iOS 26 업데이트로 Pegasus 및 Predator 스파이웨어의 주요 IOC가 제거됨

 (iverify.io)
1P by GN⁺ 9일전 | ★ favorite | 댓글 1개
  • 최신 iOS 26 업데이트에서 shutdown.log 파일 처리 방식이 변경되어, Pegasus와 Predator 스파이웨어 감염 흔적이 삭제되는 현상 발생
  • 기존에는 shutdown.log가 iOS 악성코드 탐지의 핵심 포렌식 증거로 활용되어 왔으나, 새 버전에서는 재부팅 시 로그가 덮어쓰기됨
  • Pegasus는 과거부터 로그 삭제 및 은폐 기법을 지속적으로 발전시켜 왔으며, Predator 역시 유사한 흔적을 남긴 것으로 분석됨
  • 이번 변경으로 인해 보안 연구자와 포렌식 조사자들이 감염 여부를 확인하기 어려워지는 문제가 제기됨
  • 스파이웨어 공격이 증가하는 시점에서, Apple의 로그 처리 정책이 보안 투명성에 미치는 영향이 크다는 점이 주목됨

shutdown.log의 역할과 중요성

  • shutdown.log 파일은 iOS 기기의 종료 과정에서 발생하는 이벤트를 기록하는 로그로, 악성코드 탐지에 중요한 단서 제공
    • 위치는 Sysdiagnose 폴더 내 system_logs.logarchive → Extra → shutdown.log 경로
    • 수년간 iOS 악성코드 분석에서 간과되었지만, 실제로는 감염 흔적을 남기는 ‘조용한 증인’ 역할을 수행
  • 2021년 공개된 Pegasus 스파이웨어 버전이 이 로그에 명확한 감염 흔적(Indicator of Compromise, IOC) 을 남긴 사례 존재
    • 이를 통해 보안 연구자들이 감염된 기기를 식별할 수 있었음
    • 이후 Pegasus 개발사인 NSO Group은 탐지를 회피하기 위해 지속적으로 기술을 개선

Pegasus의 진화된 회피 전략

  • 2022년경 Pegasus는 shutdown.log 자체를 완전히 삭제하는 방식으로 흔적을 감추기 시작
    • 그러나 삭제 과정에서도 미세한 흔적이 남아, 오히려 ‘비정상적으로 깨끗한 로그’가 감염의 단서로 활용됨
    • 여러 사례에서 이러한 패턴이 발견되어, 로그 삭제 자체가 감염 지표로 간주됨
  • 이후 Pegasus는 기기 종료를 실시간 감시하며 로그를 완전 삭제하는 메커니즘을 도입한 것으로 추정
    • 연구자들은 감염된 것으로 알려진 기기에서 shutdown.log가 비어 있거나 다른 IOC와 함께 제거된 사례를 다수 확인
    • 결과적으로 비정상적으로 초기화된 로그 파일이 의심 기기 식별의 휴리스틱 지표로 사용됨

Predator 스파이웨어의 유사한 흔적

  • 2023년에 관찰된 Predator 스파이웨어 역시 Pegasus의 사례를 학습한 것으로 보임
    • Predator는 shutdown.log를 모니터링하며 자체 흔적을 남기는 행위를 수행
    • Pegasus와 유사한 로그 패턴이 발견되어, 두 스파이웨어 간 기술적 유사성이 지적됨

iOS 26의 변경 사항과 영향

  • iOS 26에서는 shutdown.log가 재부팅 시마다 덮어쓰기(overwrite) 되는 방식으로 변경
    • 이전 버전에서는 각 종료 시점의 로그가 누적(append)되어, 과거 기록이 보존되는 형태였음
    • 이제는 기기를 재시작할 때마다 기존 로그가 완전히 지워지고 새 로그로 대체됨
  • 이 변화로 인해 기존 Pegasus 및 Predator 감염 증거가 자동으로 삭제되는 결과 초래
    • Apple이 이를 의도한 설계인지, 혹은 버그인지 명확하지 않음
    • 시스템 위생이나 성능 개선 목적일 수 있으나, 포렌식 분석에 치명적인 영향을 미침
  • 최근 고위 임원, 유명인 등도 스파이웨어 공격 대상이 되고 있어, 이 시점의 로그 삭제는 보안 커뮤니티에 큰 우려를 불러일으킴

