본문 바로가기

새소식/Mac

애플, 인터넷 보안 연결 취약점 해결한 'iOS7.0.6' 배포. 하지만 OS X은 아직 영향권

애플은 지난 22일부터 보안 취약점이 발견된 부분을 수정한 iOS 7.0.6 업데이트를 배포하고 있습니다. 그런데 평상시에 보아오던 '기타 버그 수정 및 안정성" 수준의 단순한 보안 업데이트는 아닌 모양입니다.

iOS 7.0.5가 일부 국가의 아이폰5s와 아이폰5c에만 적용됐던 것과 달리 이번 소프트웨어 업데이트는 iOS 7을 탑재한 모든 기기를 대상으로 하며, iOS 6도 이번에 iOS 6.1.6 버전으로 동시에 판올림했습니다. iOS 6.1.6은 아이폰3Gs와 아이팟 터치 4세대 모델에만 적용되는 업데이트입니다. 한동안 업데이트가 멎었던 iOS 하위버전, 기기까지 대상에 포함된다는 점에서 이번 업데이트의 긴박한 기류가 감지됩니다.

로이터통신은 애플의 이번 소프트웨어 업데이트는 인터넷 통신시 민감한 개인 정보 전송에 사용하는 SSL/TLS 암호화 기술의 취약점을 바로잡기 위한 것으로, 해커들이 iOS 기기에서 로그인정보, 금융정보와 같은 중요한 데이터를 중간에 가로채는 것을 막기위한 긴급조치였다고 말했습니다. 또한, iOS기기를 즉시 업데이트하지 않는 경우 해커들이 이 결함을 이용한 악성코드를 통해 원격에서 장비를 조종하는 것도 가능하다고 덧붙였습니다.

SSL/TLS는 웹 서버와 웹 브라우저가 공용 인터넷 상에서 주고받는 사적인 통신 내용과 데이터를 보호하기 위해 사용하는 암호화된 채널을 의미합니다. 웹 브라우저(클라이언트)가 웹사이트에 접속하면 서버는 클라이언트에게 인증서를 전송하는데, 클라이언트는 이 인증서 정보가 신뢰할 수 있는 것인지 검증 절차를 거친 후 웹 서버를 신뢰하게 됩니다. 인터넷 초창기에는 온라인 금융거래, 전자상거래 등에 사용되다가 최근에는 페이스북, 트위터, 이메일 서비스 등 다양한 웹 서비스에서 활용되고 있습니다. 

그런데 이번에 iOS가 SSL/TLS를 제대로 처리하지 못하는 취약점이 발견되면서 해커는 가짜 웹사이트를 신뢰할 수 있는 곳인 것처럼 위장해 iOS 사용자의 개인 정보를 탈취할 여지가 발생한 것입니다.

존스 홉킨스 대학의 암호해독 교수 '매튜 그린'과 구글의 수석 엔지니어 '아담 랭리'등 여러 보안 전문가는 애플 기기가 SSL/TLS 인증에 사용하는 오픈소스 라이브러리 '시큐어트랜스포트(SecureTransport)'에 길을 잃은 코드 한 줄(goto fail;)이 포함돼 있는 것이 이번 결함을 일으킨 것이라며, 애플 개발자의 부주의로 인한 단순 실수이거나 외부의 사주를 받은 개발자의 고의적인 행동일 가능성이 있다고 말했습니다. 가장 완벽한 '백도어'는 단순 실수로 위장할 때가 많다는 것입니다.

로이터통신은 이번 업데이트로 iOS 기기는 SSL 취약점에서 자유로워졌지만, 맥 운영체제 최신 버전인 <OS X 매버릭스 10.9.1>는 여전히 같은 결함을 가지고 있어 애플의 신속한 업데이트가 필요하며, 보안 업데이트로 문제가 일단락될 때까지 신뢰할 수 없는 무선 네트워크를 통해 인터넷을 사용하는 것을 자제하라고 권했습니다. 반면 모질라 파이어폭스, 구글 크롬은 NSS 등 다른 보안 라이브러리 모듈을 사용하고 있어 이번 문제에 영향을 받지 않는 것으로 알려졌습니다.

애플 대변인은 이번 문제에 대해 “확인결과 해당 오류 문제가 사실임이 드러났으며, 이미 수정을 완료해 빠른 시일 내 오류를 보완한 소프트웨어를 배포하겠다”고 말했습니다.

한편, 자신이 사용하고 있는 사파리 브라우저가 이번 보안 문제를 가지고 있는지는
아담 랭리가 만든 www.imperialviolet.org:1266 또는 gotofail.com 사이트에서 확인할 수 있습니다.



참조
Reuters - Apple promises fix 'very soon' for Macs with failed encryption
• ImperialViolet - Apple's SSL/TLS bug