애플, 인터넷 보안 연결 취약점 해결한 'iOS7.0.6' 배포. 하지만 OS X은 아직 영향권

2014. 2. 23. 14:23    작성자: ONE™

애플은 지난 22일부터 보안 취약점이 발견된 부분을 수정한 iOS 7.0.6 업데이트를 배포하고 있습니다. 그런데 평상시에 보아오던 '기타 버그 수정 및 안정성" 수준의 단순한 보안 업데이트는 아닌 모양입니다.

iOS 7.0.5가 일부 국가의 아이폰5s와 아이폰5c에만 적용됐던 것과 달리 이번 소프트웨어 업데이트는 iOS 7을 탑재한 모든 기기를 대상으로 하며, iOS 6도 이번에 iOS 6.1.6 버전으로 동시에 판올림했습니다. iOS 6.1.6은 아이폰3Gs와 아이팟 터치 4세대 모델에만 적용되는 업데이트입니다. 한동안 업데이트가 멎었던 iOS 하위버전, 기기까지 대상에 포함된다는 점에서 이번 업데이트의 긴박한 기류가 감지됩니다.

로이터통신은 애플의 이번 소프트웨어 업데이트는 인터넷 통신시 민감한 개인 정보 전송에 사용하는 SSL/TLS 암호화 기술의 취약점을 바로잡기 위한 것으로, 해커들이 iOS 기기에서 로그인정보, 금융정보와 같은 중요한 데이터를 중간에 가로채는 것을 막기위한 긴급조치였다고 말했습니다. 또한, iOS기기를 즉시 업데이트하지 않는 경우 해커들이 이 결함을 이용한 악성코드를 통해 원격에서 장비를 조종하는 것도 가능하다고 덧붙였습니다.

SSL/TLS는 웹 서버와 웹 브라우저가 공용 인터넷 상에서 주고받는 사적인 통신 내용과 데이터를 보호하기 위해 사용하는 암호화된 채널을 의미합니다. 웹 브라우저(클라이언트)가 웹사이트에 접속하면 서버는 클라이언트에게 인증서를 전송하는데, 클라이언트는 이 인증서 정보가 신뢰할 수 있는 것인지 검증 절차를 거친 후 웹 서버를 신뢰하게 됩니다. 인터넷 초창기에는 온라인 금융거래, 전자상거래 등에 사용되다가 최근에는 페이스북, 트위터, 이메일 서비스 등 다양한 웹 서비스에서 활용되고 있습니다. 

그런데 이번에 iOS가 SSL/TLS를 제대로 처리하지 못하는 취약점이 발견되면서 해커는 가짜 웹사이트를 신뢰할 수 있는 곳인 것처럼 위장해 iOS 사용자의 개인 정보를 탈취할 여지가 발생한 것입니다.

존스 홉킨스 대학의 암호해독 교수 '매튜 그린'과 구글의 수석 엔지니어 '아담 랭리'등 여러 보안 전문가는 애플 기기가 SSL/TLS 인증에 사용하는 오픈소스 라이브러리 '시큐어트랜스포트(SecureTransport)'에 길을 잃은 코드 한 줄(goto fail;)이 포함돼 있는 것이 이번 결함을 일으킨 것이라며, 애플 개발자의 부주의로 인한 단순 실수이거나 외부의 사주를 받은 개발자의 고의적인 행동일 가능성이 있다고 말했습니다. 가장 완벽한 '백도어'는 단순 실수로 위장할 때가 많다는 것입니다.

로이터통신은 이번 업데이트로 iOS 기기는 SSL 취약점에서 자유로워졌지만, 맥 운영체제 최신 버전인 <OS X 매버릭스 10.9.1>는 여전히 같은 결함을 가지고 있어 애플의 신속한 업데이트가 필요하며, 보안 업데이트로 문제가 일단락될 때까지 신뢰할 수 없는 무선 네트워크를 통해 인터넷을 사용하는 것을 자제하라고 권했습니다. 반면 모질라 파이어폭스, 구글 크롬은 NSS 등 다른 보안 라이브러리 모듈을 사용하고 있어 이번 문제에 영향을 받지 않는 것으로 알려졌습니다.

애플 대변인은 이번 문제에 대해 “확인결과 해당 오류 문제가 사실임이 드러났으며, 이미 수정을 완료해 빠른 시일 내 오류를 보완한 소프트웨어를 배포하겠다”고 말했습니다.

