iOS 15.8.5 및 iPadOS 15.8.5의 보안 업데이트 내용

Hacker News 의견

• 최근 Apple UI에 대해 부정적인 의견이 많지만, 정말 오래된 폰까지 지원하는 것은 인정할 만함임. Google Pixel 쪽은 그런 거 기대할 수 없다는 느낌임 lol
  • Pixel 8 이후 모델은 7년 지원임. Apple보다는 못하지만 꽤 합리적임. Pixel 6~7은 5년 지원이었는데, 이건 좀 짧긴 함. 진짜로 “lol” 소리가 나오는 건 2021년 이전 모델이나 Motorola 일부 모델 정도임
  • 나는 Pixel 3XL을 쓰고 있는데, 최신 Android ROM을 깔아 쓰면 꽤 괜찮게 쓸 수 있음. 솔직히 최신 저가형 안드로이드보다 낫다고 느낄 정도임. 아쉽게도 공식 지원이 끝난 게 아쉬움임
  • 내 Pixel XL로 밤에 웹서핑할 때 잘 돌아감. “더 이상 시스템 업데이트가 없다”는 불안감에 회의적임. 실제로 구형 기기를 써서 진짜 보안이나 위험에 노출된 사례 같은 걸 연구 사례나 경험담으로 듣고 싶음
  • 아이폰 12 mini 배터리를 최근 교체했는데, 처음 샀을 때와 똑같이 성능이 좋음. 언젠가 억지로 ‘업그레이드’ 해야 하는 날이 오면 안타까울 것 같음
  • EU에서 5년 업데이트 지원이 최소 요구조건이 됐기 때문에, 이제 Apple은 Google이나 Samsung과 비교해도 하위권임. 예전에는 Apple이 더 나았을지 몰라도, 요즘엔 다른 제조사들이 Apple보다 더 강력하고 법적으로도 확실히 지원을 약속하고 있음
• 놀라울 것도 없음. 예전에 업무용으로 삼성과 미팅해서 수백 대의 플래그십 폰을 구매하려 했는데, 3년 보안 패치만 해주겠다고 하더라. 이게 2019년쯤이었음. 반면 Apple은 따로 미팅도 안 했는데, 추정치로 6년 정도 지원해주더라. 그래서 투자 수익률(ROI)로 봤을 때, 업무용으로는 무조건 iPhone이 더 오래 쓸 수 있었음. 그래서 수백 대의 iPhone만 구매하고 안드로이드는 도입 안 했음. 개인적으로 Nexus S, Nexus 5를 써봤는데, 업데이트 부족이나 버튼 고장, 마이크 고장 등으로 단명했음. Sony Xperia Z5는 북미 특허 이슈로 갑자기 지문 센서를 빼버리더니, 블루투스 오디오도 고장나서 곡명이 표시 안 됐음. 이 모든 게 3년 이내에 발생함. Sony Android 폰은 이제 절대 안 씀. 이쯤 되니 커스텀 롬도 질리고 그냥 “iPhone, it just works” 그룹에 합류해서 넘어갔음
  • 참고로 Samsung은 요즘 플래그십에 7년 OS/보안 지원, 엔트리/중저가 Galaxy A 시리즈도 6년 지원함
  • "it just works"라는 건 홍보 문구에 불과함. 대다수(95% 이상)가 쓰는 기능만 쓴다면야 괜찮지만, 그걸 벗어나면 무슨 일이 벌어질지 알 수 없고, 문제 해결도 어려움. 폐쇄적이고 제한적임. 나는 Apple에서 운이 나빴음. 업무용으로 받은 Apple 기기는 지원도 얼마 못 받고, 터치스크린 고장, 앱 소프트웨어 이슈, 배터리 불량, 핫스팟 기능 반쪽 등 말썽이 많았음. Android에서는 이런 문제 없었음. 앱이 말썽이면 데이터만 초기화하면 되고, iOS엔 그런 기능 자체가 없으니 불편함. 요즘은 Apple 사용자 친구의 이메일 클라이언트가 iOS랑 macOS에서 모두 안 되고 있음. 데이터나 OS마다 다르게 문제를 보여서, 두 지점 왔다 갔다 하면서 90분을 달려서 직접 봐야 할 것 같음. Apple은 고장 났을 때 직접 해결할 방법이 너무 제한적이니 나로선 일하고 싶지 않은 벤더임. 물론 대부분 기능은 “잘 작동” 하겠지만 안드로이드도 마찬가지고, Sony에서 뽑기운이 꽝이었던 것처럼 Apple에서 내가 안 좋은 경우를 겪었던 것임. Sony처럼 문제 심하면 OS를 갈아끼우는 걸 선택할 수 있는 점이 낫다고 봄
