애플, 맥OS의 파인더에서 발견된 제로데이 몰래 패치하려 했지만

입력 : 2021-09-23 15:26

애플의 맥OS에서 어쩌면 가장 중요한 앱인 파인더에서 제로데이가 발견됐다. 사용자 몰래 임의의 공격을 가능하게 해 주는 취약점이라고 한다. 애플은 잠수함 패치로 이를 해결하려 했지만 실패했다. 공격은 여전히 가능하다.

[보안뉴스 문가용 기자] 애플 맥OS 파인더(Finder) 시스템에서 제로데이 취약점이 발견됐다. 익스플로잇에 성공할 경우 원격의 공격자가 임의의 명령을 실행시킬 수 있게 된다고 한다. 이 때문에 애플은 ‘잠수함 패치’를 진행했는데, 문제를 해결하지 못했다. 파인더는 애플의 파일 관리자 프로그램이며, 모든 매킨토시 시스템에서 디폴트로 사용된다. 모든 앱과 파일이 파인더를 통해 관리된다고 보면 된다.


취약점이 드러난 곳은 맥OS 파인더가 .Inetloc 파일들을 처리하는 방식에서다. .Inetloc 파일은 애플 생태계에만 있는 파일로, 인터넷 특정 주소로의 ‘단축 경로’를 저장한다. 윈도의 ‘바로가기’ 파일과 비슷하다고 볼 수 있다. file:// 형태로 주소를 입력할 경우 로컬에 저장된 파일들에도 접근할 수 있다.

문제는 바로 이 file:// 포맷의 입력이 가능하다는 점에 기인하여 나타난다. 이 때 피해자에게 확인을 다시 한 번 받거나 하지 않는다. 즉 특정 명령의 경우 맥OS가 사용자의 확인 없이 자동으로 처리한다는 뜻이 된다. 이를 이용할 경우 공격자가 로컬 시스템에서 피해자 몰래 임의의 명령을 실행할 수 있게 된다.

공격 시나리오는 다음과 같다.
1) 공격자들이 .Inetloc 파일들을 특별한 방식으로 조작한다.
2) 조작하면서 임베드 된 명령어들을 삽입시킨다.
3) 조작을 마친 후에는 파일을 악성 메일이나 링크에 첨부시킨다.
4) 소셜 엔지니어링 공격을 통해 사용자가 메일을 열거나 링크를 클릭하도록 한다.
5) 피해자가 속아서 메일 열기나 링크 클릭을 할 경우 명령어가 자동으로 실행된다.
6) 명령어가 실행되더라도 피해자는 알아차리지 못한다.

이 공격의 시연은 여기(https://ssd-disclosure.com/ssd-advisory-macos-finder-rce/)서 열람이 가능하다. 맥OS 빅서 버전은 물론 그 전에 나온 모든 맥OS에서 발견되는 취약점이라고 한다. 이를 처음 발견한 건 보안 전문가 박민찬이라고 알려져 있다. 하지만 애플은 이 취약점에 CVE 번호를 부여하지 않고 ‘잠수함 패치’를 진행했다. 고쳐만 졌다면야 아무 문제가 없었겠지만 이 은밀한 패치는 통하지 않았다.

관련하여 보안 권고문을 발표한 SSD에 의하면 “애플이 file://[함수]를 조용히 패치했다고 하는데, 아직도 익스플로잇이 가능하다”고 한다. “예를 들어 파일 실행 경로에 FiLe://이라고 적으면 여전히 예전처럼 익스플로잇이 작동합니다. 애플이 대소문자를 구분했기 때문에 나타난 현상입니다. 맥OS가 보기에 File://과 file://이 다른 것입니다. 이런 상태로 file://[함수]만 막으니 공격이 여전히 유효한 것이고요.” 이러한 상황에 대해 애플은 아직까지 공식 입장을 발표하지 않고 있다. 취약점은 여전히 익스플로잇이 가능한 상태라고 SSD는 설명하고 있다.

애플 생태계에서는 올해 적잖은 제로데이 취약점이 발견됐다. 지난 5월에는 맥OS에서 타인의 스크린샷을 남길 수 있는 치명적 위험도의 취약점이 발견돼 패치되기도 했었다. 7월에는 iOS와 맥OS 플랫폼에서 발견된 제로데이 취약점이 공격자들에 의해 먼저 발견되고, 뒤늦게 애플에 의해 패치되기도 했었다. 이번 달에는 NSO그룹(NSO Group)이 스파이웨어를 심는 데 활용하고 있던 포스드엔트리(ForcedEntry) 제로데이 취약점이 패치됐다.

3줄 요약
1. 애플 맥OS 모든 버전에서 발견된 파인더 관련 취약점, 몰래 패치됨.
2. 하지만 패치가 통하지 않아 아직도 취약점 익스플로잇이 가능한 상황.
3. 패치가 안 통하는 이유는 애플의 OS가 대소문자를 구분하고 있기 때문.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...