애플 안전 신화 ‘균열’···아이폰 보안, 더 이상 ‘철옹성’ 아니다

아이폰 운영체제 iOS 26의 모습. [사진=애플]

[이뉴스투데이 김진영 기자] 아이폰은 오랫동안 ‘가장 안전한 스마트폰’으로 인식돼 왔다. 폐쇄형 운영체제(iOS)와 엄격한 앱스토어 심사 구조로 악성 앱 유통이 어렵다는 점이 근거였다. 그러나 최근 잇따른 보안 사고와 대응 흐름은 이 같은 인식이 현실을 온전히 설명하지 못하고 있음을 보여준다. 애플 역시 “이미 악용됐을 가능성”을 전제로 긴급 패치를 반복, 아이폰이 고도화된 사이버 공격의 예외가 아니라는 점을 인정하는 국면에 접어들었다는 분석도 나온다.

시장조사기관 카운터포인트 리서치에 따르면 피싱·사기·웹 및 앱 기반 악성코드·물리적 도난 방지 등 9개 세부 항목에서 안드로이드 스마트폰은 전 항목에 보호 기능을 제공한 반면, 아이폰은 이 중 2개 항목만 기준을 충족한 것으로 평가됐다.

실제 애플은 최근 아이폰과 아이패드, 맥 전반에 대한 긴급 보안 업데이트를 연이어 배포했다. 구글과 공동 조사 과정에서 발견된 취약점은 패치 이전부터 실제 공격에 활용된 정황이 확인됐고, 애플은 “극도로 정교한 공격에서 악용됐을 가능성”을 공식적으로 언급했다. 단순한 예방 차원의 보완이 아닌, 이미 현실화된 위협에 대한 사후 대응이라는 점에서 의미가 작지 않다는 우려의 목소리도 나오는 상황이다.

iOS 26.2 업데이트는 이런 보안 위협을 전제로, 실제 공격 경로로 지목된 영역을 한꺼번에 보완한 조치로 해석된다. 이번 업데이트에서는 악성 웹사이트 접속, 조작된 이미지 파일, 메시지 수신 과정에서 원격 제어나 개인정보 탈취로 이어질 수 있는 결함들이 대거 수정됐다.

개별 앱이나 특정 기능에 국한된 패치가 아닌, 브라우저·메시징·파일 처리 등 운영체제 전반의 취약점을 정비하는 데 초점이 맞춰졌다. 포브스가 이를 ‘선택이 아닌 필수’로 평가한 것도, 사용 환경 전반에서 노출된 공격 면을 줄이기 위한 대응이라는 점을 반영한 것으로 풀이된다.

아이폰 보안 논의에서는 최근 공격 경로가 앱스토어 외부로 확대되고 있다는 점이 자주 언급된다. 최근 발견된 이미지 처리 프레임워크 취약점은 아이메시지로 전달된 이미지 파일 하나만으로도 사용자 개입 없이 기기를 감염시킬 수 있는 ‘제로클릭’ 공격으로 이어졌다.

해당 취약점은 암호화폐 지갑 관련 정보까지 노출될 수 있는 수준으로 평가. 앱 설치나 사용자의 클릭을 거치지 않는 방식의 공격이 등장, 앱 유통 단계에서의 통제만으로는 대응 범위에 한계가 있다는 지적도 나온다.

애플이 국가나 대규모 조직의 개입이 의심되는 공격을 전제로 이용자에게 직접 보안 경고를 발송하고 있다는 점도 주목된다. 애플은 2021년부터 이른바 ‘용병 스파이웨어’ 공격이 탐지될 경우 관련 계정에 즉각 경고 메시지를 보내고 있다.

최근 애플은 84개국 이용자를 대상으로 위협 알림이 발송했다. 구체적인 공격 주체나 대상 규모는 공개하지 않았지만 정치인, 언론인, 시민단체 활동가 등 사회적 영향력이 큰 인물을 겨냥한 고도화된 공격과 연관돼 있다는 점을 언급했다. 일각에서는 국가 단위나 상업화된 해킹 시도의 주요 표적에서 예외가 아니라는 점을 전제로 한 조치로 해석하고 있다.

