|  입력 : 2019-05-30 11:12

#정보보호 #정보보안 #IT보안 #사이버보안 #맥OS #게이트키퍼

모하비 10.14.0조차 뚫린다...공격자가 악성 코드를 실행할 수 있게 해
애플에 2월에 알렸으나 아직까지 답이 없어...취약점 완화는 가능해

[보안뉴스 문가용 기자] 보안 전문가인 필리포 카발라린(Filippo Cavallarin)이라는 인물이 맥OS 보안 기능 중 하나인 게이트키퍼(Gatekeeper)에서 취약점을 발견해 공개했다. 가장 최신 버전인 모하비 10.14.0에서도 공격자가 악성 코드를 실행시킬 수 있도록 해주는 취약점이라고 한다.


맥OS 게이트키퍼는 코드 서명을 실행하고, 다운로드 된 파일과 앱이 실행되기 전 확인하는 기능을 가지고 있다. 즉, 게이트키퍼의 목적은 악성 파일이 시스템에서 실행될 가능성을 최대한 낮추는 것이라고 말할 수 있다. 게이트키퍼가 있어서 사용자는 파일을 열기 전에 한 번 더 동의를 해야 한다.

이탈리아의 보안 업체인 세그먼트(Segment)의 CEO이기도 한 카발라린은 자신의 블로그에 “10.14.5 버전의 맥OS에서 게이트키퍼를 우회하고 신뢰가 힘든 코드를 사용자의 동의 없이 실행시키는 게 가능하다”며 “사용자 입장에서는 해당 코드가 실행된다는 경고 창조차 볼 수 없다”고 설명했다.

아직 애플은 패치를 발표하지 않은 상태다. 그러나 취약점에 대한 위험성을 낮추는 방법은 존재한다. 카발라린이 애플에 이 사실을 알린 건 2월 22일의 일이라고 한다. “90일 정책에 따라 5월 15일 전에는 패치가 나왔어야 합니다. 하지만 애플은 더 이상 제 메일에 답장도 보내지 않는 상태입니다. 따라서 이 취약점을 공개하기로 했습니다.”

오류 자체는 외부 드라이브와 네트워크 공유 파일 및 공유 폴더를 게이트키퍼가 지원하는 것과 관련이 있다. 카발라린은 “외부 드라이브와 네트워크 공유 폴더 모두 안전한 곳으로 인식하며, 따라서 여기에 저장된 앱은 얼마든지 실행될 수 있다”고 배경을 설명했다. “이러한 게이트키퍼의 특성과 오토마운트(automount) 기능을 결합하면 공격 시나리오가 완성됩니다.”

칼바라린은 공격 성립 조건에 대해 다음과 같이 설명했다.
1) 사용자가 오토마운트를 통해 자동으로 네트워크 공유 폴더를 마운트시킨다.
2) 이 때 /net/이라는 문자열로 시작하는 경로로 접근하는 것이라면(예 : /net/evil-attacker.com/sharefolder/) OS가 sharefolder에 저장되어 있는 콘텐츠를 읽을 수 있게 된다.
3) 위 공격에서 호스트(evil-attacker.com)가 멀리 떨어져 있더라도 공격이 가능하다.

다음으로 칼바라린은 다음 몇 가지를 강조했다.
1) 집(zip) 아카이브 파일은 ‘임의의 위치를 가리키는 심링크(심볼릭 링크(symlink))’를 포함할 수 있다.
2) 임의의 위치에는 오토마운트 엔드포인트들도 포함된다.
3) 맥OS에 설치된 소프트웨어 중 집 아카이브를 해제하는 것에는 심링크를 점검하는 기능이 없다.

여기서 심링크란 맥OS에서 시스템 내 다른 위치에 있는 파일이나 디렉토리를 가리키는, 일종의 바로가기 파일이다. 칼바라린은 취약점을 익스플로잇 하는 과정의 영상을 따로 제작해 올리기도 했다.

“그러므로 악성 행위자가 이 취약점을 이용해 공격을 하려면 먼저 집 아카이브를 특수하게 제작해야 합니다. 공격자가 통제할 수 있는 오토마운트 엔드포인트와 연결된 심링크가 집 아카이브에 포함되는 게 핵심입니다. 그리고 피해자에게 악성 링크를 보내 클릭하도록 유도해야 하는데, 링크는 예를 들어 /net/evil.com/Documents 등으로 구성할 수 있습니다.”

공격자가 이 링크를 클릭하면 어떻게 될까? “공격자가 제어하는데도 게이트키퍼가 신뢰하는 엔드포인트로 이동하게 됩니다. 게이트키퍼가 신뢰하니 어떤 앱이라도 실행이 가능하게 되고요. 이 때 사용자에게 경고 창이나 알림 창이 뜨지도 않습니다.”

마지막으로 칼바라린은 이 공격의 구현 가능성을 낮추기 위한 방법을 소개하기도 했다. “꽤나 간단합니다. 세 가지 절차를 밟기만 하면 됩니다. 바로 1) /etc/auto_master를 편집할 수 있도록 창을 열고, 2) /net으로 시작하는 열을 코멘트 처리하고, 3) 컴퓨터를 껐다 켜면 됩니다.”

3줄 요약
1. 맥OS 최신 버전의 게이트키퍼에서 보안 취약점 발견됨.
2. 게이트키퍼가 외장 드라이브와 네트워크 공유 폴더를 신뢰한다는 걸 악용한 공격.
3. 애플은 90일이 지나도록 패치 발표하지 않아, 발견자가 취약점 세부적으로 공개.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  보안전문 기업, 보안 엔지니어 대거 채용 나...

• 2

  많은 기업들의 최애 SW ‘XFTP와 지라’...

• 3

  구글, 크롬 77의 취약점 8개 패치하려 긴...

• 4

  국정조사나 감사 위한 개인정보 요청... 합...

• 5

  러시아 주로 노리는 표적 공격 플랫폼 아토르...

• 1

  [EDR 리포트] 미확인 보안위협 잡는 차세...

• 2

  구글, 크롬 77의 취약점 8개 패치하려 긴...

• 3

  트위터, 이중 인증 위한 개인정보 일부를 광...

• 4

  MS와 NIST, 기업들의 패치 실천 돕기 ...

• 5

  유로폴이 꼽은 사이버 위협 두 가지 : 아동...

• 1

  [EDR 리포트] 미확인 보안위협 잡는 차세...

• 2

  많은 기업들의 최애 SW ‘XFTP와 지라’...

• 3

  [2019 국감] 국내 금융사 정보보호예산 ...

• 4

  [보안, Real이 되려면] 5. ‘시간 싸...

• 5

  MS 인터넷 익스플로러의 제로데이 취약점, ...