애플도 못 고치는 아이폰 취약점이 나왔다

요즘 스마트폰 보안 이야기를 하면 대부분 "업데이트만 잘하면 된다"는 말을 많이 해. 실제로 애플은 오랫동안 보안 업데이트를 꾸준히 제공하면서 아이폰의 가장 큰 강점 중 하나를 만들어 왔어. 그런데 이번에 공개된 A12·A13 칩 취약점은 조금 다른 이야기야.

업데이트로 고칠 수 없는 취약점. 심지어 애플조차 패치할 수 없는 취약점.

이번 사건은 단순한 보안 뉴스가 아니라 "스마트폰 수명은 과연 어디까지인가"라는 질문을 다시 던지고 있어.

 

애플도 손댈 수 없는 취약점

최근 보안업체 Paradigm Shift가 'usbliter8'이라는 새로운 취약점을 공개했어. 문제는 위치야.

일반적인 취약점은 iOS나 앱에서 발견돼. 그래서 애플이 업데이트를 배포하면 해결할 수 있어. 그런데 이번 취약점은 칩 내부의 Boot ROM(SecureROM)에서 발견됐어. Boot ROM은 아이폰이 켜질 때 가장 먼저 실행되는 영역이야. 쉽게 말하면 집의 기초 공사 같은 존재야. 벽지가 뜯어진 건 다시 바를 수 있지만 기초 콘크리트가 잘못된 건 집을 새로 지어야 하는 것과 비슷해. Boot ROM도 마찬가지야.

칩 생산 과정에서 새겨지는 영역이라 출고 이후에는 수정이 불가능해. 그래서 이번 취약점에는 "언패처블(Unpatchable)"이라는 이름이 붙었어. 말 그대로 패치가 불가능하다는 뜻이야.

 

[Source: ChatGPT 생성]

 

어떤 아이폰이 영향을 받을까

영향을 받는 기기는 생각보다 많아.

• iPhone XS
• iPhone XS Max
• iPhone XR
• iPhone 11
• iPhone 11 Pro
• iPhone 11 Pro Max
• iPhone SE 2세대

여기에 같은 계열 칩을 사용하는 일부 iPad와 Apple Watch도 포함돼. 놀라운 점은 아직도 현역으로 사용하는 사람이 상당히 많다는 거야.

특히 기업 업무용 단말기나 공공기관 지급 단말기 가운데는 여전히 iPhone 11 계열이 적지 않게 운영되고 있어.

 

당장 위험한 걸까?

다행히 인터넷만 연결됐다고 해킹되는 수준은 아니야. 공격자는 반드시 기기에 직접 접근해야 해.

USB 연결이 필요하고 특정 조건도 충족해야 해. 그래서 일반 사용자 입장에서는 원격 해킹처럼 무서운 상황은 아니야.

하지만 문제는 다른 곳에 있어. 만약 누군가 내 스마트폰을 일정 시간 확보할 수 있다면 이야기가 달라져.

예를 들어 공항 검색대, 국경 통과 과정, 분실 또는 도난, 내부 직원에 의한 접근, 압수 수색 같은 상황에서는 위험도가 높아질 수 있어.

즉, 불특정 다수를 노리는 공격보다는 특정 인물을 노리는 타깃형 공격에 더 적합한 취약점이라는 의미야.

 

탈옥보다 무서운 건 포렌식

언론에서는 이번 취약점을 "새로운 탈옥 통로"라고 표현하고 있어. 물론 맞는 말이야. Boot ROM 수준에서 보안을 우회할 수 있다면 탈옥도 가능해질 수 있으니까. 하지만 진짜 관심을 가질 사람들은 탈옥 사용자들이 아닐 가능성이 높아.

오히려 국가기관, 수사기관, 포렌식 업체, 정보기관, 산업 스파이 조직 이 더 큰 관심을 가질 수 있어.

왜냐하면 이 기술은 잠긴 기기에서 데이터를 추출하는 데 활용될 가능성이 있기 때문이야.

결국 이번 사건은 "탈옥 가능"보다 "포렌식 가능"에 더 가까운 뉴스라고 볼 수 있어.

