문자 하나에 아이폰 '먹통'..애플 '텔루구어' 비상

특정 문자 받으면 메모리 과부하
모든 앱 꺼지며 기기 작동 멈춰
무작위 '텍스트 폭탄' 악용 우려
애플 측 "iOS 패치로 해결할 것"

텔루구어 문자 유니코드 jrgraphix 제공

유니코드 취약점을 파고드는 특정 문자메시지 하나로 아이폰·아이패드·맥·애플워치·애플TV 등 애플 전 제품을 마비시키는 '텍스트 폭탄'이 잇달아 발견되고 있어 사용자 주의가 요구된다. 안드로이드 OS에서는 이와 유사한 버그가 발견된 사례가 없던 만큼 iOS의 안정성과 보안성 등 완성도에 대한 의구심을 키우고 있다.

이탈리아 모바일 정보사이트 모바일월드에 따르면 지난 17일(현지시간) 현지 보안전문가 비토리오와 안젤로가 텔루구어를 활용한 아이폰 공격법을 발견, 홈페이지와 유튜브에 공개했다.

텔루구어는 인도 북부 일대에서 약 7000만명이 사용하는 드라비다어족 언어다. 공격자가 특정 텔레구어 문자열을 애플 기기 사용자에게 보내면 카카오톡·라인·페이스북메신저·왓츠앱·트위터 등 문자 전송창이 있는 모든 메시지 앱과 이메일 시스템을 다운시킬 수 있다. 심지어 앱 중단 후에도 기기 자체가 정상적인 작동을 하지 않도록 장애를 일으킨다.

이는 유니코드 문자의 특정 문자열을 인식하기 위한 디코딩 과정에서 메모리에 과부하를 일으키는 것. 현재 모든 iOS 버전이 텔레구어 문자 공격에 무력한 상태다. 애플 측은 이를 뒤늦게서야 인지하고 곧 이뤄질 iOS 11.3 공식 버전 패치에서 관련 문제를 해결할 것이라고 밝혔다.

이 취약점을 활용하면 공격자가 마음만 먹으면 표적한 사용자를 괴롭히거나, SNS 등을 통한 무작위 스팸으로 혼란을 일으킬 수 있다. 실제 지난 2015년 이번 사례와 유사한 아랍어 유니코드 버그 발견 당시 일부 공격자들이 포털 댓글 창과 SNS에 이를 띄우자 이를 본 아이폰 사용자들의 기기가 모두 먹통이 되는 현상이 발생하며 '아이폰 EMP 공격'이라는 별칭까지 붙었다.

또 불과 한 달 전에는 소프트웨어 개발자 아브라함 마스리가 특정 URL 주소 문자를 통해 기기가 재부팅 또는 다운되는 취약점 '차이OS'를 발견해 애플에 알렸다. 당시 애플이 어떠한 답변도 하지 않아 발견자는 코드 공유 사이트 '깃허브'에 이를 공개했다. 이후 애플은 부랴부랴 iOS 11.2.5 버전을 통해 보안패치를 제공했다.

이희조 고려대 컴퓨터공학과 교수(IoT·SW보안 국제공동연구센터장)는 "이 같은 공격법은 예상되지 않은 유니코드 입력 값에 대해 기기 차원에서 예외 처리하지 못한 상태에서 작업이 이뤄지다 보니 내장된 메모리의 한계 영역을 넘게 하는 원리"라며 "개인정보 유출 등의 피해가 발생하지는 않지만, 해커 입장에서 공격을 통해 OS의 다른 부가적 취약점을 파악할 수 있어 다른 공격과 동시에 진행하면 더 큰 피해를 유발할 수 있는 위험성이 있다"고 말했다.

이경탁기자 kt87@dt.co.kr