올해 일어난 애플 관련 보안사고, 지난 5년에 비해 월등
탈옥하지 않고, 공식 스토어 사용하면 안전하다는 것도 옛말
본지에서는 4사분기를 맞이하여 조금 긴 듯한 특집 기사를 시리즈로 준비했습니다. 애플, 암호 관리 프로그램, 보안 업계의 희망, 해외 핵 관련 시설의 보안 실태, 사이버 보안의 10가지 요소들에 대한 이야기를 나눌 예정입니다. 첫 번째 이야기의 주제는 ‘애플’입니다.
[보안뉴스 문가용] 지난 수년간 애플의 고객들은 비교적 낮은 시장 점유율 덕분에 안전하다고 느끼며 살아왔다. ‘시장이 작으니 상대적으로 공격이 적을 거야’라는 생각이랄까. 게다가 앱 개발 환경도 상당히 폐쇄적이고 앱 스토어의 진출도 매우 깐깐하다보니 실제 애플은 청정지역에 속해왔다. 그러나 이것도 이젠 옛말. 시장 점유율이 낮고 애플의 앱 환경이 빡빡해도 사고가 점점 더 빈번해지고 있다.
일단 시장 점유율 자체가 낮다고 절대 iOS 환경이 해커들에게 덜 매력적인 곳이 아니라는 게 드러났다. 애플의 제품이 워낙 인기가 많고, 보안이 좋다는 인식 때문에 오히려 중요한 요소요소에는 애플의 제품이 잘 배치되어 있다. 즉 해커 입장에선 효율이 좋은 편에 속하는 것이다. 실제로 지난 5년 간 애플 환경에 출몰한 멀웨어보다 올 한해 나타난 멀웨어의 수가 다섯 배는 많았다. 애플의 보안상태, 한번 중간점검을 해봐야 할 타이밍이다.
1. 안 좋은 사건들의 연속
지난 몇 개월 동안 맥과 iOS 환경과 관련해서는 나쁜 소식들만 줄기차게 이어졌다. 몇 가지를 정리해보았다.
키체인(Keychain) 취약점 : 맥 OS X의 키체인(Keychain)에서 발견된 취약점으로 애플에게 보고된 지는 1년 전, 대중에게 공개된 것은 지난 6월이었다. 즉 6개월의 기간 동안 픽스가 나오지 않은 것이다. 이 취약점을 활용하면 아이클라우드나 페이스북 등의 애플리케이션의 암호나 토큰을 포함한 다양한 정보를 훔치는 게 가능해진다.
게이트키퍼(Gatekeeper) 취약점 : 보안 업체인 사이낵(Synack)의 책임자인 패트릭 워들(Patrick Wardle)이 공개한 취약점으로, 게이트키퍼라는 기능 자체가 코드 실행을 제한시키는 것인데 아이러니하게도 이걸 악용한 공격이 가능하다는 게 발표돼 충격을 준 바 있다. 그런데 이 또한 지난 10월까지 수정이 안 되고 있는 상태다(발견 시점은 8월). 워들에 의하면 “이거 고치는 거 일도 아닌”데 말이다.
DYLD_PRINT_TO_FILE 취약점 : 7월에 발견된 취약점으로 8월 중순 경 패치가 되었다. 맥 OS X 요세미티 버전의 환경 변수에 있던 버그로 루트 권한을 발동시킬 수 있는 취약점이었다.
Tpwn 취약점 : 8월 중순에 대중에게 공개된 취약점으로 패치보다 공개가 더 빨랐다. Tpwn 취약점은 OS X 매버릭부터 요세미티까지의 커널에서 발견된 메모리 변형(memory corruption) 버그다. 익스플로잇 할 경우 권한 상승과 루트 권한 탈취가 가능하다.
키레이더(KeyRaider) : 8월 후반기에 발견된 키레이더 멀웨어는 2십 2만 5천 개의 정식 애플 계정을 탈취해 기기들에 랜섬웨어를 심고 데이터를 훔치고 사기 거래를 일으켰다. 멀웨어는 허가되지 않은 iOS 앱 다운로드 파일에 교묘하게 감춰져 있었고, 다행히 허가되지 않은 앱을 설치하는 건 탈옥한 사람들에게만 가능한 일이었으므로 피해는 다소 제한적이었다.
에어드랍(AirDrop) 취약점 : 9월 중순에 발견된 취약점으로 맥과 iOS 모두에 해당됐다. 새로 나온 iOS 9에는 패치가 되었다. 이를 악용하면 공격자들이 iOS와 맥 기기를 블루투스를 통해 공격하는 게 가능해졌다. 에어드랍의 파일공유 기능을 악용하는 게 주요 포인트였다.
엑스코드고스트(XCodeGhost) : 지난 9월 후반에 발견된 취약점으로 탈옥되지 않은 iOS 기기들을 공격하는 게 가능하다는 사실이 대대적으로 알려지는 계기가 되었다. 엑스코드고스트는 애플의 앱 개발 소프트웨어인 엑스코드의 트로이목마 버전이라고 정리할 수 있다. 공격자들은 엑스코드를 오염시키고, 이를 중국의 클라우드 저장서비스인 바이두 윤판(Baidu Yunpan)에 업로드시켰다. 중국의 앱 개발자들은 아무것도 모른 채 다운로드를 받아 앱을 개발한 후 공식 앱 스토어에 올렸다. 처음엔 40개 앱에서 문제가 발견되었는데 이는 곧 4천으로 늘어났다.
