리게스는 애플에 지난 7월17일 제보한 취약점이 그 이후 배포된 개발자용 완성판 iOS 13 GM 버전에서도 여전히 작동하고 있다고 지적했다. 다만 애플이 오는 30일 배포할 iOS 13.1 버전에서 관련 패치가 이뤄질 것으로 전망했다.

관련기사

iOS 관련 잠금 우회 취약점이 발견된 것은 이번이 처음은 아니다. 이 연구원은 지난해 iOS 12가 배포됐을 때에도 잠금 우회 취약점을 발견했다. iOS 13과 마찬가지로 전화가 걸려온 상태에서 사용자 지정 메시지 보내기를 선택하고, 보이스 오버 기능 조작을 통해 연락처 정보에 접근이 가능한 식이었다. 잠금 우회 취약점은 iOS 6.1·7·8.1에서도 발견된 바 있다.

이와 같은 취약점이 해킹에 사용될 가능성은 제한적이다. 해커가 휴대폰에 근접해 있어야 하고, 위와 같은 절차를 실행할 시간도 필요하다. 미국 IT 매체 블리핑컴퓨터는 아이폰 사용자에 대해 늘 휴대폰을 소지하고 다니는 것이 가장 안전한 방법이라고 조언했다.