애플, 웹킷 제로데이 취약점 긴급 패치…“고도화된 공격에 악용”

사용자 업데이트 필수…즉시 적용 권장

애플이 웹 브라우저 엔진인 웹킷(WebKit)에서 발견된 제로데이(0-day) 취약점을 해결하기 위해 긴급 보안 업데이트를 배포했다. 이번 취약점은 CVE-2025-24201로 지정됐으며, 공격자에 의해 실제 악용된 것으로 확인됐다. 애플은 이번 공격이 “특정 개인을 대상으로 한 극도로 정교한 공격”이었다고 밝혔다.

WebKit 취약점, 악성 웹 콘텐츠로 샌드박스 우회 가능

문제가 된 CVE-2025-24201 취약점은 웹킷에서 발생하는 경계 초과(out-of-bounds) 쓰기 문제다. 이를 악용하면 공격자가 악성 웹 콘텐츠를 제작해 웹 콘텐츠 샌드박스를 우회할 수 있다. 애플은 이 취약점에 대한 패치를 통해 보안 검사를 강화해 허가되지 않은 동작을 차단했다고 설명했다.

특히, 이번 패치는 2023년 12월 출시된 iOS 17.2에서 이미 차단된 공격을 보완하는 추가 조치로 발표됐다. 애플은 “iOS 17.2 이전 버전에서 특정 대상 개인을 공격하기 위해 이 취약점이 악용됐을 가능성이 있다”고 밝혔다. 다만, 애플 자체 보안팀이 이 취약점을 발견했는지 또는 외부 연구자가 제보했는지에 대한 언급은 없었다.

애플은 이번 취약점에 대한 보안 업데이트를 다음과 같은 제품과 운영체제에 적용했다.

-iOS 18.3.2 및 iPadOS 18.3.2: 아이폰XS(iPhone XS) 및 이후 모델, 아이패드 프로(iPad Pro) 13인치, 아이패드 프로 12.9인치 3세대 이후 모델, 아이패드 프로 11인치 1세대 이후 모델, 아이패드 에어(iPad Air) 3세대 이후 모델, 아이패드(iPad) 7세대 이후 모델, 아이패드 미니(iPad mini) 5세대 이후 모델

-macOS 세쿼이아(Sequoia) 15.3.2: macOS 세쿼이아를 실행하는 맥(Mac) 기기

-사파리(Safari) 18.3.1: macOS 벤투라(Ventura) 및 macOS 소노마(Sonoma)를 실행하는 맥 기기

-비전OS(visionOS) 2.3.2: 애플 비전 프로(Apple Vision Pro)

올해만 세 번째 제로데이 패치…보안 위협 지속

애플이 올해 들어 해결한 제로데이 취약점은 이번이 세 번째다. 앞서 CVE-2025-24085와 CVE-2025-24200 취약점이 각각 1월과 2월에 패치됐다. 최근 애플 제품을 겨냥한 보안 위협이 증가하는 가운데, 이번 취약점 역시 고도의 타깃 공격에 사용된 것으로 보인다.

보안 전문가들은 이번 취약점이 실제 공격에 사용된 만큼, 애플 기기를 사용하는 모든 사용자가 즉시 보안 업데이트를 적용해야 한다고 강조했다. 애플 역시 공식 발표에서 최신 보안 패치를 적용할 것을 강력히 권고했다.

이번 취약점은 악성 웹 콘텐츠를 통해 원격에서 코드 실행이 가능할 가능성이 있어 사용자의 개인 정보와 시스템 보안에 심각한 위협이 될 수 있다. 특히 표적형 공격에 악용된 사례가 확인된 만큼, 공공기관 및 기업 내 애플 기기 사용자는 신속한 대응이 필요하다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com