Google ADSense


애플 계정 비밀번호를 가로챌 수 있는 iOS 피싱 수법 발견, 하지만.. by 떠돌이

과거 PC가 처음 나왔을 때부터 악의적인 코드를 가진 프로그램들은 PC 사용자들에게는 상당히 골머리였습니다. 단순히 사용자를 괴롭히는 바이러스부터 시작해서 컴퓨터에 광고 등을 설치하는 애드웨어, 컴퓨터의 모든 자료를 인질로 잡고 몸값을 요구하는 랜섬웨어까지.. 컴퓨터의 역사와 이런 악성 코드의 역사는 거의 궤를 같이 해왔습니다.

다만 예전에 비해 달라진 경향이라면 예전의 악성 코드들은 사용자를 괴롭히고 번거롭게 하는 것이 목적이었지만 지금의 악성코드 들은 해킹 기법과 결합하여 사용자의 개인정보를 가져가거나 금전적인 피해를 입히는 경우가 많습니다.

그 중 가장 대중적으로 잘 알려진 것은 바로 피싱(phishing)이라는 해킹 기법입니다. 피싱이란, 신뢰할 수 있는 사람이나 기업으로 가장해서 사용자에게 개인정보를 요구하는 기법입니다. 일반적으로 부인으로 위장해서 돈을 입금하라고 메신저를 보낸다거나, 구글이나 페이팔 등을 사칭해 계정 정보를 알려달라는 메일을 보내는 방식으로 개인정보를 요구하는 것들이 바로 이 피싱 수법에 해당 합니다.



그런데 최근 보안이 안전하기로 이름난 iOS에서도 이런 악의적인 피싱이 가능하다는 보고가 있었습니다. 애플 생태계에서 핵심 중 핵심인 애플 계정 비밀번호를 가로챌 수도 있는 수법입니다. 바로 악성 앱에서 애플 계정 암호를 물어보는 팝업을 가장하여 띄우는 것입니다.

(출처:FELIX KRAUSE)

왼쪽이 애플에서 공식적으로 띄우는 시스템 팝업이고 오른쪽이 앱에서 띄운 팝업입니다. 둘은 육안으로 봤을 때 차이가 없습니다. 거의 똑같죠.

일반적으로 iOS 유저들은 저런식으로 비밀번호를 갑자기 물어보는 것에 대해 익숙할 겁니다. iOS는 백그라운드에서 애플 계정과 관련한 작업을 하다가 계정 정보가 없어서 막히면 언제든지 저런식의 팝업을 띄워서 물어보기 때문입니다. 그리고 사용자들도 이 팝업에 별 의심 없이 계정 비밀번호를 입력하곤하죠. 이 기법이 위험한 이유는 바로 그 때문입니다.

이 취약점을 발견한 Felix Krause에 따르면 이 코드는 애플의 공식 개발 문서에 따라 만들었으며 코드도 약 30줄 정도 밖에 안된다고 합니다. 상대적으로 다른 악성코드보다 쉽게 구현할 수 있으면서 상당히 핵심적인 정보를 가져가도록 할 수 있는 것입니다.

이것을 iOS의 '취약점'이라고 표현한데에는 두가지 정도의 이유가 있습니다. 첫번째로, 웹이나 앱에서 띄우는 알럿이나 컨펌 등이 시스템 알럿과 거의 구분이 안되는 디자인을 갖고 있다는 것입니다. 디자인이라도 달랐다면 사용자들도 충분히 인지하고 비밀번호를 입력하지 않았겠죠. 두번째 이유는 애플이 이런식으로 갑자기 비밀번호를 물어보는 경우가 상당히 많고 또 사용자들도 거기에 익숙해져있다는 것입니다. iOS11이 가진 이 두가지 약점 덕분에 이런 피싱 기법도 가능했던 것입니다.


피싱은 당했을 때 피싱인지 아닌지를 구분하는 방법이 상당히 중요합니다. Felix Krause에 따르면 이 기법도 구분 및 대처 방법이 몇가지 있다고 합니다.

첫번째로 해당 팝업이 떴을 때 홈버튼을 눌러보는 방법입니다. 홈버튼을 눌렀음에도 불구하고 별다른 변화가 없다면 그것은 애플에서 띄운 시스템 팝업이고 홈버튼을 누름과 동시에 앱이 종료된다면 그것은 해당 앱에서 띄운 가짜 팝업이라는 것입니다. 비교적 간단하면서도 효과적인 대처 방법입니다.

