최신 버전 맥OS의 게이트키퍼에서 보안 취약점 발견돼

모하비 10.14.0조차 뚫린다...공격자가 악성 코드를 실행할 수 있게 해
애플에 2월에 알렸으나 아직까지 답이 없어...취약점 완화는 가능해

[보안뉴스 문가용 기자] 보안 전문가인 필리포 카발라린(Filippo Cavallarin)이라는 인물이 맥OS 보안 기능 중 하나인 게이트키퍼(Gatekeeper)에서 취약점을 발견해 공개했다. 가장 최신 버전인 모하비 10.14.0에서도 공격자가 악성 코드를 실행시킬 수 있도록 해주는 취약점이라고 한다.

[이미지 = iclickart]

맥OS 게이트키퍼는 코드 서명을 실행하고, 다운로드 된 파일과 앱이 실행되기 전 확인하는 기능을 가지고 있다. 즉, 게이트키퍼의 목적은 악성 파일이 시스템에서 실행될 가능성을 최대한 낮추는 것이라고 말할 수 있다. 게이트키퍼가 있어서 사용자는 파일을 열기 전에 한 번 더 동의를 해야 한다.

이탈리아의 보안 업체인 세그먼트(Segment)의 CEO이기도 한 카발라린은 자신의 블로그에 “10.14.5 버전의 맥OS에서 게이트키퍼를 우회하고 신뢰가 힘든 코드를 사용자의 동의 없이 실행시키는 게 가능하다”며 “사용자 입장에서는 해당 코드가 실행된다는 경고 창조차 볼 수 없다”고 설명했다.

아직 애플은 패치를 발표하지 않은 상태다. 그러나 취약점에 대한 위험성을 낮추는 방법은 존재한다. 카발라린이 애플에 이 사실을 알린 건 2월 22일의 일이라고 한다. “90일 정책에 따라 5월 15일 전에는 패치가 나왔어야 합니다. 하지만 애플은 더 이상 제 메일에 답장도 보내지 않는 상태입니다. 따라서 이 취약점을 공개하기로 했습니다.”

오류 자체는 외부 드라이브와 네트워크 공유 파일 및 공유 폴더를 게이트키퍼가 지원하는 것과 관련이 있다. 카발라린은 “외부 드라이브와 네트워크 공유 폴더 모두 안전한 곳으로 인식하며, 따라서 여기에 저장된 앱은 얼마든지 실행될 수 있다”고 배경을 설명했다. “이러한 게이트키퍼의 특성과 오토마운트(automount) 기능을 결합하면 공격 시나리오가 완성됩니다.”

칼바라린은 공격 성립 조건에 대해 다음과 같이 설명했다.
1) 사용자가 오토마운트를 통해 자동으로 네트워크 공유 폴더를 마운트시킨다.
2) 이 때 /net/이라는 문자열로 시작하는 경로로 접근하는 것이라면(예 : /net/evil-attacker.com/sharefolder/) OS가 sharefolder에 저장되어 있는 콘텐츠를 읽을 수 있게 된다.
3) 위 공격에서 호스트(evil-attacker.com)가 멀리 떨어져 있더라도 공격이 가능하다.

다음으로 칼바라린은 다음 몇 가지를 강조했다.
1) 집(zip) 아카이브 파일은 ‘임의의 위치를 가리키는 심링크(심볼릭 링크(symlink))’를 포함할 수 있다.
2) 임의의 위치에는 오토마운트 엔드포인트들도 포함된다.
3) 맥OS에 설치된 소프트웨어 중 집 아카이브를 해제하는 것에는 심링크를 점검하는 기능이 없다.

여기서 심링크란 맥OS에서 시스템 내 다른 위치에 있는 파일이나 디렉토리를 가리키는, 일종의 바로가기 파일이다. 칼바라린은 취약점을 익스플로잇 하는 과정의 영상을 따로 제작해 올리기도 했다.

“그러므로 악성 행위자가 이 취약점을 이용해 공격을 하려면 먼저 집 아카이브를 특수하게 제작해야 합니다. 공격자가 통제할 수 있는 오토마운트 엔드포인트와 연결된 심링크가 집 아카이브에 포함되는 게 핵심입니다. 그리고 피해자에게 악성 링크를 보내 클릭하도록 유도해야 하는데, 링크는 예를 들어 /net/evil.com/Documents 등으로 구성할 수 있습니다.”

공격자가 이 링크를 클릭하면 어떻게 될까? “공격자가 제어하는데도 게이트키퍼가 신뢰하는 엔드포인트로 이동하게 됩니다. 게이트키퍼가 신뢰하니 어떤 앱이라도 실행이 가능하게 되고요. 이 때 사용자에게 경고 창이나 알림 창이 뜨지도 않습니다.”

마지막으로 칼바라린은 이 공격의 구현 가능성을 낮추기 위한 방법을 소개하기도 했다. “꽤나 간단합니다. 세 가지 절차를 밟기만 하면 됩니다. 바로 1) /etc/auto_master를 편집할 수 있도록 창을 열고, 2) /net으로 시작하는 열을 코멘트 처리하고, 3) 컴퓨터를 껐다 켜면 됩니다.”

3줄 요약
1. 맥OS 최신 버전의 게이트키퍼에서 보안 취약점 발견됨.
2. 게이트키퍼가 외장 드라이브와 네트워크 공유 폴더를 신뢰한다는 걸 악용한 공격.
3. 애플은 90일이 지나도록 패치 발표하지 않아, 발견자가 취약점 세부적으로 공개.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)