테크레시피

카스퍼스키, 아이폰 취약점 발견했는데…보상금 거부?

2023년 러시아에 본사를 둔 보안 기업 카스퍼스키가 아이폰 취약점인 오퍼레이션 트라이앵귤레이션(Operation Triangulation)을 발견했다. 애플은 카스퍼스키 보고를 받고 취약점을 수정했지만 아직까지도 취약점 발견에 대한 보상금이 지급되지 않은 것으로 밝혀졌다.

카스퍼스키는 2023년 6월 iOS에 존재하는 취약점인 오퍼레이션 트라이앵귤레이션을 발견했다고 공개했다. 오퍼레이션 트라이앵귤레이션은 공격 대상에게 아이메시지를 보내기만 하면 아이폰 마이크와 카메라로 녹화한 기밀 데이터에 접근할 수 있다는 것으로 카스퍼스키는 2023년 11월과 2024년 1월에도 후속 보고서를 발표하며 위험성을 알렸다.

애플은 2023년 6월 오퍼레이션 트라이앵귤레이션을 수정하는 업데이트를 출시했다. 업데이트 릴리스노트에는 카스퍼스키 연구원 이름이 기재되어 있어 애플도 카스퍼스키 측 공로를 인정했다.

애플은 취약점 보고자에게 위험 수준에 따라 보상금을 지급하는 프로그램을 운영 중이다. 보상금 페이지에 따르면 오퍼레이션 트라이앵귤레이션처럼 사용자 개입 없이 공격이 가능한 취약점에는 최대 100만 달러 보상금이 지급된다고 명시되어 있다. 하지만 애플은 내부 정책을 이유로 카스퍼스키에 대한 지급을 거부하고 있다.

애플이 카스퍼스키에 대한 지급을 거부하는 구체적인 이유는 불명확하다. 한편 미국 연방통신위원회(FCC)는 러시아의 우크라이나 침공 직후인 2022년 3월 카스퍼스키를 국가 안보와 미국인 안전에 용인할 수 없는 위협을 가할 수 있는 대상 기기/서비스 목록에 추가했다. 이에 카스퍼스키는 자사는 민간 기업이며 러시아를 비롯한 어떤 정부와도 관계가 없다는 성명을 발표하며 FCC 결정을 비난했다.

또 카스퍼스키 측 관계자에 따르면 카스퍼스키는 2023년부터 업무용 단말기로 아이폰 대신 안드로이드 스마트폰을 배포하고 있다고 한다. 안드로이드 스마트폰을 채택한 이유에 대해 안드로이드에서는 보안 요소를 세밀하게 관리할 수 있어 사이버 공격 대응이 용이하다고 설명하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독