iOS가 안드로이드보다 정말 더 안전할까요?

보안에 대한 위험한 착각: iOS가 Android보다 정말 더 안전할까요?

신뢰할 수 있고 안전한 모바일 통신은 회사, 정부 기관, NGO 등 모든 현대 조직에 필수입니다. 현재로서는 구글의 안드로이드 플랫폼이나 iOS를 기반으로 하는 애플의 아이폰 중 하나를 선택할 수밖에 없습니다. 언뜻 보기에는 타사 프로그램에 대한 제한, 유일하게 엄격하게 통제되는 마켓플레이스, 다른 곳에서 발견되는 멀웨어의 일부 등 아이폰이 훨씬 더 안전해 보이지만, 정말 그런지 자세히 살펴봅시다.

iOS는 정말 그렇게 안전할까요?

최근 몇 년 동안 애플 기기의 멀웨어 감염에 대한 뉴스는 "합법적인 감시 소프트웨어"인 페가수스 덕분에 흔하게 접할 수 있게 되었습니다. 하지만 페가수스의 피해자는 주로 활동가, 정치인, 언론인이었기 때문에 이 위협은 도시 전설처럼 여겨졌습니다. 물론 끔찍하긴 하지만 워낙 드물고 표적화되어 있어 실제로 마주칠 가능성은 거의 없었습니다(직접 찾아다니지 않는 한). 하지만 올해 6월, 우리는 Triangulation 멀웨어를 사용한 카스퍼스키 경영진에 대한 공격에 대해 이야기했습니다(다가오는 보안 분석가 서밋에서 이 공격에 대한 자세한 분석을 발표할 계획입니다. 관심이 있으시면 함께하세요).


아이폰을 표준 모바일 통신 수단으로 사용하는 우리 회사, 즉 개인 소유 기업이 공격을 받았습니다. 철저한 조사를 수행하고 감염 흔적을 자동으로 검색하는 triangle_check 유틸리티를 배포한 후 유사한 공격을 받은 피해자들이 편지를 보낼 수 있는 사서함을 설정했습니다. 그리고 다른 Apple 스마트폰 사용자들로부터도 자신의 기기에서 감염 징후를 발견했다는 이메일이 쏟아졌습니다. 저희를 믿으세요 - 저희는 더 이상 iPhone에 대한 표적 공격을 드문 사례로 인식하지 않습니다.

보안에 대한 환상

역설적이게도 iOS가 안드로이드보다 훨씬 더 안전하다는 주장이 자주 반복되는 것은 상황을 더욱 악화시킬 뿐입니다. 위협에 대한 공개적인 부인은 사람들이 눈에서 눈을 떼게 만듭니다. "물론 누군가는 감염되었지만, 나는 감염되지 않을 가능성이 높다"고 스스로에게 말합니다.


심지어 정보 보안에 문외한인 일부 동료들조차도 자신이 '삼각 측량'을 당했다는 사실을 믿지 않았습니다. 위협이 공개된 후에도 몇몇은 설득을 통해 자신의 iPhone에서 멀웨어의 흔적을 확인해야 했고, 자신이 표적이 되었다는 사실에 진심으로 놀랐습니다.


"왜 나를 해킹할까?"라는 생각은 위로가 되지만 위험합니다. 여러 가지 이유가 있을 수 있습니다. 휴대폰을 해킹당하기 위해 자신이 흥미로운 표적이 될 필요는 없습니다. 고위 경영진이나 정부 관리와 관련이 있으면 충분합니다. 때로는 회의에 참석하거나 실제 공격 대상과 물리적으로 가까운 곳에 있는 것만으로도 충분합니다. 그러다가 갑자기 중요한 비즈니스 정보가 디바이스에서 유출되어 공격의 표적이 될 수도 있습니다.

실제 문제

취약점 시장(다크넷 포럼이나 제로디움과 같은 회색 플랫폼)을 자세히 살펴보면 iOS와 Android 익스플로잇의 가격이 거의 동일하다는 것을 알 수 있습니다. 이는 공격자 시장에서 이러한 시스템의 보안 수준을 어떻게 바라보고 있는지를 보여줍니다. 일부 Android용 익스플로잇은 iOS보다 훨씬 더 비쌉니다. 어쨌든 두 시스템 모두 실행 가능한 공격 대상입니다.


