애플 '아이메시지'는 정말 '관대한' 문자 전송 서비스입니다.
한 달 동안 몇 번이나 문자를 보낼 수 있는지 전송 횟수에 제한이 없습니다. 또, 일정시간 이내 몇 번이나 메시지를 보낼 수 있는지도 제한을 두지 않고 있습니다. 마지막으로 특정인으로부터 온 문자도 제한할 수 없습니다.
아이메시지의 이런 특성을 이용해 타 아이메시지 사용자에게 문자 폭탄을 보내는 일종의 모바일 서비스거부(DoS) 공격 기법이 발견되었다고 더 미 IT매체 넥스트 웹(The Next Web)은 29일 전했습니다.
(Bloter) - '도스(DoS) 공격은 서비스를 마비시키는 해킹 기술을 말한다. 최근 국내에서 보안 문제로 떠오른 ‘분산 서비스 거부(DDoS: Distribute Denial of Service 디도스)’ 공격이 여러 대의 컴퓨터를 일제히 작동하도록 해 특정 목표를 공격하는 해킹 기술이라면, 도스 공격은 목표의 서비스 자원을 한 명 또는 여러 명의 해커가 독점해 시스템을 마비시키는 해킹 기술이다. 도스 공격과 디도스 공격은 형제뻘이다. 이번에 아이메시지를 통해 알려진 해킹 방식은 도스 공격에 더 가깝다.'
이번에 알려진 공격의 원리는 단순합니다.
같은 내용을 담은 메시지 수백~수천건을 상대방 아이폰이나 맥에 끊임없이 전송해 상대방을 귀찮게 만드는 것에서부터, 복잡한 수식이 들어간 텍스트나 수천개의 이모티콘을 동시에 전송해 아이메시지 앱을 말 그대로 뻗게 만듭니다. 또 강제로 종료된 아이메시지 앱을 다시 실행하더라도 기존에 수신된 메시지를 다시 불러오면서 앱이 잠기거나 재차 충돌한다고 알려져 있습니다.
더 넥스트웹은 해당 공격을 당한 6명의 iOS 개발자와 해커 커뮤니티 일원의 사례를 소개했는데 이 중에는 sn0wbreeze 탈옥 툴을 개발한 'iH8sn0w'도 포함된 것으로 알려졌습니다. 'iH8sn0w'는 "지난 수요일 아이메시지를 통해 '안녕, 우리는 어나니머스야(Hi, We are anonymous)'라는 등의 메시지가 쉴 새 없이 전송됐다"고 밝히며, '탈옥시킨 아이폰이나 OS X의 애플스크립트(AppleScript)를 이용한 치기 어린 해커가 이번 공격을 감행했을 것'으로 추측했습니다.
아이메시지의 취약점을 이용한 이번 공격은 아직 개발자와 해커 커뮤니티 일원으로 피해자가 한정되어 있으나 결코 '남의 이야기'로 치부할 수는 없는 문제입니다. 아이메시지를 사용하는 사람은 그 누구라도 공격 대상이 될 수 있기 때문입니다. 애플 측이 조처를 할 때까지 사용자 자신도 아이메시지 계정이나 이메일 주소가 인터넷 사이트 등지에 노출되지 않도록 각별한 신경을 기울여야 할 것으로 보입니다. 또 이미 공격을 당하고 있다면 해당 계정을 일시적으로 비활성화시켜두는 것만이 공격을 막는 유일한 해결책입니다.
애플은 지난 1월에 있었던 실적 발표에서 iOS 디바이스와 애플의 OS X 10.8 마운틴 라이온 사용자를 더해 5억 명의 사용자가 하루에 20억 개 이상의 아이메시지를 전송한다고 발표한 바 있습니다.
참조
• The Next Web - iMessage denial of service ‘prank’ spams users rapidly with messages, crashes iOS Messages app
• Ars Technica - A flood of prank iMessage texts shows the app can be crashed easily
• Bloter - 애플 i메시지, DoS 공격에 취약”
관련 글
• 애플이 제공하는 모든 온라인 서비스의 상태를 실시간으로 파악할 수 있는 안내 페이지 업데이트
• OS X 메시지(Messages) 앱을 활용하는 3가지 방법 - 연락처 공유와 일정 관리
• 애플, 페이스타임과 아이메시지에 새 기능 구현할 소프트웨어 개발자 모집
• 애플 1Q 실적 발표 간단 정리