이 같은 사례는 ‘폐쇄형 운영체제는 상대적으로 안전하다’는 기존 인식에 대한 재검토 필요성을 제기했다. 지난 2021년 이스라엘 NSO그룹의 스파이웨어 ‘페가수스’가 전 세계 언론인과 인권 활동가의 스마트폰을 표적으로 삼은 사실이 알려지며 논란이 확산됐다.

국제사면위원회의 조사 결과 정밀 분석 대상이 된 스마트폰 37대 가운데 34대가 아이폰이었고, 이 중 상당수에서 감염 또는 침입 흔적이 확인됐다. 아이메시지 취약점을 활용한 공격 정황도 다수 포착, 이용자가 공격 사실을 인지하지 못한 상태에서 감시가 이뤄졌을 가능성이 제기됐다.

보안 생태계 내부의 균열도 변수로 작용한다. 애플이 최근 맥OS 보안 취약점을 발견한 연구자들에게 지급하는 보상금을 대폭 삭감, 연구자들의 참여 위축과 취약점 블랙마켓 유출 가능성이 제기되고 있다. 맥OS의 핵심 보안 프레임워크(TCC)를 우회하는 취약점이 발견된 상황에서 보상 축소가 이어지자, 애플이 외부 보안 생태계를 충분히 활용하지 못하고 있다는 지적이 나온다.

차바 피츨(Csaba Fitzl) 아이루 수석 맥OS 보안 연구원은 “이번 조치는 애플이 맥 보안을 어떻게 바라보고 있는지를 보여주는 신호로 읽힐 수 있다”며 “보상금이 축소될 경우 일부 연구자들이 취약점을 비공식 시장으로 넘길 유인이 커질 수 있다”고 말했다.

아이폰이 상대적으로 덜 공격받아 보였던 이유는 구조적 안전성보다 공격자의 경제성 판단에 가깝다는 분석이 나온다. 과거 안드로이드보다 시장 규모가 작아 공격 우선순위에서 밀렸다는 것이다. 보안업계 관계자는 “맥OS와 iOS에서도 악성코드는 확인되고 있다”며 “차이는 유무가 아닌 규모”라고 설명했다. 이어 “세계 이용 계정 수가 상대적으로 적어 해커 조직은 수익성이 큰 플랫폼을 우선 공략한 것”이라고 덧붙였다.

공격 빈도와 별개로, 침투가 발생했을 때의 대응 구조 역시 주요 변수로 거론된다. iOS의 폐쇄형 구조가 공격을 완전히 차단한다기보다 한 번 침투가 이뤄질 경우 대응 수단이 제한될 수 있다. 모바일 백신 등 외부 보안 설루션을 활용할 수 있는 안드로이드 환경과 달리 아이폰은 운영체제 차원의 방어에 의존, 침입 사실을 인지하기 어렵고 대응이 지연될 가능성도 높다.

이 같은 보안 논의는 운영체제 내부 문제에만 국한되지 않는다. 최근에는 공공 충전 환경이나 이동 중 사용 상황 등, 사용자가 일상적으로 접하는 물리적 접점 역시 새로운 공격 경로로 거론되고 있다. 공항·휴게소 등에서 사용하는 USB 충전 포트를 매개로 한 ‘초이스재킹’ 같은 기법이 등장. 앱이나 OS 보안과 무관하게 개인정보가 유출될 수 있는 위험이 확대되고 있다.

국내 한 보안기업 대표는 “아이폰 보안 논란의 핵심은 특정 운영체제가 더 안전하냐의 문제라기 보다, 공격 환경이 얼마나 빠르게 변화하고 있는가에 있다”며 “플랫폼에 대한 신뢰만으로 위험을 관리하기 어려운 국면에 들어선 만큼, 이용자와 기업 모두 보안 인식을 한 단계 끌어올릴 필요가 있다”고 말했다. 이어 “운영체제 특성만으로 iOS가 안드로이드보다 더 안전하다고 단정하기는 어렵다”고 덧붙였다.