이스펙터(YiSpecter) : 10월초 팔로알토의 연구원들이 애플의 비공개 API를 남용하고 있는 앱 100여개를 아이튠즈 앱 스토어에서 발견했다. 애플의 비공개 API라고 하면 오직 애플에서만 사용하고 있으며 다른 앱 개발자들에겐 철저하게 비밀로 부쳐지는 것이다. 이스펙터는 사용자가 허용하지 않은 앱을 다운로드 받아 공식 앱과 바꿔치기 하는 기능을 가졌다. 또한 일정한 광고를 강제로 노출시키기도 한다.
기타 악성 앱들 : 10월초, 애플은 갑자기 앱 스토어에서 몇 개의 앱을 삭제했다. 전부 광고를 차단하는 기능을 가진 앱이었으며, 또한 루트 인증서를 설치해 암호화된 트래픽을 포함한 모든 트래픽을 노출시키는 기능을 가진 것들이었다. 이를 수정하면 앱 스토어에 다시 올라가는 게 가능하다고 공표한 상태다.
2. 신뢰에 금이 가다 : 엑스코드고스트
위에 열거했다시피 여러 가지 일이 있었지만 그 중 가장 큰 파장을 일으킨 건 엑스코드고스트라고 팔로알토 네트웍스의 위협 첩보 책임자인 라이언 올슨(Ryan Olson)은 말한다. ‘탈옥을 해도 위험하다’는 게 기정사실화된 사건이기 때문이다. 게다가 공식 앱 스토어에까지도 감염된 앱이 올라왔으니 애플이 그렇게 자랑하던 강력한 보안에 비전문가들도 의문을 품게 되었다.
“게다가 개발자들이라고 해서 보안에 대해 굉장히 민감하거나 잘 알고 있지 않다는 사실 역시 드러났죠.” 보통 보안 수칙이라고 하는 것들은 일반 사용자들을 대상으로 하고 있지, 앱을 개발하는 사람들까지 고려하고 있지는 않다. 엑스코드 이후로 보안 수칙을 정할 때 고려해야 할 대상이 늘어났다고도 할 수 있다.
중국의 위협 첩보 기업인 쓰레트북(ThreatBook)은 이 엑스코드고스트에 관해 보다 심도있는 연구를 진행했다. 일단 사건을 복기해보자면 9월 19일, 문제의 멀웨어가 세간의 이목을 끈 지 이틀 후, 한 인물이 나타나 자신의 짓이라고 실토하면서 트위터에 사과문을 남겼다. 해당 트위터 계정은 @XcodeGhost-Author였다. 그 인물의 주장에 의하면 엑스코드고스트는 단지 엑스코드의 기능 일부를 실험해보기 위해 만들어진 것이다. 수집한 것은 기기 관련 데이터이며 실험이 끝나고서는 그나마도 삭제했다고 밝혔다. 또한 엑스코드고스트에 있는 광고 전달 기능은 단 한 번도 악용한 적이 없으며 지금은 오프라인 상태로 해제시켜두었다고 했다. 그런데 22일, 해당 포스트는 삭제되었으며 오히려 문제의 엑스코드를 Unit3D라는 포럼에서 다운로드 받을 수 있다는 안내문구가 떴다.
“당연히 원 사과문이 진짜였다고 보기 힘든 상황이라고 해석됩니다.” 쓰레트북의 전문가인 홍 지아(Hong Jia)의 설명이다. “엑스코드고스트를 또 다시 퍼트릴 생각이었다면 애초에 사과문을 길게 작성할 필요도 없었겠죠. 아마 자기들 예상보다 빠르게 엑스코드고스트의 정체가 드러나자 당황해서 일단 ‘괜찮다’는 말로 사람들을 안심시켜서 경계심을 낮추려고 했던 것 같습니다.”
이렇게 의심하는 데에는 또 다른 이유가 있다. 엑스코드고스트의 활동 기간이 무려 7개월이 넘는다는 사실이다. 단순히 실험이라고 하기에 이는 지나친 정성이다. “처음 엑스코드고스트 팀이 icloud-analysis.com이라는 도메인을 등록한 건 2월 25일입니다. 이 시점엔 이미 실험을 할 준비가 다 된 상태였죠. 그리고 8월과 9월 사이에만 20개의 새 도메인을 등록합니다. 그 중 적어도 세 개는 C&C 서버인데, 바로 icloud-analysis.com, icloud-diagnostics.com, crash-analytics.com이 바로 그것입니다. 등록자는 전부 알 수가 없는 상태입니다. 이렇게까지 공을 들였다는 것은, 그만큼 다른 목적이 존재한다고 볼 수 있는 근거가 됩니다.”
사과문에 따르면 엑스코드고스트로 하던 일은 다름 아니라 기기들의 정보를 모으는 것이었다. 하지만 멀웨어를 분석한 결과 가짜 경고 메시지를 푸시해 사용자에 대한 소셜 엔지니어링 공격도 할 수 있는 것으로 드러났다. 즉 로그인 정보나 인증 정보를 가로채는 공격에도 활용될 가능성이 높아보였다는 것. “사용자의 클립보드에 있는 내용도 읽을 수 있었습니다. 즉 사용자가 암호를 복사해서 사용했을 경우, 그걸 간단하게 알아낼 수 있었다는 거죠.”
또 하나 의심이 되는 건 엑스코드고스트의 강력한 스텔스 기능이다. “우회 기능 및 숨는 기능이 굉장히 강력합니다. 그렇게 가벼운 실험만이 목적이었다면 절대로 불필요한 정도였어요. 아마 계속해서 어딘가에 숨어서 더 무서운 일들을 감행할 의도였을 겁니다. 생각보다 빨리 꼬리가 잡힌 것이죠.”
