컴퓨터 보안 수칙 가운데 '운영체제를 항상 최신 버전으로 유지'해야 한다는 게 있습니다.
새로운 기능이 탑재되거나 버그가 수정되는 것 외에도 컴퓨터 보안에 위협을 가할 수 있는 취약점이 운영체제 업데이트로 해결될 때가 많기 때문입니다. 이번 소식도 이를 잘 반영하는 내용이 될 듯한데요. 애플 운영체제를 최신 버전으로 업데이트하지 않는 경우 해킹 위험에 노출될 수 있다는 연구 보고서가 나와 관심이 쏠리고 있습니다.
21일(현지시각) 9to5mac, 포춘을 비롯한 미국의 주요 외신들은 시스코 보안 전문가 '타일러 보한(Tyler Bohan)'를 인용해 애플 운영체제에서 치명적인 보안 취약점이 발견됐다고 전했습니다.
보고서에 따르면 이 취약점(CVE-2016-4631)은 변조된 'TIFF' 이미지 파일을 통해 '버퍼 오버플로(buffer-overflow)'를 일으키는 형태로, 사용자가 눈치 채지 못하게 해당 기기에 악성코드를 심을 수 있습니다. 만약 이 취약점을 통해 기기가 감염되면 원격의 공격자가 임의의 코드를 실행해 기기 내부 저장소에 접근할 수 있으며, Wi-Fi와 웹사이트 로그인 정보, 이메일 비밀번호 등 기기에 저장된 민감한 정보 접근할 수 있게 되는 것으로 알려졌습니다.
이미지 파일 메타데이터 영역에 심어진 악성 코드를 통해 기기를 감염시킨다는 점에서 지난해 안드로이드 플랫폼에서 발견된 일명 '스테이지프라이트(Stagefright)' 익스플로잇과 유사하다는 것이 타일러 보한의 설명입니다.
* 겉으로 멀쩡해 보이는 TIFF 이미지에 악성코드가 심어져 있을 수 있다?
이 취약점이 특히 위험한 것은 단순히 TIFF 이미지를 수신만해도 감염될 수 있다는 점입니다.
일반적인 악성코드는 일단 사용자가 파일을 열어야 실행되지만, 이번에 발견된 악성코드는 TIFF 이미지 파일를 미리 렌더링하는 운영체제의 특성을 이용한 것이어서 메신저나 이메일로 이미지를 받기만 해도 악성코드가 저절로 실행될 수 있습니다. 쉽게 말해 해커가 사용자의 아이메시지나 전화번호, 이메일 주소로 TIFF 파일을 보내기만 해도 해킹 위험에 노출될 수 있다는 겁니다.
또한 이번 취약점은 여러 응용 프로그램이 이미지 파일을 처리할 수 있도록 애플 운영체제가 제공하는 'Image IO' 프레임워크에서 발견된 것이어서 사파리, 크롬 같은 웹 브라우저를 비롯해 대부분의 응용 프로그램이 취약점의 영향권 아래 놓여 있습니다. 즉 악의적으로 조작된 TIFF 이미지 파일이 올려져 있는 사이트를 방문하거나 응용 프로그램에서 선택하기만 해도 악성코드에 감염될 수 있는 것입니다. 특히 iOS에 비해 샌드박스 규정이 비교적 느슨하게 적용되는 맥 운영체제에서 더 큰 피해가 생길 수 있습니다.
다행이 이 취약점은 애플이 이번주 초에 배포한 운영체제 업데이트를 통해 패치가 가능합니다.
아이폰, 아이패드의 경우 iOS 9.3.3 버전, 맥은 OS X 엘 캐피탄 10.11.6 버전을 설치하면 악성코드로 인한 피해를 막을 수 있습니다. 애플TV 운영체제인 tvOS 9.2.2와 애플워치를 위한 watchOS 2.2.2도 패치가 완료된 상태입니다. 아직 운영체제를 최신 버전으로 업데이트하지 않은 분은 서둘러 업데이트를 설치해 만에 하나 있을지 모르는 피해를 사전에 방지하시기 바랍니다.
한편, OS X 10.10 요세미티와 10.9 매버릭스는 해당 취약점이 패치되지 않은 것으로 알려졌으며, 그 이전 운영체제 역시 사후 지원이 중단된 상태이므로 패치를 못받을 가능성도 있습니다. 탈옥툴이 공개되지 않아 iOS 9.3.3 버전을 설치하지 않은 iOS 기기도 취약점에 고스란히 노출된 상태입니다. 이에 탈옥 관련 커뮤니티에선 운영체제가 TIFF 이미지를 처리하지 못하게 만드는 'TIFF Disabler' 설치가 권장되고 있습니다.
참조
• 9to5mac - Stagefright-style vulnerability discovered in OS X and iOS, update for protection
• Cisco Talos - Vulnerability Spotlight: Apple Remote Code Execution With Image Files
관련 글
• 애플, iOS 9.3.3 정식 버전 업데이트 개시
• 애플, OS X 엘 캐피탄 10.11.6 정식 버전 업데이트
• 맥 사용자 겨냥한 새로운 악성코드 유포 주의... '이번에는 사진으로 위장'
• 맥용 안티바이러스 제품 13종 2015 AV-Test 결과