본문 바로가기

새소식/Mac

사용자 몰래 '동의' 버튼 누르는 새로운 형태의 악성코드 발견... 'OS X 키체인 노린다'

얼마 전 OS X 최신 버전에서 'DYLD_PRINT_TO_FILE'라는 취약점이 발견돼 보안 커뮤니티를 발칵 뒤집어 놓은 적이 있습니다.

사용자 몰래 OS X에 침투해 시스템을 변조하고 악성코드를 심어놓는 매우 강력한 취약점이었죠. 게다가 암호 입력 없이도 루트 권한을 획득할 수 있어서 OS X 보안성에 대한 큰 의문이 제기되기도 했습니다. 한동안 뾰족한 대응책이 없는 '제로데이 익스플로잇'으로 남아 있다가 지난달 애플이 보안 패치를 배포하면서 현재로서는 논란이 일단락 된 상태입니다.

하지만 창과 방패의 싸움이라고 해야할까요. 해당 취약점이 보안 패치에 의해 원천 차단되자, 다른 활로를 통해 시스템에 침투하는 변종 취약점이 새로이 등장했습니다.

보안 업체로 잘 알려진 '멀웨어바이트(Malwarebytes)'가 발견한 이번 취약점도 지난 번과 마찬가지로 '인스톨러' 형태로 발견되었습니다.

인스톨러를 실행하면 사파리에 광고를 띄우는 다수의 확장 프로그램(Genieo, VSearch)과 맥키퍼 같은 악성 프로그램 설치를 시도합니다. 여기까지는 지금까지 흔히 보아오던 애드웨어와 크게 다르지 않습니다. 하지만 악성 프로그램을 설치하는 과정에서 사용자가 눈치채지 못하는 방법으로 '키체인' 접근을 시도합니다. 키체인은 애플이 제공하는 보안 기능으로 맥, 아이폰 등에서 사용하는 각종 암호와 인증서, 신용카드 정보, 로그인 정보 등을 안전하게 보관하는데 사용됩니다.

아래 영상에서 볼 수 있듯이 프로그램 설치 동의 버튼을 누르면 배경에 키체인 접근을 허용하는 대화상자가 나타나는데, 놀랍게도 '승인' 버튼이 자동으로 눌러집니다.

키체인 접근에 대한 동의를 묻는 창이 순식간에 사라지는 것 포착하셨나요? 모든 과정이 너무 빠르게 이뤄져서 뭐가 지나갔나 싶을 정도입니다. 사용자가 암호를 입력해야 한다는 점에서 지난 취약점과 차이를 보이지만, 자칫 부주의하게 암호를 입력하면 키체인에 저장된 각종 로그인 정보가 외부로 새어나갈 수 있는 가능성이 열리게 되는 것입니다.

인스톨러가 키체인에 접근하기 위해 사용한 방법은 '그래픽 유저 인터페이스 스크립팅(GUI Scripting)'이라는 기능입니다.

GUI 스크립팅은 OS X에 내장된 오토메이션 기능의 하나로, 화면에 표시된 그래픽 요소를 소스코드 몇 줄로 간단히 조작할 수 있게 도와주는 기능입니다. 예컨대 좌표를 포함한 소스코드를 실행하면 해당 좌표에 있는 버튼을 클릭하거나 입력 필드에 텍스트 등을 삽입할 수 있습니다. 원래 거동이 불편한 사용자나 생산성을 높이고 싶어하는 사용자를 위해 애플이 마련한 기능인데 인스톨러가 이를 엉뚱한 방향으로 악용하고 있는 것입니다.

사용자 암호만으로도 시스템에 애드웨어를 심을 수 있는데 인스톨러는 왜 키체인 접근을 시도하는 것일까?

인스톨러를 발견한 멀웨어바이트는 OS X 10.11 엘 캐피탠과 같이 도입될 새로운 사파리 익스텐션 갤러리 떄문인 것으로 추측하고 있습니다. 일전에 별도의 포스트로 한차례 전해드린 적이 있는데, 앞으로 외부 개발자가 사파리 익스텐션 갤러리에 확장 프로그램을 등록하려면, 반드시 애플의 심사를 통과해야 합니다. 사파리의 확장성을 어느 정도 포기하더라도 보안성을 높이겠다는 것이죠. 물론 개발자가 자신의 사이트를 통해 확장 프로그램을 직접 배포할 수도 있는데, OS X 보안 기능에 의해 언제든 차단될 수 있고 확장 프로그램이 업데이트 될 때마다 사용자가 수동으로 설치해야 하는 제약이있습니다

즉 광고를 띄우는 확장 프로그램이 애플의 심사를 통과 할리 없고, 가만히 있으면 유포와 업데이트가 막히는 형국이고... 결국 사용자의 키체인을 털어 설치와 업데이트를 한번에 해결하려는 것 아니겠냐는 것입니다.

멀웨어바이트는 이미 불특정 다수의 웹사이트를 통해 해당 인스톨러의 여러 변종이 유포되고 있다며 사용자의 주의를 당부했습니다.

ONE™: 새로 발견된 취약점이나 익스플로잇 소식을 전해드릴 때마다 괜한 불안감을 조성하는 것 아닌가 하는 우려가 듭니다. 하지만 모르고 당하는 것보다 미리 알고 대처하는 것이 훨씬 현명하고 효과적인 방법이라 믿습니다. 늘 그렇지만 운영체제와 인터넷 브라우저를 항상 최신 버전으로 유지하고, 프로그램을 내려받을 때는 앱스토어나 공식 사이트 같이 신뢰할 수 있는 곳을 이용하는 등의 기초적인 수칙을 잘 지키고 있다면 앞으로 이런 포스트는 그냥 건너뛰셔도 되지 않을까 생각합니다. 더불어 맥에 무언가를 설치할 때 무의식적으로 '동의' 버튼을 누르거나 암호를 입력하는 습관을 갖고 계신다면 빨리 버리시는 게 좋습니다. 그 누구도 여러분의 맥을 대신 지켜주지는 못하기 때문입니다.



참조
Malwarebytes - Genieo installer tricks keychain

관련 글
• 애플, 사파리 익스텐션 갤러리 개편 예고... 개발자 프로그램 유료화 및 사전 심사제도 시행
• 맥용 애드웨어 제거 도구 'Malwarebytes Anti-Malware'
• 악성코드급 사파리 확장 프로그램 'SearchMe' 사파리에서 링크를 클릭했는데 'Top Sites'가 뜬다면...
• 'MacKeeper'를 클릭 한 번으로 깨끗이 지워드립니다... 'DetectX'