쓰레트북은 여기에서 더 나아가 엑스코드고스트 팀이 3~5명으로 구성되었을 거라고 예측한다. 멀웨어의 제작, 배포, 홍보까지 다양한 활동들이 이루어지고 있기 때문이다. 그리고 그 중 한 명은 산둥에 있는 한 대학생을 거라고 추측한다. C&C 서버의 IP 히스토리를 추적, 분석했을 때 해당 지역의 IP가 나왔기 때문이다.
엑스코드고스트가 성공한 것은 중국 내 iOS 앱 개발자들이 대부분 엑스코드를 사용하고 있으며, 또한 제3자 서비스, 즉 공식 앱 스토어가 아닌 경로로 받은 것이 주 원인이라고 분석된다. “그렇다고 해서 이번 사건으로 인해 엑스코드의 인기가 뚝 떨어질 것 같지도 않습니다. 또한 제3자 서비스를 활용하면 다운로드 속도도 훨씬 빠르기 때문에 바이두 같은 서비스가 망할 것 같지도 않고요.”
3. 신뢰에 금이 가다 : 게이트키퍼 취약점
또 하나 맥과 iOS 환경이 신뢰를 주었던 이유는 모든 코드가 인증의 과정을 거쳤기 때문이다. 즉 탈옥을 하지 않고서는 비공식 앱을 사용하는 건 원천 차단되어 있던 것. 뿐만 아니라 허가되지 않은 코드의 실행 자체가 아예 불가능한 환경이었던 것이다. 이를 가능하게 해주는 게 바로 애플 게이트키퍼(Apple Gatekeeper)였다.
“게이트키퍼의 할 일은 딱 하나였는데, 그나마도 제대로 하고 있지 않더군요”라는 워들의 설명 그대로다. 워들은 올 여름 블랙햇에서 게이트키퍼 농락하는 법을 들고 나와 보안 전문가들 앞에서 시연한 바 있다. 그리고 이번 달 프라하에서 열린 바이러스 불레틴(Virus Bulletin)이라는 컨퍼런스에서 워들은 아직도 이 문제가 해결되지 않았음을 또 공개했다. 이는 9월 30일 새로운 OS X가 이미 발표되었던 시점이라 충격이 더했다. 일을 안 하고 있는 건 게이트키퍼가 아니라 아예 애플 그 자체였던 것.
워들은 또한 바이러스 불레틴에서 지난 여름엔 몰랐던 새로운 게이트키퍼 우회 방법을 공개했다. 바로 악성코드를 게이트키퍼가 인증한 인스톨러 패키지에 넣어서 통과시키는 것으로, 이는 게이트키퍼가 포장지만 확인하지 내용물은 검사하지 않는 취약점을 노린 것이다. 이는 상당히 기본적이고 초보스러운 공격까지도 허용하는 취약점이라고 한다. “즉 고치는 데에도 별다른 어려움이 없는 것인데, 아직도 패치가 나오지 않는 게 이해가 가지 않는군요.”
4. 갈수록 늘어나는 맥용 멀웨어
최근 보안업체인 비트9+카본블랙 위협연구팀(Bit9 + Carbon Black Threat Research)이 흥미로운 연구결과를 발표했다. 2015년 한 해에 나타난 OS X 멀웨어가 지난 5년간 등장한 멀웨어를 전부 합한 것보다 5배 많다는 것이었다.
이들은 지난 10주간 1400개가 넘는 샘플들을 분석했다. 샘플이라 함은 오픈소스, 사건 대응 관련 자료, 다른 업체나 기관들의 연구 자료, 블랙리스트, 무료 멀웨어 덤프 등을 말한다. 1400개 중 겹치는 건 단 하나도 없도록 연구를 구성했다. 해당 연구를 진행한 마이크 스콘조(Mike Sconzo)는 “기하급수적이라는 표현이 아깝지 않을 정도의 성장률이다”라며 “아마 더 빨라지면 빨라졌지 줄어들진 않을 것으로 보인다”고 예측했다.
스콘조는 “멀웨어의 대부분은 애드웨어였으며 급격한 양적 성장에도 불구하고 기능 자체가 세련되거나 최첨단인 것은 별로 없었다”고 ‘기하급수적인’ 멀웨어 성장의 또 다른 측면을 짚었다. “아마 앞으로도 이렇게 ‘기본적이고 무난한’ 멀웨어들이 등장할 것으로 봅니다.”
OS X가 FreeBSD 기반의 운영체제이기 때문에 유닉스나 리눅스에 대한 공격도 같이 늘어나는 게 자연스러운 현상일 거 같으나 실제로는 그렇지 않았다는 것도 의외였다고 스콘조는 말한다. “OS X 멀웨어들의 비교적 ‘기초적인 수준’이나, 유닉스/리눅스로 거슬러올라간 공격도 크게 늘지 않았다는 걸 봤을 때, 윈도우 멀웨어 제작자들에 비해 OS X 멀웨어 제작자들은 경력이 짧거나 비교적 신참들이 많은 것으로 보입니다.”
5. 시장이 작다고 안전하다고 할 수 없어
사실 OS시장의 90%를 차지하는 게 있다면 해커들은 그 OS를 노릴 수밖에 없다. 그것이 효율적이기 때문이다. 그것이 애플이 안전한 상태로 버텨올 수 있는 이유 중 하나였다. 윈도우의 보급률에 비해 맥 OS X의 보급률은 현저하게 떨어졌기 때문이다. 그렇기 때문에 위에서도 언급되었지만 윈도우 멀웨어가 훨씬 더 발전되어 있는 것이다.
