Home > 전체기사
WWDC 2019 직전, 맥OS에서 가짜 클릭 생성하는 취약점 발견돼
  |  입력 : 2019-06-04 14:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
TCC 시스템 통해 ‘신뢰 획득한 앱’으로부터 가짜 클릭 생성 가능해
클릭 생성하면 보안 경고창에서 OK 버튼 눌러 무사 통과 가능


[보안뉴스 문가용 기자] ‘가짜 클릭’을 통해 애플이 지난 해부터 맥OS에 도입한 보안 및 프라이버시 보호 기능을 회피할 수 있다는 연구 결과가 발표됐다. 이 연구를 진행한 건 보안 업체 디지타 시큐리티(Digita Security)의 수석 연구원인 패트릭 워들(Patrick Wardle)로, 발표 시기와 애플의 WWDC 2019가 시작되는 시기가 묘하게 맞물렸다.

[이미지 = iclickart]


워들이 연구로 뚫어낸 보안 기능은 애플이 지난 해 WWDC를 통해 발표한 것으로, 애플리케이션이 카메라, 마이크로폰, 이벤트, 연락처, 위치, 사진, 백업, 사파리 데이터, 히스토리, 이메일 데이터베이스 등에 대한 접근 권한을 요구하거나, 관리자 권한 및 원격 제어 권한을 요구할 때마다 사용자에게 경고 메시지를 띄우도록 한 것이다.

주말 동안 워들은 디지타 시큐리티가 연 보안 컨퍼런스에서 “코드 서명과 관련해 미묘한 문제를 맥OS에서 발견했다”고 발표했다. 이를 통해 “일반적으로 OS에서 허용되지 않는 ‘가짜 클릭 생성’이 가능해지며, WWDC 2018에서 발표된 맥OS의 보안 기능을 무력화시킬 수 있다”고 설명했다. “맥OS의 새로운 보안 기능은, 결국 사용자에게 경고 메시지를 띄우는 것입니다. 가짜 클릭을 생성해 OK 버튼을 누르면, 이 장치를 손쉽게 회피할 수 있게 됩니다.”

그러나 사용자가 화면을 보고 있다면 이 공격은 너무 쉽게 의심을 사지 않을까? 워들은 “당연히 그렇지만, 보통 공격자라면 사용자가 화면을 슬립 모드로 전환했을 때 공격을 시도하거나, 화면 밝기를 낮추는 조작을 시도한 뒤 가짜 클릭을 실시할 것”이라고 말했다. 그러면서 “이 공격 기법은 2단계에서 가장 효율적으로 통한다”고 덧붙였다. 즉, 최초 침투가 전제되어야 가능한 공격이라는 것이다.

공격 자체는 ‘투명성 동의와 제어(Transparency Consent and Control, TCC)’ 시스템을 기반으로 하고 있다. TCC는 프라이버시 제어 옵션 관련 데이터베이스를 관리하는 시스템으로, 특히 어떤 애플리케이션이 어떤 요소에 접근할 수 있는지에 관한 정보와, AllowApplicationList.plist라는 파일에 저장된 호환성 데이터베이스가 요주의 요소들이다. 이 둘은 화이트리스트처럼 작용하며, 따라서 특정 시그니처를 가진 앱들이 통과를 하도록 해주거나 막는 역할을 한다.

“공격자는 이 화이트리스트에서 아무 애플리케이션이나 선택하고, 악성 요소를 주입시킨 후 실행해 가짜 클릭을 생성할 수 있습니다. 애플은 이 조작 행위를 감지할 수 없는데요, 그건 코드 인증 확인 절차에 약간의 문제가 있기 때문입니다.” 워들의 설명이다. “공격자 입장에서는 이렇게 조작된 앱을 다운로드 받아 실행시키는 방법을 사용할 수도 있습니다. 화이트리스트 처리된 앱들과 관련된 가짜 클릭에 대해서 시스템은 아무런 반응을 하지 않습니다. 화이트리스트 처리가 되었기 때문이죠.”

예를 들어 공격자가 인기 높은 앱 중 하나인 VLC 미디어 플레이어를 표적으로 삼았을 경우, “악성 플러그인을 기존 VLC 미디어 플레이어에 추가하기만 하면 가짜 클릭을 생성할 수 있다는 것”이다. 하지만 아직 패치가 나오지 않았기 때문에 더 상세한 설명은 하지 않았다.

워들은 이런 식으로 가짜 클릭을 만들 수 있게 해주는 취약점들을 맥OS에서 계속해서 찾아내오고 있다. 그 중 하나는 작년 여름 세계적인 보안 행사였던 데프콘에서 공개했다. “애플이 꾸준하게 이런 부분들을 패치하고 있긴 합니다만, 불완전한 업데이트가 많았습니다. 아마 근본적으로 가짜 클릭 생성을 차단하는 게 뭔가 어려운 모양입니다.”

워들은 이번에 찾아낸 문제를 약 1주일 전에 애플에 보고했다. 애플은 문제를 확인했다는 답장을 보냈다. 하지만 패치 개발 계획이나 예상 날짜에 대해서는 아무런 언급을 하지 않았다고 한다. “하지만 여태까지의 전적으로 봐 패치를 할 것은 거의 확실합니다. 다만 여태까지 그랬던 것처럼 다른 클릭 생성 유발 취약점이 또 나타날 것이 우려됩니다.”

3줄 요약
1. 애플의 맥OS에서 가짜 클릭을 생성할 수 있게 해주는 취약점 발견됨.
2. TCC 시스템을 통해 화이트리스트 처리된 앱들을 통해 클릭을 생성하면 시스템이 파악하지 못함.
3. 이 가짜 클릭으로 각종 보안 경고 창을 해제시킬 수 있게 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)