애플 운영체제서 발견된 'XARA' 취약점에 대한 1Password 제작사의 입장과 대비책

2015. 6. 18. 16:10    작성자: ONE™

애플 운영체제에서 발견된 심각한 보안 취약점으로 인해 국내외 애플 커뮤니티가 술렁이고 있습니다.

이번에 발견된 취약점은 당장 해결책이 없는 '제로데이(Zero-day)' 익스플로잇으로, 애플의 보안 기술을 유유히 뚫고 들어와 키체인에 저장된 민감한 정보를 훔칠 수 있다고 알려져 있습니다. 물론 아직 컨셉입증(Proof-of-Concept) 단계라 실제 피해를 본 사례는 나오지 않았지만, 악성코드의 원리와 작동방식이 온라인에 상세히 공개됨에 따라 이를 이용한 공격이 곧 등장할 것이라는 지적이 나옵니다.

앞서 전해드린 것과 같이 이번 취약점은 애플 키체인뿐 아니라 타사 응용 프로그램으로부터도 비밀번호를 빼내갈 수 있다고 알려져 충격을 주고 있습니다. 보안 연구팀이 공개한 보고서에 의하면, 개인정보 관리 프로그램인 '1Password'를 비롯해 노트 관리 프로그램인 'Evernote', 푸시 연동 솔루션 'Pushbullet'이 취약점에 노출되어 있으며, 일련의 시연 연상을 통해 사실로 증명됐습니다. 그리고 이 외에도 1,600개가 넘는 OS X 앱과 200개 이상의 iOS 앱을 대상으로 조사한 결과, 90%에 가까운 앱이 XARA 취약점에 대해 완전히 무방비인 상태로 알려져 있습니다.


* XARA 취약점 유형과 영향을 받는 앱/서비스 - Luyi Xing, Indiana University

1Password 제작사 공지

이에 대해 1Password 제작사도 오늘 공식 블로그를 통해 입장을 표명했습니다.

요점만 간추려 전해드리자면, 취약점을 포함한 앱이 1Password 비밀번호 보관소에 직접 접근하지는 못하지만 브라우저 확장 프로그램과 1Password 미니 앱 사이에 오가는 데이터를 감청할 수 있다고 합니다.

"이번 취약점으로 인한 가장 큰 위협은 1Password 미니로 위장한 악성 앱이 웹 브라우저에 설치된 1Password 확장 프로그램으로부터 로그인 정보를 가로챌 수 있는 능력을 갖고 있다는 점입니다.

애플의 앱 샌드박스 정책은 시스템 보안에 매우 효과적인 방법이지만, 1Password 브라우저 확장 프로그램과 1Password 메인 프로그램간의 데이터 교환을 가로막는 장벽으로도 작용합니다. 실제로도 1Password 브라우저 확장 프로그램은 여러분의 데이터에 바로 접근할 수 없습니다.

브라우저 확장 프로그램이 로컬에서 데이터를 교환하는 한 가지 방법은 '웹소켓'을 이용하는 것입니다. 브라우저 확장 프로그램이 웹소켓을 열어 메인 프로그램에 로그인 정보를 요청하면, 메인 프로그램 역시 웹소켓을 통해 관련 정보를 확장 프로그램으로 전달합니다... [중략]

이번 취약점과 같이 공개된 시연 영상은 웹소켓을 오가는 데이터를 감청할 수 있는 위치에 악성 코드가 설치될 수 있다는 것을 증명하고 있습니다. 즉, 악성 코드가 1Password 보관함에 대한 완벽한 제어권을 얻는 것은 아니지만, 사이트에 로그인 할 때 확장 프로그램에서 메인 프로그램으로 전달된 로그인 정보를 중간에서 가로챌 가능성이 열려 있는 것입니다.

저희는 1Password 미니와 브라우저 확장 프로그램이 서로의 신원을 확실히 확인할 수 있기를 원합니다. 그러나 (샌드박스 및 운영체제 보안기술로 인해) 상호 인증이 매우 어려운 실정입니다. 분명히 1Password 미니가 자기가 진짜라는 것을 확장 프로그램에게 증명하고, 반대로 확장 프로그램도 1Password 미니에게 자기가 진짜라는 증명할 수 있는 방법이 있을 것이라고 생각합니다. 하지만 현재로서는 저희 제작사나 취약점을 발견한 연구팀이나 확실한 해결책을 발견하지 못했습니다... [중략]

앞으로 연구팀이 공개한 보고서를 바탕으로 이번 취약점을 차단할 수 있는 해결책을 계속 찾아 나설 것이며, 꾸준히 소식 업데이트 하겠습니다...

