# iOS 26 업데이트로 Pegasus 및 Predator 스파이웨어의 주요 IOC가 제거됨

> Clean Markdown view of GeekNews topic #23929. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=23929](https://news.hada.io/topic?id=23929)
- GeekNews Markdown: [https://news.hada.io/topic/23929.md](https://news.hada.io/topic/23929.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-10-27T00:35:41+09:00
- Updated: 2025-10-27T00:35:41+09:00
- Original source: [iverify.io](https://iverify.io/blog/key-iocs-for-pegasus-and-predator-spyware-cleaned-with-ios-26-update)
- Points: 1
- Comments: 1

## Topic Body

- 최신 iOS 26 업데이트에서 **shutdown.log 파일 처리 방식이 변경되어**, Pegasus와 Predator 스파이웨어 감염 흔적이 삭제되는 현상 발생  
- 기존에는 shutdown.log가 **iOS 악성코드 탐지의 핵심 포렌식 증거**로 활용되어 왔으나, 새 버전에서는 재부팅 시 로그가 덮어쓰기됨  
- Pegasus는 과거부터 **로그 삭제 및 은폐 기법을 지속적으로 발전**시켜 왔으며, Predator 역시 유사한 흔적을 남긴 것으로 분석됨  
- 이번 변경으로 인해 **보안 연구자와 포렌식 조사자들이 감염 여부를 확인하기 어려워지는 문제**가 제기됨  
- 스파이웨어 공격이 증가하는 시점에서, **Apple의 로그 처리 정책이 보안 투명성에 미치는 영향**이 크다는 점이 주목됨  
  
---  
  
### shutdown.log의 역할과 중요성  
- **shutdown.log 파일**은 iOS 기기의 종료 과정에서 발생하는 이벤트를 기록하는 로그로, 악성코드 탐지에 중요한 단서 제공  
  - 위치는 Sysdiagnose 폴더 내 system_logs.logarchive → Extra → shutdown.log 경로  
  - 수년간 iOS 악성코드 분석에서 간과되었지만, 실제로는 감염 흔적을 남기는 **‘조용한 증인’ 역할**을 수행  
- 2021년 공개된 Pegasus 스파이웨어 버전이 이 로그에 **명확한 감염 흔적(Indicator of Compromise, IOC)** 을 남긴 사례 존재  
  - 이를 통해 보안 연구자들이 감염된 기기를 식별할 수 있었음  
  - 이후 Pegasus 개발사인 **NSO Group**은 탐지를 회피하기 위해 지속적으로 기술을 개선  
  
### Pegasus의 진화된 회피 전략  
- 2022년경 Pegasus는 **shutdown.log 자체를 완전히 삭제하는 방식**으로 흔적을 감추기 시작  
  - 그러나 삭제 과정에서도 미세한 흔적이 남아, 오히려 ‘비정상적으로 깨끗한 로그’가 감염의 단서로 활용됨  
  - 여러 사례에서 이러한 패턴이 발견되어, **로그 삭제 자체가 감염 지표**로 간주됨  
- 이후 Pegasus는 **기기 종료를 실시간 감시하며 로그를 완전 삭제하는 메커니즘**을 도입한 것으로 추정  
  - 연구자들은 감염된 것으로 알려진 기기에서 shutdown.log가 비어 있거나 다른 IOC와 함께 제거된 사례를 다수 확인  
  - 결과적으로 **비정상적으로 초기화된 로그 파일이 의심 기기 식별의 휴리스틱 지표**로 사용됨  
  
### Predator 스파이웨어의 유사한 흔적  
- 2023년에 관찰된 **Predator 스파이웨어** 역시 Pegasus의 사례를 학습한 것으로 보임  
  - Predator는 shutdown.log를 **모니터링하며 자체 흔적을 남기는 행위**를 수행  
  - Pegasus와 유사한 로그 패턴이 발견되어, **두 스파이웨어 간 기술적 유사성**이 지적됨  
  
### iOS 26의 변경 사항과 영향  
- iOS 26에서는 **shutdown.log가 재부팅 시마다 덮어쓰기(overwrite)** 되는 방식으로 변경  
  - 이전 버전에서는 각 종료 시점의 로그가 누적(append)되어, 과거 기록이 보존되는 형태였음  
  - 이제는 기기를 재시작할 때마다 기존 로그가 완전히 지워지고 새 로그로 대체됨  
- 이 변화로 인해 **기존 Pegasus 및 Predator 감염 증거가 자동으로 삭제**되는 결과 초래  
  - Apple이 이를 의도한 설계인지, 혹은 버그인지 명확하지 않음  
  - 시스템 위생이나 성능 개선 목적일 수 있으나, **포렌식 분석에 치명적인 영향**을 미침  
- 최근 고위 임원, 유명인 등도 스파이웨어 공격 대상이 되고 있어, **이 시점의 로그 삭제는 보안 커뮤니티에 큰 우려**를 불러일으킴  
  