진정한 차이점은 공격에 대응할 수 있는 도구의 가용성에 있습니다. 공격자가 최신 제로데이 취약점을 악용하여 Apple의 자랑스러운 보안 메커니즘을 우회하는 경우, 사용자가 할 수 있는 일은 아무것도 없습니다. 대부분의 경우 이런 일이 발생했다는 사실조차 파악하지 못할 것입니다. 시스템 제한으로 인해 최고의 전문가조차도 공격자가 정확히 무엇을 노렸는지 파악하는 데 어려움을 겪을 것입니다. 한편, 안드로이드 기반 스마트폰에는 안티바이러스뿐만 아니라 기업 디바이스를 원격으로 관리할 수 있는 MDM(모바일 디바이스 관리) 솔루션과 같은 본격적인 보안 솔루션이 탑재되어 있을 수 있습니다.


좀 더 세분화하면 공격이 발생했을 때 iOS의 평판이 좋은 장점이 실제로는 단점이 될 수 있다는 것을 알 수 있습니다. 외부 보안 전문가가 접근할 수 없는 폐쇄적인 생태계의 특성은 공격자에게 유리하게 작용할 뿐입니다. 물론 Apple 엔지니어들은 사용자가 실수로 악성 사이트로 이동하여 트로이 목마 APK를 다운로드할 수 없도록 매우 완벽한 보호 기능을 구축했습니다. 하지만 아이폰 해킹의 경우(실제 사례에서 알 수 있듯이 정교한 공격자의 능력 범위 내에 있음), 피해자는 Apple이 구출해 주기를 바랄 수밖에 없습니다. 물론 제때에 해킹을 감지한다는 가정 하에 말이죠.

위협의 규모

지금까지 iOS에 대한 모든 실제 공격이 표적 캠페인의 일부였다는 주장도 안심할 수 없습니다. 일반적으로 이터널블루 익스플로잇은 정부 기관에서 개발했으며 매우 좁은 용도로만 사용되었다는 것이 정설로 받아들여지고 있습니다. 하지만 이 익스플로잇은 섀도우 브로커스 그룹에 의해 유출된 후 사이버 범죄자들의 손에 넘어갔고, 글로벌 워너크라이 랜섬웨어 공격에 사용되었습니다.


애플의 마켓플레이스도 더 이상 난공불락으로 간주할 수 없습니다. 최근 저희 동료들은 특정 조건에서 사용자의 개인 데이터를 피싱하는 사기 앱을 앱 스토어에서 다수 발견했습니다. 물론 아직 큰 위협은 아니지만, 악성 페이로드를 탑재한 앱이 Apple의 엄격한 제어를 우회하여 공식 마켓플레이스에 게시되는 선례를 남겼습니다.

어떻게 해야 할까요?

트라이앵귤레이션의 교훈을 얻은 저희는 다른 많은 민간 기업 및 정부 기관과 마찬가지로 업무용으로 iPhone을 사용하는 것을 단계적으로 중단하고 있습니다. 현재로서는 그 대안으로 저희의 솔루션이 탑재된 Android를 사용하고 있으며, 이 솔루션이 효과적이라는 것을 알고 있습니다. 그렇다고 해서 공격이 더 어렵다고 생각하는 것은 아닙니다. 단지 보호하기가 더 간단하고 공격의 징후를 탐지하기가 확실히 더 쉽다는 의미입니다.


이는 영구적인 솔루션이 아니며 OS에 추가하는 방식은 이상적이지 않습니다. 보안 솔루션은 이미 발생한 위협과 유사한 위협으로부터 보호하는 획득 면역의 원리에 따라 작동합니다. 완벽한 세상에서는 모든 사람이 선천적으로 면역력이 있는 휴대폰을 가지고 있어 의도하지 않은 동작을 설계상 불가능하게 만들 수 있습니다. 하지만 아쉽게도 아직 그런 휴대폰은 없습니다.