|
웹에서 PDF 실행 시 악성코드 실행 주의
|
|
|
▲웹접속 만으로 탈옥이 가능하게 하는 웹페이지. 이 취약점을 이용하면 웹 접속만으로 탈옥 뿐 아니라 도청이나 해킹이 가능하다. ⓒ보안뉴스 | [보안뉴스 오병민] 사용자가 아이폰으로 웹 접속만 하더라도 악성코드가 실행될 수 있는 심각한 보안취약점이 있는 것으로 나타나 사용자들의 주의가 요구되고 있다.
최근 공개된 이 취약점은 사용자가 아이폰의 웹브라우저 사파리를 이용해 웹을 이용하던 중 PDF 파일을 불러들일 때 CFF라는 폰트를 액서스 하는 과정에서 나타나는 것으로 확인되고 있다.
이 경우, 특정 코드의 실행으로 애플리케이션 영역에서 샌드박스를 통해 메인시스템을 보호하고 있는 아이폰의 보안체계를 무력화하고 루트권한을 빼앗길 수 있다.
현재 아이폰 전문 해커들은 이 취약점으로 간단한 웹 접속만으로 아이폰 탈옥이 가능하도록 하는데 이용하기도 한다.
그러나 F시큐어와 소포스, 시만텍, 트렌드마이크로 등 외국의 유명 보안업체들은 이 취약점으로 위험성을 경고하고 있다. 특히 이 취약점이 악용될 경우, 도청이나 금융정보 해킹 등에 악용될 수 있다고 강조한다.
이 취약점은 간단한 웹 접속만으로도 루트권한을 빼앗길 수 있어 위험성을 더하고 있다. 만약, 누군가 도청이나 금융정보 유출을 위한 악성코드를 웹사이트에 삽입할 경우 심각한 피해를 입을 수 있기 때문이다. 이에 따라 국내 도청 방지 솔루션 제조사의 경우, 이런 취약점으로 인한 도청을 막기위해 스마트폰 도청 방지 시스템을 개발하고 있다고 밝히기도 했다.
스마트폰 도청 솔루션을 개발하고 있는 시큐빌의 홍용석 부장은 “사용자들이 항상 소지하고 있는 스마트폰은 도청이 될 경우, 주요 회의나 내부 기밀정보 등이 음성데이터를 통해 고스란히 노출 될 수 있어 위험성이 증가하고 있다”며 주의를 당부했다.
아이폰의 제조사인 애플 측도 최근 이 취약점을 확인하고 빠른 시일 내에 다음 소프트웨어 패치에 보안 패치를 반영하겠다고 밝혔지만, 아직까지 공식 패치가 나오지 않아 위험한 상태다. 오히려 아이폰 전문 해커들에 의해 탈옥한 아이폰에 대한 보안 패치가 먼저 나온 상태로, 탈옥을 하지 않은 순정폰이 더 위험한 아이러니한 상황이 연출되고 있다.
보안업계의 한 전문가는 “현재 이 취약점은 애플이 공식 패치를 적용하기 전까지 누구든지 순정 아이폰의 루트계정을 탈취당해, 도청은 물론 아이폰을 이용한 모든 행동을 제어할 수 있는 매우 위험한 상황”이라며 “누군가 문자메시지나 메일로 수상한 웹사이트 주소를 보냈을 경우, 아이폰을 통해 절대 접속하지 말고 검증되지 않은 웹사이트 접근도 최대한 자제해야 할 것”이라고 당부했다.
[오병민 기자(boan4@boannews.com)] | 
