애플이 최신 아이폰 칩에 새로 도입한 메모리 안전성 기능으로 인해 특정 유형의 익스플로잇 실행이 어려워진 것을 반영해 버그 바운티 프로그램을 개편했다. 이번 개편을 통해 여러 공격 카테고리의 보상금을 2배 또는 4배로 인상했다. 애플에 제보한 iOS 제로클릭(zero-click) 시스템 수준 원격 코드 실행(remote code execution, RCE) 취약점의 보상금은 기존 100만 달러에서 내달부터 200만 달러로 상향된다.

애플 보안팀은 블로그 게시물에서 “정교한 용병형 스파이웨어 공격과 유사한 목표를 달성할 수 있는 익스플로잇 체인에 대해 최고 보상금을 200만 달러로 2배 상향한다. 이는 업계에서 전례 없는 수준이며, 우리가 알고 있는 어떤 바운티 프로그램보다도 큰 규모”라고 전했다. 이에 더해 잠금 모드 우회나 베타 소프트웨어에서 발견된 취약점에 대해 추가 보상을 제공하는 보너스 제도를 통해 이 보상금을 2배 이상 늘릴 수 있으며, 최대 지급액은 500만 달러를 초과할 수 있다고 밝혔다.

iOS와 안드로이드는 전 세계 정보기관 및 법집행 기관에 모바일 감시 기능을 판매하는 감시 소프트웨어업체의 표적이 돼 왔다. 이런 업체는 오랫동안 고객을 신중히 심사한다고 주장하지만, 일반적으로 제로데이 익스플로잇을 통해 배포되며 정치 활동가와 언론인을 감시하려는 억압적 정권의 손에 자주 넘어갔다. 정보기관이 자체 개발했거나 암시장에서 구입한 다른 제로데이 익스플로잇은 사이버 첩보 캠페인에서 사용된다.

애플은 2025년 들어 iOS에서 총 8건의 제로데이 취약점을 수정했으며, 2024년에는 6건을 수정했다고 밝혔다. 지난달에는 iOS의 이미지IO(ImageIO) 구성 요소에서 발견된 결함(CVE-2025-43300)을 수정했는데, 이 결함은 왓츠앱의 제로데이 취약점(CVE-2025-55177)과 체인으로 연결되어 약 200명을 표적으로 삼는 데 이용된 것으로 추정된다.

애플 보안팀은 “실제 공격 사례에서 관찰되는 유일한 시스템 수준 iOS 공격은 용병형 스파이웨어에서 비롯된다. 이는 역사적으로 국가 주체와 연관된 매우 정교한 익스플로잇 체인으로, 개발에 수백만 달러가 들며 극소수의 표적 개인을 대상으로 사용된다”라고 전했다. 이어 “잠금 모드와 메모리 무결성 강제(Memory Integrity Enforcement, MIE)는 이런 공격을 개발하기 어렵고 비용도 훨씬 많이 들게 만들지만, 가장 정교한 적대자는 계속해서 기법을 진화시킬 것이라는 점을 인식하고 있다”라고 밝혔다.

CPU 수준의 메모리 안전성 강화

최근 출시된 아이폰 17과 아이폰 에어(iPhone Air)에는 애플이 5년에 걸쳐 개발한 ‘메모리 무결성 강제(Memory Integrity Enforcement)’ 기술이 처음으로 적용됐다. 이 기술은 그동안 단계적으로 칩셋(CPU)과 소프트웨어 전반에 걸쳐 구성 요소가 추가되어 온 반 익스플로잇(anti-exploitation) 보안 기술이다.

메모리 무결성 강제는 특히 버퍼 오버플로우(buffer overflow)나 해제 후 사용 취약점(use-after-free, UAF)과 같은 메모리 손상 취약점을 악용하는 공격을 극도로 어렵게 만드는 것을 목표로 한다. 이 기능은 2019년에 공개된 Arm 메모리 태깅 확장(Memory Tagging Extension, MTE) 사양과, 2022년에 발표된 강화형 메모리 태깅 확장(Enhanced Memory Tagging Extension, EMTE)을 기반으로 한다.

이들 칩 수준의 메커니즘은 메모리 태깅과 태그 검사(tag-checking) 시스템을 구현한다. 그 결과 프로세스가 할당한 모든 메모리에는 비밀 태그가 부여되고, 이후 그 메모리에 접근하려는 모든 요청은 올바른 태그를 함께 포함해야 한다. 간단히 말해, 메모리 손상 취약점을 악용하는 핵심은 시스템이 이미 특정 프로세스(보통은 취약한 애플리케이션)에 할당한 메모리 버퍼에 악성 바이트코드를 써넣을 수 있는 능력을 얻는 것이다. 그렇게 되면 해당 프로세스가 자신의 권한으로 악성 코드를 실행하게 된다. 만약 표적이 커널 구성요소라면 시스템 수준의 임의 코드 실행 권한을 획득한 셈이다.

