2026년 6월 공개된 usbliter8는 Apple A12·A13 칩 DWC2 컨트롤러의 DMA 언더플로우와 DART 바이패스를 결합한 패치 불가 BootROM 익스플로잇이다. iPhone XR·11 시리즈 등 수억 대가 영구 영향을 받는다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 18일, 보안 연구 그룹 Paradigm Shift(@__gsch, @hdesk)가 "usbliter8"를 공개했다. 2019년 checkm8() 이후 6년 만에 등장한 첫 BootROM 수준 공개 익스플로잇이다. Apple A12와 A13 SoC에 내장된 Synopsys DesignWare USB 2.0(DWC2) 컨트롤러의 DMA 포인터 처리 결함을 악용해 SecureROM에서 임의 코드를 실행하는, 패치 불가능한 하드웨어 수준 익스플로잇이다. iPhone XR부터 iPhone 11 시리즈, Apple Watch Series 4/5/SE까지 수억 대의 기기가 소프트웨어 업데이트로는 해결할 수 없는 상태로 영구 영향을 받는다.
| 항목 | 내용 |
|---|---|
| 공개일 | 2026-06-18 (Apple에 사전 통보, 조율된 공개) |
| 발견 그룹 | Paradigm Shift (@__gsch, @hdesk 외 1명) |
| CVE 번호 | 미부여 (2026-06-20 기준) |
| 대상 칩셋 | A12, A13, S4, S5 |
| 대표 기기 | iPhone XR·XS·11 시리즈, iPad Air 3세대, Apple Watch S4·S5·SE, HomePod mini |
| 패치 가능성 | 없음 (SecureROM은 칩 제조 시 영구 각인) |
| 익스플로잇 시간 | 0.7~1.2초 |
| 야생 악용 | 없음 (2026-06-20 기준) |
Apple 기기는 전원이 켜지는 순간부터 iOS 커널이 실행되기 전까지 신뢰 체인(Chain of Trust) 을 단계적으로 검증한다.
체인의 첫 번째 링크인 SecureROM은 칩 제조 과정에서 실리콘에 영구 각인되어 절대로 변경할 수 없다. 이 영역이 신뢰 체인의 뿌리이므로, SecureROM이 장악되면 이후의 모든 서명 검증은 의미를 잃는다.
DFU(Device Firmware Update) 모드는 기기 복구 목적으로 SecureROM이 USB를 직접 처리하는 상태다. 일반 운영체제 없이 SecureROM 코드만 실행 중인 이 상태에서 USB 드라이버의 결함이 발생하면, 신뢰 체인 전체가 우회된다.
checkm8(2019, )이 A11 이전 칩의 DFU USB 요청 처리 결함을 이용해 동일한 결과를 얻었다. Apple은 A12부터 USB 컨트롤러를 교체하며 checkm8 경로를 막았지만, 새 컨트롤러(DWC2)가 다른 형태의 결함을 안고 있었다.
usbliter8는 DWC2 USB 컨트롤러의 Setup 패킷 버퍼링 DMA 로직에서 발생하는 포인터 언더플로우를 악용한다. 단일 하드웨어 버그가 아니라, 두 가지 조건의 결합으로 공격이 가능해진다.
DART(Device Address Resolution Table)는 Apple 칩의 DMA 장치용 IOMMU로, 메모리 접근 범위를 제한하는 역할을 한다. A12·A13의 SecureROM은 복구 모드 편의를 위해 DART를 바이패스 모드로 실행하는데, DART가 바이패스 모드에서는 DMA 장치의 접근 범위를 제한하지 않으므로 DWC2의 포인터 오류가 SRAM 전체로 전파된다. A14부터 Apple은 SecureROM 단계에서도 DART를 활성화해 DMA 장치의 접근 범위를 제한했고, 이로써 DWC2의 포인터 오류가 SRAM 전체로 퍼지는 경로가 차단됐다. A11 이전 기기는 소프트웨어로 DMA 포인터를 수동 재설정하는 우회 로직이 있어 이 버그가 악용되지 않는다.
영향받는 기기의 범위는 다음과 같다. iPad 9세대, iPhone 11 시리즈, iPhone SE 2세대, HomePod mini 등 현재도 iOS 지원을 받는 기기 다수가 포함된다.
| 칩셋 | 영향 기기 |
|---|---|
| A12 | iPhone XR·XS·XS Max, iPad Air 3세대, iPad mini 5세대, iPad 8세대, Apple TV 4K 2세대 |
| A13 | iPhone 11·11 Pro·11 Pro Max, iPhone SE 2세대, iPad 9세대, Studio Display |
| S4 | Apple Watch Series 4 |
| S5 | Apple Watch Series 5, Apple Watch SE 1세대, HomePod mini |
| A12X/Z | iPad Pro 11인치 1·2세대, iPad Pro 12.9인치 3·4세대 (이론적 가능, PoC 미구현) |
DWC2 컨트롤러는 최대 3개의 연속 USB Setup 패킷을 내부 메모리에 저장한다. 4번째 패킷이 도달하면 DMA 베이스 주소(DOEPDMA)를 24바이트 역방향으로 재조정한다.
결함은 두 가지 가정의 충돌에서 발생한다.
이 불일치로 DMA 포인터가 할당된 버퍼 시작 주소보다 낮은 위치를 가리키는 언더플로우가 발생한다. 그 결과 컨트롤러는 버퍼 외부 메모리를 정상 DMA 대상으로 인식해 기록하며, 공격자는 이 경로로 임의 주소에 데이터를 쓸 수 있다. Paradigm Shift는 이것을 "12바이트 단위 언더플로우 프리미티브" 라고 명명했다. DART가 바이패스 모드에서는 DMA 접근 범위를 제한하지 않으므로 이 오류가 SRAM 전체로 전파된다.