그러나 iOS라는 것이 등장하면서 낮은 시장 점유율이라는 보호막이 걷히게 되었다. 맥의 OS X는 여전히 7.72%라는 낮은 시장율을 점하고 있지만 이는 PC에서의 이야기일 뿐 모바일로 가면 이야기가 사뭇 달라진다. iOS의 시장점유율은 38.6%에 달한다는 것. 실상은 이보다 더 높을 지도 모른다는 것이 전문가들의 의견이다. 굿 테크놀로지(Good Technology)에서 발표한 ‘2사분기 모바일 분석 보고서’에 따르면 전 세계 시장에서 iOS가 갖는 지분은 64%라고 한다.
모바일 시장 자체가 PC 시장을 능가할 정도로 커가고 있다는 걸 생각해보면 이런 조사 결과가 시사하는 바는 숫자로 표기되는 것 이상이라고 볼 수 있다. “결국 참새가 방앗간에 몰리듯, 데이터 있는 곳에 해커들이 몰리기 마련입니다. PC에서 모바일로 점점 더 많은 데이터가 흘러가고 있는데, 앞으로 해커들의 모바일 공격이 더 빈번해질 것으로 보입니다.”
이렇게 되면 여태까지 애플이 ‘안전하다’고 여길 수 있었던 느낌을 윈도우 사용자들이 받을 정도로 상황이 역전될 가능성도 높다. “윈도우폰의 인기를 생각해보면 충분히 가능한 얘기입니다.” 스콘조의 설명이다. “그렇다면 이제 애플 측에서 그동안 윈도우 환경이 사이버 공격에 대해 어떤 식으로 대처해왔는지를 배워둬야 할 필요가 있습니다.”
6. 맥 보안툴, 아직도 미성숙해
시장이 작아 안전했다는 건 다시 말해 애플로서 보안 툴에 대해 고민할 필요가 없었다는 뜻이고, 실제 애플의 보안툴은 윈도우의 그것에 비해 상당히 저급하다. 특히 엔드포인트 보안에 대해서는 속수무책의 수준이다. 하지만 이제 상황이 바뀌었으므로 이 점 역시 바뀌어야 한다.
다만 아직까지 애플 생태계에서 나타난 멀웨어들의 수준이 그렇게 높지 않다는 것인데, 이는 오히려 위에 언급한 이유로 저주일 수도 있다. “계속해서 낮은 수준의 공격에만 대처하다보면 현재의 저급한 기술에 만족할 수 있거든요. 그러다 갑자기 높은 수준의 공격이 들어오면 당할 수밖에 없는 것이죠. 결국 방어의 수준은 공격의 수준만큼 올라가게 되어 있습니다. 그 반대도 마찬가지고요.”
결국 애플이 고집하고 있는 보안의 방법이란 사용자들의 사용 방법을 제한하는 것이다. 결국 탈옥하지 말라는 거였는데, 이는 ‘애플 말만 들으면 안전할 수 있어’라는 소비자들의 신뢰가 있어야만 성립이 가능한 방법이다. 일반적인 가정 환경에서 평범하게 애플 기기를 소비하는 사람들이라면 이것으로도 충분하고, 또한 필요한 신뢰를 애플에게 제공하는 것이 그리 어렵지 않을 것이다. 다만 기업에서 사무용으로 애플의 생태계를 활용하고 있다면 이 신뢰는 절대적으로 필요한 요소가 된다. “하지만 현실은 어떤가요? 애플의 보안은 점점 신용을 잃고 있죠.”
그나마 다행이라면 애플이 생각보다 보안을 심각하게 다루고 있다는 점이다. 패치를 내놓거나 고객의 프라이버시를 보호하는 일에 점점 더 빨라지고 있기 때문이다. “문제를 해결하는 데에 보다 적극적이 되었어요. 중간중간 사람들의 의문을 해결해주는 과정도 빨라지고 정확해지고 있고요. 아마도 보안 팀을 굉장히 똑똑한 사람들로 새롭게 구성한 것이 아닐까 합니다.”
7. 그래도 안드로이드보다는 나아
올슨은 역설적으로 “이렇게 애플 관련 사고 소식이 아직도 신선하고 충격적으로 다가오는 것 자체가 이미 애플이 기타 다른 OS 보다 낫다는 걸 반증”한다고 주장한다. “물론 애플 사용자들이 가지고 있던 안도감을 한 꺼풀 벗겨내긴 했습니다. 하지만 반대로 생각해보면 막연해서 잘못되었던 고정관념이 깨져가는 바람직한 현상이라고도 해석이 가능합니다.”
또한 사고가 빈번히 발생하고는 있지만 안드로이드에 비하면 새 발의 피 수준이라는 것도 올슨의 주장이다. 즉, 안드로이드가 가지고 있는 위험성이 압도적으로 크다는 것. “탈옥만 생각해봐도 알 수 있죠. 애플 탈옥은 얼마나 복잡합니까. 안드로이드 탈옥은 스위치 하나로 해결되는데 말이죠. 사실 안드로이드 해킹이 더 자주 일어나는 건 단순히 사용자가 많아서인 것만은 아닙니다. 공격하기 쉽기 때문이기도 하죠.”
지아의 의견도 같다. “저도 안드로이드에 비하면 애플이 낫다고 봅니다. 다만 이제 애플을 안전하게 만들어주었던 폐쇄적인 시스템이 점점 열리고 있으니 자칫 방심하다보면 어느 새 하향평준화 되어 있을 것도 같습니다.”
워들의 경우 “iOS는 점점 튼튼해지고 있습니다만 맥의 OS X는 그렇지 않은 듯 하다”고 말한다. 그럼에도 아직 윈도우에 비해 맥은 대단히 위험하다고 할 만한 수준은 아니다. “윈도우가 계속해서 득세할 것이 예상되는 이 때에, 맥이 실질적으로 위험에 처할 날이 오긴 할런지...”
