iOS

애플, iOS 소스 코드 유출 인정… “3년 전 코드, 보안 문제 없어”

Michael Simon | Macworld 2018.02.09
애플은 출시 예정 제품이나 OS 릴리즈의 정보 유출과 싸우는 데 익숙하지만, 최근 지금까지와는 다른 유출 사고가 발생했다. 한 익명의 사용자가 깃허브(GitHub)에 iOS 소스코드의 주요 구성 요소를 누구나 볼 수 있도록 올린 것. 일부 전문가들은 이것이 “역사상 가장 큰 유출 사고”라고 평가하기도 한다.

코드 유출을 처음 보도한 것은 마더보드(Motherboard)로, 현재는 깃허브에서 코드가 삭제된 상태지만 이미 그 전에 셀 수 없이 많은 사람들이 이 코드를 받았다. 애플은 DMCA(Digital Millenium Copyright Act)를 내세워 코드를 삭제했는데, UW 리서치의 과학자 칼 코스처는 트위터를 통해 애플이 이렇게 조치를 한 것은 해당 코드가 진짜라는 것을 인정한 것이라고 분석했다. 그렇지 않으면 위증죄를 받기 때문.

애플의 법무팀은 DMCA를 적용해 삭제를 요구하는 서한에서 문제의 콘텐츠가 “애플 아이부트(iBoot) 소스코드를 재현한 것이며, 이 소스코드는 애플 iOS 소프트웨어 부팅 신뢰성을 담당하고 있는 코드다. 아이부트 소스코드는 애플의 전유물이며 애플의 저작권 안내가 포함되어 있다. 오픈소스가 아니다”라고 밝혔다.



문제의 코드는 2016년 봄에 배포된 iOS 9.3 버전으로, iOS 9.3에는 나이트 시프트(Night Shift)를 포함한 여러 개선사항이 포함되어 있었다. 유출된 코드의 일부는 아이부트로, 이름에서 알 수 있듯 사용자가 아이폰을 시작할 때마다 신뢰할 수 있는 부팅 프로세스를 제어하는 역할을 한다. 애플에 따르면, 이 iOS 부트로더는 “각 단계에서 다음 단계가 애플이 서명한 것을 보증하는 신뢰 사슬의 첫 번째 단계”다. 이 코드가 감염되면, 디바이스에 감염된 소프트웨어가 실행될 수 있다.

발표문에서 애플은 “3년 전의 소스코드가 유출된 것으로 확인됐지만, 설계상 제품의 보안은 소스코드의 비밀을 유지하는데 의존하지 않는다. 제품의 많은 하드웨어 및 소프트웨어 보호 기능이 내장되어 있으며, 우리는 언제나 고객들이 최신 보호 기능 혜택을 받도록 최신 소프트웨어로 업데이트하도록 권장한다”고 설명했다.

소스코드 유출은 당황스럽기도 하지만, 위험할 수도 있다. 애플의 부팅 프로세스는 iOS 코드에서 가장 중요한 부분으로, 악성 코드 및 기타 공격으로부터 최전선의 보호 기능을 제공한다. 사실 초대 받은 사람만 볼 수 있는 한 보고서에 따르면 애플이 취약점을 찾아낸 개발자에게 20만 달러를 주는데, 이 문제가 얼마나 민감한 것인지를 단적으로 보여준다.

코드 자체는 2년 전의 운영체제이며 현재 95% 이상의 사용자가 이후에 배포된 iOS 버전을 사용 중이지만, 소스코드의 일부가 iOS 11에 여전히 사용되고 있을 가능성도 있다. 아이부트 코드의 가장 일반적인 사용처는 탈옥 버전의 iOS를 만드는 것이지만, iOS 소스코드에 대해 전례없이 자세한 내용이 공개된 것이기에 해커들에게 도움이 될 수도 있다. 해커들은 소스코드를 조사해 취약성과 불일치를 찾아 iOS 9.3뿐만 아니라 모든 버전의 iOS에 대한 공격에 활용할 수 있다.

일반 사용자들에게는 큰 공포로 다가오진 않을 것이다. 이번 소스코드 유출에서 발견된 내용을 사용해 공격하기 위해서는 해커들이 직접 피해자의 휴대폰에 접근하고 새로운 운영체제를 설치할 시간이 필요할 수 있다. 하지만 해커들은 이 코드에서 익스플로잇을 발견하기 위해 애를 쓸 것이고, 디자이너들은 iOS 시스템을 거의 그대로 흉내 낼 수 있다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.