- AgileBits


* 1분 30초 - 사용자가 웹 브라우저에서 입력한 로그인 정보를 1Password로 전달되기 전에 악성 앱이 가로채는 장면

대책

여러 언론 매체의 분석에 따르면 이번 취약점은 단순히 응용 프로그램 자체적으로 해결할 수 있는 문제가 아니라, 운영체제 단에서 손을 봐야 하는 문제로 알려져 있습니다. 애플의 조속한 대응이 필요하다는 얘기죠. 애플이 보안 패치를 내놓을 때까지 1Password 제작사가 제안하는 사실상 유일한 대비책은 악성 앱이 1Password 미니로 위장하지 못하도록 1Password 미니를 늘 실행하는 것입니다.

1Password 환경설정 ▶︎ 일반 탭에 들어가 관련 옵션을 켜면 OS X이 시작할 때 1Password 미니가 같이 시작됩니다. 다만, 1Password 미니보다 악성 앱이 먼저 실행되면 소용이 없으므로, 미심쩍은 앱이 OS X과 같이 시작하지 않도록 시스템 환경설정 ▶︎ 사용자 및 그룹 ▶︎ 로그인 항목을 수시로 점검할 것을 권장하고 있습니다.

또한 연구팀이 애플에 제출한 앱이 심사를 통과하기는 했지만 그럼에도 가장 믿을 만한 곳은 맥 앱스토어라며, 시스템 환경설정 ▶︎ 보안 및 개인 정보 ▶︎ 일반 탭에서 'Mac App Store'에서 다운로드한 앱만 허용하는 옵션을 키는 것으로 위협을 조금이라도 줄일 수 있다고 말하고 있습니다. ▼



참조
AgileBits - 1Password inter-process communication: a discussion

관련 글
OS X과 iOS를 대상으로 하는 치명적인 보안 취약점 발견… '애플 보안기술도 무력화'
• 비밀번호 관리 서비스 ‘라스트패스(LastPass)’ 해킹 당해
• 1Password의 축소판 '1Password mini'를 더욱 편리하게 사용하는 방법

    
  1. Blog Icon
    Unistar

    아이클라우드 키체인 같은 경우는 어떻게 대비를 해야하나요??

    정말 애플에서 해결책을 내기전까진 아무런 방법이 없는건가요?

  2. 키체인에 저장된 비밀번호를 지우고, 서드파티 앱에서 비밀번호를 입력하지 않는 등의 노력으로 피해를 최소화할 수는 있겠지만... 키체인 외에도 악성코드가 영향을 미치는 부분이 많아서... 한 군데가 뚫리면 다른 곳도 순식간이니까요. 애플이 보안 패치를 내놓는 것만이 사실상 유일한 해결책이 될 듯합니다.

  3. Blog Icon
    Unistar

    흐음.. 일단 저 보고서가 공표된 이상.. 애플에서 보안패치를 내기 전까지 새로운 App 이나 무료 App 의 업데이트를 중단해야겟군요..

  4. Blog Icon
    canor

    LassPass에 이어서 이번에는 1password가 타겟이 되네요 ;ㅅ;

  5. 원패스가 타캣이라기보다는 전반적 앱들이 타켓이아닐까요..
    앱의 취약점을 이용한공격이 아닌 OS가 공격을 받을시 문제가생기니까엽

  6. Blog Icon
    개발자코스프레

    1Password는 뭔가요? 저는 환경설정에 1Password가 없던데.. 그럼 상관없는 건가요?

  7. Blog Icon
    사과전문가

    원패스워드 사용하지 않는다고 문제가 없는게 아니라 OSX 자체의 문제 입니다. -__________ -;;

  8. Blog Icon
    OEO

    1password는 키체인이 생기기 이전에 있었던 키체인과 비슷한 암호 관리 어플리케이션 입니다.

  9. 이런 거 보고 있자면 다시 윈도로 돌아가는 것이 현명한 것이 아닐까 생각됩니다. 애플의 답없는 대응을 보고 있자면.