MTE가 도입되면서 공격자는 감지되지 않고 태깅된 메모리 버퍼에 쓰기 위해서는 해당 비밀 태그를 찾아야 하며, 그렇지 못하면 운영체제가 대상 프로세스를 종료시킨다. 그러나 이 기술은 여전히 단점과 취약점을 안고 있다. 경합 상태(race condition)가 발생하는 시간적 여지, 비동기 쓰기 문제, 타이밍 차이로 태그를 유출할 수 있는 사이드 채널 공격, 그리고 CPU 캐시를 이용해 데이터와 잠재적으로 MTE 태그를 유출하는 스펙터(Spectre) v1과 같은 CPU 투기 실행(speculative execution) 공격 등이 여전히 가능하다.

애플 보안팀은 “결국 진정한 최고 수준의 메모리 안전성을 구현하기 위해서는 애플 전사적인 규모의 대대적인 엔지니어링 노력이 필요하다는 결론에 이르렀다. 여기에는 애플 실리콘을 비롯해 운영체제와 소프트웨어 프레임워크 전반의 업데이트가 포함된다. 이런 노력은 애플이 이미 높은 성과를 거둔 보안 메모리 할당자(secure memory allocator) 기술과 결합해 기존의 MTE를 단순한 디버깅 도구에서 획기적인 보안 기능으로 탈바꿈한다”라고 설명했다.

난이도 상승은 더 큰 보상으로 이어진다

그 노력의 결실이 바로 애플이 현재 메모리 무결성 강제(MIE)라고 부르는 기능이며, 이는 아이폰 17과 아이폰 에어 라인업에 탑재된 A19 및 A19 Pro 칩의 특징이다. MIE는 iOS에서 커널 전체와 70개가 넘는 사용자 공간 프로세스(사용자 프로세스)를 보호하도록 적용돼 이들 대상에 대한 메모리 손상 익스플로잇을 훨씬 실행하기 어렵게 만든다.

애플이 버그 바운티 프로그램의 보상금을 인상한 것도 이런 이유에서다. 최신 애플 기기에서 익스플로잇 체인을 성공적으로 작동시키기 위해서는 이전보다 훨씬 더 창의적으로 접근하고, 더 많은 노력을 기울여야 한다.

보상금 인상은 상위 수준의 RCE 체인, 즉 상용 스파이웨어 업체가 사용하는 형태의 공격에만 국한하지 않는다. 메모리 손상 조건과 다른 취약점을 결합해 이뤄지는 다양한 공격 유형도 11월부터 보상금이 상향된다.

• 애플리케이션 샌드박스 탈출 : 기존 15만 달러에서 50만 달러로 인상
• 기기에 물리적으로 접근해야 하는 공격 : 기존 25만 달러에서 50만 달러로 인상
• 무선 및 라디오 프로토콜을 통한 근접(proximity) 공격 : 기존 25만 달러에서 100만 달러로 인상
• 사용자 상호작용이 필요한 원클릭(one-click) 원격 공격 체인 : 기존 25만 달러에서 100만 달러로 인상
• 사용자 개입 없이 실행되는 제로클릭 원격 공격 체인 : 기존 100만 달러에서 200만 달러로 인상

개별 익스플로잇 체인 구성요소나 서로 결합해 위 기준을 충족하는 공격을 입증할 수 없는 복수의 구성요소도 보상 대상에는 포함되지만, 지급액은 더 낮게 책정된다.

또한 애플은 운영체제 전반에 걸쳐 소위 ‘타깃 플래그(Target Flags)’를 도입했다. 연구자가 이 플래그를 획득하면 수정 패치가 개발·배포되기 전에도 보상금 지급 절차를 신속하게 진행할 수 있다. 이 타깃 플래그는 공격이 레지스터 제어, 임의 읽기/쓰기, 또는 코드 실행 등 일정 수준의 능력을 달성했음을 증명하도록 설계돼 애플이 제출된 익스플로잇의 영향을 프로그램적으로 검증할 수 있게 한다.

추가 보너스로 보상금은 더욱 커질 수 있다. 예컨대 개발 빌드나 공개 베타 빌드에서 익스플로잇을 보고하면 보너스 지급 대상이 되는데, 이는 소프트웨어가 다수의 기기로 배포되기 전에 문제를 수정할 수 있게 하기 때문이다. iOS 잠금 모드 보호를 우회하는 익스플로잇도 보너스 지급 대상에 포함된다.

애플은 아이폰 17 기기가 스파이웨어 벤더의 공격을 받기 훨씬 어려워졌다고 판단해, 전 세계에서 감시용 익스플로잇의 표적이 될 위험이 높은 인권운동가와 언론인 등 고위험군 개인에게 기기를 전달할 수 있도록 시민사회단체에 1,000대의 아이폰 17을 무상 지원할 계획이다.
dl-itworldkorea@foundryco.com