세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
맥OS와 USB의 나쁜 궁합, 패치로 해결했다
  |  입력 : 2017-11-24 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
FAT 시스템 꼽혔을 때 자동 발동되는 fsck_msdos 툴 내 취약점
애플 OS만이 아니라 안드로이드에도 일부 영향 있어


[보안뉴스 문가용 기자] 애플이 맥OS의 취약점을 패치했다. 악성 USB를 통해 임의의 코드를 실행할 수 있도록 해주는 취약점이었다. 보안 업체 트렌드 마이크로(Trend Micro)가 발견했고, 올해 4월에 애플에 신고했으며, 11월에 패치됐다.

[이미지 = iclickart]


이 취약점은 하드드라이브를 FAT 파일시스템 유형으로 포맷했을 때 오류가 발생했는지 스캔하고 수정하는 툴인 fsck_msdos 내에서 발견됐다. “fsck_msdos 툴은 맥OS에서 자동으로 발동됩니다. 특히 연결된 USB나 SD카드가 FAT 파일시스템일 때 말이죠. 이 자동 발동 기능 때문에 악성 코드가 맥 시스템에서 실행될 수 있게 됩니다.”

트렌드 마이크로는 “아직까지 이 취약점이 실제 공격에 활용된 사례는 찾을 수 없었다”고 발표했다. 하지만 “그래도 맥OS 사용자들은 소프트웨어를 즉시 업데이트하는 게 안전하다”고 권장한다. “USB와 SD카드는 현대 환경에서 자주 사용되는 기기들이고, 너무 흔하다보니 하나하나 성실하게 관리하지 않거든요.”

이 취약점은 CVE-2017-13811로 지정되었으며, 하이 시에라 10.13.1 버전 패치를 통해 문제를 해결했다. 시에라 버전의 경우 보안 업데이트 2017-001 버전, 엘 캡틴 버전의 경우 보안 업데이트 2017-004 버전이다. “이 취약점을 공격자가 익스플로잇 하면 시스템 전체를 장악하는 것도 가능하게 됩니다.”

애플은 이번 업데이트를 통해 CVE-2017-13811 외에도 150여개의 취약점들도 함께 해결했다. 이 중에는 크랙(KRACK)과 관련된 오류들도 포함되어 있었다.

트렌드 마이크로는 “fsck_msdos는 또 다른 BSD 기반 OS에도 사용되고 있다”며 “이 중에는 안드로이드도 포함돼 있다”고 설명을 이어간다. 그래서 트렌드 마이크로는 애플만 아니라 구글 등의 여러 업체에 해당 취약점을 알렸다“고 말했다.

그렇지만 구글 측에서는 CVE-2017-13811을 그리 심각하게 보고 있지 않다. 왜냐하면 “fsck_msdos는 굉장히 제한된 SELinux 도메인에서만 실행되기 때문”이다. 그렇지만 구글이 안드로이드에서 이러한 취약점이 익스플로잇 될 가능성을 아예 배제하고 있는 건 아니다. “패치를 따로 배포하진 않겠지만, 이후에 나올 안드로이드 버전에서는 문제를 해결할 계획입니다.”

패치가 여의치 않은 곳이라면 당분간 USB나 SD카드의 사용을 자제하는 게 문제를 어느 정도 완화시키는 방법이라고 트렌드 마이크로는 권고한다. “최근 USB 등 이동식 기기들을 통해 멀웨어를 심는 방법이 자주 사용되고 있습니다. 이왕 이런 취약점이 발견되었으니, 애초에 휴대용 저장소나 썸드라이브에 대한 보안 정책을 보완하는 것도 좋은 생각입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)