iOS 26 업데이트로 Pegasus 및 Predator 스파이웨어의 주요 IOC가 제거됨

• iOS 26에서는 shutdown.log 파일 처리 방식이 변경되어 Pegasus와 Predator 감염 흔적이 자동으로 삭제되는 현상 발생
• 기존에는 이 로그가 iOS 악성코드 탐지의 핵심 포렌식 증거로 활용되어 왔으며, 감염 여부를 확인하는 주요 지표 역할을 수행
• Pegasus와 Predator는 과거에도 로그 삭제 및 은폐 기법을 지속적으로 발전시켜 왔으며, 이번 변경으로 탐지 난이도가 더욱 상승
• iOS 26의 변경은 시스템 성능 개선 목적일 가능성도 있으나, 결과적으로 보안 연구자와 피해자 확인 절차에 심각한 제약 초래
• 스파이웨어 공격이 증가하는 시점에서, Apple의 로그 관리 정책 변화가 디지털 포렌식 대응 체계에 중대한 영향을 미칠 가능성 제기

shutdown.log의 역할과 중요성

• shutdown.log 파일은 iOS 기기의 종료 시점에 발생한 이벤트를 기록하는 로그로, 악성코드 감염 탐지에 중요한 단서 제공
  • 위치는 Sysdiagnose 폴더 내 system_logs.logarchive → Extra → shutdown.log 경로
  • 기기 종료 중에도 활동 흔적을 남기기 때문에, 감염 여부를 확인할 수 있는 ‘조용한 증인’ 역할 수행
• 2021년 공개된 Pegasus 스파이웨어는 이 로그에 명확한 감염 흔적(IOC) 을 남겼으며, 이를 통해 보안 연구자들이 감염 기기를 식별 가능
• NSO Group은 이후 탐지 회피를 위해 Pegasus를 지속적으로 개선, 2022년에는 로그 삭제 기능을 강화한 버전 등장

Pegasus의 진화된 회피 기법

• Pegasus는 초기에는 shutdown.log에 직접적인 흔적을 남겼으나, 이후 버전에서는 로그 전체를 삭제하는 방식으로 전환
  • 그러나 이 과정에서도 미세한 잔여 흔적이 남았으며, 완전히 비워진 로그 자체가 감염의 간접적 증거로 간주됨
• 2022년 말까지 이러한 패턴이 다수 관찰되었고, 연구자들은 비정상적으로 초기화된 로그 파일을 감염 지표로 활용
• 이후 Pegasus는 기기 종료를 실시간 감시하며 로그를 완전 삭제하는 메커니즘을 도입한 것으로 추정
  • 실제로 감염이 확인된 기기에서 shutdown.log가 완전히 비워진 사례 다수 보고
  • 이로 인해 “삭제된 로그 자체가 감염의 징후”라는 새로운 탐지 휴리스틱이 제시됨

Predator 스파이웨어의 유사한 흔적

• 2023년에 관찰된 Predator 스파이웨어 역시 Pegasus의 전략을 학습한 것으로 보임
  • shutdown.log를 모니터링하며 활동 흔적을 남기는 유사한 행태 확인
• 연구자들은 Predator 또한 Pegasus와 마찬가지로 shutdown.log 내에 감염 지표를 남겼을 가능성이 높다고 분석

iOS 26의 변경 사항과 영향

• iOS 26에서는 shutdown.log가 매 부팅 시 새로 덮어쓰기(overwrite) 되는 방식으로 변경
  • 기존에는 부팅마다 로그가 누적(append)되어 각 종료 시점의 스냅샷이 보존되었음
• 이 변경으로 인해 사용자가 iOS 26으로 업데이트 후 기기를 재부팅하면, 기존 Pegasus·Predator 감염 증거가 자동 삭제됨
• Apple의 의도가 시스템 위생 관리나 성능 최적화일 가능성도 있으나, 결과적으로 포렌식 증거의 완전한 소거로 이어짐
• 최근 고위 임원, 유명인 등도 스파이웨어 공격 대상이 되고 있는 상황에서, 이 시점의 로그 삭제는 보안 커뮤니티에 큰 타격으로 평가

Pegasus 2022의 특정 IOC

• iOS 26 이전 버전에서는 Pegasus 2022 감염의 주요 IOC로 /private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking 항목이 shutdown.log 내에 존재
  • 이는 NSO Group이 탐지를 피하기 위해 정상 시스템 프로세스명으로 위장하는 전략을 사용했음을 시사
• 이러한 IOC는 Pegasus의 탐지 회피 기술이 고도화되고 있음을 보여주는 사례로 분석

iOS 18 이하 버전에서의 로그 상관 분석

• iOS 18 이하 기기에서는 containermanagerd 로그와 shutdown.log의 상관 분석을 통해 감염 여부를 더 정밀하게 파악 가능
  • containermanagerd 로그는 부팅 이벤트를 기록하며 수주간 데이터 보존
  • 두 로그 간의 불일치를 비교해 비정상적인 부팅·종료 패턴을 탐지
• 예를 들어, 부팅 이벤트가 다수 존재하지만 shutdown.log에 대응 항목이 없는 경우, 은폐된 활동 가능성을 의심할 수 있음

업데이트 전 권장 조치

• iOS 26 업데이트 전 사용자는 **즉시 Sysdiagnose