애플도 모바일 시장에서의 급부상으로 이제부터는 전혀 새로운 것을 고민해야 한다. “이미 애플도 이 사실을 알고 있습니다. 준비 중에 있기도 하고요. 애플이 보안에 대해 본격적으로 나설 경우, 또 시장에 어떤 변화가 올지 궁금해집니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
탈옥하지 않고, 공식 스토어 사용하면 안전하다는 것도 옛말
본지에서는 4사분기를 맞이하여 조금 긴 듯한 특집 기사를 시리즈로 준비했습니다. 애플, 암호 관리 프로그램, 보안 업계의 희망, 해외 핵 관련 시설의 보안 실태, 사이버 보안의 10가지 요소들에 대한 이야기를 나눌 예정입니다. 첫 번째 이야기의 주제는 ‘애플’입니다.
[보안뉴스 문가용] 지난 수년간 애플의 고객들은 비교적 낮은 시장 점유율 덕분에 안전하다고 느끼며 살아왔다. ‘시장이 작으니 상대적으로 공격이 적을 거야’라는 생각이랄까. 게다가 앱 개발 환경도 상당히 폐쇄적이고 앱 스토어의 진출도 매우 깐깐하다보니 실제 애플은 청정지역에 속해왔다. 그러나 이것도 이젠 옛말. 시장 점유율이 낮고 애플의 앱 환경이 빡빡해도 사고가 점점 더 빈번해지고 있다.
일단 시장 점유율 자체가 낮다고 절대 iOS 환경이 해커들에게 덜 매력적인 곳이 아니라는 게 드러났다. 애플의 제품이 워낙 인기가 많고, 보안이 좋다는 인식 때문에 오히려 중요한 요소요소에는 애플의 제품이 잘 배치되어 있다. 즉 해커 입장에선 효율이 좋은 편에 속하는 것이다. 실제로 지난 5년 간 애플 환경에 출몰한 멀웨어보다 올 한해 나타난 멀웨어의 수가 다섯 배는 많았다. 애플의 보안상태, 한번 중간점검을 해봐야 할 타이밍이다.
1. 안 좋은 사건들의 연속
지난 몇 개월 동안 맥과 iOS 환경과 관련해서는 나쁜 소식들만 줄기차게 이어졌다. 몇 가지를 정리해보았다.
키체인(Keychain) 취약점 : 맥 OS X의 키체인(Keychain)에서 발견된 취약점으로 애플에게 보고된 지는 1년 전, 대중에게 공개된 것은 지난 6월이었다. 즉 6개월의 기간 동안 픽스가 나오지 않은 것이다. 이 취약점을 활용하면 아이클라우드나 페이스북 등의 애플리케이션의 암호나 토큰을 포함한 다양한 정보를 훔치는 게 가능해진다.
게이트키퍼(Gatekeeper) 취약점 : 보안 업체인 사이낵(Synack)의 책임자인 패트릭 워들(Patrick Wardle)이 공개한 취약점으로, 게이트키퍼라는 기능 자체가 코드 실행을 제한시키는 것인데 아이러니하게도 이걸 악용한 공격이 가능하다는 게 발표돼 충격을 준 바 있다. 그런데 이 또한 지난 10월까지 수정이 안 되고 있는 상태다(발견 시점은 8월). 워들에 의하면 “이거 고치는 거 일도 아닌”데 말이다.
DYLD_PRINT_TO_FILE 취약점 : 7월에 발견된 취약점으로 8월 중순 경 패치가 되었다. 맥 OS X 요세미티 버전의 환경 변수에 있던 버그로 루트 권한을 발동시킬 수 있는 취약점이었다.
Tpwn 취약점 : 8월 중순에 대중에게 공개된 취약점으로 패치보다 공개가 더 빨랐다. Tpwn 취약점은 OS X 매버릭부터 요세미티까지의 커널에서 발견된 메모리 변형(memory corruption) 버그다. 익스플로잇 할 경우 권한 상승과 루트 권한 탈취가 가능하다.
키레이더(KeyRaider) : 8월 후반기에 발견된 키레이더 멀웨어는 2십 2만 5천 개의 정식 애플 계정을 탈취해 기기들에 랜섬웨어를 심고 데이터를 훔치고 사기 거래를 일으켰다. 멀웨어는 허가되지 않은 iOS 앱 다운로드 파일에 교묘하게 감춰져 있었고, 다행히 허가되지 않은 앱을 설치하는 건 탈옥한 사람들에게만 가능한 일이었으므로 피해는 다소 제한적이었다.
에어드랍(AirDrop) 취약점 : 9월 중순에 발견된 취약점으로 맥과 iOS 모두에 해당됐다. 새로 나온 iOS 9에는 패치가 되었다. 이를 악용하면 공격자들이 iOS와 맥 기기를 블루투스를 통해 공격하는 게 가능해졌다. 에어드랍의 파일공유 기능을 악용하는 게 주요 포인트였다.
엑스코드고스트(XCodeGhost) : 지난 9월 후반에 발견된 취약점으로 탈옥되지 않은 iOS 기기들을 공격하는 게 가능하다는 사실이 대대적으로 알려지는 계기가 되었다. 엑스코드고스트는 애플의 앱 개발 소프트웨어인 엑스코드의 트로이목마 버전이라고 정리할 수 있다. 공격자들은 엑스코드를 오염시키고, 이를 중국의 클라우드 저장서비스인 바이두 윤판(Baidu Yunpan)에 업로드시켰다. 중국의 앱 개발자들은 아무것도 모른 채 다운로드를 받아 앱을 개발한 후 공식 앱 스토어에 올렸다. 처음엔 40개 앱에서 문제가 발견되었는데 이는 곧 4천으로 늘어났다.