• 긴 시간동안 Android의 장기 지원이 어려운 큰 원인은 Qualcomm 같은 모뎀/SOC 벤더가 몇 년만 드라이버와 소프트웨어 업데이트를 해주기 때문임. 2020~2021년이전 기기는 커널 드라이버나 모뎀 업데이트가 거의 없음. 물론 제조사가 통합하는 역할을 하기는 해도, 결과적으론 3rd party ROM(예: lineageos)도 지원 기한이 제한적으로 됨. 애플은 대부분의 부품, 소프트웨어를 인하우스로 처리하니 유연하게 오랜 지원을 해줄 수 있는 것임
  • 이런 주장에 동의하기 힘든 점은, 보안 취약점(CVE)들의 상당수가 모뎀, 베이스밴드 드라이버 등 Broadcom이 컨트롤하는 부분과는 관계없다는 것임. Google이 여전히 라이브러리나 앱처럼 공격 위험이 큰 부분은 패치해줄 수 있음. 나는 오히려 “메시지 이미지 파싱” 측면의 취약점이 더 걱정임. 이건 그냥 이미지 클릭만 해도 공격당할 수 있는 것이고, 모뎀 쪽 취약점보다 훨씬 현실적인 위험처럼 느껴짐
  • 맞는 말이긴 하지만, 결국 이게 Android 자체 설계상의 근본적 한계임. 이런 점을 이유로 Android를 비판할 수 있다고 생각함
  • 생각해보면 말도 안 되는 일임. 20년 된 NIC도 아직 리눅스 커널에서 드라이버 지원이 되는데, 스마트폰 하드웨어 드라이버는 GPL로 공개되어야 함. 폐쇄형 드라이버가 결국은 일부러 기기를 단명시키는 과정(계획적 진부화)에 쓰이는 것임
  • 이 흔한 변명을 반박하는 요소는 바로 ‘계약’이라는 합법적 장치임. 프로젝트 납품 이후에도 원하는 만큼 업데이트를 제공하도록 강제할 수 있음. 나도 엔터프라이즈 컨설팅에서 이런 계약을 꾸준히 해옴
  • Google이 마음만 먹으면 계약과 돈으로 얼마든지 해결할 수 있다고 생각함
• Apple 보안 공지에서 “특정 타깃을 겨냥한 고도화된 공격에 악용된 정황이 있다”고 쓰여 있음. 이런 식으로 과거 버전에 보안 패치를 해준다는 건, 해당 취약점이 굉장히 위험하다는 신호로 봐도 될지 궁금함. Apple의 보안 지원 기간 공식 기준이 궁금함
  • 이 말은 실제로 스파이웨어 캠페인(실전 공격)에서 악용된 사례가 있다는 의미임. 전체 익스플로잇 체인은 WhatsApp 쪽에서 두 번째 취약점을 활용했고, 이 취약점 자체는 Apple 기본 이미지 처리 모듈을 쓰는 모든 앱에 존재하지만, Apple의 샌드박스(iMessage는 BlastDoor, Safari는 웹 컨텐츠 샌드박스 등) 덕분에 추가 결함 없이 악용할 가능성은 낮음. 하지만 WhatsApp 자체에서 취약하다면 얘기가 다름. 스파이웨어 공격자 입장에서는 WhatsApp이 제일 좋은 타겟이기 때문임. 참고: WhatsApp 보안 권고
  • 한 가지 흥미로운 점은, 이번 패치가 iPadOS 분기 이전이어서 iPad도 업데이트 대상이 됐다는 점임. 추측이지만, 구형 iPad를 쓰는 POS 기기들이 공격 대상이었을 수도 있다고 생각함. 식당에서 POS 시스템을 바꾸는 것도 쉬운 일이 아니었음. POS 벤더가 바가지 씌우는 경우도 많음

