[Technology] 애플의 페이스타임 버그에 대한 늦은 대응

[Technology] 

애플의 페이스타임 버그에 대한 늦은 대응

본 포스팅은 이 링크를 토대로 작성되었습니다.

요즘들어 애플의 페이스타임을 통해서 도청을 할 수 있는 버그가 발견되어 꽤 말이 많다.

게다가 이 버그는 막히기 전까지 매우 사용이 간단하였는데,

1 페이스타임으로 도청을 하길 원하는 사람한테 전화를 건다

2 다이얼 도중에 그룹 통화를 할 사람을 연락처에서 추가한다.

3 그룹 통화가 시작되면서 원래 통화를 걸었던 사람의 영상과 소리가 들리기 시작한다.

여기서 문제는 아직 통화를 받지도 않았는데 영상이 보이고 소리가 들리는 점이다.  

이 버그는 1월 19일, 그랜트 톰슨이라는 아리조나주에 거주하는 14살의 아이가 예상치 못하게 발견 했다. 

페이스타임을 쓰는 동안,그는 친구가 전화를 받기도 전부터 그의 친구의 소리를 엿들을 수 있었고,

그녀의 엄마인 미첼 톰슨은 다음날 애플에 버그의 모습이 담긴 비디오를 보내며 

수백만의 아이폰 유저들을 도청의 위기에 처하게 하는 중대한 보안적 결함이라고 경고했다.

그녀는 애플의 보안 팀을 향해 트위터, 페이스북, 팩스, 이메일 등 모든 수단을 다해 연락을 취했으나, 아무런 답변도 들을 수 없었다.

금요일에서야 애플의 제품 보안팀에서 그녀에게 개발자 계정을 개설하여 공식 버그 리포트를 보내도록 권고했다.

일주일이 넘게 지난 이번주 월요일에서야, 애플은 급히 페이스타임을 사용중지하고 버그를 고치는 중이다.

애플은 새로 생긴 애플의 팬사이트에 올라온 기사가 구설수에 오르고, 각 개발자가 페이스타임 결함을 보고하고 나서야 대응하기 시작했다.

애플이 정기적으로 버그 수정 프로그램을 광고하고, 애플의 제품의 안정성을 뽐내왔음에도 불구하고, 

이 버그는 애플의 본안에 대한 약속에 대한 우려를 낳았다.

애플의 CEO인 팀쿡은 우리는 모두 치명적인 개인정보 보호의 재구성과 대응을 강력하게 요구해야한다고 트위터를 남겼다.

페이스타임 버그는 벌써 보안 연구가들 사이에서 Facepalm이라는 명칭이 붙여졌다. 

이 정도로 쉽고 간단하게 이용할 수 있으며, 고 수준의 원격 접근을 허용하는 소프트웨어 결함은 극히 드물다.

그리고 월요일에 애플은 이번주 말에 버그에 대한 업데이트를 내놓겠다고 발표했다.

하지만 애플은 어떻게 그 버그가 품질검증을 통과할 수 있었는지, 왜 톰슨부인의 급한 경고에 늦게 반응했는지,

처음 회사에 경고하러 왔을 때 왜 발견자에게 보상해주려고 하지 않았는지에 대해서는 이야기 하지 않았다.

이렇게 쉽게 악용할 수 있는 버그는 모든 회사의 가장 나쁜 보안 악몽이며, 모든 스파이 기관, 사이버 범죄자와 스토커의 꿈이다.

정부와 방위산업체, 사이버범죄자들을 대상으로 은밀하게 사람들의 기기를 통해 그들이 모르는 사이 스파이 행위를 하기위해서,

카메라와 위치정보, 마이크등으로부터 나오는 정보등등을 모두 얻을 수 있는 버그와 코드를 무기화한 시장이 있다.

아마 톰슨 부인은 모르셨겠지만,

페이스타임 결함 같은 다른 애플의 버그들을 발견하면 수백만, 수천만달러까진 아니지만 충분히 많은 돈을 브로커로부터 받을 수 있다.

이 브로커들은 세계 곳곳의 사법당국이나, 정보요원, 정부에 이러한 버그를 지금까지보다 더 비싼 가격에 팔거나 다크웹에서 경매에 넘긴다.

이 판매자들의 문제점은 이러한 버그가 회사로부터 패치되거나 사라지는 일 없이 구매자들이 계속해서 이용할 수 있도록 보장해야한다는 것이다.

그래서 애플의 결점 시장은 이번 일을 계기로 가격이 급등하고있다.

이번달 잘 알려진 브로커 겸 회사인 제로디움이 애플의 ios 버그에 대한 보상을 200만 달러까지 올렸다.

그런한 시장에 대응하기 위해서 애플은 2016년에 포상금 프로그램을 발표했다.

라스베가스에서 열린 작년의 해커 컨퍼런스에서는 애플이 깜짝 발표를 했다.

제품의 치명적 버그를 책임감 있게 찾아서 알려준 해커들에게 최대 200만 달러까지 지급한다는 것이 내용이었다.

하지만, 보고된 문제에 대해서 포상하는 데 시간이 걸리고 해커들은 암시작에서 포상금의 몇배를 벌 수 있기 때문에,

애플의 포상금 프로그램은 참여율이 저조하여 점점 느려지고 있다.

하지만, 브로커들은 이번 페이스타임 버그는 공격에 기록을 남기기 때문에 가장 비싼 가격에 팔리는 버그가 아니라고 말했다.

이번 버그를 이용하면 목표의 전화벨이 울리게 되며 통화기록도 역시 남게 된다.

 Adriel Desautles에 따르면 99.5% 이상의 시간동안 작동을 보장하며 즉시 동작하고 기록이 남지 않는 버그들은,

 암시장에서 2~3백만 달러에 팔린다고 한다.

기록이 남지 않는 버그들에 비한다면 이번 버그는 그만큼 위험하지는 않다고 한다.

짧게 요약하면, 애플이 지금까지 보안에대해 자랑하던 것과 다르게 결함에 대해서 냉담한 반응을 보이고,  늦장 대응을 한것과,

사실 애플의 결함은 훨씬 더 다양하고 치명적인 것들이 존재하고 있으며, 

이번 버그는 기록이 전부 남기 때문에 그렇게 위험한 버그는 아니라고한다.

하지만 이 때문에 최근 애플은 소송이 걸린 것으로 안다.

끝 

내용에 관한 질문이나 의견이 있다면 댓글로 남겨주세요.

---

email: aaaa8757@gmail.com

Youtube: https://www.youtube.com/channel/UC69apb6b_rHR_QkaGDnVUCQ?view_as=subscriber

Facebook: https://www.facebook.com/커여운-KIN쨩-韓国人留学生-285152282195534/

Copyright 2019.KIN.All rights reserved.

KIN

---