GN⁺ 6달전 | parent | ★ favorite | on: iOS 26 업데이트로 Pegasus 및 Predator 스파이웨어의 주요 IOC가 제거됨(iverify.io)
Hacker News 의견

  • 기사에서 IOC가 무엇인지 정의하지 않아 혼란스러웠음
    IOC는 Indicators Of Compromise의 약어임. 기사에서는 한 번 풀어 썼지만 괄호 없이 지나감. 혹시 나처럼 모르는 사람이 있을까 봐 공유함

    • 고마움. 내가 아는 IOC는 국제올림픽위원회뿐이었음
    • 미군에서는 IOC를 Initial Operational Capability로 씀. FOC(Full Operational Capability)와 구분됨. 용어 설명 링크 참고
    • 약어나 두문자어는 명확히 정의되지 않으면 비효율적이고, 아는 사람과 모르는 사람 사이에 벽을 만듦
      예전에 Facebook에서 “ISO”가 “in search of” 의미로 쓰이기 시작했을 때 정말 싫었음. 국제표준화기구 ISO와 혼동되기 때문임.
      우리 회사에서는 일반인도 의미를 짐작할 수 있고, 다른 의미로 오해되지 않는 약어만 쓰도록 규정함
    • TLA(three-letter acronym) 남용을 없애자는 의미로 “Help stamp out TLAs”라는 농담을 던짐. 관련 ASS.md 링크도 공유함
    • 세 글자 약어(TLA)는 가능한 조합이 17,576개뿐임

  • Apple이 스스로를 프라이버시 기업이라 포지셔닝했던 건 결국 브랜드 마케팅에 불과했음
    ICE가 Paragon과 계약해 제로클릭 스파이웨어를 쓰는 와중에, Apple은 국가 주도의 감시를 탐지할 수 있는 핵심 포렌식 흔적을 지워버림. Cook의 금·현금 로비까지 포함해, 빅테크 중에서도 바닥 경쟁을 하는 중임

    • 10년 전 Apple에서 일했을 때는 내부 분위기가 그런 식은 아니었음. 이런 변화가 생겼다면 최근의 일일 가능성이 큼.
      아마 버그일 가능성이 높고, 정부 요청으로 늦게 추가된 기능일 리는 거의 없음. 과거 FBI와의 San Bernardino 사건에서도 Apple은 협조하지 않았음
    • Apple이 앞으로도 스파이웨어 업체들에 맞서 iPhone 보안 강화에 실패할 거라 봄
    • Apple이 버그 바운티와 SDR 프로그램을 운영하긴 하지만, 이게 진정한 신념인지 단순히 브랜드 손상 방지인지 의문임.
      더 할 수는 있지만, 어떤 기업도 정치적 압력에는 완전히 맞서기 어려움
    • Apple은 처음부터 기만적 마케팅에 능했음. 허위의 친환경, 수리 불가 정책, 거짓된 프라이버시 약속 등.
      진짜 보안이 필요하다면 GrapheneOS가 훨씬 신뢰할 만함

  • 대규모 시스템에서는 작은 수정도 누군가에게는 문제가 됨
    Apple이 iVerify 커뮤니티를 달래기 위해 기능을 되돌릴 수도 있지만, 장기적으로는 스파이웨어가 더 교묘히 숨게 될 것임.
    이제는 단순한 포렌식 아티팩트를 넘어서는 전략이 필요함

    • Pegasus와 Predator 같은 iOS 취약점이 널리 알려졌는데, Apple이 이런 탐지 방식을 통제하지 않는 건 짧은 시야임.
      “iPhone은 안전하다”는 믿음이 결국 블랙박스 신뢰에 불과함. iOS26에서 버그가 계속 발견되는데, 보안 기능은 과연 예외일까?
    • xkcd 1172xkcd 1053을 인용하며, 이런 상황을 풍자적으로 언급함

  • IOC는 shutdown 로그를 기반으로 함
    iOS 26에서는 부팅 시마다 shutdown.log가 새로 덮어써져 이전 기록이 사라짐.
    이로 인해 Pegasus나 Predator 감염 흔적이 완전히 지워지는 결과를 초래함

  • Apple이 shutdown 로그를 지우는 건 공격자가 충돌 조건이나 기기 동작을 분석하지 못하게 하려는 보안 조치일 수도 있음
    하지만 프라이버시를 진지하게 생각한다면, 사용자가 자신의 기기를 깊이 들여다볼 권한도 있어야 함

    • 연구 단계의 공격자는 어차피 루팅해서 더 많은 정보를 얻을 수 있음.
      결국 이런 조치는 일반 사용자만 제한하는 셈임
    • 기기를 소유한다고 해서 제조사가 원하는 기능을 반드시 제공해야 하는 건 아님
    • shutdown 로그 접근 권한보다 실행 중인 프로세스 확인 권한이 더 제한적임.
      Apple은 늘 프라이버시를 명분으로 통제 강화를 정당화함

  • iOS 26 베타에는 이런 변경이 없었음. 곧 수정되길 바람
    YouTube 영상에서 설명하듯, shutdown.log는 실행 중인 프로세스 목록을 기록해 IOC 탐지에 유용했음.
    보안을 중시한다면 매일 재부팅하라는 조언도 있음

  • Apple 내부 누군가가 이스라엘 해커들을 위해 일부러 취약점을 남겨둔다고 의심해왔음

    • 가능성은 있지만, iPhone은 Apple의 핵심 제품이라 그런 결정은 치명적 손실을 초래할 것임.
      미국 내에서는 금세 잊히겠지만, 아시아·유럽 시장에서는 신뢰를 잃을 것임.
      오히려 정부가 Apple 내부 개발자를 압박하거나 포섭했을 가능성이 더 현실적임
    • 차라리 탈옥(jailbreak) 을 위해 취약점을 남겨두는 거라면 좋겠음
    • 이스라엘이 연루되면 모든 R&D 조직이 음모집단처럼 보이는 현상이 흥미로움 /s

  • 기사 작성자들도 Apple이 의도적으로 스파이웨어 탐지를 막으려 했다고는 보지 않음
    iOS 26 업데이트를 잠시 미루고 Apple이 수정할 때까지 기다리라고 권함

    • 하지만 대부분의 사용자에게는 IOC보다 일반 버그 수정이 훨씬 중요함.
      자신이 국가급 타깃이 아니라면 업데이트를 미루는 건 비합리적

  • 좋은 기사라면 본문 앞에 용어와 약어 목록을 제공해야 함.
    그런 게 없다면 읽을 가치가 없음

  • iPhone 포렌식이 백업 아카이브를 통해서만 가능하다는 게 말도 안 된다고 생각함
    macOS처럼 시스템 확장(EL1+) 을 허용해 보안 모니터링을 가능하게 해야 함

    • 보안 연구자로서, 그런 기능은 오히려 스파이웨어 업체에게 선물이 될 것임.
      높은 권한 접근은 위험함
    • 전체 메모리 덤프를 포함하면 루팅 취약점을 찾기 쉬워지므로 Apple이 절대 허용하지 않을 것임
    • iVerify 직원이 CCC에서 발표한 내용 중, macOS처럼 iOS에도 EDR 메커니즘을 노출해야 한다는 제안이 있었음
    • 메모리 내 익스플로잇을 건드리려는 시도 자체가 불필요한 위험임 /s