### iOS 26 이전 버전에서의 Pegasus 2022 IOC  
- iOS 26 이전 버전에서는 Pegasus 2022 감염의 **특정 IOC**가 확인됨  
  - `/private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking` 경로가 shutdown.log 내에 존재할 경우 감염 가능성 높음  
  - NSO Group은 탐지를 피하기 위해 **일반 시스템 프로세스명으로 위장**하는 전략을 사용  
  - 이로 인해 기존의 명시적 프로세스명 기반 탐지가 어려워짐  
  
### iOS 18 이하 버전에서의 로그 상관 분석  
- iOS 18 이하에서는 **containermanagerd 로그와 shutdown.log를 비교 분석**하는 방식으로 감염 여부 판단 가능  
  - containermanagerd 로그는 부팅 이벤트를 기록하며 수 주간 데이터 보존  
  - 두 로그 간의 불일치(예: 부팅 이벤트는 많지만 종료 로그가 적은 경우)는 **의도적 은폐 가능성**을 시사  
  - 이를 통해 **스파이웨어의 활동 흔적을 간접적으로 추적**할 수 있었음  
  
### 업데이트 전 권장 조치  
- iOS 26 업데이트 전 다음 조치를 취할 것을 권장  
  - **즉시 Sysdiagnose를 생성 및 저장**하여 현재 shutdown.log와 관련 증거를 보존  
  - Apple이 로그 덮어쓰기 문제를 수정하기 전까지 **업데이트를 보류**하는 것이 바람직  
- 이러한 조치는 **감염 증거의 영구 손실을 방지**하고, 향후 포렌식 분석을 위한 데이터를 확보하는 데 필수적임

## Comments



### Comment 45487

- Author: neo
- Created: 2025-10-27T00:35:43+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=45700946) 
- 기사에서 **IOC**가 무엇인지 정의하지 않아 혼란스러웠음  
  IOC는 *Indicators Of Compromise*의 약어임. 기사에서는 한 번 풀어 썼지만 괄호 없이 지나감. 혹시 나처럼 모르는 사람이 있을까 봐 공유함  
  - 고마움. 내가 아는 IOC는 **국제올림픽위원회**뿐이었음  
  - 미군에서는 IOC를 **Initial Operational Capability**로 씀. FOC(Full Operational Capability)와 구분됨. [용어 설명 링크](https://samm.dsca.mil/glossary/initial-operational-capability-ioc) 참고  
  - 약어나 두문자어는 명확히 정의되지 않으면 **비효율적**이고, 아는 사람과 모르는 사람 사이에 벽을 만듦  
    예전에 Facebook에서 “ISO”가 “in search of” 의미로 쓰이기 시작했을 때 정말 싫었음. 국제표준화기구 ISO와 혼동되기 때문임.  
    우리 회사에서는 일반인도 의미를 짐작할 수 있고, 다른 의미로 오해되지 않는 약어만 쓰도록 규정함  
  - **TLA(three-letter acronym)** 남용을 없애자는 의미로 “Help stamp out TLAs”라는 농담을 던짐. 관련 [ASS.md](https://gist.github.com/klaaspieter/12cd68f54bb71a3940eae5cdd4ea1764) 링크도 공유함  
  - 세 글자 약어(TLA)는 가능한 조합이 **17,576개**뿐임  

- Apple이 스스로를 **프라이버시 기업**이라 포지셔닝했던 건 결국 브랜드 마케팅에 불과했음  
  ICE가 Paragon과 계약해 제로클릭 스파이웨어를 쓰는 와중에, Apple은 국가 주도의 감시를 탐지할 수 있는 핵심 포렌식 흔적을 지워버림. Cook의 금·현금 로비까지 포함해, 빅테크 중에서도 바닥 경쟁을 하는 중임  
  - 10년 전 Apple에서 일했을 때는 내부 분위기가 그런 식은 아니었음. 이런 변화가 생겼다면 최근의 일일 가능성이 큼.  
    아마 **버그**일 가능성이 높고, 정부 요청으로 늦게 추가된 기능일 리는 거의 없음. 과거 FBI와의 **San Bernardino 사건**에서도 Apple은 협조하지 않았음  
  - Apple이 앞으로도 스파이웨어 업체들에 맞서 **iPhone 보안 강화에 실패**할 거라 봄  
  - Apple이 버그 바운티와 SDR 프로그램을 운영하긴 하지만, 이게 진정한 **신념**인지 단순히 브랜드 손상 방지인지 의문임.  
    더 할 수는 있지만, 어떤 기업도 **정치적 압력**에는 완전히 맞서기 어려움  
  - Apple은 처음부터 **기만적 마케팅**에 능했음. 허위의 친환경, 수리 불가 정책, 거짓된 프라이버시 약속 등.  
    진짜 보안이 필요하다면 **GrapheneOS**가 훨씬 신뢰할 만함  

