경고: 위험한 취약점이 iOS 운영체제를 공격합니다.

이스라엘에 본사를 둔 사이버 보안 및 테스트 회사인 EVA Information Security는 Swift 및 Objective-C로 작성된 소프트웨어 프로젝트에서 널리 사용되는 종속성 관리자인 Cocoapods에서 취약점을 발견했습니다.

의존성 관리자는 소프트웨어 개발에서 매우 중요한 도구로, 소프트웨어 패키지의 유효성 검사 및 암호화 서명을 가능하게 합니다. 따라서 이러한 도구에 문제가 발생하면 소프트웨어 또는 웹사이트의 여러 부분에 부정적인 영향을 미칠 수 있습니다.

EVA 정보 보안에 따르면, 이 문제는 2014년부터 존재했을 가능성이 있으며, 코코아팟(Cocoapods) 서버 이전 과정에서 발생한 부주의로 인해 수천 개의 소프트웨어 라이브러리 패키지가 원래 소스 코드를 잃어버리고 추적 불가능하게 된 것이 원인일 수 있습니다. 이러한 취약점을 이용해 공격자는 원래 소스 코드를 악성 코드로 바꿔치기할 수 있었습니다.

회사 관계자는 "시스템 보안 결함으로 인해 이러한 패키지는 악의적인 공격자에게 탈취되어 개발자용 소프트웨어 개발 도구에 악성코드를 주입하는 데 사용될 수 있었습니다. 오랫동안 탐지되지 않았기 때문에 수천 개의 애플리케이션과 수백만 대의 기기가 수년에 걸쳐 위험에 노출되었을 가능성이 있습니다."라고 밝혔습니다.

많은 애플리케이션이 신용카드 정보, 의료 기록, 개인 문서와 같은 민감한 사용자 정보에 접근할 수 있기 때문에 해커는 취약점을 악용하여 랜섬웨어 또는 기타 악성 프로그램을 설치하고 이러한 정보를 수집할 수 있습니다.

EVA 정보 보안은 TikTok, Snapchat, LinkedIn, Netflix, Microsoft Teams, Facebook, Messenger 등 인기 있는 iOS 및 macOS 애플리케이션 대부분이 Swift와 Objective-C로 코딩되어 있다는 점에서 Apple이 "혼란의 중심에 있다"고 주장합니다.

따라서 이러한 플랫폼의 수천 개의 애플리케이션이 영향을 받을 수 있습니다. 모바일 앱 생태계에 대한 공격은 대부분의 Apple 기기를 감염시켜 수많은 조직을 재정적으로나 평판 측면에서 취약하게 만들 수 있습니다.

보도에 따르면 코코아포드(Cocoapods)에서 이러한 취약점을 패치했지만, 거의 10년 동안 발견되지 않았다는 사실은 우려스럽습니다. EVA 정보 보안은 개발자들에게 제품 소스 코드를 검토하여 소프트웨어가 이러한 결함의 영향을 받는지 확인할 것을 권고합니다.

애플은 아직 이 소식에 대해 아무런 언급도 하지 않았습니다.