9to5Mac 에 따르면, 러시아의 대표적 사이버 보안 회사인 카스퍼스키는 애플이 iOS의 심각한 제로데이 취약점을 발견한 데 대한 현상금 지급을 거부했다는 사실을 밝혀 큰 파장을 일으켰습니다. 이 취약점은 카스퍼스키가 작년에 발견한 'Operation Triangulation'이라는 정교한 스파이 캠페인의 일부입니다.

카스퍼스키에 따르면, 카스퍼스키는 애플에 취약점에 대한 자세한 정보를 적극적으로 제공하고 자선 단체에 상금을 기부하겠다고 제안했지만, 애플은 구체적인 설명 없이 거부했습니다.

이 제로데이 취약점은 Triangulation 캠페인에서 악용되는 4가지 취약점 중 일부로, 공격자는 이를 악용해 영향을 받는 iPhone 기기를 손상시키고 완전히 제어할 수 있습니다.

카스퍼스키는 공격 체인의 취약점 중 하나인 CVE-2023-38606이라는 코드명을 리버스 엔지니어링하기도 했습니다. 보안 전문가들은 iOS 운영 체제 커널이 임의의 코드를 실행하고 사용자 권한을 상승시키는 데 사용되고 있다는 사실을 발견했습니다. 카스퍼스키는 이러한 취약점 중 하나를 분석하여 보고했으며, 이를 통해 Apple은 긴급 보안 패치를 출시할 수 있었습니다.

Apple의 버그 현상금 프로그램에 따르면, 제로데이 취약점을 발견하면 최대 100만 달러의 보상이 지급됩니다. 하지만 카스퍼스키가 미국 제재를 받고 있는 러시아에 본사를 두고 있다는 사실이 애플이 보상금을 지불할 수 없는 이유일 수도 있다.

애플의 결정은 사이버보안 커뮤니티에서 많은 논란을 불러일으켰습니다. 일부 전문가들은 애플이 제재를 위반하지 않기 위해 카스퍼스키를 대신해 자선 단체에 상금을 기부하는 등 더 유연한 접근 방식을 취했어야 한다고 말합니다.