 

스마트폰 수명에 대한 새로운 기준

이번 사건이 던지는 가장 큰 메시지는 따로 있어. 지금까지 우리는 스마트폰 수명을 이렇게 판단했어.

• 배터리가 괜찮은가
• 업데이트가 지원되는가
• 성능이 충분한가

그런데 이제는 여기에 하나가 추가될 수 있어. 칩 자체가 안전한가 이라는 질문이야.

OS는 최신인데 칩이 안전하지 않다면 어떻게 될까? 이번 사례는 바로 그 상황을 보여주고 있어.

즉, 앞으로는 운영체제 지원 기간만이 아니라 하드웨어 보안 수명도 중요한 평가 기준이 될 수 있다는 뜻이야.

 

기업 입장에서는 더 심각하다

개인 사용자보다 더 고민이 큰 곳은 기업과 기관이야. 회사에서 수백 대의 아이폰을 운영한다고 생각해 보자.

그동안은 MDM을 적용하고 최신 iOS만 유지하면 어느 정도 보안이 확보됐다고 생각했어.

그런데 이제는 하드웨어 자체가 취약한 자산이 될 수 있어. 결국 기업은 앞으로 디바이스 관리 정책에 이런 내용을 추가해야 해.

• 취약 칩셋 식별
• 교체 주기 설정
• 업무용 기기 수명 관리
• 보안 등급별 기기 운영

예전에는 노트북만 자산 관리 대상이었다면 이제는 스마트폰도 사실상 보안 인프라로 관리해야 하는 시대가 된 거야.

 

규제와 컴플라이언스도 바뀔 수 있다

이번 사건은 보안 담당자들에게도 중요한 신호야. ISMS, ISO 27001, GDPR 같은 보안 체계에서는 위험 자산 관리가 매우 중요해.

만약 조직이 이미 알려진 하드웨어 취약 기기를 계속 사용하고 있다면 감사 과정에서 문제로 지적될 수도 있어.

특히 금융권, 의료기관, 공공기관, 방산업체, 연구기관 처럼 민감한 데이터를 다루는 조직은 교체 정책을 검토할 가능성이 높아.

결국 "디바이스 교체"가 단순한 IT 예산 문제가 아니라 컴플라이언스 이슈가 되는 시대가 오고 있는 거야.

 

애플에게 남겨진 숙제

이번 사건으로 애플은 중요한 질문을 받게 됐어. "소프트웨어 업데이트만으로 충분한가?"

그동안 애플은 긴 업데이트 지원 기간을 강점으로 내세웠어. 그런데 Boot ROM 수준의 취약점은 그 전략이 통하지 않아.

결국 앞으로는 USB 보안 구조 강화, SecureROM 설계 개선, 하드웨어 신뢰 체계 강화 같은 부분이 더 중요해질 가능성이 높아.

AI 기능 경쟁도 중요하지만, 사용자가 가장 오래 체감하는 건 결국 보안이니까.

 

 

이번 usbliter8 사건은 단순한 아이폰 해킹 뉴스가 아니야.

"업데이트만 하면 안전하다"는 상식을 흔든 사건이야.

특히 기업과 기관 입장에서는 이제 운영체제 버전만 볼 게 아니라 칩 세대까지 관리해야 하는 시대가 됐어.

AI 시대에는 데이터가 가장 중요한 자산이라고 말해.

그렇다면 데이터를 담고 있는 기기의 수명도 단순히 배터리와 성능으로 결정될 수 없겠지.

이번 사건은 앞으로의 디지털 자산 관리가 "소프트웨어 관리"에서 "하드웨어 신뢰 관리"로 확장되고 있다는 걸 보여주는 대표적인 사례로 남을 것 같아.

 

내 생각

예전에는 스마트폰을 오래 쓰는 게 합리적인 소비였어. 그런데 앞으로는 보안 때문에 기기 교체를 고민해야 하는 시대가 올 수도 있겠다는 생각이 들어. AI와 클라우드 시대가 될수록 스마트폰은 단순한 전화기가 아니라 개인 데이터 금고가 되고 있으니까 말이야.