또 다른 문자를 다시 발송하면 문제 더 이상 나타나지 않아...패치 예정
[보안뉴스 문가용 기자] 애플의 iOS와 메시지(Messages)와 관련된 버그가 발견됐다. 이 버그를 잘 활용하면 문자 메시지를 발송하는 것만으로 앱이 계속해서 마비된다. 심지어 전화를 껐다가 다시 켜야 할 때도 있다고 한다. 만약 화면이 잠금 상태일 때 이 문자 메시지가 도착하면 어떻게 될까? 기기 재시동에 들어가는데, 사용자에게 아무런 경고 메시지나 알림 없이 곧바로 꺼진다고 한다.
[이미지 = iclickart]
정보가 탈취되거나 크리덴셜이 없어진다거나 채굴 코드가 깔리는 건 아니지만, 이른바 ‘트롤링’ 공격이 가능해진다. 사이버 불리(cyber bully) 즉 사이버 깡패 행위가 심각한 문제가 되고 있는 때에 이 같은 문제는 큰 피해로 이어질 수 있다.
이 버그는 코드 공유 사이트인 깃허브(GitHub)에서 아브라함 마스리(Abraham Masri)라는 인물이 최초로 공개했다. 그는 이 버그를 차이OS(chaiOS)라고 불렀으며 퍼징 테스트를 하다가 우연히 문제를 일으키는 문자열을 발견했다고 한다. 그러면서 자신의 트위터에 “이 문자열을 아이폰 사용자에게 보내봐. 커졌다 켜질 걸?”이라는 내용을 작성했다.
해당 문자열은 아직 패치가 나오지 않았으므로 공개하지 않는다.
이와 유사한 문제는 애플이 아이폰을 출시하면서 심심찮게 발생해왔다. 다행히 애플은 대부분의 문제를 지연 없이 해결해왔다. 다만 애플이 해결책을 공식적으로 발표하기 전까지의 시간 동안 문제가 일어날 소지가 있어, 애플 기기 사용자들에게는 주의가 요구된다.
처음에는 이번에 발견된 버그가 아이폰과 아이폰 사이의 통신을 통해서만 악용 가능하다고 알려졌다. 하지만 보안 전문가들의 조사 결과 안드로이드폰과 아이폰 간 통신 환경 내에서도 똑같은 공격이 가능하다는 게 밝혀졌다.
또한 시스템 리부트와 앱 마비 현상을 일으키는 문제의 문자열도 구체적으로 특정되어 있어, 우연히 혹은 실수로, 또는 사고로 이런 사고를 겪을 확률은 0에 가깝다. 즉 애플의 기기 사용자인데 시스템이 문자 하나로 마비되는 일이 일어났다면, 표적 공격에 무게를 두고 주변 지인을 조사해나가야 한다는 소리다.
이미 트위터를 비롯한 소셜 미디어에서는 아이폰이 켜지지 않는다거나 갑자기 꺼졌다가 켜진다는 등의 소식들이 사용자들로부터 전달되어 오고 있다. 9to5Mac이라는 외신은 “이미 이 버그가 일반 사용자들에게 알려졌고, 트롤링이 광범위하게 진행될 조짐이 보인다”고 경고했다. 가디언지는 애플워치에서도 똑같은 문제를 발견했다고 보도했다.
애플 사용자들은 현재 자체적으로 찾아낸 해결방법을 공유하고 있다. 대표적인 건 다음과 같다.
- 악성 메시지를 보낸 사람을 찾아내 또 다른 메시지를 보내게 한다.
- 그 사람을 찾을 수 없다면, 애플 시리나 맥킨토시 컴퓨터를 통해 자기 자신에게 메시지를 보낸다.
아직 애플은 패치를 발표하지 않고 있으나, 곧 소프트웨어 업데이트를 실시할 예정이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>