"쥐도 새도 모르게 당한다"…제로 클릭 공격이란?

[IT동아 권택경 기자] 악성 코드나 해킹 피해를 방지하려면 수상한 링크나 첨부파일을 클릭하지 말라는 말을 하곤 한다. 하지만 이런 보안 상식이 통하지 않는 사이버 공격도 있다. 바로 ‘제로 클릭 공격’이다.

제로 클릭 공격은 이용자가 링크나 첨부파일을 누른 것과 같은 상호작용을 하지 않아도 기기에 침투할 수 있는 공격이다. 메시지나 이메일에 악성코드를 심어 기기 제조사조차 아직 미처 인지하지 못한 취약점을 활용해 일종의 ‘개구멍’을 만드는 방식이다. 이렇게 개구멍을 만들고 나면 공격자는 이용자 기기의 메시지나 이메일을 자유롭게 확인하고, 편집하고, 삭제할 수 있게 된다.

대표적인 제로 클릭 공격 사례는 지난 2021년 이스라엘 기업 NSO 그룹의 스파이웨어 ‘페가수스’의 사례다. 페가수스는 애플의 아이폰 보안 취약점을 활용해 이용자 기기에서 정보를 빼내는 스파이웨어다. 본래 범죄 수사나 대테러를 위한 목적으로 활용하도록 개발되었으나, 일부 국가에서 이를 정부에 적대적인 언론인, 활동가 등 민간인을 사찰하는 데 사용한 사실이 알려지며 논란이 되기도 했다.

아마존 창립자 제프 베이조스 또한 페가수스에 의한 제로 클릭 공격의 피해자로 알려졌다. 베이조스는 지난 2019년 혼외관계 정황이 담긴 개인 사생활 문자 등이 공개되면서 곤욕을 치른 바 있는데, 이 문자들이 제로데이 공격으로 유출됐다는 것이다. 배후로 지목된 건 사우디아라비아인데, 베이조스 측 보안 전문가인 개빈 드 베커는 베이조스가 소유하고 있는 언론 워싱턴 포스트가 언론인 자말 카슈끄지 피살 사건에 대해 보도를 이어가자, 이에 대한 보복 차원에서 공격이 이뤄졌다고 주장했다.

제로 클릭 공격의 가장 무서운 점은 이용자가 아무런 동작을 하지 않아도 당할 수 있는 데다 공격에 사용된 메시지나 이메일과 같은 흔적을 없애는 것도 가능하다는 점이다. 아무리 IT 보안을 잘 알아도 속수무책으로 당할 수 있으며, 본인이 당했다는 사실조차 자각하지 못하게 된다.

사실상 개인이 제로 클릭 공격을 예방하는 방법은 없는 셈이다. 구글의 보안 팀인 ‘프로젝트 제로’는 제로 클릭 공격에 대해 “기기를 안 쓰는 것 말고는 막을 방법이 없다”면서 “방어 수단이 없는 무기”라고 평가했다.

제조사 차원에서 보안 취약점을 빠르게 파악해 제거하는 등의 노력으로 제로 클릭 공격을 어렵게 만들려고 노력해볼 수는 있다. 애플은 페가수스 논란이 불거진 이후인 지난 2021년 9월, 페가수스가 이용한 보안 취약점 등을 제거하는 긴급 보안 업데이트를 제공한 바 있다.

추가적인 보안 대책을 마련하는 것도 방법이다. 예컨대 삼성전자의 경우 최근 갤럭시 S23 시리즈에 제로 클릭 공격을 막는 ‘삼성 메시지 가드’라는 보안 솔루션을 추가하기도 했다. 제로 클릭 공격은 메시지에 첨부된 이미지에 악성코드를 숨기는 방법으로 시도되곤 하는데, 삼성 메시지 가드는 이 이미지 파일을 별도의 격리된 공간에서 확인하는 방식으로 공격 시도를 무력화한다.

제로 클릭 공격이 치명적이라고는 하나, 사실 대부분의 이용자에게는 해당 사항이 없는 얘기일 수도 있다는 점에서 과도하게 불안해할 필요도 없다. 제로 클릭 공격에는 큰 비용과 기술력이 필요하기 때문에 유명 인사나 권력가, 활동가 등 고가치 표적을 대상으로 이뤄진다.

글 / IT동아 권택경 (tk@itdonga.com)