→ 애플의 SSL/TLS 버그에 영향을 받는 OS X 소프트웨어

2014. 2. 24. 16:27    작성자: ONE™

앞서 현 맥 운영체제에 SSL/TLS 보안 연결 취약점이 있다는 소식 전해드렸는데요, iOS는 보안 업데이트가 나오며 사태가 일단락되는 분위기지만, 보안 전문가 '애쉬캔 솔타니(Ashkan Soltani)'의 트윗에 의하면 사파리뿐만 아니라 맥 운영체제 내 상당히 광범위한 앱이 이번 취약점에 노출돼 있다고 알려졌습니다.

■ SSL/TLS 버그에 영향을 받는 OS X 소프트웨어

• 사파리
• 캘린더
• 페이스타임
• 키노트
• 메일
• 아이북스
• 트위터 (공식 클라이언트)
• 소프트웨어 업데이트
• 애플 푸쉬 서비스

애플이 소프트웨어 업데이트를 통해 문제를 해소할 때까지 사용자가 취할 수 있는 최선의 방법은 신뢰할 수 있는 무선 네트워크(Wi-Fi)를 통해서만 인터넷을 사용하는 것과 당분간 사파리 대신 구글 크롬 또는 모질라 파이어폭스를 사용하는 것입니다.

두 애플 운영체제에서 동시에 불거지고 있는 이번 SSL/TLS 문제는 iOS 7과 매버릭스가 나오기 한참 전에 나온 iOS 6에도 존재하는 문제로, 이제서야 그 심각성이 대두되고 있는 실정입니다. 그리고 국내에서는 크게 이슈가 되지 않고 있지만, 해외에서는 여러 매체를 통해 대서특필되고 있으며, 보안전문가와 인터넷 인권단체는 이번 사안이 단순한 버그, 가볍게 넘길 만한 버그가 아니라고 주장하고 있습니다. 그리고 실제로 이런 주장이 맞다면, 인터넷을 쓰는 그 누구에게나 적용되는 치명적인 이슈입니다.

윤지만님 포스팅에 이와 관련된 주장이 잘 정리돼 있습니다.

"단순히 우연인지, 아니면 의도된 필연인지는 알 수 없지만 타이밍이 참 공교롭기는 하다. SSL/TLS 버그가 처음 나타난 것은 iOS 6 때부터였는데, iOS 6는 2012년 9월 24일에 공개됐다. 그리고 **NSA의 PRISM 프로그램에 애플이 추가된 것은 2012년 10월이었다. 이 세 가지 사실만으로 증명할 수 있는것은 아무것도 없지만 John Gruber는 이를 토대로 5가지의 가능성(본인 말로는 과대망상)을 제시한다.

1. NSA는 이 보안 취약점을 인식하지 못했다.
2. NSA는 이에 대해 알고 있었지만, 이를 활용하진 않았다.
3. NSA는 이에 대해 알고 있었고, 이를 활용했다.
4. NSA는 비밀스럽게 이 코드를 집어넣었다.
5. 애플이 NSA와 공범이며 코드를 집어넣었다.

음모론이라고 생각될 수도 있겠지만, 이런 생각이 들 정도로 이번 버그는 치명적이다. 더군다나 현재 Mac OS X은 버그가 그대로 있는 상태다. 1,2번은 가능성이 거의 없는 얘기고, 3번부터는 충분히 가능성이 있다."

[John Grubber /via yoonjiman.net]



참조
Twitter - Ashkan Soltani
Yoonjiman.net - 애플의 SSL/TLS 버그

관련 글
• 애플, 인터넷 보안 연결 취약점 해결한 'iOS7.0.6' 배포. 하지만 OS X은 아직 영향권

    
  1. Blog Icon
    익명

    애플이 검수를 제대로 안하니 이런 일이 벌어지네요.
    맥도 빨리 업데이트 되었으면 좋겠습니다.

  2. Blog Icon
    U

    맥을 구매한 이유중 하나가 보안 때문이었는데... 애플이 의도였든 실수였든 앞으론 이런일이 일어나지 않았으면 합니다.

  3. Blog Icon
    헤어포스원짱

    저번에 읽은 글중에 애플 직원이 코드 짤때 실수로 잘못 짤수도 있지만 누군가 사주를 받고 일부러 잘못 짤수도 있다는 걸 읽었는데요. 그때만해도 일부러 코드를 잘못짜서 애플 같은 좋은 직장에서 짤리고 개인 평판도 안좋아 질것을 감수할 사람은 없다고 생각했는데 NSA가 사주한 거라면 가능할수도 있을것 같군요. 뭐 음모론 이지만. 어째든 스티브 잡스가 살아있었다면 절대 일어날수 없는 일들이 일어나고 있군요.

  4. RSA쪽 사건도 있었죠. 아마 천만불짜리였죠?

  5. Blog Icon
    헤어포스원짱

    예전 기사 중에 아이폰끼리 주고 받은 메세지는 미국도 해킹하지 못한다고 하더군요. 그래서 애플에게 메세지를 보여달라고 요청한다고 합니다. 애플도 정당한 요청은 정보를 제공하고 있고요. 언제까지 보여 달랄수도 없고 아예 시스템 자체를 원했을지도 모르죠. 스티브 잡스가 있었다면 상상도 못할 일이지만.

  6. Blog Icon
    혀누우

    스티브 잡스와는 관련 없는 이야기 아닌가요?

  7. Blog Icon
    헤어포스원짱

    제가 스티브 잡스의 키노트를 거의다 봤는데요 거기에서 메세지 기능을 소개하면서 프로그래머들에게 버그를 짜내라고 하는 내용도 있습니다. 잡스는 OS X 을 넥스트스탭부터 계속 만들어 왔는데 이런 버그를 용서할것 같진 않군요.

  8. Blog Icon
    Aeria

    집에서 유선으로 인터넷을 써본 지가...

  9. Blog Icon
    Eaxix

    다행히 i0n1c가 패치를 만들었는데, https://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html에서 다운로드할 수 있습니다.

    애플은 i0n1c과 달리 그냥 코드서 한줄만 삭제해야 하는데요...