iOS 26 이전 버전에서의 Pegasus 2022 IOC

  • iOS 26 이전 버전에서는 Pegasus 2022 감염의 특정 IOC가 확인됨
    • /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking 경로가 shutdown.log 내에 존재할 경우 감염 가능성 높음
    • NSO Group은 탐지를 피하기 위해 일반 시스템 프로세스명으로 위장하는 전략을 사용
    • 이로 인해 기존의 명시적 프로세스명 기반 탐지가 어려워짐

iOS 18 이하 버전에서의 로그 상관 분석

  • iOS 18 이하에서는 containermanagerd 로그와 shutdown.log를 비교 분석하는 방식으로 감염 여부 판단 가능
    • containermanagerd 로그는 부팅 이벤트를 기록하며 수 주간 데이터 보존
    • 두 로그 간의 불일치(예: 부팅 이벤트는 많지만 종료 로그가 적은 경우)는 의도적 은폐 가능성을 시사
    • 이를 통해 스파이웨어의 활동 흔적을 간접적으로 추적할 수 있었음

업데이트 전 권장 조치

  • iOS 26 업데이트 전 다음 조치를 취할 것을 권장
    • 즉시 Sysdiagnose를 생성 및 저장하여 현재 shutdown.log와 관련 증거를 보존
    • Apple이 로그 덮어쓰기 문제를 수정하기 전까지 업데이트를 보류하는 것이 바람직
  • 이러한 조치는 감염 증거의 영구 손실을 방지하고, 향후 포렌식 분석을 위한 데이터를 확보하는 데 필수적임
GN⁺ 9일전  [-]
Hacker News 의견

  • 기사에서 IOC가 무엇인지 정의하지 않아 혼란스러웠음
    IOC는 Indicators Of Compromise의 약어임. 기사에서는 한 번 풀어 썼지만 괄호 없이 지나감. 혹시 나처럼 모르는 사람이 있을까 봐 공유함

    • 고마움. 내가 아는 IOC는 국제올림픽위원회뿐이었음
    • 미군에서는 IOC를 Initial Operational Capability로 씀. FOC(Full Operational Capability)와 구분됨. 용어 설명 링크 참고
    • 약어나 두문자어는 명확히 정의되지 않으면 비효율적이고, 아는 사람과 모르는 사람 사이에 벽을 만듦
      예전에 Facebook에서 “ISO”가 “in search of” 의미로 쓰이기 시작했을 때 정말 싫었음. 국제표준화기구 ISO와 혼동되기 때문임.
      우리 회사에서는 일반인도 의미를 짐작할 수 있고, 다른 의미로 오해되지 않는 약어만 쓰도록 규정함
    • TLA(three-letter acronym) 남용을 없애자는 의미로 “Help stamp out TLAs”라는 농담을 던짐. 관련 ASS.md 링크도 공유함
    • 세 글자 약어(TLA)는 가능한 조합이 17,576개뿐임

  • Apple이 스스로를 프라이버시 기업이라 포지셔닝했던 건 결국 브랜드 마케팅에 불과했음
    ICE가 Paragon과 계약해 제로클릭 스파이웨어를 쓰는 와중에, Apple은 국가 주도의 감시를 탐지할 수 있는 핵심 포렌식 흔적을 지워버림. Cook의 금·현금 로비까지 포함해, 빅테크 중에서도 바닥 경쟁을 하는 중임

    • 10년 전 Apple에서 일했을 때는 내부 분위기가 그런 식은 아니었음. 이런 변화가 생겼다면 최근의 일일 가능성이 큼.
      아마 버그일 가능성이 높고, 정부 요청으로 늦게 추가된 기능일 리는 거의 없음. 과거 FBI와의 San Bernardino 사건에서도 Apple은 협조하지 않았음
    • Apple이 앞으로도 스파이웨어 업체들에 맞서 iPhone 보안 강화에 실패할 거라 봄
    • Apple이 버그 바운티와 SDR 프로그램을 운영하긴 하지만, 이게 진정한 신념인지 단순히 브랜드 손상 방지인지 의문임.
      더 할 수는 있지만, 어떤 기업도 정치적 압력에는 완전히 맞서기 어려움
    • Apple은 처음부터 기만적 마케팅에 능했음. 허위의 친환경, 수리 불가 정책, 거짓된 프라이버시 약속 등.
      진짜 보안이 필요하다면 GrapheneOS가 훨씬 신뢰할 만함