전체 익스플로잇 시간은 0.7~1.2초다. 성공 시 기기의 USB 시리얼 번호에 PWND:[usbliter8] 문자열이 주입된다.
이 체인에는 RP2350 기반 마이크로컨트롤러가 필수다(A12/A13 공통). 일반 PC나 Mac의 USB 스택으로는 취약한 DFU 경로에 접근할 수 없다. RP2040은 A12에서 불안정하고 A13에서는 완전히 작동하지 않는다.
A13 칩은 PAC(Pointer Authentication Codes)가 적용되어 단순 Link Register 덮어쓰기가 통하지 않는다. Paradigm Shift는 다단계 접근법을 개발했다.
BLRAAZ 명령이 존재한다. Paradigm Shift는 이 명령이 호출되는 경로에서 callee-saved 레지스터 X24를 공격자가 제어 가능한 값으로 유도해 PAC 검증을 우회했다.연구팀은 A13을 "훨씬 더 복잡하지만 동일하게 취약하다"고 표현했다.
SecureROM을 장악한 공격자가 할 수 있는 일:
그러나 Secure Enclave Processor(SEP)는 독립 실행된다. usbliter8로 SecureROM을 장악해도 SEP에 직접 접근할 수 없다. 암호화된 사용자 데이터, Face ID 생체 데이터, Apple Pay 정보는 보호 상태를 유지한다. 연구팀은 SEP에 대한 간접 공격 가능성을 시사했지만, 현재 구체화된 것은 없다.
공식 ATT&CK 매핑은 없으나, 기법 정의를 기준으로 한 분석 결과다.
usbliter8는 iOS가 로드되기 전에 작동한다. 기기가 변조된 상태라면 iOS 수준의 로그, MDM 에이전트, EDR로는 탐지가 어렵다.
유일하게 공개 확인된 포렌식 지표: PWND:[usbliter8]
익스플로잇 성공 시 기기의 USB 시리얼 번호에 이 문자열이 주입된다. 포렌식 워크스테이션에서 macOS의 system_profiler SPUSBDataType 또는 Linux의 lsusb -v로 기기를 USB 열거하면 확인 가능하다. 단, 이 마커는 재부팅 후 사라진다. 익스플로잇이 기본적으로 영속적이지 않기 때문이다.
그 외 탐지 시그널:
모든 소프트웨어 탐지를 우회하는 구조이므로, 물리 접근 자체를 통제하는 것이 가장 효과적인 1차 방어다.
현재 야생 악용 0건이고 공격 비용도 높다. 그러나 Cellebrite UFED, GrayKey 같은 법집행 모바일 포렌식 도구는 checkm8()를 이미 내부 기능으로 흡수했다. usbliter8도 차기 포렌식 도구에 통합될 경우, A12·A13 기기에서 부팅 이전 계층 분석이 가능한 환경이 만들어진다. 이 시점부터 국가 행위자 수준의 적대적 활용 가능성이 현실화된다. 뉴스 기사들이 다루지 않은 핵심 위협 포인트다.
Privacy Guides는 조직 차원의 위험을 명확히 표현했다: "조직은 완화 불가능한 위험에 직면한다. 유일한 완화책은 기기 교체다."
국내 iOS 스마트폰 시장 점유율은 약 30%(StatCounter, 2025~2026 기준)다. 영향을 받는 기기의 국내 규모를 추산할 때 참고할 수치가 있다. iPhone XR은 2019년 전 세계 최다 판매 스마트폰(연간 7,740만 대)이었으며, iPhone 11은 2020년 최다 판매 모델(연간 6,480만 대)이었다. 국내 삼성 점유율이 높지만, 법인 기기와 임원급 업무용으로 iPhone 사용 비중이 크다.
usbliter8의 물리 접근 필수 조건은 현재 위협 수준을 낮추지만, 기기 분실·출장·공급망 통과 등 물리 보안이 취약한 시나리오에서 A12·A13 기기는 장기적 노출 위험에 처한다. KISA는 2026-06-20 기준 별도 권고문을 발령하지 않았다. 현재로서는 A14 이상 기기로의 전환, 또는 MDM 정책에 DFU 모드 접근 통제 추가가 현실적 대응이다.
PWND:[usbliter8] USB 시리얼 마커, MDM DFU 이벤트 모니터링, 물리 보안 통제에서 출발한다. checkm8이 A11 이전 기기의 신뢰 체인을 무너뜨렸듯, usbliter8는 A12·A13 세대의 같은 경계를 6년 만에 다시 허문 사건이다.아니다. Secure Enclave Processor(SEP)는 메인 SoC와 독립 실행되며, usbliter8는 SEP에 직접 접근하지 못한다. 암호화된 사용자 데이터와 생체 인증 정보는 보호 상태를 유지한다.
설정 > 일반 > 정보에서 칩셋을 확인한다. A12(iPhone XR·XS·XS Max), A13(iPhone 11 시리즈·SE 2세대), Apple Watch Series 4·5·SE 사용자는 하드웨어 수준에서 취약하다. 야생 악용은 현재 없으며 물리 접근 없이는 악용 불가능하다.
없다. SecureROM은 칩 제조 시 실리콘에 영구 각인되어 소프트웨어 업데이트로 변경할 수 없다. A14 이상 기기는 DART 구성이 달라 이 공격 경로에서 영향을 받지 않는다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.