애플 아이폰과 아이패드에 탑재된 iOS 운용체계(OS)에서 해커가 기기에 담긴 정보를 탈취할 수 있는 보안 취약점이 발견됐다는 경고가 나왔다.
이 취약점은 만약 사용자가 보안 설정을 낮춰서 앱스토어를 거치지 않고 직접 앱을 설치할 경우 문제가 될 수 있다.
사이버보안업체 파이어아이는 10일(현지시각) 회사 블로그(www.fireeye.com/blog/)를 통해 이런 iOS의 취약점을 공개했다.
이에 따르면 애플 앱스토어를 거치지 않는 ‘엔터프라이즈’ 또는 ‘애드 혹’ 모드로 앱을 설치할 경우, 이 앱이 원래 설치돼 있던 다른 정상 앱을 대체할 수 있다.
만약 아이폰이나 아이패드에 애드 혹 방식으로 낚시성 제목이 달린 앱을 설치하는 데 성공하면, 이 앱이 사용자 몰래 다른 앱을 지우고 ‘바꿔치기’를 할 수 있다는 것이다.
해커가 바꿔치기에 성공할 경우 겉으로는 정상 앱처럼 보이지만 실제로는 악성인 가짜 앱이 작동하게 되며, 이렇게 되면 비밀번호와 금융정보 탈취가 가능하다는 것이다.
다만 모바일 사파리 등 iOS에 사전 설치된 앱들은 바꿔치기 대상이 되지 않는다.
‘마스크 어택’이라고 이름붙여진 이 취약점은 번들 식별자가 똑같은 앱들에 대해 인증서 대조를 iOS가 강제하지 않기 때문에 생긴다고 파이어아이는 설명했다.
류경동기자 ninano@etnews.com
