애플이 USB 제한 모드의 결함을 악용해 특정 개인을 표적으로 삼을 수 있는 “매우 정교한 공격”이 있다는 사실을 발견한 후 긴급 보안 패치를 배포했다.

권고 사항에 따르면“물리적 공격으로 인해 잠금 상태의 기기에서 USB 제한 모드가 비활성화될 수 있다. 애플은 이 문제가 특정 개인을 대상으로 한 매우 정교한 공격에 악용될 수 있다는 보고를 인지”했다.

이 결함은 iOS 18을 포함한 여러 애플 기기에 영향을 미친다. iOS 18.3.1 및 아이패드OS 18.3.1, 그리고 아이폰 XS 이상, 아이패드 프로(다양한 모델), 아이패드 에어(3세대 이상), 아이패드 7세대 이상, 아이패드 미니(5세대 이상), 아이패드OS 17.7.5: 아이패드 프로 12.9인치(2세대), 아이패드 프로 10.5인치, 아이패드 6세대가 대상이다.

애플, USB 제한 모드를 우회하는 물리적 공격 경고

CVE-2025-24200으로 추적된 이 결함은 공격자가 잠긴 아이폰과 아이패드의 라이트닝 또는 USB 포트를 통한 무단 액세스를 방지하기 위해 설계된 보안 기능인 USB 제한 모드를 우회한다.

USB 제한 모드는 2018년에 도입된 것으로, 법 집행 기관에서 암호화된 기기에 액세스하는 데 사용되어 온 셀레브라이트(Cellebrite) 및 그레이키(GrayKey) 같은 포렌식 도구에 대한 방어 수단으로 사용된다.

애플이 취약점을 공격의 정교함이나 표적 등을 구체적으로 언급하기보다는 “적극적으로 악용되고 있는” 취약점이라고 유난히 강한 표현을 사용해 언급하는 것을 볼 때 심각한 보안 문제를 시사하는 것으로 보인다.

보안 업체 비글 시큐리티(Beagle Security) 고문 수닐 바르키는 “이 취약점은 물리적 접근이 필요하지만, 정교한 공격자는 이를 다른 원격 공격과 결합할 수 있다”라고 말했다. 바르키에 따르면 공항, 쇼핑몰, 호텔의 공용 충전 스테이션은 연결된 기기를 악용하기 위해 수정되거나 손상될 수 있다. 공격자는 공공장소에 무료 충전기, 케이블, 어댑터를 설치하거나 판촉 선물로 배포할 수도 있다. 악성 액세서리는 USB 데이터 전송을 강제 활성화하고 플러그를 꽂으면 취약점을 악용할 수 있다.

바르키는 또한 수리점, 법 집행 기관, 잠긴 기기에 물리적으로 접근할 수 있는 공격자가 이 취약점을 이용해 사용자의 비밀번호 없이도 민감한 데이터를 추출할 수 있다고 지적했다.

특히 스파이 활동이나 감시 활동에서 악용될 수 있다는 심각한 우려를 불러일으킨다.

취약점 발견은 보안 연구원이

이 취약점은 토론토 대학교 멍크 스쿨의 디지털 권리 연구 그룹인 시티즌 랩의 선임 연구원인 빌 마르차크가 발견했다.

마르차크는 소셜 미디어를 통해 사용자에게 기기를 즉시 업데이트할 것을 촉구하며 “오늘 출시된 iOS 18.3.1로 다시 아이폰을 업데이트하라… ITW [in-the-wild] USB 제한 모드 우회 기능이 수정되었다”라고 전했다.

애플은 이 문제를 보고한 마르차크 씨에게 감사를 표했지만, 이 취약점이 어떻게 이용되었는지 또는 누가 표적이 되었는지에 대한 세부 사항은 공개하지 않았다.

애플의 조언에 따르면, 이 문제는 향상된 상태 관리를 통해 해결되었다.

기기 침입에 대한 지속적인 다툼

애플은 오랫동안 기기의 보안과 개인 정보 보호를 장려해 왔지만, 취약점은 계속해서 드러나고 있다. 정부 기관과 감시 업체에 의해 악용되는 경우가 많다. 셀레브라이트 같은 포렌식 기술 제공업체는 아이폰에 침입하기 위한 도구를 특별히 구축해 법 집행 기관이 잠긴 기기에서의 데이터 추출을 지원한다.

셀레브라이트의 기술은 도널드 트럼프 전 미국 대통령의 암살 미수 사건을 포함해 여러 유명 인사의 사건에 사용된 바 있다. 이 사건에서 셀레브라이트는 단 40분 만에 범인의 안드로이드 기기를 해제했다고 한다.

