패밀리커널 취약점 'IOHIDeous' 모든시스템 접근 '무결성' 해제 얼굴인식 논란 등 잇단 한계에도 '완벽 보안' 강조 백신 앱도 금지 전문가 "개방형보다 취약" 지적
아이맥 프로 애플 제공
최근 배터리 성능저하 이슈로 내홍을 겪고 있는 애플이 보안성에서도 결함을 잇따라 드러내고 있다. 애플은 FBI와 아이폰 잠금해제 신경전을 벌일 정도로 특유의 폐쇄형 플랫폼을 유지, '철통보안'을 자랑했지만 폐쇄 정책이 오히려 화를 키운다는 지적이 나온다.
7일 보안업계에 따르면 애플 맥OS에서 치명적인 취약점이 발견됐다. 'Siguza'라는 닉네임을 사용하는 보안 전문가는 최근 자신의 트위터를 통해 맥OS의 'IOHID 패밀리 커널' 취약점 'IOHIDeous'를 공개했다. IOHID는 터치패드, 마우스 등 주변장치를 호환하기 위해 설계된 커널이다.
해커는 이번에 발견된 취약점을 통해 모든 맥OS 버전의 시스템에 접근해 코드를 임의로 실행하고 루트 권한을 획득할 수 있다. 특히 맥OS 보안 기능인 '시스템 무결성 보호(SIP)'와 '애플 모바일 파일 무결성(AMFI)'까지 비활성화한다.
애플은 맥OS에 '버그바운티(취약점신고포상제도)'를 운영하지 않아 이 보안 전문가는 해당 취약점을 애플에 별도로 알리지 않고 온라인에 공개했다. 아직 애플은 이 문제와 관련한 패치를 하지 않은 상태다.
새로운 보안인증체계도 문제를 드러내며 잡음이 끊이지 않고 있다. 애플은 아이폰X 출시 당시 지문인식 기능을 빼고 얼굴인식 기능 탑재를 알리며 어떤 보안기술보다 안전하다고 강조한 바 있다. 그러나 베트남 보안업체 Bkav는 지난해 11월 특수 제작한 얼굴 가면을 통해 아이폰X의 얼굴인식 기능인 '페이스ID'를 무력화시키는 시연을 진행했다.
또 외신에 따르면 미국, 중국 등 세계 곳곳에서 페이스ID가 쌍둥이, 형제, 모자, 직장 동료의 얼굴을 잘못 인식해 잠금이 해제되는 사태가 벌어졌다. 이에 생체인식 기술 도입이 활발한 금융권에서 채택되지 못하는 상황이다.
한편 지난해 애플 제품에서 발견된 'CVE(공개된보안취약점)'는 590개(iOS+맥 OS, 공동취약점 제외)로 2016년 324개에서 크게 늘었다. 개별적으로 iOS 387개, 맥OS 299개로, 특히 iOS는 안드로이드(841개)의 절반 가까운 수치다.
보안 한계를 잇따라 드러내면서도 애플은 여전히 완벽한 보안을 자신하면서 앱스토어에 안티바이러스 솔루션 앱을 탑재하는 것도 금지하고 있다. 보안전문가들은 '완벽한 보안'이란 존재할 수 없는 만큼 장기적인 관점에서 폐쇄적 플랫폼이 개방형 플랫폼보다 보안상 더 취약할 수 있다고 지적한다.
이희조 IoT·SW보안 국제공동연구센터장(고려대 컴퓨터공학과 교수)은 "블랙마켓에서 애플 보안 취약점들이 5억~10억원 정도 고가에 흔하게 거래되고 있다"면서 "만약 폐쇄형 플랫폼에서 큰 취약점이 발견되면 빠른 발견과 패치가 특징인 개방형 플랫폼과 비교해 보안상 더 위험할 수 있다"고 말했다.
