iPhone의 iMessage에 내재된 '제로클릭의 취약점'에 의해 기자가 정부로부터 해킹을 당하다

캐나다 토론토대학을 거점으로 하는 보안연구기관 Citizen Lab이 2020년 12월 20일 중동 기자들 36명이 복수의 정부가 관여하는 해킹의 표적이 되고 있었던 것으로 드러났다고 발표했습니다. 이 해킹은 사용자가 아무것도 하지 않아도 iPhone이 스파이웨어에 감염되는 취약점인 '제로클릭'이 사용된 것으로 보입니다.

The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab
https://citizenlab.ca/2020/12/the-great-ipwn-journalists-hacked-with-suspected-nso-group-imessage-zero-click-exploit/

The Great iPwn: Journalists Hacked with Suspected NSO Group iMessage 'Zero-Click' Exploit - The Citizen Lab

Report: gov't spyware targets phones of Al-Jazeera reporters
https://apnews.com/article/technology-malware-saudi-arabia-united-arab-emirates-dubai-c6cb6fc304aff092a88dd87b5c19e4fe

Report: gov't spyware targets phones of Al-Jazeera reporters

Citizen Lab은 12월 20일 "2020년 7월 ~ 8월에 걸쳐 여러 정부의 공작원이 이스라엘의 IT기업 NSO그룹이 개발한 스파이웨어 Pegasus를 사용하여 중동의 방송국인 알자지라의 기자들이 보유한 36대의 휴대폰을 해킹하고 있었던 것으로 밝혀졌습니다"라고 보도했습니다.

NSO그룹은 지금까지도 Facebook 산하 메시지앱 WhatsApp을 통한 언론인과 공무원에 대한 해킹 등 여러 사이버공격에 관여하고 있었다는 것이 드러나, WhatsApp은 2019년에 NSO그룹을 제소했습니다.

Citizen Lab의 조사에 의하면, 해킹에는 'KISMET'라는 iMessage의 Exploit이 사용되어 표적이 된 iPhone 사용자의 기자들은 의심스러운 메시지의 수신이나 위험한 URL에 대한 액세스를 하지 않고도 스파이웨어에 감염되었다고 합니다.

Citizen Lab의 수석과학자인 빌 마르자크 씨는 KISMET 대해 "이것은 아주 무서운 Exploit일 뿐만 아니라 단말기를 해킹하기 위해 해커가 갈구하던 전설의 성배라고도 말할 수 있습니다. 왜냐하면 이것을 사용하면 손쉽게 다른 사람의 단말기를 조종하는 것이 가능하고, 게다가 상대에게 눈치채어질 걱정도 없기 때문입니다"라고 우려합니다.

KISMET는 적어도 iOS 13.5.1에게는 방어수단이 없는 제로데이 상태였으며, 2020년 7월 당시의 최신 iPhone 11으로도 공격은 막을 수 없었다고 합니다. 또한 이 공격은 'MONARCHY'라는 코드네임으로 불리고 있는 사우디의 공작원과 아랍에미리트의 'SNEAKYKESTREL'를 포함한 4명의 Pegasus 운영자가 참여했다는 합니다.

Citizen Lab은 "NSO그룹 고객층의 세계적인 확산과 iOS 14 이전의 거의 모든 iPhone에 Exploit가 내재되어 있었다는 것을 고려하면, 이 한 건은 KISMET를 사용한 공격의 극히 일부에 지나지 않는 것은 아닐까라고 생각합니다"라고 지적하며, 피해가 더욱 광범위하게 미치고 있다는 견해를 나타냈습니다.

KISMET는 iOS 14에서는 작동하지 않는 것으로 보고 있어, Citizen Lab은 모든 iOS 기기 사용자에게 신속하게 OS를 최신 상태로 업데이트를 할 것을 권고합니다.