전문가들은 드문 긴급 업데이트가 정부나 주요 인프라를 담당하는 고위 인사나 조직을 노린 공격의 표적이었을 가능성이 높다는 점을 지적하면서, 이번 업데이트의 중요성을 강조했다.

에베레스트 그룹의 파트너 유갈 조시는 “만약 일반적인 광범위한 공격이었다면, 애플은 이 공격의 표적 특성을 언급하지 않았을 것이다”라고 말했다. 이번 사건이 애플의 강력한 보안 관행을 반영하지는 않지만, 애플을 보안 기기의 마지막 보루 중 하나로 생각하는 고객의 신뢰가 흔들린다는 것이 조시의 의견이다.

조시는 또한 많은 기업이 보안상의 우려 때문에 애플 기기는 허용하면서 안드로이드 폰은 제한하는 경우가 많다고 지적했다. 그러나 이러한 취약점의 출현은 중요한 질문을 제기한다. 조시는 “이 모드를 통해 어떤 정보에 접근할 수 있었는지, 그리고 그 상황이 얼마나 심각한지 알아내는 것이 흥미로울 것이다. 공격의 대상이 특정 개인일 수도 있지만, 고가치 개인과 조직에 미치는 영향은 연쇄 효과를 일으킬 것”이라고 덧붙였다.

애플은 이런 업체와 직접 관계를 맺고 있지는 않지만, 보안 업데이트를 통해 계속해서 진화하는 역량에 대응하고 있다. 최신 업데이트 픽스는 물리적 침입 시도에 대해 iOS 기기를 완전히 보호하는 데 지속적인 어려움이 있음을 시사한다.

에베레스트 그룹의 시브라즈 보라데 선임 애널리스트는 “이번 취약점의 성공 가능성은 매우 낮다고 여겨지지만, 심각성은 상당하며, 단순히 물리적 공격과 관련되어 있다는 이유만으로 과소평가되어서는 안 된다. 현대의 상호 연결된 IoT 기기 세계에서 물리적 기기는 완전히 격리되어 있지 않다”라고 말했다.

보라드는 모바일 기기가 연결된 기기의 방대한 생태계와 깊이 통합되어 공격 표면이 확대되고 있다며 “휴대폰과 노트북은 USB 연결을 통해 소형 이더넷 케이블에서 대규모 스마트 차량에 이르기까지 인터넷에 연결된 방대한 기기 생태계와 자주 연결된다. 이러한 공격은 국가가 후원하는 공격일 수 있으며, 고액 자산가 및 주요 국가 인사를 대상으로 할 수 있다. 이 취약점은 공격 표면이 그 어느 때보다 확장되면서 어떤 기기도 진정으로 에어갭(air-gapped) 상태가 아니라는 것을 증명한다”라고 말했다.

애플은 해당 기기 사용자에게 권장 패치로 기기를 업데이트할 것을 촉구했다. 이 패치는 iOS 17.2 이전의 구버전 iOS에서 악용된 또 다른 제로데이 취약점(CVE-2025-24085)에 대한 애플의 최근 수정 사항을 따른다.

상업용 스파이웨어의 광범위한 위협

애플 생태계의 제로데이 취약점은 정부 지원 감시 활동과 관련이 있는 것으로 알려진 NSO 그룹과 같은 상업용 스파이웨어 업체가 주로 노리는 대상이다. 페가수스 같은 스파이웨어는 전 세계의 언론인, 활동가, 정치인을 감시하는 데 사용되었다.

NSO 그룹은 자사의 기술이 테러와 심각한 범죄에 대처하기 위해 설계되었다고 주장하지만, 여러 보고서를 통해 시민 사회 구성원에 대한 오용이 드러났다.

애플은 이러한 위협에 적극적으로 대응해 왔으며, 이전에 NSO 그룹을 고소하고 정부 스파이웨어의 표적이 될 가능성이 있는 사용자에게 알리는 조치를 취했다. 최근의 취약점은 고도로 정교한 공격의 지속적인 위험을 강조하며, 사용자들이 최신 정보를 유지하고 경계해야 할 필요성을 강조한다.

애플은 추가 세부 사항에 대해 침묵을 지키면서 공격의 성격이나 공격 대상에 대한 문의에 아직까지 답변하지 않고 있다.

그러나 발표 내용의 심각성을 고려할 때, 이 사건은 가장 안전한 소비자 기기조차도 손상시킬 수 있는 물리적 접근 공격에 대한 우려가 커지고 있음을 보여준다.

현재 보안 전문가들은 아이폰과 아이패드 사용자에게 최신 패치를 즉시 설치하고 기기에 대한 물리적 접근에 주의할 것을 권고하고 있다.
dl-itworldkorea@foundryco.com