Apple, iOS 기기의 심각한 제로데이 취약점 해결
최근 공개된 문서 에서 Apple은 iOS 기기에 영향을 미치는 두 가지 중요한 제로데이 취약점을 발견했음을 확인했으며, 이 취약점들은 실제 상황에서 악용되었을 가능성이 높습니다.이번 발견은 일반 대중이 아닌 특정 개인을 표적으로 삼는 첨단 사이버 위협과 관련된 잠재적 위험을 강조합니다.
착취의 본질
이 취약점은 iOS 아키텍처 내부에서 핵심적으로 작동하는 핵심 내부 프레임워크인 CoreAudio와 RPAC에 관련된 것입니다. Apple은 이러한 취약점을 악용한 공격을 “매우 정교하다”고 규정하며, 악명 높은 Pegasus 소프트웨어 관련 사례를 연상시키는 이전의 표적형 스파이웨어 공격 사례와 유사하다고 설명했습니다.
취약점에 대한 세부 정보
CVE-2025-31200 으로 식별된 첫 번째 취약점은 CoreAudio와 관련이 있습니다. Apple은 “악의적으로 제작된 미디어 파일의 오디오 스트림을 처리하면 코드가 실행될 수 있습니다.”라고 설명했습니다.이 문제를 해결하기 위해 Apple은 향상된 경계 검사를 통해 메모리 손상 관리를 강화하는 데 중점을 둔 수정 사항을 구현했습니다.
CVE-2025-31201 로 추적되는 두 번째 취약점은 저수준 보안 아키텍처 구성 요소인 RPAC와 관련이 있습니다.이 취약점은 접근 권한이 있는 공격자가 메모리 기반 공격으로부터 보호하기 위해 설계된 메커니즘인 포인터 인증을 우회할 수 있도록 허용했습니다.애플은 취약한 코드를 완전히 제거하여 취약점의 심각성을 확인했습니다.
시사점과 대응
Apple은 절대적으로 필요한 경우가 아니면 취약점의 적극적인 악용을 공개적으로 인정하지 않는 것이 일반적이라는 점에 유의해야 합니다.특정 대상을 명시하거나 광범위한 세부 정보를 제공하는 데 있어 Apple이 신중한 접근 방식을 취하는 것은 민감한 정보를 안전하게 공개할 수 있을 때까지 관리하는 방식을 반영합니다.
이러한 발표의 타이밍, 특히 다가올 WWDC 직전에 업데이트가 신중하게 공개된 것을 보면 Apple이 iOS 19에서 예상되는 새로운 기능(재설계된 사용자 인터페이스, 향상된 Siri 기능 등)에 집중하기 전에 이러한 긴급한 보안 문제를 해결하려 했다는 것을 알 수 있습니다.
익스플로잇 취약점의 역사
이번 사건은 단발적인 사건이 아닙니다. Apple 기기는 이전에도 은밀한 공격의 희생양이 된 적이 있습니다.예를 들어, 2021년에 악명 높았던 FORCEDENTRY iMessage 취약점은 사용자 상호 작용 없이 스파이웨어 설치를 허용하여 생태계 내 지속적인 위험을 드러냈습니다.
사용 가능한 업데이트
Apple은 이러한 취약점이 iOS 및 iPadOS 버전 18.4.1에서 해결되었음을 확인했습니다.특히 iPhone XS 이상 모델이나 호환되는 iPad를 사용하는 사용자는 즉시 설치하시기 바랍니다.또한 tvOS 18.4.1, macOS Sequoia 15.4.1, VisionOS 2.4.1 업데이트에서도 수정 사항을 확인할 수 있습니다.
답글 남기기 ▼