  • 대규모 시스템에서는 작은 수정도 누군가에게는 문제가 됨
    Apple이 iVerify 커뮤니티를 달래기 위해 기능을 되돌릴 수도 있지만, 장기적으로는 스파이웨어가 더 교묘히 숨게 될 것임.
    이제는 단순한 포렌식 아티팩트를 넘어서는 전략이 필요함

    • Pegasus와 Predator 같은 iOS 취약점이 널리 알려졌는데, Apple이 이런 탐지 방식을 통제하지 않는 건 짧은 시야임.
      “iPhone은 안전하다”는 믿음이 결국 블랙박스 신뢰에 불과함. iOS26에서 버그가 계속 발견되는데, 보안 기능은 과연 예외일까?
    • xkcd 1172xkcd 1053을 인용하며, 이런 상황을 풍자적으로 언급함

  • IOC는 shutdown 로그를 기반으로 함
    iOS 26에서는 부팅 시마다 shutdown.log가 새로 덮어써져 이전 기록이 사라짐.
    이로 인해 Pegasus나 Predator 감염 흔적이 완전히 지워지는 결과를 초래함

  • Apple이 shutdown 로그를 지우는 건 공격자가 충돌 조건이나 기기 동작을 분석하지 못하게 하려는 보안 조치일 수도 있음
    하지만 프라이버시를 진지하게 생각한다면, 사용자가 자신의 기기를 깊이 들여다볼 권한도 있어야 함

    • 연구 단계의 공격자는 어차피 루팅해서 더 많은 정보를 얻을 수 있음.
      결국 이런 조치는 일반 사용자만 제한하는 셈임
    • 기기를 소유한다고 해서 제조사가 원하는 기능을 반드시 제공해야 하는 건 아님
    • shutdown 로그 접근 권한보다 실행 중인 프로세스 확인 권한이 더 제한적임.
      Apple은 늘 프라이버시를 명분으로 통제 강화를 정당화함

  • iOS 26 베타에는 이런 변경이 없었음. 곧 수정되길 바람
    YouTube 영상에서 설명하듯, shutdown.log는 실행 중인 프로세스 목록을 기록해 IOC 탐지에 유용했음.
    보안을 중시한다면 매일 재부팅하라는 조언도 있음

  • Apple 내부 누군가가 이스라엘 해커들을 위해 일부러 취약점을 남겨둔다고 의심해왔음

    • 가능성은 있지만, iPhone은 Apple의 핵심 제품이라 그런 결정은 치명적 손실을 초래할 것임.
      미국 내에서는 금세 잊히겠지만, 아시아·유럽 시장에서는 신뢰를 잃을 것임.
      오히려 정부가 Apple 내부 개발자를 압박하거나 포섭했을 가능성이 더 현실적임
    • 차라리 탈옥(jailbreak) 을 위해 취약점을 남겨두는 거라면 좋겠음
    • 이스라엘이 연루되면 모든 R&D 조직이 음모집단처럼 보이는 현상이 흥미로움 /s

  • 기사 작성자들도 Apple이 의도적으로 스파이웨어 탐지를 막으려 했다고는 보지 않음
    iOS 26 업데이트를 잠시 미루고 Apple이 수정할 때까지 기다리라고 권함

    • 하지만 대부분의 사용자에게는 IOC보다 일반 버그 수정이 훨씬 중요함.
      자신이 국가급 타깃이 아니라면 업데이트를 미루는 건 비합리적

  • 좋은 기사라면 본문 앞에 용어와 약어 목록을 제공해야 함.
    그런 게 없다면 읽을 가치가 없음

  • iPhone 포렌식이 백업 아카이브를 통해서만 가능하다는 게 말도 안 된다고 생각함
    macOS처럼 시스템 확장(EL1+) 을 허용해 보안 모니터링을 가능하게 해야 함

    • 보안 연구자로서, 그런 기능은 오히려 스파이웨어 업체에게 선물이 될 것임.
      높은 권한 접근은 위험함
    • 전체 메모리 덤프를 포함하면 루팅 취약점을 찾기 쉬워지므로 Apple이 절대 허용하지 않을 것임
    • iVerify 직원이 CCC에서 발표한 내용 중, macOS처럼 iOS에도 EDR 메커니즘을 노출해야 한다는 제안이 있었음
    • 메모리 내 익스플로잇을 건드리려는 시도 자체가 불필요한 위험임 /s
답변달기