  10. Blog Icon
    ㅁㄴㅁㄴ

    본인은 현명한 답을 찾으셨네요
    안녕히 가세요

  11. Blog Icon
    단세포

    이미 맥을 포기할 수 없는 상태인 저로서는 그래도 윈도우 보단 보안이 낫다며 위로아닌 위로하며 사용할 수 밖에 없네요 ㅜㅜ

  12. Blog Icon
    꾸꾸까까

    참 안전한 곳으로 가시네요,
    부디 그곳에서는 데이터가 안전하길

  13. Blog Icon
    구글

    전형적인 앱등이의 사고방식.....

    비판과 비난의 구분도 하지 못하는...

  14. Blog Icon
    밍구

    윈도가 아무이유없이 지금의 위상을 차지한게 아닙니다.

    최소한 이런 취약점에 대한 대비 - 패치 등 - 는 누구보다도 빠릅니다. 그에 비해 애플은 이상하리만치 대응이 느린 편이죠.

    보안 관련해서는 OSX < Win < Linux 가 대체적 평가입니다.

    (보안이랑 바이러스 및 악성코드랑은 다릅니다. osx이 유닉스 기반이니 구조적으로 더 안전하네 하는 얘기는 바이러스나 악성코드 이야기입니다. )

  15. Blog Icon

    부글부글거리시는 게 웃기네요. 인정할 건 인정합시다.

  16. 비트파인더 사의 Virus scanner pro 사용이 이번 이슈에 도움이 될까요? 이슈 문제 확인 후 바로 설치했는데..

  17. Blog Icon
    황금사과

    개발자 입장으로서 맡은 파트에서 크리티컬 이슈가 올라 왔을때 소프트웨어 로직을 인지 하고 있는 개발자와 인지를 하고 있지 못하는 개발자의 입장은 차이가 많이 납니다. 후자의 경우는 해결을 했더라도 사이드 이펙트(또다른 버그)가 발생할 확률이 매우 높습니다. 개발자가 가장 두려워 하는 부분이 하나의 버그를 해결하기 위해 2-3개 이상의 버그가 발생하는 부분입니다. 물론 아닐 수도 있지만 애플의 입장이 후자의 경우가 아닐까 하는 생각도 드네요.

  18. 뭐 한국은 예외 아닌가요?(대한민국 만세~) 이미 털릴대로 다 털렸는데. 솔직히 여기에 우려의 댓글을 다는 분들중 95% 는 줘도 안털어 갑니다. 맘편하게 기다리고 있으면 알아서들 할거에요. 조용히 넘어가는게 문제지. 이렇게 이슈화 시키면 이미 끝난거...

  19. Blog Icon
    아이맥유저

    털릴대로 다 털리긴 했는데, 지메일이나 드롭박스, 에버노트 같은 외산 서비스들은 국내산 서비스 만큼은 안털렸죠. 이제 그것도 털릴 지경에 이르런 거구요.

  20. Blog Icon
    아이맥유저

    당분간은 옛날로 돌아가야 겠네요. 아이클라우드 키체인 동기화 해제 하고 사파리에 암호저장한것들 다 지우고 해야겠죠.

  21. Blog Icon
    청염

    1Password쪽 블로그에서 읽어본 내용으로 봐서는, 최소한 저 문제를 활용하려고 의도적으로 제작된 앱을 iOS나 Mac에 설치해야 문제가 되는 것 같습니다.
    PC Windows처럼 인터넷 사용중에 Malware를 사용자 모르게 설치하는 방식은 아닌 것 같네요. 최소한 Malware가

    "제가 판을 깔아도 되겠습니까?"

    이런류의 메세지는 받을 수 있는 상황으로 보입니다.

    -_-a 어찌보면, PC-Windows보다는 나은 상황이긴 하네요. "설치할 앱을 신뢰할 수 있는가?"는 컴퓨터 사용에서 가장 기본적인 문제이기도 하고요.(그리고 쉽게 해결되기 어려운 숙제죠)

  22. Blog Icon
    밍구

    윗 분 말씀에 동의합니다. 이 쪽 커뮤니티 특성상 맥을 아끼시는 것은 충분히 알고 있지만 중립성은 좀 떨어지는거 같아요.

