애플 아이폰, 아이패드에 대한 보안 결함 지적이 꼬리에 꼬리를 물고 있다. 최근 사용자가 아이폰으로 웹 접속만 해도 악성코드가 실행될 수 있는 심각한 보안취약점이 나타나고 있는 것이다.
사용자가 아이폰의 웹브라우저 사파리를 이용해 웹을 이용하던 중 PDF 파일을 불러들일 때 CFF라는 폰트를 액서스 하는 과정에서 나타날 수 있는 현상이다. 이 경우 간단한 웹 접속 만으로도 루트권한을 빼앗길 수 있어 위험성이 더욱 크다.
만약, 누군가 개인정보 유출이나 도청 등을 위한 악성코드를 웹사이트에 임의적으로 삽입할 경우 심각한 피해를 고스란히 입을 수 있기 때문이다. 악성코드로 인해 사용자의 패스워드, 이메일, 문자메시지, 일정 등과 같은 개인정보가 누출되고 도청 또한 충분히 가능하다는 얘기다.
때문에 시만텍, 트렌드마이크로 등 외국의 유명 보안업체 뿐만 아니라 외국 정부까지 나서 아이폰의 보안 문제를 지적하고 있다.
특히 독일 연방 정보보안청은 4일(현지 시각) 애플의 아이폰, 아이패드, 아이팟터치에 보안 문제가 있다며 애플 제품 사용자에게 공식 경고했다.
독일 정보보안청은 이날 성명을 통해 “애플의 운영체제(iOS)를 쓰는 아이폰과 아이패드, 아이팟터치에서 일부 웹사이트나 PDF 파일을 열면 해커가 비밀번호, e메일 등을 엿볼 수 있다”며 “애플이 보안 소프트웨어를 업데이트하기 전까지 해당 기기에서 PDF 파일을 열지 말고 믿을 수 있는 웹사이트만 이용해야 한다”고 지적했다.
사용자가 아이폰의 인터넷 접속프로그램(사파리)을 통해 악성코드를 심어둔 PDF를 열람할 경우, 사용자도 모르는 사이에 악성코드가 아이폰에 심어진다는 것이다.
독일 정보보안청은 “악성코드로 인해 사용자의 패스워드, 이메일, 문자메시지, 일정 등과 같은 개인정보가 누출되고 도청도 가능하다”면서 “조마간 해커들이 이런 아이폰의 약점을 이용 공격을 시도할 것”이라고 경고했다.
앞서 시만텍도 해커들이 아이폰을 원격 조작해 애플이 승인하지 않은 애플리케이션을 설치할 수 보안 취약점이 드러났다면서 이에 대한 애플의 보완 노력을 강조했다.
시만텍에 따르면 이러한 보안상 취약성은 아이폰4 외에 아이패드와 아이팟 터치에서도 나타나고 있다.
이 같은 지적에 애플 측은 “문제에 대한 보고를 받았고 이미 이 문제의 해결책을 개발했다”며 “다음 소프트웨어 업데이트할 때 공식 패치를 배포할 예정”이라고 밝혔다. 하지만 다음 업데이트의 구체적인 날짜는 밝히지 않았다.
안철수연구소 관계자는 “애플이 공식 패치를 적용하기 전까지 누구든지 순정 아이폰의 루트계정을 탈취, 도청은 물론 아이폰을 이용한 모든 행동을 제어할 수 있는 매우 위험한 상황”이라며 “문자메시지나 메일로 수상한 웹사이트 주소를 수신했을 경우에는 아이폰을 통해 절대 접속하지 말고, 검증되지 않은 웹사이트 접근 또한 자제해야 한다”고 당부했다.
이 관계자는 이어 “최근 모바일 오피스 분야에서 적극 활용되고 있는 스마트폰이 도청될 경우, 주요 회의나 내부 기밀정보 등이 음성데이터를 통해 고스란히 노출 될 수 있어 위험성이 더욱 증가하고 있다”고 말했다.
한편 안드로이드 운영체계의 경우도 무료 애플리케이션인 '월페이퍼(Wallpaer)'에 정보 유출 가능성이 있는 스파이웨어가 활동중인 것으로 확인됐다.
실제로 지난 4일 SK텔레콤은 안드로이드폰용 바이러스가 발견됐다며 트위터를 통해 사용자의 주의를 당부했다. 이날 안철수연구소는 해당 스파이웨이를 진단하고 치료하는 모바일 백신을 긴급 배포했다.