이스펙터(YiSpecter) : 10월초 팔로알토의 연구원들이 애플의 비공개 API를 남용하고 있는 앱 100여개를 아이튠즈 앱 스토어에서 발견했다. 애플의 비공개 API라고 하면 오직 애플에서만 사용하고 있으며 다른 앱 개발자들에겐 철저하게 비밀로 부쳐지는 것이다. 이스펙터는 사용자가 허용하지 않은 앱을 다운로드 받아 공식 앱과 바꿔치기 하는 기능을 가졌다. 또한 일정한 광고를 강제로 노출시키기도 한다.
기타 악성 앱들 : 10월초, 애플은 갑자기 앱 스토어에서 몇 개의 앱을 삭제했다. 전부 광고를 차단하는 기능을 가진 앱이었으며, 또한 루트 인증서를 설치해 암호화된 트래픽을 포함한 모든 트래픽을 노출시키는 기능을 가진 것들이었다. 이를 수정하면 앱 스토어에 다시 올라가는 게 가능하다고 공표한 상태다.
2. 신뢰에 금이 가다 : 엑스코드고스트
위에 열거했다시피 여러 가지 일이 있었지만 그 중 가장 큰 파장을 일으킨 건 엑스코드고스트라고 팔로알토 네트웍스의 위협 첩보 책임자인 라이언 올슨(Ryan Olson)은 말한다. ‘탈옥을 해도 위험하다’는 게 기정사실화된 사건이기 때문이다. 게다가 공식 앱 스토어에까지도 감염된 앱이 올라왔으니 애플이 그렇게 자랑하던 강력한 보안에 비전문가들도 의문을 품게 되었다.
“게다가 개발자들이라고 해서 보안에 대해 굉장히 민감하거나 잘 알고 있지 않다는 사실 역시 드러났죠.” 보통 보안 수칙이라고 하는 것들은 일반 사용자들을 대상으로 하고 있지, 앱을 개발하는 사람들까지 고려하고 있지는 않다. 엑스코드 이후로 보안 수칙을 정할 때 고려해야 할 대상이 늘어났다고도 할 수 있다.
중국의 위협 첩보 기업인 쓰레트북(ThreatBook)은 이 엑스코드고스트에 관해 보다 심도있는 연구를 진행했다. 일단 사건을 복기해보자면 9월 19일, 문제의 멀웨어가 세간의 이목을 끈 지 이틀 후, 한 인물이 나타나 자신의 짓이라고 실토하면서 트위터에 사과문을 남겼다. 해당 트위터 계정은 @XcodeGhost-Author였다. 그 인물의 주장에 의하면 엑스코드고스트는 단지 엑스코드의 기능 일부를 실험해보기 위해 만들어진 것이다. 수집한 것은 기기 관련 데이터이며 실험이 끝나고서는 그나마도 삭제했다고 밝혔다. 또한 엑스코드고스트에 있는 광고 전달 기능은 단 한 번도 악용한 적이 없으며 지금은 오프라인 상태로 해제시켜두었다고 했다. 그런데 22일, 해당 포스트는 삭제되었으며 오히려 문제의 엑스코드를 Unit3D라는 포럼에서 다운로드 받을 수 있다는 안내문구가 떴다.
“당연히 원 사과문이 진짜였다고 보기 힘든 상황이라고 해석됩니다.” 쓰레트북의 전문가인 홍 지아(Hong Jia)의 설명이다. “엑스코드고스트를 또 다시 퍼트릴 생각이었다면 애초에 사과문을 길게 작성할 필요도 없었겠죠. 아마 자기들 예상보다 빠르게 엑스코드고스트의 정체가 드러나자 당황해서 일단 ‘괜찮다’는 말로 사람들을 안심시켜서 경계심을 낮추려고 했던 것 같습니다.”
이렇게 의심하는 데에는 또 다른 이유가 있다. 엑스코드고스트의 활동 기간이 무려 7개월이 넘는다는 사실이다. 단순히 실험이라고 하기에 이는 지나친 정성이다. “처음 엑스코드고스트 팀이 icloud-analysis.com이라는 도메인을 등록한 건 2월 25일입니다. 이 시점엔 이미 실험을 할 준비가 다 된 상태였죠. 그리고 8월과 9월 사이에만 20개의 새 도메인을 등록합니다. 그 중 적어도 세 개는 C&C 서버인데, 바로 icloud-analysis.com, icloud-diagnostics.com, crash-analytics.com이 바로 그것입니다. 등록자는 전부 알 수가 없는 상태입니다. 이렇게까지 공을 들였다는 것은, 그만큼 다른 목적이 존재한다고 볼 수 있는 근거가 됩니다.”
사과문에 따르면 엑스코드고스트로 하던 일은 다름 아니라 기기들의 정보를 모으는 것이었다. 하지만 멀웨어를 분석한 결과 가짜 경고 메시지를 푸시해 사용자에 대한 소셜 엔지니어링 공격도 할 수 있는 것으로 드러났다. 즉 로그인 정보나 인증 정보를 가로채는 공격에도 활용될 가능성이 높아보였다는 것. “사용자의 클립보드에 있는 내용도 읽을 수 있었습니다. 즉 사용자가 암호를 복사해서 사용했을 경우, 그걸 간단하게 알아낼 수 있었다는 거죠.”
또 하나 의심이 되는 건 엑스코드고스트의 강력한 스텔스 기능이다. “우회 기능 및 숨는 기능이 굉장히 강력합니다. 그렇게 가벼운 실험만이 목적이었다면 절대로 불필요한 정도였어요. 아마 계속해서 어딘가에 숨어서 더 무서운 일들을 감행할 의도였을 겁니다. 생각보다 빨리 꼬리가 잡힌 것이죠.”
