미국 당국은 FBI와 공동으로 아이폰 사용자들에게 메시징 플랫폼 iMessage를 겨냥한 스파이웨어 공격에 대한 경고를 발표했습니다. 사이버보안 및 인프라 보안국(CISA)은 아이폰과 안드로이드 사용자들에게 "종단 간 암호화된 통신만 사용"할 것을 권고했습니다.
CISA와 FBI는 월요일에 WhatsApp과 Signal 등 소셜 미디어 플랫폼에서 발생한 여러 건의 대규모 해킹 사건에 대응하여 경고를 발표했습니다
그러나 CISA의 경고에서는 iPhone 사용자의 기본 SMS 클라이언트인 Apple의 메시징 시스템인 iMessage에 대해 언급합니다. iMessage 자체는 Apple 기기 간에 종단 간 암호화를 사용하지만 Android 휴대폰으로 전송되는 문자 메시지는 완전히 암호화되지 않은 표준 SMS로 전송됩니다.
Android로 전송되는 iMessage 문자 메시지는 암호화가 부족하여 데이터 유출에 취약합니다.
미국의 iPhone 사용자들은 WhatsApp과 같은 다른 암호화된 메시징 앱보다 iMessage를 선호하는 것으로 알려져 있습니다. 2024년 중반에 발표된 보고서에 따르면, 미국 스마트폰 사용자의 절반 이상이 iPhone을 사용하고 있으며, iPhone 사용자 중 26%가 iMessage를 사용합니다. Meta CEO 마크 저커버그는 iMessage를 미국 시장에서 가장 큰 경쟁자로 보고 있습니다.
안드로이드 폰에는 Google이 종단 간 암호화를 위해 테스트한 RCS 프로토콜이 있지만 Apple은 유사한 보호 기능을 언제 구현할지 확인하지 않았습니다.
iMessage는 프런트엔드 플랫폼이자 iPhone의 유일한 SMS 클라이언트입니다. 법무부는 Apple의 "폐쇄형 네트워크(walled garden)" 생태계에 대한 보고서에서 iMessage를 강력히 비난했습니다. 법무부에 따르면, 대안이 부족하다는 것은 메시징 시스템이 공격받을 경우 모든 iPhone 사용자가 위험에 노출될 수 있음을 의미합니다.
CISA는 시그널과 왓츠앱을 표적으로 삼는 새로운 스파이웨어 공격에도 불구하고 "이것이 우리의 핵심 권고 사항입니다."라고 밝혔습니다. "아이폰과 안드로이드 기기 간에 문자 메시지를 사용하지 마십시오. 완전히 암호화되지 않았습니다."
작년에 FBI와 CISA는 중국 국가가 연계한 사이버 작전인 '솔트 타이푼'으로 인해 개인 대화와 문자 메시지에 접근한 사건과 관련하여 비슷한 경고를 내렸습니다.
워싱턴 포스트의 보도에 따르면, 상원 정보위원회 위원장인 마크 워너 상원의원은 이번 해킹 사건을 "미국 역사상 최악의 통신 해킹"이라고 불렀습니다.
"우리는 전 세계 통신업계의 부러움을 한 몸에 받고 있습니다. 저는 그 혁신을 늦추고 싶지 않습니다. 새롭고 강력한 규제를 도입하고 싶지도 않습니다. 이는 안전과 보안에 관한 문제여야 합니다."라고 상원의원은 WP에 말했습니다.
FBI와 다른 사이버 보안 담당자들은 미국인들에게 표준 문자 메시지를 피하고 Signal이나 WhatsApp으로 전환하여 외국 해커로부터 통신을 보호할 것을 요청했습니다.
CISA 사이버 보안 담당 부국장 제프 그린은 "저희가 내부적으로 전달한 내용은 여기서 새로운 것이 아닙니다. 문자 메시지든 암호화된 음성 통신이든 암호화는 여러분의 든든한 친구입니다. 설령 적대자가 데이터를 가로챌 수 있다 하더라도, 데이터가 암호화되어 있다면 해독이 불가능해집니다."라고 말했습니다.
WhatsApp 및 Android 기기도 취약점에 노출
애플의 문제와는 별개로, Cryptopolitan 월요일 CISA의 보고서에 포함된 왓츠앱과 안드로이드에 영향을 미치는 여러 취약점에 대해서도 보도했습니다. 11월 초, 비엔나 대학교 연구진은 발견된 결함을 이용해 단 30분 만에 3천만 개의 미국 전화번호를 수집했습니다.
연구 기간 동안 그들은 전 세계 35억 명의 사용자에 접근했습니다. 이 중 약 57%가 공개 프로필 사진을 보유하고 있었고, 연구원들은 계정의 29%에 대한 프로필 텍스트를 볼 수 있었습니다.
해당 기관이 조사 결과를 공유한 지 며칠 후, 사이버 보안 회사인 Unit 42는 보고했습니다 . 이 캠페인은 삼성의 이미지 처리 라이브러리인 libimagecodec.quram.so(CVE-2025-21042)의 제로데이 취약점을 이용해 WhatsApp을 통해 전송된 이미지를 통해 기기에 침투합니다.
Unit 42에 따르면, 이 악성코드는 2024년 중반부터 활동해 왔으며, 공격자는 사용자 상호 작용 없이도 기기 전체 감시를 수행할 수 있습니다. Android 악성코드는 iOS 이미지 샘플의 디지털 네거티브(DNG) 파일에도 숨겨져 있는 것으로 밝혀졌습니다.
Unit42의 조사 결과에 인용된 몇몇 사용자는 "IMG-20240723-WA0000.jpg"와 같이 WhatsApp 업로드로 태그된 파일 이름을 보았다고 보고했으며, 이 파일 이름은 2024년 7월부터 2025년 초 사이에 모로코, 이란, 이라크, 터키 등의 지역에서 trac되었습니다.
또 다른 취약점인 CVE-2025-12725는 Google Chrome의 그래픽 처리 구성 요소인 WebGPU의 범위를 벗어난 쓰기 오류로, LANDFALL과 함께 악용되었습니다.