    윈도도 무작정 설치하지 않습니다. 비스타부터 VAC가 열나게 물어보고 있는데 그걸 '귀찮아'하면서 기계적으로 예 예를 누르니까 문제인거죠. 유닉스-리눅스의 sudo 명령 같은 시스템을 어느정도 도입을 했기에 사용자가 알고 있으면 다 관리가 돼요. 애초에 윈도 기반이 NT 로 넘어간 뒤로부터는 (xp때와 달리) 윈도라고 특별히 위험하지 않습니다.

    다만, 윈도는 어린아이부터 노인까지 '누구나' 쓴다는 점에서 평균적인 IT 지식수준이 떨어질 수 밖에 없고 그들이 위험에 쉽게 노출되기때문에 윈도우가 위험한 것 처럼 보이는 왜곡효과가 있는거죠. 그리고 가루가 되도록 까이는 xp또한 2001년에 발표된 os입니다. 그 시기에 나온 리눅스 배포판과 OSX-cheetah 등과 비교해보면 도찐개찐입니다. xp는 점유율때메 오랫동안 살아남았고 그때문에 위협에 노출된 기간이 길었던 거죠.

    여튼. 윈도우 사용자를 보안에 무지하거나 관심이 없는 사람으로 치부하는 것은 아주 잘못된 생각입니다. 저도 OSX과 iOS를 메인으로 쓰지만 윈도와 안드로이드에 비해 안전하다는 생각은 '결코' 하지 않습니다.

  23. Blog Icon
    행인1

    밍구님의 명쾌한 글을 보고 지나가다 글을 남김니다. ^^
    한국인 종족 특성상 중립성을 지키는 것이 어려운 부분인거 같습니다.
    조선시대부터 남인, 서인으로 편가르기 시작하더니 현재는 진보, 보수로 박터지게 싸우고 있네요. 그걸 보는 국민들도 별달라 보이지 않는 서글픈 현실이네요. 이런 부분이 유독 한국에서만 심한거 같네요.

  24. Blog Icon
    유령

    행인1님 이야기는 전형적인 식민사관 중 하나네요. "조선인은 편 갈라 싸우는 게 민족성으로..." 어쩌고저쩌고. 세상 어느 나라에서도 정치문제에선 박 터지게 싸웁니다. 민주주의 선진국이라는 영국이나 미국도 진보니 보수니 갈라라서 싸우는 게 하루이틀도 아니고. 심지어 미국에선 공화당 지지한다고 민주당 국회의원 연설회장에서 총기난사하는 미친 놈도 있었죠. 국민성 운운하는 문제로 치부하면 굉장히 편하겠지만, 실제로 해결되는 건 아무것도 없습니다. -_-

  25. Blog Icon
    Wink

    한국만 유독 정치에 관심 많습니다. 지금 다른 나라에 살고 있는데. 한국만 정치 시끄럽습니다. 다른나라의 경우 논리나 상식 그리고 준법이라는 사이에서 움직이는데 한국만 유독 심합니다. 지금사는 곳은 투표율도 낮고 별로 정치에 관심 업습니다. 시위도 굉장히 단조롭고요. 그냥 피켓드는 정도죠. 경찰한테 반항은 생각도 못하죠. 그런데도 살기좋은 나라 상위권이죠.

  26. 그럼에도 불구하고 잘 사니까 정치에 관심이 없는 것이 아닐까요? 한국은 관심을 갖지 않기가 힘드니까 자꾸 관심을 가지는 것이고요.

  27. Blog Icon
    불휘

    왜 윈도랑 비교하면서 우월을 가릴려고 하는지 모르겠습니다.
    마징가 Z랑 철인 28호랑 싸우면 누가 이겨? 딱 이 수준으로 보여요.
    그냥 자기 좋아하는거 쓰면 됩니다. 남 쓰는거 깎아 내리려고 하지말고요.