두번째 방법은 대처방법이라기보다 예방방법인데요, 팝업을 통해 비밀번호를 물어보더라도 팝업에서 비밀번호를 입력하지 않는 습관을 들이는 것입니다. 팝업에서 입력하는 대신 아이폰 설정으로 이동해서 필요한 부분에 로그인을 하는 방법으로 예방이 가능할 것입니다. 물론 iOS에 익숙하지 않은 사용자의 경우 비밀번호를 물어보는 이유가 무엇 때문인지 정확하게 알지 못하는 경우가 많기 때문에 이 방법은 쉽지는 않아 보입니다.

iOS는 여러가지 폐쇄적인 정책으로 다른 플랫폼에 비해 높은 보안성을 자랑하고 있습니다. 하지만 아무리 견고한 시스템이라도 결국 사람이 보안에 취약하다면 쉽게 뚫릴 수 밖에 없습니다. 하지만 이 정도로 유사한 팝업이라면 저도 당연히 속아 넘어갈 것 같네요. 애플 생태계에서는 꽤 위협적인 피싱 수법입니다.


하지만 위험성에 비해 이 피싱 기법의 파급력은 생각보다 적을 것으로 보입니다. 폐쇄적인 애플은 이미 몇가지 안전장치를 갖고 있기 때문이죠. 만약 사용자가 이중인증(Two-factor Authentication)을 쓰고 있다면 애플 계정 비밀번호가 유출이 되었다고 해도 애플 계정으로 로그인이 되지 않을 것이므로 안전할 것입니다.

또 한가지 안전장치는 바로 앱스토어의 리뷰 프로세스입니다. 앱스토어의 리뷰는 소스단까지 검사하는 꼼꼼함으로 유명하죠. 만약 이런식의 악의적인 코드를 갖고 있는 앱이라면 앱 리뷰 프로세스를 통과하기 어려울 것입니다. 이 취약점은 바로 이 부분에 한계가 있습니다. 치명적인 취약점이긴 하지만 앱스토어에서조차 통과하지 못할 것이므로 파급력도 적을 수 밖에 없을 것입니다. Felix Krause가 시연했던 앱도 앱스토어에 올라가지 않은 테스트 앱이었습니다.

하지만 이중인증과 앱 리뷰 프로세스도 100% 완벽하지는 않습니다. 이중인증으로 애플 계정 자체는 보호받지만 같은 아이디와 비밀번호 조합을 사용하고 있는 다른 계정으로 로그인할 수도 있는 문제가 있고, 앱스토어의 리뷰도 결국 사람이하다보니 이런 악성코드를 가진 앱이 걸러지지 않고 스토어에 등록될 수도 있습니다. 위에서 나왔던 대처 방법을 기억해두고, 혹여 비밀번호를 팝업으로 물어볼 경우 한번쯤 의심해보는 습관을 들이는 것도 나쁘지 않을 것 같습니다.

덧글

  • 나인테일 2017/10/12 10:18 # 답글

    일단 통과가 됐더라도 사후에 누가 올린지 신원확인이 되니 범인 콩밥을 먹이면서 형사적인 방식으로 정보를 다시 회수해 올 수도 있긴 하죠. (....)
  • 떠돌이 2017/10/12 23:09 #

    네 그런 이유로 보이는 것보다 위험하지는 않은 취약점인 것 같습니다.
  • === 2017/10/12 21:31 # 삭제 답글

    ...
    이런 게 문제가 된다기 보다는...
    비밀번호 잊어버릴까봐 다른 곳에 적어두는 게 더 문제가 될 듯 한데요...

    나만 해도 애플 계정이며 포토샾 시리얼이며... 모든 비밀번호를 키보드 밑에 붙혀두고 구글 드라이브에도 적어두고 있는데...
    누가 키보드를 집어가거나 구글 서버에 문제라도 발생하는 날에는...끔찍스럽겠죠...

    (이 글 쓰다가 어마 뜨거라 싶어서 다시 아이클라우드에도 백업 해 두었습니다...만
    (아무리 현관문이 튼튼하다 할지라도....복사키를 현관 앞 화분 밑에 감춰두었다면 말짱 황이겠죠....
  • 떠돌이 2017/10/12 23:09 #

    네. 그래서 보안에서는 여전히 피플 에러는 중요한 부분입니다.
댓글 입력 영역


Google Analytics

트위터 팔로잉 New

AD Sense (side)