쓰레트북은 여기에서 더 나아가 엑스코드고스트 팀이 3~5명으로 구성되었을 거라고 예측한다. 멀웨어의 제작, 배포, 홍보까지 다양한 활동들이 이루어지고 있기 때문이다. 그리고 그 중 한 명은 산둥에 있는 한 대학생을 거라고 추측한다. C&C 서버의 IP 히스토리를 추적, 분석했을 때 해당 지역의 IP가 나왔기 때문이다.
엑스코드고스트가 성공한 것은 중국 내 iOS 앱 개발자들이 대부분 엑스코드를 사용하고 있으며, 또한 제3자 서비스, 즉 공식 앱 스토어가 아닌 경로로 받은 것이 주 원인이라고 분석된다. “그렇다고 해서 이번 사건으로 인해 엑스코드의 인기가 뚝 떨어질 것 같지도 않습니다. 또한 제3자 서비스를 활용하면 다운로드 속도도 훨씬 빠르기 때문에 바이두 같은 서비스가 망할 것 같지도 않고요.”
3. 신뢰에 금이 가다 : 게이트키퍼 취약점
또 하나 맥과 iOS 환경이 신뢰를 주었던 이유는 모든 코드가 인증의 과정을 거쳤기 때문이다. 즉 탈옥을 하지 않고서는 비공식 앱을 사용하는 건 원천 차단되어 있던 것. 뿐만 아니라 허가되지 않은 코드의 실행 자체가 아예 불가능한 환경이었던 것이다. 이를 가능하게 해주는 게 바로 애플 게이트키퍼(Apple Gatekeeper)였다.
“게이트키퍼의 할 일은 딱 하나였는데, 그나마도 제대로 하고 있지 않더군요”라는 워들의 설명 그대로다. 워들은 올 여름 블랙햇에서 게이트키퍼 농락하는 법을 들고 나와 보안 전문가들 앞에서 시연한 바 있다. 그리고 이번 달 프라하에서 열린 바이러스 불레틴(Virus Bulletin)이라는 컨퍼런스에서 워들은 아직도 이 문제가 해결되지 않았음을 또 공개했다. 이는 9월 30일 새로운 OS X가 이미 발표되었던 시점이라 충격이 더했다. 일을 안 하고 있는 건 게이트키퍼가 아니라 아예 애플 그 자체였던 것.
워들은 또한 바이러스 불레틴에서 지난 여름엔 몰랐던 새로운 게이트키퍼 우회 방법을 공개했다. 바로 악성코드를 게이트키퍼가 인증한 인스톨러 패키지에 넣어서 통과시키는 것으로, 이는 게이트키퍼가 포장지만 확인하지 내용물은 검사하지 않는 취약점을 노린 것이다. 이는 상당히 기본적이고 초보스러운 공격까지도 허용하는 취약점이라고 한다. “즉 고치는 데에도 별다른 어려움이 없는 것인데, 아직도 패치가 나오지 않는 게 이해가 가지 않는군요.”
4. 갈수록 늘어나는 맥용 멀웨어
최근 보안업체인 비트9+카본블랙 위협연구팀(Bit9 + Carbon Black Threat Research)이 흥미로운 연구결과를 발표했다. 2015년 한 해에 나타난 OS X 멀웨어가 지난 5년간 등장한 멀웨어를 전부 합한 것보다 5배 많다는 것이었다.
이들은 지난 10주간 1400개가 넘는 샘플들을 분석했다. 샘플이라 함은 오픈소스, 사건 대응 관련 자료, 다른 업체나 기관들의 연구 자료, 블랙리스트, 무료 멀웨어 덤프 등을 말한다. 1400개 중 겹치는 건 단 하나도 없도록 연구를 구성했다. 해당 연구를 진행한 마이크 스콘조(Mike Sconzo)는 “기하급수적이라는 표현이 아깝지 않을 정도의 성장률이다”라며 “아마 더 빨라지면 빨라졌지 줄어들진 않을 것으로 보인다”고 예측했다.
스콘조는 “멀웨어의 대부분은 애드웨어였으며 급격한 양적 성장에도 불구하고 기능 자체가 세련되거나 최첨단인 것은 별로 없었다”고 ‘기하급수적인’ 멀웨어 성장의 또 다른 측면을 짚었다. “아마 앞으로도 이렇게 ‘기본적이고 무난한’ 멀웨어들이 등장할 것으로 봅니다.”
OS X가 FreeBSD 기반의 운영체제이기 때문에 유닉스나 리눅스에 대한 공격도 같이 늘어나는 게 자연스러운 현상일 거 같으나 실제로는 그렇지 않았다는 것도 의외였다고 스콘조는 말한다. “OS X 멀웨어들의 비교적 ‘기초적인 수준’이나, 유닉스/리눅스로 거슬러올라간 공격도 크게 늘지 않았다는 걸 봤을 때, 윈도우 멀웨어 제작자들에 비해 OS X 멀웨어 제작자들은 경력이 짧거나 비교적 신참들이 많은 것으로 보입니다.”
5. 시장이 작다고 안전하다고 할 수 없어
사실 OS시장의 90%를 차지하는 게 있다면 해커들은 그 OS를 노릴 수밖에 없다. 그것이 효율적이기 때문이다. 그것이 애플이 안전한 상태로 버텨올 수 있는 이유 중 하나였다. 윈도우의 보급률에 비해 맥 OS X의 보급률은 현저하게 떨어졌기 때문이다. 그렇기 때문에 위에서도 언급되었지만 윈도우 멀웨어가 훨씬 더 발전되어 있는 것이다.
