[보안뉴스 문가용 기자] 애플이 최근 웹킷(WebKit)이라는 브라우저 엔진에서 발견된 제로데이 취약점을 패치했다. 자사 자체 제작 브라우저인 사파리에 영향을 주는 것이었다. CVE-2024-23222라는 취약점으로 일종의 ‘타입 컨퓨전(type confusion)’ 오류로 분류됐다. 입력되는 값을 제대로 확인하지 않거나 확인의 기준이 잘못됐을 때 나타나는 취약점이다.
[이미지 = gettyimagesbank]
활발한 익스플로잇
애플은 CVE-2024-23222를 해결하기 위해 iOS, iPadOS, 맥OS, iPadOS, tvOS를 전부 업데이트 했다. 그러면서 “이 취약점에 대한 실제 익스플로잇 공격이 있다는 보고가 나오고 있음을 인지하고 있다”고 밝혔다. 패치보다 해커들 편에서의 익스플로잇이 먼저 나왔으므로 이 취약점은 2024년의 첫 제로데이 취약점으로 기록됐다. 작년 애플 웹킷에서 발굴된 제로데이 취약점은 총 11개다. 2021년 이후로 현재까지로 기간을 늘려서 집계하면 웹킷 제로데이는 총 22개가 된다. 사파리에 대한 공격자들의 관심이 점점 높아지고 있다는 뜻이 된다.
CVE-2024-23222가 패치되기 일주일 전 구글에서도 크롬 브라우저 제로데이 취약점을 패치했다. 애플과 구글이 이렇게 짧은 시간 안에 제로데이 취약점을 번갈아 패치한 것은 처음이 아니다. 최근에만 서너 번은 된다. 이런 흐름이 형성되는 것을 보건데 양사의 브라우저에 대한 공격자와 보안 전문가들의 관심이 대단히 높은 수준이라는 것을 짐작할 수 있다. 그도 그럴 수밖에 없는 게 두 브라우저가 시장에서는 어마어마한 영향력을 가지고 있기 때문이다.
스파잉의 위협
그렇다면 공격자들은 애플의 제로데이 취약점을 통해 어떤 공격을 실시할 수 있게 되는 걸까? 애플은 취약점에 대한 세부 기술 내용을 밝히지 않는 것으로 유명하고, 이번에도 그러한 태도를 견지했다. 따라서 실제 공격에 대해 공개된 내용은 없다. 하지만 보안 전문가들 사이에서는 “스파이웨어를 이용한 공격자들이 주로 이 취약점을 악용하려 한다”는 말들이 나오는 중이다. 스파이웨어 제조사들이 아이폰에 심을 수 있는 스파이웨어를 여러 나라 정부 기관이나 정치인들에게 비싼 값에 판다는 건 공공연한 사실이기도 하다.
구글도 사정은 비슷하다. 2023년 9월 구글은 “스파이웨어 개발사인 인텔렉사(Intellexa)가 연속적인 익스플로잇 방법을 개발하는 중에 있는데, 그 가운데 크롬의 제로데이를 익스플로잇 하는 단계가 포함되어 있다”고 경고했었다. 여기서 언급된 크롬 제로데이는 CVE-2023-4762였다. 재미있게도 비슷한 시기에 애플 역시 사파리에서 제로데이 취약점을 발견하여 패치를 배포한 바 있었다. 비슷한 종류의 공격을 가능하게 하는 제로데이 취약점이, 비슷한 성격의 소프트웨어(브라우저)에서, 비슷한 시기에 발견되는 일이 잦아지고 있는 것인데 이것이 우연일까?
보안 업체 멘로시큐리티(Menlo Security)의 수석 보안 아키텍트인 리오넬 리티(Lionel Litty)에 의하면 “두 회사 모두 제로데이 취약점에 대한 정보를 하나도 공개하고 있지 않아서 뭐라고 평가하기가 어렵다”고 말한다. “크롬에서 발견된 제로데이 취약점의 경우 자바스크립트 엔진인 V8에서 발견됐습니다. 애플도 자바스크립트 엔진을 사용하고 있긴 하지만 구글이 사용하는 것과는 다릅니다. 그럼에도 자바스크립트 엔진이라는 특징은 같죠. 다른 방식으로 구현됐다고 해도 뿌리가 같은 소프트웨어들 간에 비슷한 오류가 발견되는 건 종종 있는 일입니다.”
게다가 하나의 브라우저에서 취약한 부분을 찾은 공격자들이 다른 브라우저에서도 비슷한 취약점을 찾으려 찔러보는 것도 흔한 일이라고 리티는 지적한다. “애플과 구글의 브라우저에서 제로데이 취약점들이 비슷한 시기에 발견된다고 해서 둘이 같은 취약점이라고 보기는 힘들 겁니다. 하지만 거기에는 기술적으로 설명할 수 없는, 다른 맥락에서의 연관성이 충분히 있을 수 있습니다.”
브라우저 기반 피싱 공격의 폭증
멘로시큐리티에 의하면 브라우저를 기반으로 한 피싱 공격이 2023년 전반기에서 하반기 사이에 무려 198%나 증가했다고 한다. 브라우저를 공략하는 방법은 여러 가지인데, 그 중 30%는 기존 보안 도구들을 우회하는 것이었다고 멘로시큐리티 측은 경고한다. 참고로 기존의 보안 솔루션들을 우회하여 공격하는 기법 자체는 2023년 전반기에서 하반기까지 오는 기간 동안 206% 증가한 것으로 조사됐다. 예전 방식의 보안 장치들을 뚫어내는 것이 유행하면서 브라우저가 자연스럽게 폭격을 맞은 것으로도 해석이 된다.
“브라우저는 일반 사용자들도 흔히 사용하는 애플리케이션이기도 하지만, 기업에서도 업무용으로 널리 사용하는 업무용 애플리케이션이기도 합니다. 그 어떤 조직도 브라우저 없이 생산성을 제대로 발휘하기 힘들다는 걸 생각해 보면 수긍이 갈 겁니다. 하지만 너무 흔히 사용되다 보니 브라우저의 중요성을 간과하는 게 보통입니다. 브라우저를 통해 우리는 인터넷에 접속하고 중요한 서비스에 드나든다는 사실을 잊고 있는 겁니다. 브라우저는 어떤 기업이든 가장 첫 번째로 강화해야 할 요소인지도 모릅니다.” 멘로시큐리티의 설명이다.
3줄 요약
1. 최근 1주일 간격으로 브라우저 제로데이 발견해 패치한 구글과 애플.
2. 해당 제로데이들 모두 일종의 자바스크립트 엔진에서 발견됨.
3. 지난 해부터 브라우저를 겨냥한 사이버 공격이 급증하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>