아이폰의 '유브갓메일' 신호…"해킹당하셨습니다"

제로클릭 결함 발견…애플, 5월 중 패치 내놓을 듯

홈&모바일입력 :2020/04/23 11:01    수정: 2020/04/23 16:22

김익현 미디어연구소장 기자 페이지 구독 기자의 다른기사 보기

‘유브 갓 메일’

“메일 왔습니다”란 의미다. 20여 년 전 톰 행크스와 맥 라이언이 주연했던 영화 제목이기도 하다. 살짝 낭만적인 분위기를 연상케 하는 말이다.

그런데 ‘유브 갓 메일’이 또 다른 재난의 시작이라면? 흔한 스팸 메일 얘기가 아니다. 메일함에 메일이 담기는 순간 곧바로 해킹이 시작되는 보안허점이 드러났다.

미국 샌프란시스코에 있는 보안 전문회사 제크옵스(ZecOps)가 22일(현지시간) 공개한 내용이다.

아이폰에서 메일을 클릭하지 않아도 해킹되는 제로클릭 버그가 발견됐다. (사진=제크옵스)

제크옵스는 iOS에서 두 건의 제로데이 보안 결함을 발견했다고 밝혔다. 그 중 한 건은 iOS에 기본 탑재돼 있는 메일 앱과 관련된 보안 결함이다.

그런데 이 결함이 관심을 끈 것은 작동 방식 때문이다. 메일함에 메일이 담기는 순간 곧바로 원격 제어가 가능해지기 때문이다.

제크옵스가 ‘제로 클릭 결함'이라고 이름 붙인 건 그 때문이다. ‘유브 갓 메일’이 공포의 말로 바뀌는 셈이다. ‘제로클릭 버그’ 피해 사례가 공개된 적은 없다. 일반인들을 겨냥한 대규모 공격은 시행되지 않았다.

■ "깜짝 놀랄 유명인사들이 피해"…"정교한 해킹은 아냐" 평가도

그런데 제크옵스는 더 충격적인 사실을 공개했다. 유명인을 겨냥한 타깃 공격에 이용된 정황이 있다고 밝힌 것.

제크옵스는 “일본 통신사 고위 임원, 독일의 VIP, 사우디아라비아와 이스라엘 보안회사 임원 등이 피해를 입었다"고 설명했다. 게다가 이 결함은 2012년 나온 iOS6 때부터 존재해 왔다고 제크옵스가 밝혔다.

해킹 방법도 조금 독특하다. 해커들은 타깃으로 삼은 이용자에게 정교하게 작성한 이메일을 보낸다. 그런데 정작 피해자의 아이폰에선 해킹의 단초가 된 이메일은 찾을 수 없었다. 공격 직후 곧바로 삭제한 것 같다는 게 제크옵스의 설명이다.

자신의 폰이 해킹되는 지도 모른 채 고스란히 염탐당하는 셈이다.

제크옵스는 이번 결함을 이용한 해킹이 국가 기관 등의 첩보 목적으로 사용됐을 가능성이 있다고 주장했다. 혹은 고용된 해커들이 특정인의 정보를 빼낸 뒤 팔아넘길 목적으로 이용됐을 수도 있다는 설명이다.

(사진=제크옵스)

그들은 구체적으로 누가 어떤 피해를 입었는지는 공개하지 않았다.

하지만 IT전문매체 마더보드에 따르면 제크옵스는 “(제로클릭의) 타깃이 된 사람들을 확인하고는 살짝 놀랐다”고 언급했다.

이번 결함에 대해선 모바일 기기, 특히 iOS에선 드물게 보는 것이란 평가도 있다. 마더보드에 따르면 보안회사 트레일 오브 비츠의 댄 기도 최고경영자(CEO)는 “원격 제어가 되는 데다, 아무 것도 클릭하지 않아도 감염된다는 점에서 상당히 이례적이다”고 밝혔다.

물론 이번 해킹이 정교한 수법은 아니라는 평가도 있다.

이번에 발견된 제로클릭 해킹은 용량이 과다한 메일을 보내는 것부터 시작한다. 그런 만큼 이메일 함에 도달하기 전에 걸러질 수도 있다.

관련기사

또 하나. 이번 결함은 iOS에 기본 탑재된 메일 앱에서만 발견됐다. 지메일이나 아웃룩은 안전하다.

제크옵스는 애플에도 이 같은 사실을 통보했다고 밝혔다. 애플은 다음달 iOS13에서 보안 패치를 내놓을 계획이다.

김익현 미디어연구소장sini@zdnet.co.kr