한편, 자신이 사용하고 있는 사파리 브라우저가 이번 보안 문제를 가지고 있는지는
아담 랭리가 만든 www.imperialviolet.org:1266 또는 gotofail.com 사이트에서 확인할 수 있습니다.



참조
Reuters - Apple promises fix 'very soon' for Macs with failed encryption
• ImperialViolet - Apple's SSL/TLS bug

    
  1. Blog Icon
    macoun

    이래서 애플이 좋습니다. 보안에 민감한 애플의 빠른 대응 굿.

  2. Blog Icon
    airzepo

    아이폰은 7.0.6으로 업데이트를 하긴 했지만
    맥은 나올 때까지 기다릴 수밖에 없네요

  3. 가장 최근에 나온 OS X 10.9.2 베타 버전에 포함된 사파리도 같은 문제를 가지고 있습니다.

  4. Blog Icon
    한줄이면....

    저 한 줄만 문제가 된다면 사용자가 지울 수도 있을 것 같은데.... 해당 파일을 직접 수정할 수는 없나요?

  5. Blog Icon
    amu

    만약 이런방법으로 사용자가 수정할 수 있다면 해커라는 집단이 없겠죠.
    위와같은 코드는 컴퓨터가 알아들을 수 있는 기계어(혹 바이너리코드)로 변환(컴파일)되어 사용자들이 사용하게 됩니다.

  6. Blog Icon
    탈옥 된 iOS 기기의 경우...

    탈옥 된 iOS 기기의 경우 시디아에서 "SSLPatch" 라는 패키지를 설치하는 것으로 해결 가능합니다. ^^

  7. Blog Icon
    duii

    성능때문에 아직 iOS6를 사용중인 아이폰4가 걱정이네요 이번 기회에 업그레이드를 해야 할 듯 합니다.

  8. Blog Icon
    탈옥 하셨으면..

    윗분 댓글에도 썼지만 탈옥 하셨으면 시디아에서 "SSLPatch" 설치하시면 해결 됩니다.. ^^

  9. Blog Icon
    브래드칠천피트

    자신의 실수를 순순히 인정하고 빠른 대처에 한없이 부럽기만합니다. 쌤쏭은?

  10. Blog Icon
    대체

    삼성은 왜나오는거죠 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

    애초에 보안 문제가 생길 잘못 코딩된 코드가 문제인거죠

  11. Blog Icon
    가로모드

    쌤쏭이 아닙니다. 쌤숭입니다. ㅋㅋ 걔네는 외국에서 쌤숭이라 하는지도 모름 ㅋㅋㅋ

  12. Blog Icon
    검은사막

    문제가 생기면 신속하게 해결하는 태도도 중요한거지요. 윗분은 그점을 지적하는 것 같네요.

  13. Blog Icon
    음..

    http://macnews.tistory.com/2012

    신속하다랄까... 2012년 말부터 있었던 보안 문제인데요.
    많은 개발자들이 이에 대해 언급하고 gotofail.com 이라는 사이트까지 만들었을 정도로 심각성에 대해 강조하니 이제서야 고치고 있는거죠..

  14. Blog Icon
    솔롱고스

    이글 보고 아이패드는 바로 업데이트 적용...좋은 정보 감사합니다.
    os x두 금방 하겠죠??

  15. Blog Icon
    qqiipp

    역시 goto문은 해롭네요

  16. Blog Icon
    ?

    정보 감사합니다. 패치가 나올 때까지 한동안은 다른 브라우저를 써야겠군요.

  17. Blog Icon
    꼬마거지왕자

    결구 애플에서 발표되는 최신버전은 약 2달정도 기다리다 업그레이드하는게 가장 좋은것 같네요..
    요번주에 매버릭스로 업그레이드 할려고 했는데 몇일 더 기다려야 겠네요.... 그래야 버그가 줄어든 버전을 사용할 수 있다는 것이 증명된것 같네요.

  18. Blog Icon
    익명

    7.1은 아무 조치도 없는 상태인가요? 허허

  19. Blog Icon
    Chris

    7.1은 현재 베타입니다. 베타는 베타일뿐이지요.
    저 부분이 걱정되면 정식 7.0.6이나 7.1 정식을 기다리시는 수 밖에 없습니다.

  20. Blog Icon

    비밀댓글입니다

  21. Blog Icon
    오랜만이야

    OS X용 Safari에서 gotofail.com 접속하면 보안 문제 없다고 나오네요.

  22. Blog Icon
    혀누우

    10.9 사용중이고 모든 패치 했음에도
    저는 패치가 필요하다고 합니다.
    음.. 어떻게 해결해야하죠?