세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
맥OS와 USB의 나쁜 궁합, 패치로 해결했다
  |  입력 : 2017-11-24 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
FAT 시스템 꼽혔을 때 자동 발동되는 fsck_msdos 툴 내 취약점
애플 OS만이 아니라 안드로이드에도 일부 영향 있어


[보안뉴스 문가용 기자] 애플이 맥OS의 취약점을 패치했다. 악성 USB를 통해 임의의 코드를 실행할 수 있도록 해주는 취약점이었다. 보안 업체 트렌드 마이크로(Trend Micro)가 발견했고, 올해 4월에 애플에 신고했으며, 11월에 패치됐다.

[이미지 = iclickart]


이 취약점은 하드드라이브를 FAT 파일시스템 유형으로 포맷했을 때 오류가 발생했는지 스캔하고 수정하는 툴인 fsck_msdos 내에서 발견됐다. “fsck_msdos 툴은 맥OS에서 자동으로 발동됩니다. 특히 연결된 USB나 SD카드가 FAT 파일시스템일 때 말이죠. 이 자동 발동 기능 때문에 악성 코드가 맥 시스템에서 실행될 수 있게 됩니다.”

트렌드 마이크로는 “아직까지 이 취약점이 실제 공격에 활용된 사례는 찾을 수 없었다”고 발표했다. 하지만 “그래도 맥OS 사용자들은 소프트웨어를 즉시 업데이트하는 게 안전하다”고 권장한다. “USB와 SD카드는 현대 환경에서 자주 사용되는 기기들이고, 너무 흔하다보니 하나하나 성실하게 관리하지 않거든요.”

이 취약점은 CVE-2017-13811로 지정되었으며, 하이 시에라 10.13.1 버전 패치를 통해 문제를 해결했다. 시에라 버전의 경우 보안 업데이트 2017-001 버전, 엘 캡틴 버전의 경우 보안 업데이트 2017-004 버전이다. “이 취약점을 공격자가 익스플로잇 하면 시스템 전체를 장악하는 것도 가능하게 됩니다.”

애플은 이번 업데이트를 통해 CVE-2017-13811 외에도 150여개의 취약점들도 함께 해결했다. 이 중에는 크랙(KRACK)과 관련된 오류들도 포함되어 있었다.

트렌드 마이크로는 “fsck_msdos는 또 다른 BSD 기반 OS에도 사용되고 있다”며 “이 중에는 안드로이드도 포함돼 있다”고 설명을 이어간다. 그래서 트렌드 마이크로는 애플만 아니라 구글 등의 여러 업체에 해당 취약점을 알렸다“고 말했다.

그렇지만 구글 측에서는 CVE-2017-13811을 그리 심각하게 보고 있지 않다. 왜냐하면 “fsck_msdos는 굉장히 제한된 SELinux 도메인에서만 실행되기 때문”이다. 그렇지만 구글이 안드로이드에서 이러한 취약점이 익스플로잇 될 가능성을 아예 배제하고 있는 건 아니다. “패치를 따로 배포하진 않겠지만, 이후에 나올 안드로이드 버전에서는 문제를 해결할 계획입니다.”

패치가 여의치 않은 곳이라면 당분간 USB나 SD카드의 사용을 자제하는 게 문제를 어느 정도 완화시키는 방법이라고 트렌드 마이크로는 권고한다. “최근 USB 등 이동식 기기들을 통해 멀웨어를 심는 방법이 자주 사용되고 있습니다. 이왕 이런 취약점이 발견되었으니, 애초에 휴대용 저장소나 썸드라이브에 대한 보안 정책을 보완하는 것도 좋은 생각입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#맥OS   #애플   #구글   #안드로이드   #툴   #FAT   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)