얼마전 국내외 언론을 통해 '썬더볼트 부트킷(Thunderbolt Bootkit)'이라는 맥의 보안 취약점이 공개된 적이 있습니다.
매체에 따라 '썬더스트라이크(Thunderstrike)'라고 부르기도 하는데, 썬더볼트 포트를 통해 맥에 악성코드를 주입하고 시스템 전반의 제어권을 빼앗아 가는 취약점입니다. 어떤 식으로든 물리적인 연결이 필요하다는 점에서 확산을 우려할 만한 수준은 아니지만, 운영체제보다 상위 레이어인 '부트롬(BootRom)'에서 돌아가므로 일단 감염되면 백신으로도 발견되지 않고, 운영체제를 밀더라도 치료가 되지 않는 강력한 파괴력을 지니고 있습니다.
"애플 맥 컴퓨터는 마이크로소프트 윈도 운영체제보다 악성코드에 공격받을 확률이 적은 것으로 알려졌다. 하지만 최근 썬더볼트 단자에 꽂기만 하면 설치되고 지울수도 없는 악성코드를 설치하는 방법이 공개되었다.
캐논 DSLR 카메라용 오픈소스 펌웨어 ‘매직랜턴‘ 개발자인 트래멜 허드슨은 근무하는 회사에서 애플 맥북의 보안성을 조사해달라는 의뢰를 받았다. 그는 맥북을 분해해 메인보드를 분석한 다음 부팅 과정에 필요한 데이터를 담은 칩인 부트롬을 조작할 수 있다는 가능성을 발견했다. 이후 그는 복잡한 분해 없이 애플이 판매하는 썬더볼트 기가비트 어댑터를 개조한 다음 썬더볼트 단자에 꽂기만 하면 해킹이 가능하게 만들었다. (이하생략)...
다행히 24일자 '아이모어(iMore)' 보도에 따르면, OS X 10.10.2 최신 베타 버전에서 이 취약점이 해결됐다고 합니다. 애플이 이 취약점으로부터 시스템을 보호하기 위해 부트롬을 임의로 교체하거나 이전 버전으로 롤백하는 것을 엄격히 차단하는 코드를 도입했다는 내용입니다.
일전에 OS X 요세미티 베타버전 소식을 전해드리면서 패키지 안에 펌웨어 업데이트가 포함돼 있고, 두 번의 부팅 과정을 수반할 수 있다고 알려드렸는데요. 알고보니 이 펌웨어가 썬더볼트 취약점을 해결하는 용도였던 것입니다. 기종에 따라 부트롬 버전이 달라 정확히 어떤 버전에서 취약점이 해결됐는지 알기 어렵지만, 조만간 애플 기술문서를 통해 상세 내역이 공개될 것으로 보입니다. 2014 맥미니와 레티나 5K 아이맥은 공장 출하 시점에 이미 이 펌웨어가 설치돼 있다고 합니다. 사안이 사안인 만큼 요세미티 이전 버전 사용자를 위한 패치도 별도로 공개될 것으로 보입니다.
* 썬더스트라이크가 설치된 맥북 화면
그 밖에도, OS X 요세미티 10.10.2 베타 버전에서는 구글 보안팀이 발견한 세 가지 유형의 취약점도 해결됐습니다. 운영체제의 여러 보안 구멍을 해결하는 만큼 OS X 10.10.2 정식 업데이트도 조만간 공개될 것으로 보이는데요, 맥을 쓰시는 분들은 지체 없이 설치해 잠재적인 피해를 미연에 방지해야 겠습니다.
참조
• iMore - 'Thunderstrike' attack also fixed in OS X 10.10.2
• CNet - 애플 썬더볼트 주의보 “꽂기만 하면 악성코드가…”
관련 글
• 구글 보안팀, OS X 제로데이 취약점 발견... 'OS X 요세미티 10.10.2 버전에서 해결'
• 애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
• 애플, OS X 요세미티 10.10.2 여섯 번째 베타 버전 공개... '14C106a' 빌드