애플의 iMessage 취약점, 기자들을 겨냥한 파라곤 스파이웨어에 의해 악용됨

새롭게 공개된 애플의 iMessage 플랫폼의 제로 클릭 취약점이 이스라엘 회사 파라곤 솔루션이 제작한 고급 스파이웨어를 사용하여 유럽의 기자들을 감시하는 데 악용되었습니다.

두 명의 기자가 표적이 됨

토론토 대학교의 디지털 권리 감시 단체인 시민 연구소(Citizen Lab)는 이탈리아 출판사 Fanpage.it의 시로 펠레그리노(Ciro Pellegrino)와 익명의 “저명한 유럽 기자”를 포함한 최소 두 명의 기자의 iPhone이 2025년 초에 파라곤의 그래파이트(Graphite) 스파이웨어에 감염되었다는 포렌식 증거를 확인했습니다.

“우리의 포렌식 분석 결과, 기자 중 한 명의 장치가 2025년 1월과 2월 초에 iOS 18.2.1을 실행하는 동안 파라곤의 그래파이트 스파이웨어에 의해 침해되었다고 결론지었습니다.”라고 시민 연구소가 목요일에 발표한 보고서에 적혀 있습니다.

“우리는 장치의 로그가 해당 기간 동안 우리의 공개된 지문 P1과 일치하는 서버에 일련의 요청을 보냈음을 나타내기 때문에 그래파이트에 의한 침해를 높은 확신으로 귀속시킵니다.”

이전 공격에서 확인된 동일한 iMessage 계정이 펠레그리노의 장치 로그에서 발견되었으며, “우리는 이를 그래파이트 제로 클릭 감염 시도와 연관시킵니다.”

용병 스파이웨어 공급업체는 일반적으로 각 고객에게 전용 인프라를 할당하므로, 이 계정은 “단일 그래파이트 고객/운영자에 의해 독점적으로 사용되며, 우리는 이 고객이 두 개인을 모두 표적으로 삼았다고 결론지었습니다.”라고 보고서는 덧붙였습니다.

애플은 2025년 4월 29일 두 피해자와 선택된 iOS 사용자에게 “고급 스파이웨어”에 의해 장치가 표적이 되었다고 경고했습니다. 이제 패치된 제로 데이 iMessage 취약점인 CVE-2025-43200은 스파이웨어가 사용자 상호작용 없이 iPhone을 감염시킬 수 있게 했습니다.

그래파이트란 무엇인가?

그래파이트는 이스라엘 사이버 정보 회사인 파라곤 솔루션이 제작한 고급 감시 도구입니다. 이 도구는 정부 고객이 원격으로 표적 장치에 접근하여 메시지, 이메일, 사진, 위치 데이터 및 심지어 마이크나 카메라에 대한 실시간 접근을 포함한 데이터를 검색할 수 있게 합니다.

공격 방식

공격자는 연구 문서에서 ‘ATTACKER1’로 레이블이 붙은 일반 iMessage 계정을 사용하여 iCloud 링크를 통해 공유된 악의적으로 제작된 사진이나 비디오를 처리하는 iOS의 논리적 결함을 악용하는 특별히 제작된 메시지를 전달했습니다. 이 악용은 iOS 18.2.1 및 이전 버전을 실행하는 장치에 영향을 미쳤습니다.

이 공격은 제로 클릭 악용으로 알려져 있으며, 피해자의 아무런 행동도 필요하지 않았습니다—클릭도, 다운로드도 필요하지 않았으며—전화기에 거의 보이지 않는 흔적을 남겼습니다. 스파이웨어가 활성화되면 https://46.183.184[.]91에 있는 명령 및 제어 서버에 연결되어 메시지, 이메일, 사진, 위치, 마이크, 카메라 등에 비밀리에 접근했습니다.

애플은 2025년 2월 10일 iOS 18.3.1, iPadOS 18.3.1, iPadOS 17.7.5, macOS 세쿼이아 15.3.1, macOS 소노마 14.7.4, macOS 벤투라 13.7.4, watchOS 11.3.1 및 visionOS 2.3.1의 일환으로 이 문제를 조용히 해결했습니다. 그러나 이 제로 데이 악용의 사용은 시민 연구소의 조사 이후인 6월에 공개적으로 밝혀졌습니다.

현재 업데이트된 권고에서 아이폰 제조사는 이 결함을 “iCloud 링크를 통해 공유된 악의적으로 제작된 사진이나 비디오를 처리할 때 논리적 문제가 존재했다”고 설명하며, 이 취약점은 향상된 입력 검증을 통해 해결되었다고 언급했습니다.

회사는 또한 이 취약점이 “특정 표적 개인에 대한 매우 정교한 공격에서 악용되었을 수 있다는 보고서를 알고 있다”고 인정했습니다.

스파이웨어 위기로 인해 유럽 기자들이 위험에 처함

시민 연구소가 보고서를 발표했을 당시, 세 명의 유럽 기자가 파라곤의 그래파이트 스파이웨어의 표적이 된 것으로 확인되었습니다—두 명은 포렌식 증거를 통해, 한 명은 메타의 알림을 통해 확인되었습니다. 한 사례는 이탈리아 매체 Fanpage.it와 관련이 있으며, 공격의 배후에 누가 있는지와 법적 정당성이 존재하는지에 대한 긴급한 질문을 제기합니다.

“이 스파이웨어 표적에게 제공되는 책임의 부족은 유럽의 기자들이 이 매우 침해적인 디지털 위협에 계속 노출되고 있음을 강조하며, 스파이웨어의 확산과 남용의 위험성을 부각시킵니다.”라고 보고서는 결론지었습니다.