본문 바로가기

새소식/Mac

OS X과 iOS를 대상으로 하는 치명적인 보안 취약점 발견… '애플 보안기술도 무력화'

비교적 해킹에 안전하다고 알려진 iOS와 OS X 두 운영체제에 심각한 보안 구멍이 발견돼 사용자의 주의를 요하고 있습니다.

미국 인디애나 대학과 조지아 공과대학 등 6개 대학 연구진으로 이뤄진 합동 연구팀에 따르면, 악의적으로 제작된 앱이 애플 키체인과 다른 앱으로부터 사용자의 민감한 정보를 빼낼 수 있는 취약점이 발견됐습니다.

여러 외신들이 'XARA(Cross-app across attack)', 즉 '앱 교차 공격'의 일종인 이번 취약점을 주목하는 이유는 기존의 다른 보안 취약점과는 비교가 되지 않는 막강한 파괴력과 은신력을 지니고 있기 때문입니다.

이번 취약점은 한 앱이 다른 앱의 데이터에 접근하는 것을 차단하는 샌드박스 환경을 우회할 수 있을 뿐 아니라, 애플의 앱 심사과정에서도 걸러지지 않아 앱스토어를 통해 무차별 배포될 가능성을 열어두고 있습니다. 실제로 연구팀은 해당 코드를 이식한 앱을 테스트 삼아 애플에 제출했으며, 검수를 무난히 통과해 앱스토어에 성공적으로 등록되었다고 밝혔습니다.


* 사용자 키체인에서 아이클라우드 토큰을 갈취하는 과정

애플 기기에 악성 코드가 포함된 앱이 안착하면 일련의 유도 과정(위 동영상)을 통해 애플 키체인과 다른 앱으로부터 민감한 정보를 빼낼 수 있습니다. 

악성 코드가 키체인에 있는 특정 항목을 바로 읽을 수는 없지만 항목을 삭제하거나 새로 생성하는 것은 가능하기 때문에, 일단 삭제했다 사용자가 다시 입력하는 과정에서 정보를 갈취하는 원리입니다. 이런 식으로 키체인이 털리면 사용자의 모든 개인정보가 낱낱이 노출되는 셈입니다. 애플 키체인은 웹사이트와 응용 프로그램 이용을 돕기 위해 사이트 로그인 정보와 사용자 신원, 신용카드 정보, 은행계좌 정보, SSL 웹서버 인증서 등을 보관하는 일종의 디지털 금고이며, OS X과 iOS 운영체제와 매우 밀접하게 연동됩니다.

애플 키체인 외에도 이 취약점은 OS X에 내장된 메일 앱을 비롯해 구글 드라이브와 에버노트, 1패스워드, 드롭박스, 페이스북, 트위터 같은 서드파티 앱으로부터 로그인 정보와 앱 내부 데이터를 수집할 수 있습니다. 연구팀이 테스트 한 1,600여개의 OS X, iOS 앱 중에서 90%에 가까운 앱이 이 취약점에 의해 내부 데이터가 '완전히 노출'되는 것으로 알려졌습니다. 다만 데이터 수집을 넘어 원격 서버로 데이터를 전송할 수 있는지는 아직 확인되지 않았습니다. 이번 소식을 접한 1패스워드 제작사 '애자일비츠'는 애플이 대책을 마련하지 않는 이상 응용 프로그램 단에서 이 취약점을 막을 방법은 없다고 지적하고 있습니다.


* 에버노트 데이터베이스에 접근해 사용자의 노트를 읽어오는 과정

연구팀에 따르면 이 취약점은 작년 10월에 발견됐으며 애플과 구글에도 통보된 상태라고 합니다.

그런데 구글은 크롬 브라우저에서 키체인 연동을 제거하는 등의 노력을 기울였지만, 정작 당사자인 애플은 아무런 대응도 하고 있지 않은 실정이라며 애플을 질타했습니다. 애플로부터 대책을 강구한다는 답변을 받았으나, 반년이 훨씬 지난 지금까지 응답이 없었다는 겁니다. 이에 취약점의 상세한 내용을 담은 보고서를 온라인에 공개하게 됐다고 연구팀은 설명했습니다.

여러 외신이 확인한 바에 따르면, 최근에 나온 OS X 요세미티 베타 버전과 iOS 8은 물론 차기 운영체제인 OS X 엘 카피탠과 iOS 9도 이 취약점의 영향권 아래 놓여 있있습니다. 외신들은 이번 취약점이 상당한 파장을 불러일으킬 소지가 있다며 사용자의 각별한 주의를 당부하는 한편, 애플이 보안 패치를 내놓을 때까지 신뢰할 수 없는 소스와 개발자가 제공하는 앱을 가급적 멀리할 것을 권장하고 있습니다.



참조
The Register - Apple CORED: Boffins reveal password-killer 0days for iOS and OS X
9to5mac - Major zero-day security flaws in iOS & OS X allow theft of Keychain and app passwords
MacRumors - iOS and OS X Security Flaws Enable Malicious Apps to Steal Passwords and Data

관련 글
애플, OS X 긴급 보안 업데이트 배포... 'NTP 원격코드 실행 취약점 해결'
'OS X 요세미티' 관리자 권한 탈취하는 심각한 보안 취약점 발견
애플, OS X 요세미티 10.10.2 버전에서 '썬더스트라이크' 보안 취약점 수정