  • Apple의 기본 보안 지원 기간은 어느 정도임?
    실제로는 지원 종료된 지 오래된 건 아님. iOS 15 마지막 보안 업데이트가 올해 초에 나왔고, iOS 16부터 iPhone 6s가 신규 OS 지원 대상에서 빠진 것도 불과 몇 년 전임. 나처럼 아이폰을 5년 이상 썼던 입장에선, 안드로이드보다 훨씬 오래 지원해주는 게 고맙게 느껴짐

  • 이런 백포트(구 버전 보안 패치)가 심각한 취약점임을 시사한다고 봐도 될까?
    나 역시 그렇게 추측 중임. 사용자 입장에선 통제 불가한 심각한 이슈(제로 클릭)를 의미하는 것으로 생각함. 물론 Apple 입장은 모르지만 같은 생각임

  • 정확한 공식 기간은 없음. 진짜 중요한 이슈라면 아주 옛날까지 업데이트를 내주는 경우도 있음. 예를 들어 예전엔 Square 터미널iPad를 위한 Apple CA 만료 업데이트도 거의 전 기기 대상으로 내줬었음. 아마도 지원 종료 시점을 정하는 데엔 Apple의 텔레메트리(기기 현황 분석)와 위협 모델이 반영되는 것 같음
• Apple이 구형 기기를 위한 보안 업데이트를 내놓는 점이 흥미로움. 더구나 이번엔 국가 수준(사이버 전쟁 등) 공격자에 대한 방어라는 점에서 특별함

  Apple은 특정 표적을 대상으로 한 매우 정교한 공격에 이 문제가 악용됐다는 보고를 인지하고 있음

  • 국가 차원의 공격 가능성이 있다면, 최신 OS가 설치된 새 폰을 쓰는 게 맞다고 생각함. 최신 폰을 쓰는 게 수십만 원 정도니, 본인이 정부 공격이 걱정된다면 5년 이내 출시 폰으로 쉽게 바꿀 수 있을 거라고 생각함. 충분히 가치 있음
  • 실제로는 공격 난이도, 국가 차원의 해킹 등이 대중적인 해킹 도구로 확산되기 전에 먼저 패치해서, 훨씬 많은 일반 사용자를 보호하기 위한 전략이라고 봄
• 기사 제목이 조금 오해의 소지가 있다고 생각함. 마치 iPhone 6s만 업데이트 대상처럼 보이지만, 실제로는 iPhone 6s/7/SE 1세대, iPad Air 2, iPad mini 4세대, iPod touch 7세대까지 모두 업데이트 가능함. “10년 된 iPhone 6s”라고만 강조할 문제가 아님. 참고로 내 보조 기기인 iPhone 7과 iPad mini는 탈옥(Jailbreak) 이슈가 있을까봐 당장 업데이트하진 않을 예정임
  • 아마도 기사에선 가장 오래된 기기만 대표적으로 지목한 것 같음. 그게 큰 문제는 아니라고 생각함
• 이 상황에선 누가 봐도 국가 수준 공격의 분위기가 많이 느껴짐
  • 단일 국가의 소행으로 추정함
• Apple이 핸드폰을 상당히 오래 지원해주는 건 사실임. 하지만 10년 지원이라는 건, iPhone 6s를 출시하자마자 비싸게 사서 썼을 때만 해당됨. iPhone 7(Plus)는 2019년까지 판매됐고, OS 버전도 같음. 심하게 보면 OS 업그레이드는 약 3년, 보안 패치는 6년 정도임
  • 제조사 판매 종료 시점으로 지원 기간을 따지면, 어떤 android 기기는 지원 연도가 마이너스(-)가 나올 수도 있음. 그리고 저 6년도 “아직까지도” 지원되고 있는 중임
• Apple이 업데이트를 내준 건 좋은 일임. 하지만 이게 원격 코드 실행(RCE)까지 가능하다면, 아직도 iPhone 6s가 많이 현역으로 쓰이고 있어서 악성 공격자가 대량 공격을 할 수도 있다는 뜻인지 궁금함
• “iOS 18.6.1 0-click RCE POC,” 50개 댓글, 관련 링크
  • 이전 스레드에서 언급 안 된 것 같은 WhatsApp 보안 권고도 같이 참고할 만함. 이번 익스플로잇은 WhatsApp의 이슈와 연계돼서, 악성 DNG 데이터를 “제로 클릭” 방식으로 WhatsApp에 불러들이는 구조 같음. 샌드박스 탈출이나 커널 취약점까지 연계됐는지는 확실치 않음. 아마도 WhatsApp 메시지 탈취 정도에 그쳤을 수도 있음. 보통 iOS 보안 우회는 여러 취약점을 체인으로 붙여야 하는데, 만약 이런 식으로 타깃 앱 자체에 취약점이 있으면 공격이 훨씬 쉬워짐