iOS의 제로데이 결함을 이용한 아이폰 사상 최악의 스파이웨어가 발견됐다. 제로데이란 그간 알려지지 않은 보안 결함을 말한다. 이에 애플은 패치 버전인 iOS 9.3.5를 25일(현지시간) 황급히 내놓으며 업그레이드하길 권고했다. 미국 FBI도 해제하지 못한 아이폰의 탄탄한 문이 뚫린 셈이다. 

‘페가수스’라고 명명된 이번 악성코드는 아랍에미리트(UAE)의 저명한 인권운동가 아흐메드 만수르가 지난 10일(현지시간) 자신의 아이폰에 특이한 문자가 온 것을 보고 발견했다. 만수르는 권위 있는 인권상 ‘마틴 에널스상’을 수상한 바 있다. 그간 빈번한 해킹 공격에 시달려온 만수르는 문자로 날아온 특이한 인터넷 주소를 클릭하지 않고 바로 캐나다 토론토대 시티즌랩으로 보냈다. 

시티즌랩은 악성코드가 너무 복잡하기에 미국의 모바일 보안 전문 업체 룩아웃 함께 2주 동안 분석에 들어갔고 마침내 멀웨어를 발견했다고 알려졌다. 룩아웃의 마이크 머레이 보안 리서치 담당 부사장은 “휴대폰 악성코드 중 가장 복잡했다”라고 워싱턴포스트와의 인터뷰에서 밝혔다.

페가수스는 문자로 보내진 주소를 통해 사용자가 접속하게 되면 사용자 모르게 저절로 아이폰에 설치된다. 일명 ‘탈옥’이라고 불리는 iOS를 스스로 보안해제하고 감청 프로그램을 설치하는 방식이다. 페가수스가 아이폰에 깔리게 되면 카메라와 마이크를 통해 감청 가능하고, 위치도 추적된다. 문자, 이메일, 메신저, 통화내역 등 휴대폰에 있는 내용을 몽땅 볼 수 있다는 후문이다. 

페가수스는 지난 2014년 미국 사모펀드 프란시스코 파트너스에 인수된 이스라엘 업체 NSO그룹에 의해 탄생했다고 알려졌다. NSO그룹은 페가수스 논란에 대해 “정부 기관만을 대상으로 적법한 감청 프로그램을 판매한다”라고 밝힌 바 있다. 하지만 NSO그룹은 페가수스를 직접 만들었는지에 대해서는 정확하게 밝히지 않았다. 워싱턴포스트와 인터뷰에서 NSO는 만수르를 타깃으로 한 악성 코드 유포 시도에 대해서는 아는 바가 없다고 설명했다. 

시티즌랩은 아이폰은 취약점이 적기 때문에 아이폰을 뚫고 들어갈 수 있는 프로그램이 있다면 수백만 달러에 거래될 것이라고 강조했다. 상대적으로 해킹 프로그램을 적용하기 어렵다고 알려진 아이폰도 이번 사건을 통해 취약점이 존재한다는 사실이 밝혀진 셈이다. 우선 아이폰 사용자들은 수상한 문자가 오면 주소를 바로 클릭하지 말고 배포된 iOS 패치를 깔아야 할 것이다.  

한편 트위터 계정을 서버 삼아 활동하는 새로운 해킹 방식의 안드로이드 백도어도 최근 발견됐다. 보안 전문업체인 ESET가 트위터 계정을 서버로 삼고 운영되고 있는 ‘트위투어’(Twitoor)라는 멀웨어를 약 한 달 전 처음 발견했다고 지디넷이 25일(현지시간) 보도했다.

트위투어는 감염된 기기에 다른 악성 앱들을 다운로드하는 기능을 가지고 있다고 알려졌다. 확산 속도는 느린 편이며 현재 공식 안드로이드 샵은 뚫지 못했다는 후문이다. ESET의 연구원들은 트위투어가 설치되면 C&C 서버로 활용되는 트위터 계정과 일정하게 접속을 시도하며 명령을 받는다고 설명했다. 그러면서 악성 앱을 다운로드하거나 다른 C&C 트위터 계정과 연결을 시도한다.  

ESET의 멀웨어 전문가인 루카스 스테판코(Lukas Stefanko)는 “기존의 C&C 서버가 아니라 트위터 계정을 활용한다는 건 아주 새로운 방식”이라며 “트위터를 서버로 사용하면 발견과 방어가 어렵다. 들켜도 통신 채널을 바꾸거나 새로운 계정을 열면 되기에 이색적이고 똑똑한 방식”이라고 강조한 바 있다. 트위투어 사건으로 인해 페이스북과 링크드인 등 다른 인기 SNS 등도 보안 관련 이슈에 촉각을 곤두세우고 있다.