새 아이폰 나올 때마다 등장하는 해킹 법, 이번에도 등장

새 아이폰 나올 때마다 등장하는 해킹 법, 이번에도 등장

이 문제를 발견한 건 스스로를 애플의 열렬한 팬이라고 밝힌 호세 로드리게즈(Jose Rodriguez)라는 인물이다. 스페인의 일반 사무원이라고 하는데, 이전에도 아이폰 해킹 방법을 찾아낸 전적이 있다. 로드리게즈는 자신의 유튜브 계정에 아이폰 해킹 방법을 영상으로 찍어 올렸다. 37개의 과정을 거쳐 해킹에 성공하는데, 설명은 스페인어로 되어 있다.

해외 보안 전문 매체인 쓰레트포스트(ThreatPost)는 이 영상을 접하고, 독자적으로 실험을 진행했다고 보도했으며, “그 실험을 통해 가장 최신 기종인 XS는 물론 다른 버전의 아이폰에서도 해킹에 성공했다”고 설명했다. 또한 “아직 애플 측에서는 이에 대한 답변이 오지 않고 있는 상태”라고 덧붙이기도 했다.

백문이 불여일견이라고, 영상을 한 번 보는 것이 이번에 발견된 취약점을 이해하는 데 도움이 될 지도 모른다. 주소는 이것(https://www.youtube.com/watch?v=X2yQS1VzmZ0)이다. 

로드리게즈가 발견한 구멍은 연락처를 편집함으로써 이미지에 접근해 특정 인물의 사진을 바꾸는 것과 관련이 있다. 애플은 이미 이러한 행위에서의 문제점을 파악하고, 연락처를 통해 이미지를 열람할 수 없도록 해두었다. 하지만 로드리게즈는 이 장치를 우회하는 데 성공했다고 한다.

로드리게즈의 해킹 방법은 애플의 시리(Siri)와 보이스오버(VoiceOver)를 남용하는 것을 주요 원리로 삼고 있다. 그러므로 공격에 성공하려면 기기와 물리적으로 가까워야 하는 것은 물론 그 기기의 주인이 시리를 활성화시킨 상태여야 한다. 동시에 안면 인식 기능도 어떻게 해서든 발동 금지시켜야 한다.

아이폰의 패스코드 우회 문제는 지난 몇 년 동안 꾸준히 발견되어 왔다. 사실 아이폰 새 모델이 출시되면 일부 사용자들은 어떻게 해서든 패스코드를 뚫어내고, 이를 세상에 공개했다. 이미 iOS 10 버전에서도 시리와 보이스오버를 통한 해킹 기법이 인터넷 상에서 화제가 된 바 있다. 그 전에도 시리를 이용해 패스코드를 우회한 후 아이폰에 탑재된 시계 및 캘린더 앱에 접근하는 방법도 연구됐었다.

2016년에는 iOS 9.3.1 버전에서도 문제가 나왔다. 공격자가 시리를 우회해 사진과 연락처 정보를 가져갈 수 있게 해주는 취약점이었다. 

3줄 요약
1. 한 스페인의 ‘애플 열혈 팬’, 아이폰 XS에서 패스코드 우회 취약점 발견.
2. 시리와 보이스오버 기능 자꾸만 발동시키는 기법. iOS 10 버전에서도 공개된 내용.
3. 기기와 물리적으로 가깝고, 안면 인식 발동 안 되게 손쓰는 것도 중요.
[국제부 문가용 기자(globoan@boannews.com)]

[츨처: 보안뉴스]