- 대규모 시스템에서는 작은 수정도 누군가에게는 **문제**가 됨  
  Apple이 iVerify 커뮤니티를 달래기 위해 기능을 되돌릴 수도 있지만, 장기적으로는 스파이웨어가 더 교묘히 숨게 될 것임.  
  이제는 단순한 **포렌식 아티팩트**를 넘어서는 전략이 필요함  
  - Pegasus와 Predator 같은 iOS 취약점이 널리 알려졌는데, Apple이 이런 탐지 방식을 통제하지 않는 건 짧은 시야임.  
    “iPhone은 안전하다”는 믿음이 결국 **블랙박스 신뢰**에 불과함. iOS26에서 버그가 계속 발견되는데, 보안 기능은 과연 예외일까?  
  - [xkcd 1172](https://xkcd.com/1172/)와 [xkcd 1053](https://xkcd.com/1053/)을 인용하며, 이런 상황을 풍자적으로 언급함  

- IOC는 **shutdown 로그**를 기반으로 함  
  iOS 26에서는 부팅 시마다 shutdown.log가 새로 덮어써져 이전 기록이 사라짐.  
  이로 인해 Pegasus나 Predator 감염 흔적이 **완전히 지워지는 결과**를 초래함  

- Apple이 shutdown 로그를 지우는 건 공격자가 **충돌 조건이나 기기 동작을 분석**하지 못하게 하려는 보안 조치일 수도 있음  
  하지만 프라이버시를 진지하게 생각한다면, 사용자가 자신의 기기를 **깊이 들여다볼 권한**도 있어야 함  
  - 연구 단계의 공격자는 어차피 루팅해서 더 많은 정보를 얻을 수 있음.  
    결국 이런 조치는 **일반 사용자만 제한**하는 셈임  
  - 기기를 소유한다고 해서 제조사가 원하는 기능을 반드시 제공해야 하는 건 아님  
  - shutdown 로그 접근 권한보다 실행 중인 프로세스 확인 권한이 더 제한적임.  
    Apple은 늘 **프라이버시를 명분으로 통제 강화**를 정당화함  

- iOS 26 베타에는 이런 변경이 없었음. 곧 수정되길 바람  
  [YouTube 영상](https://www.youtube.com/watch?v=PHijS6jLPxI&t=304s)에서 설명하듯, shutdown.log는 실행 중인 프로세스 목록을 기록해 IOC 탐지에 유용했음.  
  보안을 중시한다면 매일 재부팅하라는 조언도 있음  

- Apple 내부 누군가가 **이스라엘 해커들을 위해** 일부러 취약점을 남겨둔다고 의심해왔음  
  - 가능성은 있지만, iPhone은 Apple의 핵심 제품이라 그런 결정은 **치명적 손실**을 초래할 것임.  
    미국 내에서는 금세 잊히겠지만, 아시아·유럽 시장에서는 신뢰를 잃을 것임.  
    오히려 정부가 Apple 내부 개발자를 **압박하거나 포섭**했을 가능성이 더 현실적임  
  - 차라리 **탈옥(jailbreak)** 을 위해 취약점을 남겨두는 거라면 좋겠음  
  - 이스라엘이 연루되면 모든 R&D 조직이 **음모집단**처럼 보이는 현상이 흥미로움 /s  

- 기사 작성자들도 Apple이 의도적으로 스파이웨어 탐지를 막으려 했다고는 **보지 않음**  
  iOS 26 업데이트를 잠시 미루고 Apple이 수정할 때까지 기다리라고 권함  
  - 하지만 대부분의 사용자에게는 IOC보다 **일반 버그 수정**이 훨씬 중요함.  
    자신이 국가급 타깃이 아니라면 업데이트를 미루는 건 **비합리적**임  

- 좋은 기사라면 본문 앞에 **용어와 약어 목록**을 제공해야 함.  
  그런 게 없다면 읽을 가치가 없음  

- iPhone 포렌식이 **백업 아카이브**를 통해서만 가능하다는 게 말도 안 된다고 생각함  
  macOS처럼 **시스템 확장(EL1+)** 을 허용해 보안 모니터링을 가능하게 해야 함  
  - 보안 연구자로서, 그런 기능은 오히려 **스파이웨어 업체에게 선물**이 될 것임.  
    높은 권한 접근은 위험함  
  - 전체 메모리 덤프를 포함하면 **루팅 취약점**을 찾기 쉬워지므로 Apple이 절대 허용하지 않을 것임  
  - iVerify 직원이 CCC에서 발표한 내용 중, macOS처럼 iOS에도 **EDR 메커니즘**을 노출해야 한다는 제안이 있었음  
  - 메모리 내 익스플로잇을 건드리려는 시도 자체가 **불필요한 위험**임 /s