침해사고/위협동향

아이폰도 뚫렸는데 샤오미 폰은 못 뚫었다? 이상한 中 해킹대회

이종현
[디지털데일리 이종현기자] 유명 소프트웨어(SW)의 보안을 뚫어내는 중국 해킹대회서 ‘아이폰13 프로’에 대한 해킹은 성공했으나 ‘샤오미 Mi 11’은 해킹되지 않아 의구심을 자아냈다.

지난 16일부터 17일까지 중국 쓰촨성 청두시에서 열린 해킹대회 ‘톈푸(Tainfu) 2021’서 애플 아이폰의 최신 운영체제(OS) iOS 15.0.2 버전의 해킹 시연이 이뤄졌다. 대회에 참여한 쿤룬(Kunlun) 연구소 팀은 15초 만에 최신 버전의 아이폰13 프로의 보안을 뚫어냈다.

대회에서는 아이폰뿐만 아니라 마이크로소프트(MS)의 ‘윈도10’, 구글 ‘크롬’, 애플 ‘사파리’, 어도비 ‘PDF’, 리눅스 ‘우분투 20/센트OS 8’, MS ‘익스체인지 서버 2019’, VM웨어 ‘워크스테이션’ 등도 해킹됐다.

지난 7월 대회 주최측이 지목한 16개 공격대상을 대회 참가팀이 해킹하는 방식으로, 총 13개의 제품이 해킹됐다. 대부분의 해킹은 권한상승 및 원격실행 취약점을 이용했다. 아이폰13 프로를 최단시간(15초) 만에 해킹하는 등, 중국 해커팀의 실력을 보여주는 대회였다는 것이 보안 전문가들의 분석이다.

다만 공격 대상으로 지목된 16개 제품 중 중국 기업 제품은 해킹되지 않아 석연치 않다는 평가도 나온다. 16개 공격 대상 중 중국 제품은 ‘샤오미 Mi 11’과 브랜드가 공개되지 않은 중국 신에너지 자동차다.

아이폰13 프로나 MS 윈도 등을 뚫어낸 실력자들이 샤오미의 스마트폰 Mi 11은 해킹하지 못했다는 것이 납득되지 않는다는 의견이다. 자동차의 경우 ‘자세한 내용은 당사에 문의하라’고만 안내됐다.

해당 건에 대해 국내 보안 전문가는 “충분히 이상하게 볼 만하다”며 “자국 기업의 제품을 공격한다는 게 부담이 됐을 수 있으리라 본다”는 의견을 내비쳤다.

그는 자동차 기업이 해킹되지 않은 데 대해서는 알려지지 않은 제품이기에 오히려 취약점을 찾아내기 번거로웠을 수 있다고 전했다.

또 해킹된 제품이 보안 수준이 낮고, 해킹되지 않은 제품은 보안 수준이 높다고 평가하는 것은 섣부른 판단이라고 밝혔다. 대부분의 SW에는 취약점이 있고, 그 취약점을 보완해나가는 것이 보안의 기본 원칙이라는 설명이다.

중국 기업 제품 2개와 함께 공격 대상에 올랐음에도 해킹되지 않은 것은 대만 네트워크 스토리지(NAS) 기업 시놀로지의 NAS ‘DS220j’가 유일하다. 다른 대만 기업 에이수스(ASUS)의 라우터 ‘AX56U 핫 블러드 에디션’은 해킹됐다.

한편 리투아니아 국가사이버보안센터(NCSC)는 지난 9월 샤오미의 ‘Mi 10T’에 심각한 문제점이 발견됐다고 공개했다. 기본 브라우저로 탑재된 ‘Mi 브라우저’가 과도한 데이터를 수집하고 사용자 개인정보를 남용한다는 지적이다.

유럽용 샤오미 Mi 10T 제품에는 ‘자유 티벳(Free Tibet) 등 449개 용어를 금칙어로 설정하는 SW가 탑재된 것으로 알려졌다. 유럽용 제품에는 해당 SW가 활성화되지 않았지만 원격에서 활성화할 수 있도록 설계됐다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널