Home > 전체기사
최신 버전 맥OS의 게이트키퍼에서 보안 취약점 발견돼
  |  입력 : 2019-05-30 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모하비 10.14.0조차 뚫린다...공격자가 악성 코드를 실행할 수 있게 해
애플에 2월에 알렸으나 아직까지 답이 없어...취약점 완화는 가능해


[보안뉴스 문가용 기자] 보안 전문가인 필리포 카발라린(Filippo Cavallarin)이라는 인물이 맥OS 보안 기능 중 하나인 게이트키퍼(Gatekeeper)에서 취약점을 발견해 공개했다. 가장 최신 버전인 모하비 10.14.0에서도 공격자가 악성 코드를 실행시킬 수 있도록 해주는 취약점이라고 한다.

[이미지 = iclickart]


맥OS 게이트키퍼는 코드 서명을 실행하고, 다운로드 된 파일과 앱이 실행되기 전 확인하는 기능을 가지고 있다. 즉, 게이트키퍼의 목적은 악성 파일이 시스템에서 실행될 가능성을 최대한 낮추는 것이라고 말할 수 있다. 게이트키퍼가 있어서 사용자는 파일을 열기 전에 한 번 더 동의를 해야 한다.

이탈리아의 보안 업체인 세그먼트(Segment)의 CEO이기도 한 카발라린은 자신의 블로그에 “10.14.5 버전의 맥OS에서 게이트키퍼를 우회하고 신뢰가 힘든 코드를 사용자의 동의 없이 실행시키는 게 가능하다”며 “사용자 입장에서는 해당 코드가 실행된다는 경고 창조차 볼 수 없다”고 설명했다.

아직 애플은 패치를 발표하지 않은 상태다. 그러나 취약점에 대한 위험성을 낮추는 방법은 존재한다. 카발라린이 애플에 이 사실을 알린 건 2월 22일의 일이라고 한다. “90일 정책에 따라 5월 15일 전에는 패치가 나왔어야 합니다. 하지만 애플은 더 이상 제 메일에 답장도 보내지 않는 상태입니다. 따라서 이 취약점을 공개하기로 했습니다.”

오류 자체는 외부 드라이브와 네트워크 공유 파일 및 공유 폴더를 게이트키퍼가 지원하는 것과 관련이 있다. 카발라린은 “외부 드라이브와 네트워크 공유 폴더 모두 안전한 곳으로 인식하며, 따라서 여기에 저장된 앱은 얼마든지 실행될 수 있다”고 배경을 설명했다. “이러한 게이트키퍼의 특성과 오토마운트(automount) 기능을 결합하면 공격 시나리오가 완성됩니다.”

칼바라린은 공격 성립 조건에 대해 다음과 같이 설명했다.
1) 사용자가 오토마운트를 통해 자동으로 네트워크 공유 폴더를 마운트시킨다.
2) 이 때 /net/이라는 문자열로 시작하는 경로로 접근하는 것이라면(예 : /net/evil-attacker.com/sharefolder/) OS가 sharefolder에 저장되어 있는 콘텐츠를 읽을 수 있게 된다.
3) 위 공격에서 호스트(evil-attacker.com)가 멀리 떨어져 있더라도 공격이 가능하다.

다음으로 칼바라린은 다음 몇 가지를 강조했다.
1) 집(zip) 아카이브 파일은 ‘임의의 위치를 가리키는 심링크(심볼릭 링크(symlink))’를 포함할 수 있다.
2) 임의의 위치에는 오토마운트 엔드포인트들도 포함된다.
3) 맥OS에 설치된 소프트웨어 중 집 아카이브를 해제하는 것에는 심링크를 점검하는 기능이 없다.

여기서 심링크란 맥OS에서 시스템 내 다른 위치에 있는 파일이나 디렉토리를 가리키는, 일종의 바로가기 파일이다. 칼바라린은 취약점을 익스플로잇 하는 과정의 영상을 따로 제작해 올리기도 했다.

“그러므로 악성 행위자가 이 취약점을 이용해 공격을 하려면 먼저 집 아카이브를 특수하게 제작해야 합니다. 공격자가 통제할 수 있는 오토마운트 엔드포인트와 연결된 심링크가 집 아카이브에 포함되는 게 핵심입니다. 그리고 피해자에게 악성 링크를 보내 클릭하도록 유도해야 하는데, 링크는 예를 들어 /net/evil.com/Documents 등으로 구성할 수 있습니다.”

공격자가 이 링크를 클릭하면 어떻게 될까? “공격자가 제어하는데도 게이트키퍼가 신뢰하는 엔드포인트로 이동하게 됩니다. 게이트키퍼가 신뢰하니 어떤 앱이라도 실행이 가능하게 되고요. 이 때 사용자에게 경고 창이나 알림 창이 뜨지도 않습니다.”

마지막으로 칼바라린은 이 공격의 구현 가능성을 낮추기 위한 방법을 소개하기도 했다. “꽤나 간단합니다. 세 가지 절차를 밟기만 하면 됩니다. 바로 1) /etc/auto_master를 편집할 수 있도록 창을 열고, 2) /net으로 시작하는 열을 코멘트 처리하고, 3) 컴퓨터를 껐다 켜면 됩니다.”

3줄 요약
1. 맥OS 최신 버전의 게이트키퍼에서 보안 취약점 발견됨.
2. 게이트키퍼가 외장 드라이브와 네트워크 공유 폴더를 신뢰한다는 걸 악용한 공격.
3. 애플은 90일이 지나도록 패치 발표하지 않아, 발견자가 취약점 세부적으로 공개.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향