  28. Blog Icon
    꽃향기

    초보라서... 잘몰라서 그러는데... 그러면 1Password를 사용하면 안되는건가요? 아니면 계속 사용해도 되는건가요?;;;

  29. 일단 문제되는 취약점을 파고드는 프로그램이 아직 맥에 설치되어 있지 않다는 전제하엔 계속 사용하셔도 되지 않나 싶네요^^ 다만 이미 취약점이 공개되었으니 원님 블로그 내용처럼 최소한의 조치를 취하고 당분간 검증되지 않은 프로그램은 설치하지 않는게 바람직해 보입니다.(참고로 원님이 소개하시는 프로그램은 문제 없을테니 이 부분에 한해선 안심해도 되지 않나 싶네요^^)

  30. 앞으로 큰 문제는 없을겁니다. 저 취약점의 문제점은 악의를 가진자가 iOS나 OS X 내부로 자신이 만든 악성 앱을 설치한 이후에 발생합니다. iOS나 OSX에서는 최소한 설치 전에 설치여부를 묻는 단계를 거칩니다.(특성이 그래요) 그 때 주의 하시면 되요.

    일단, 악의적인 앱을 생산하지 않을만한 회사의 앱을 구입하시고, 무료앱도 앞의 회사라는 점을 전제로 그 회사 홈페이지에서 직접 받으셔요. 토렌토나 공개자료실의 파일은 변조 가능성이 있으니 피하시고요.(써 놓고 보니 일반적인 대비책이군요)

  31. Blog Icon
    .

    역시나 덧글이.

  32. 흐름을 알고 갑니다!

  33. Blog Icon
    흠..

    솔직히 그렇게 큰 문제같지 않은데요. iOS 는 앱스토어 검사를 강화하면 끝날일이고. OS X 도 앱스토어 검사를 강화하고 다른 곳에서 받는 앱들은 사용자가 그 개발사를 믿으니까 받는거 아니겠어요. 앱스토어 외의 앱들은 개발사를 믿는거 외엔 방법이 없어 보이는데요. 윈도하고 비교자체가 안되죠. 윈도는 키체인 자체가 없는데. 당연히 맥이 훨씬 우수하니까 키체인 기능이 있는거죠. 저는 키체인에서 다시 입력하라고 한적이 없어서 전혀 걱정없이 키체인을 쓰고 있습니다. 공격자가 했다는것도 그렇게 대단한 공격같지는 않습니다. 키체인 데이터를 뚫은것도 아니고 다시 입력하게 하고 그 키값을 취하는건데. 그 키값을 외부 서버로 전송했다는 것도 아니고. 그럼에도 최악의 상황을 가정해서 애플은 사파리 키체인 보안을 좀더 강화해야 할것 같군요.

  34. AppleInsider쪽 댓글 중에 유사한 내용이 있었습니다. 키체인의 기본 기능에 암호나 저장할 데이터를 앱에서 쓰고 지울 수 있는 것이 있다고요. 그래야 키체인이 제기능을 하지 않는가라고 묻더군요. 오히려 문제는 저런 악의적 앱을 어떤 방식으로 디바이스에 심었는가가 취약점이다고 반문합니다.(맥앱스토어가 문제다?!?)

    결국은 사용자 입장에서 바뀐점이 없습니다.-_-?

  35. Blog Icon
    흠..

    덧붙이자면 앱스토어에 등록된 개발자가 누가 이런 짓을 했는지 뻔히 밝혀질 공격을 앱스토어를 통해서 하겠는가 하는거죠. 자신의 커리어를 바닥으로 버리고 형사고발까지 될수 있는 짓을 앱스토어에 등록된 개발자가 한다? 그야말로 최악의 가정이죠. 그래서 애플도 앱스토어 검사를 안이하게 했는지 모르죠. 결국 이런 공격이 온다면 비앱스토어 앱들을 통해서 이뤄질 가능성이 높죠. 근데 비앱스토어 앱들이 큰회사 앱이나 VLC 같은 오픈소스 앱이라면 이것 역시 그렇게 걱정할 일이 아니죠.

  36. Blog Icon
    rigelee

    앱스토어에 등록된 개발자가 자신의 커리어를 걸고 키체인 암호를 빼내는 숨겨진 코드를 삽입하는 하는 미친 짓을 한다? 일리있는 말씀이시네요.

  37. 오늘 AppleInsider에 애플 코멘트가 나왔습니다. 서버 수준에서 일단 대응이 완료된 상태고, 이번주 내로 패치가 나올거랍니다.

  38. 다들 흥분하신듯..
    전 그렇가보다.. 하고
    애플이 패치 하겠지.. 하면서..
    오타 보고드립니다..
    "일련의 시연 연상을 통해 사실로 증명됐습니다. "

  39. 애플의 구체적인 코멘트가 기다려지는 군요 흐음..