애플 운영체제에서 발견된 심각한 보안 취약점으로 인해 국내외 애플 커뮤니티가 술렁이고 있습니다.
이번에 발견된 취약점은 당장 해결책이 없는 '제로데이(Zero-day)' 익스플로잇으로, 애플의 보안 기술을 유유히 뚫고 들어와 키체인에 저장된 민감한 정보를 훔칠 수 있다고 알려져 있습니다. 물론 아직 컨셉입증(Proof-of-Concept) 단계라 실제 피해를 본 사례는 나오지 않았지만, 악성코드의 원리와 작동방식이 온라인에 상세히 공개됨에 따라 이를 이용한 공격이 곧 등장할 것이라는 지적이 나옵니다.
앞서 전해드린 것과 같이 이번 취약점은 애플 키체인뿐 아니라 타사 응용 프로그램으로부터도 비밀번호를 빼내갈 수 있다고 알려져 충격을 주고 있습니다. 보안 연구팀이 공개한 보고서에 의하면, 개인정보 관리 프로그램인 '1Password'를 비롯해 노트 관리 프로그램인 'Evernote', 푸시 연동 솔루션 'Pushbullet'이 취약점에 노출되어 있으며, 일련의 시연 연상을 통해 사실로 증명됐습니다. 그리고 이 외에도 1,600개가 넘는 OS X 앱과 200개 이상의 iOS 앱을 대상으로 조사한 결과, 90%에 가까운 앱이 XARA 취약점에 대해 완전히 무방비인 상태로 알려져 있습니다.
* XARA 취약점 유형과 영향을 받는 앱/서비스 - Luyi Xing, Indiana University
1Password 제작사 공지
이에 대해 1Password 제작사도 오늘 공식 블로그를 통해 입장을 표명했습니다.
요점만 간추려 전해드리자면, 취약점을 포함한 앱이 1Password 비밀번호 보관소에 직접 접근하지는 못하지만 브라우저 확장 프로그램과 1Password 미니 앱 사이에 오가는 데이터를 감청할 수 있다고 합니다.
"이번 취약점으로 인한 가장 큰 위협은 1Password 미니로 위장한 악성 앱이 웹 브라우저에 설치된 1Password 확장 프로그램으로부터 로그인 정보를 가로챌 수 있는 능력을 갖고 있다는 점입니다.
애플의 앱 샌드박스 정책은 시스템 보안에 매우 효과적인 방법이지만, 1Password 브라우저 확장 프로그램과 1Password 메인 프로그램간의 데이터 교환을 가로막는 장벽으로도 작용합니다. 실제로도 1Password 브라우저 확장 프로그램은 여러분의 데이터에 바로 접근할 수 없습니다.
브라우저 확장 프로그램이 로컬에서 데이터를 교환하는 한 가지 방법은 '웹소켓'을 이용하는 것입니다. 브라우저 확장 프로그램이 웹소켓을 열어 메인 프로그램에 로그인 정보를 요청하면, 메인 프로그램 역시 웹소켓을 통해 관련 정보를 확장 프로그램으로 전달합니다... [중략]
이번 취약점과 같이 공개된 시연 영상은 웹소켓을 오가는 데이터를 감청할 수 있는 위치에 악성 코드가 설치될 수 있다는 것을 증명하고 있습니다. 즉, 악성 코드가 1Password 보관함에 대한 완벽한 제어권을 얻는 것은 아니지만, 사이트에 로그인 할 때 확장 프로그램에서 메인 프로그램으로 전달된 로그인 정보를 중간에서 가로챌 가능성이 열려 있는 것입니다.
저희는 1Password 미니와 브라우저 확장 프로그램이 서로의 신원을 확실히 확인할 수 있기를 원합니다. 그러나 (샌드박스 및 운영체제 보안기술로 인해) 상호 인증이 매우 어려운 실정입니다. 분명히 1Password 미니가 자기가 진짜라는 것을 확장 프로그램에게 증명하고, 반대로 확장 프로그램도 1Password 미니에게 자기가 진짜라는 증명할 수 있는 방법이 있을 것이라고 생각합니다. 하지만 현재로서는 저희 제작사나 취약점을 발견한 연구팀이나 확실한 해결책을 발견하지 못했습니다... [중략]
앞으로 연구팀이 공개한 보고서를 바탕으로 이번 취약점을 차단할 수 있는 해결책을 계속 찾아 나설 것이며, 꾸준히 소식 업데이트 하겠습니다...
* 1분 30초 - 사용자가 웹 브라우저에서 입력한 로그인 정보를 1Password로 전달되기 전에 악성 앱이 가로채는 장면
대책
여러 언론 매체의 분석에 따르면 이번 취약점은 단순히 응용 프로그램 자체적으로 해결할 수 있는 문제가 아니라, 운영체제 단에서 손을 봐야 하는 문제로 알려져 있습니다. 애플의 조속한 대응이 필요하다는 얘기죠. 애플이 보안 패치를 내놓을 때까지 1Password 제작사가 제안하는 사실상 유일한 대비책은 악성 앱이 1Password 미니로 위장하지 못하도록 1Password 미니를 늘 실행하는 것입니다.
1Password 환경설정 ▶︎ 일반 탭에 들어가 관련 옵션을 켜면 OS X이 시작할 때 1Password 미니가 같이 시작됩니다. 다만, 1Password 미니보다 악성 앱이 먼저 실행되면 소용이 없으므로, 미심쩍은 앱이 OS X과 같이 시작하지 않도록 시스템 환경설정 ▶︎ 사용자 및 그룹 ▶︎ 로그인 항목을 수시로 점검할 것을 권장하고 있습니다.
또한 연구팀이 애플에 제출한 앱이 심사를 통과하기는 했지만 그럼에도 가장 믿을 만한 곳은 맥 앱스토어라며, 시스템 환경설정 ▶︎ 보안 및 개인 정보 ▶︎ 일반 탭에서 'Mac App Store'에서 다운로드한 앱만 허용하는 옵션을 키는 것으로 위협을 조금이라도 줄일 수 있다고 말하고 있습니다. ▼
참조
• AgileBits - 1Password inter-process communication: a discussion
관련 글
• OS X과 iOS를 대상으로 하는 치명적인 보안 취약점 발견… '애플 보안기술도 무력화'
• 비밀번호 관리 서비스 ‘라스트패스(LastPass)’ 해킹 당해
• 1Password의 축소판 '1Password mini'를 더욱 편리하게 사용하는 방법
