정보 · 테크 MIT 테크놀로지 리뷰는 미국 매사추세츠 공과대학교가 출판하는 과학기술분석 잡지입니다.
이 칼럼은 최근 테크놀로지 리뷰에 올라온 기사 “중국은 어떻게 해킹 대회에서 수상 받은 아이폰 취약점을 위구르족 해킹에 사용하였나 (How China turned a prize-winning iPhone hack against the Uyghurs)” 를 요약한 내용입니다.
CVE-2019-6225, iOS 커널 취약점 패치
기사에서 의문을 제기하는 취약점은 CVE-2019-6225로 "Chaos"나 "voucher_swap 취약점"으로도 알려져 있는 XNU 커널 취약점 입니다. 이 취약점은 2019년 1월 22일에 패치 되었습니다.
크레딧을 보면 취약점을 제보한 사람이 두명이라는 것을 알 수 있는데, 한명은 구글의 프로젝트 제로 소속 연구원이고 다른 한명은 중국의 보안 회사 치후 360에 소속된 Qixun Zhao입니다. Qixun Zhao는 보안 커뮤니티에서 S0rryMybad라는 닉네임으로 잘 알려져 있습니다.
S0rryMybad는 이 취약점을 Tianfu Cup 대회를 통해서 제보를 했습니다.
중국 국제 해킹대회 Tianfu Cup
Tianfu Cup은 중국에서 열리는 국제 해킹 대회로 21년 현재 3년째 개최되고 있습니다. 이 대회는 일반적으로 우리가 알고 있는 해킹 대회인 CTF와는 조금 성격이 다른 대회로 출제자가 만든 서비스를 해킹하는 대회가 아닙니다.
대신 이 대회에서는 많은 사용자들이 사용하는 구글 크롬, 사파리, 어도비 리더와 같은 어플리케이션이나 윈도우, 안드로이드, iOS와 같은 주요 운영체제를 최신 버전인 상태에서 해킹에 성공한 사람에게 거액의 상금을 수여합니다. 이런 대회의 원조격으로 ZDI에서 운영하는 Pwn2Own이 잘 알려져 있습니다. 실제로 Tianfu Cup의 홈페이지에 가보면 본인들이 중국에서 열리는 Pwn2Own이라고 소개하는 것을 볼 수 있습니다.
2018년 11월, 첫번째로 개최된 Tianfu Cup에서 S0rryMybad는 사파리와 iOS 커널 버그를 체이닝 하여 최신 버전의 아이폰X를 원격에서 해킹에 성공합니다. 그는 이 익스플로잇으로 $200,000(현재 약 2억원)의 상금을 받았습니다.
S0rryMybad는 취약점이 패치 된 직후 취약점과 관련된 내용을 360의 블로그를 통해서 공개를 했습니다.
웹 사이트를 통한 아이폰 악성코드 유포 탐지
2019년 8월 구글의 프로젝트 제로가 5부작에 걸쳐서 iOS 익스플로잇 체인에 대한 분석 내용을 공개합니다. 해당 익스플로잇은 악성 웹사이트를 통해서 유포되고 있던 취약점으로 구글의 위협 분석 그룹(TAG)에 의해 탐지된 샘플을 분석한 내용입니다.
해당 시리즈에서 마지막에 나오는 취약점은 CVE-2019-6225로 보안 패치에서 알려진 S0rryMybad와 프로젝트 제로의 연구원 말고 또 다른 공격자가 해당 취약점을 알고 있었고 악성 코드를 설치하는데 이용이 되었다는 사실이 공개됩니다.
또한 블로그에서는 P0 연구원이 취약점을 트리거 했던 방법과 다르게 “익명의 공격자”와 S0rryMybad는 특정한 객체 (ATM Voucher)를 사용해서 취약점을 같은 방법으로 트리거 했다는 사실이 나와 있습니다.
9월 1일, 테크 크런치에서는 악성 웹사이트를 이용하여 위구르 무슬림을 타겟으로 하는 사이버 공격이 2년간 지속되었다는 기사가 올라옵니다. 기사에 의하면 웹 사이트는 중국 신장주의 위구르족 커뮤니티를 표적으로 삼기 위해 만들어졌으며, 국가 지원 공격 캠페인의 일부라고 말합니다. 또한 이 공격의 배후가 중국 정부와 연관이 되어있다고 이야기 합니다.
지난 몇년간 중국이 사이버 공격을 통해 위구르족을 감시하고 있다는 사실은 여러 기사를 통해 확인을 할 수 있습니다.
또한 해당 웹사이트에서 유포하는 악성코드가 8월에 프로젝트 제로가 공개한 악성 코드라는 사실을 밝혔습니다.
아이폰 취약점과 관련된 문제가 이슈가 되자, 애플에서 공식적으로 관련 정보를 공개하게 됩니다.
애플은 사람들이 우려하는 것처럼 공격이 일반 아이폰 이용자가 아닌 위구르와 관련된 소수의 커뮤니티 웹 사이트에서만 유포되었다는 사실을 알립니다. 하지만 해당 공격이 2년간 지속된 것이 아니라 본인들이 취약점 패치를 발표하기 전인 2월전 부터 “2달간" 지속된 공격이라는 사실을 밝힙니다.
결론
테크놀로지 리뷰는 위와 같은 사실들과 전문가들의 의견을 바탕으로 위구르 커뮤니티 해킹에 사용된 익스플로잇과 Tianfu Cup의 익스플로잇이 같다는 이야기를 하고 있습니다.
프로젝트 제로의 보고서에서는 단순히 두 익스플로잇이 유사한 점에서만 언급했지만, 애플의 공지를 보면 취약점 패치 전 2달간 악성코드 유포가 되었다고 이야기했는데, 취약점은 1월 말에 패치 되었으므로 그 기간으로 부터 두달 전은 대회가 끝난 직후로 시간도 맞아떨어지기 때문입니다.
또한 기사는 Tianfu Cup의 탄생 배경에 대해서도 주목합니다. 수년간 Pwn2Own에서 중국의 보안팀들은 우수한 성적을 거두었습니다. 하지만 2018년 중국 정부는 자국의 보안 연구원들이 해외 해킹 대회에 참여하는 것을 금지시켰습니다.
대신에, 자국 내에서 자국 기업들의 후원을 받는 새로운 대회를 개최 했는데, 이 대회가 바로 Tianfu Cup입니다. 인터뷰에 따르면 해당 대회를 통해서 중국 정부가 제로데이 취약점에 대한 정보를 미리 얻을 수 있을 뿐만 아니라 인력을 리쿠르팅 할 수 있는 기회로 활용하고 있다고 이야기 하고 있습니다.
참고
How China turned a prize-winning iPhone hack against the Uyghurs
iPhone Hack Allegedly Used to Spy on China’s Uyghurs
How China Used Award-Winning iPhone Hack to Spy on Uyghur Muslims Detailed in Report
