[IT동아 남시현 기자] 현지 시간 9월 13일, 애플이 주요 보안 취약점을 활용한 해킹을 방지하는 긴급 업데이트를 배포했다. 이번 업데이트는 무차별적인 민간인 사찰로 문제가 된 NSO 그룹의 스파이웨어 ‘페가수스(Pegasus)’로 인한 해킹을 막기 위해 실시되며, 아이폰과 아이패드는 물론 애플워치와 매킨토시까지 모두 업데이트 대상이다.

페가수스는 이스라엘의 소프트웨어 기업인 NSO 그룹이 군사용, 정보기관용으로 제작한 해킹 소프트웨어지만, 2016년부터 아이폰을 이용하는 인사들의 주요 정보를 빼내기 위해 악용된 것으로 알려서 논란이 되고 있다. 실제로 지난 7월 국제사면위원회(국제앰네스티) 사이버 보안 팀과 프랑스 비영리 언론 단체 포비든 스토리즈(Forbidden Stories)는 페가수스를 통해 사찰당한 것으로 추정되는 50,000개 이상의 전화번호 목록과 법의학적 증거를 공개한 바 있다.

물론 사찰 대상자가 국가 정상이나 국제 인권 변호사, 기업가 등 특수한 사용자만 해당되는 것으로 알려져 있으나, 감시 대상이 되면 얘기가 달라진다. 지금까지 알려진 페가수스의 사찰 방식은 대상자가 클릭하거나 권한을 주는 등의 상호작용이 없더라도 감염되며, 아직까지 발견되지 않은 취약점을 노린 ‘제로 데이’ 공격도 포함돼있다. 감염 대상은 아이메시지, 통화 기록, 연락처, 사진, 웹 브라우저 검색 결과, 위치 정보, 비밀번호가 모두 노출되고, 마이크나 카메라를 통한 데이터 전송 등 주요 정보까지 모두 노출된다.

이번 업데이트는 토론토 대학의 사이버 보안 감시기 구인 시티즌랩(The Citizen Lab)의 제보로 발견된 ‘페가수스’의 PDF 취약점, 그리고 익명의 제보를 통해 발견된 악의적 웹 콘텐츠를 통한 접근을 방지하기 위해 진행된다. 업데이트 대상은 iOS 14 이상을 지원하는 아이폰 6s 이후 출시 아이폰, 아이패드 프로 전 모델, 아이패드 에어 2세대, 아이패드 5세대 이상, 아이패드 미니 4세대 이상, 아이팟 터치 7세대 이상이 대상이다. 워치OS와 맥OS 빅서도 업데이트가 제공된다.

업데이트 용량은 아이폰이 약 310MB, 아이패드 OS가 약 350MB며, 와이파이를 통한 무선 업데이트나 컴퓨터와 연결해 아이튠즈로 업데이트할 수 있다. 업데이트는 ‘설정’에서 ‘일반’으로 진입한 다음 상단의 ‘소프트웨어 업데이트’를 선택한다. 만약 빨간색 ① 모양이 있다면 업데이트할 내역이 있는 상태고, 그렇지 않다면 자동 업데이트를 통해 이미 iOS 14.8 업데이트가 진행됐을 수 있다.

글 / IT동아 남시현 (sh@itdonga.com)