그러나 iOS라는 것이 등장하면서 낮은 시장 점유율이라는 보호막이 걷히게 되었다. 맥의 OS X는 여전히 7.72%라는 낮은 시장율을 점하고 있지만 이는 PC에서의 이야기일 뿐 모바일로 가면 이야기가 사뭇 달라진다. iOS의 시장점유율은 38.6%에 달한다는 것. 실상은 이보다 더 높을 지도 모른다는 것이 전문가들의 의견이다. 굿 테크놀로지(Good Technology)에서 발표한 ‘2사분기 모바일 분석 보고서’에 따르면 전 세계 시장에서 iOS가 갖는 지분은 64%라고 한다.
모바일 시장 자체가 PC 시장을 능가할 정도로 커가고 있다는 걸 생각해보면 이런 조사 결과가 시사하는 바는 숫자로 표기되는 것 이상이라고 볼 수 있다. “결국 참새가 방앗간에 몰리듯, 데이터 있는 곳에 해커들이 몰리기 마련입니다. PC에서 모바일로 점점 더 많은 데이터가 흘러가고 있는데, 앞으로 해커들의 모바일 공격이 더 빈번해질 것으로 보입니다.”
이렇게 되면 여태까지 애플이 ‘안전하다’고 여길 수 있었던 느낌을 윈도우 사용자들이 받을 정도로 상황이 역전될 가능성도 높다. “윈도우폰의 인기를 생각해보면 충분히 가능한 얘기입니다.” 스콘조의 설명이다. “그렇다면 이제 애플 측에서 그동안 윈도우 환경이 사이버 공격에 대해 어떤 식으로 대처해왔는지를 배워둬야 할 필요가 있습니다.”
6. 맥 보안툴, 아직도 미성숙해
시장이 작아 안전했다는 건 다시 말해 애플로서 보안 툴에 대해 고민할 필요가 없었다는 뜻이고, 실제 애플의 보안툴은 윈도우의 그것에 비해 상당히 저급하다. 특히 엔드포인트 보안에 대해서는 속수무책의 수준이다. 하지만 이제 상황이 바뀌었으므로 이 점 역시 바뀌어야 한다.
다만 아직까지 애플 생태계에서 나타난 멀웨어들의 수준이 그렇게 높지 않다는 것인데, 이는 오히려 위에 언급한 이유로 저주일 수도 있다. “계속해서 낮은 수준의 공격에만 대처하다보면 현재의 저급한 기술에 만족할 수 있거든요. 그러다 갑자기 높은 수준의 공격이 들어오면 당할 수밖에 없는 것이죠. 결국 방어의 수준은 공격의 수준만큼 올라가게 되어 있습니다. 그 반대도 마찬가지고요.”
결국 애플이 고집하고 있는 보안의 방법이란 사용자들의 사용 방법을 제한하는 것이다. 결국 탈옥하지 말라는 거였는데, 이는 ‘애플 말만 들으면 안전할 수 있어’라는 소비자들의 신뢰가 있어야만 성립이 가능한 방법이다. 일반적인 가정 환경에서 평범하게 애플 기기를 소비하는 사람들이라면 이것으로도 충분하고, 또한 필요한 신뢰를 애플에게 제공하는 것이 그리 어렵지 않을 것이다. 다만 기업에서 사무용으로 애플의 생태계를 활용하고 있다면 이 신뢰는 절대적으로 필요한 요소가 된다. “하지만 현실은 어떤가요? 애플의 보안은 점점 신용을 잃고 있죠.”
그나마 다행이라면 애플이 생각보다 보안을 심각하게 다루고 있다는 점이다. 패치를 내놓거나 고객의 프라이버시를 보호하는 일에 점점 더 빨라지고 있기 때문이다. “문제를 해결하는 데에 보다 적극적이 되었어요. 중간중간 사람들의 의문을 해결해주는 과정도 빨라지고 정확해지고 있고요. 아마도 보안 팀을 굉장히 똑똑한 사람들로 새롭게 구성한 것이 아닐까 합니다.”
7. 그래도 안드로이드보다는 나아
올슨은 역설적으로 “이렇게 애플 관련 사고 소식이 아직도 신선하고 충격적으로 다가오는 것 자체가 이미 애플이 기타 다른 OS 보다 낫다는 걸 반증”한다고 주장한다. “물론 애플 사용자들이 가지고 있던 안도감을 한 꺼풀 벗겨내긴 했습니다. 하지만 반대로 생각해보면 막연해서 잘못되었던 고정관념이 깨져가는 바람직한 현상이라고도 해석이 가능합니다.”
또한 사고가 빈번히 발생하고는 있지만 안드로이드에 비하면 새 발의 피 수준이라는 것도 올슨의 주장이다. 즉, 안드로이드가 가지고 있는 위험성이 압도적으로 크다는 것. “탈옥만 생각해봐도 알 수 있죠. 애플 탈옥은 얼마나 복잡합니까. 안드로이드 탈옥은 스위치 하나로 해결되는데 말이죠. 사실 안드로이드 해킹이 더 자주 일어나는 건 단순히 사용자가 많아서인 것만은 아닙니다. 공격하기 쉽기 때문이기도 하죠.”
지아의 의견도 같다. “저도 안드로이드에 비하면 애플이 낫다고 봅니다. 다만 이제 애플을 안전하게 만들어주었던 폐쇄적인 시스템이 점점 열리고 있으니 자칫 방심하다보면 어느 새 하향평준화 되어 있을 것도 같습니다.”
워들의 경우 “iOS는 점점 튼튼해지고 있습니다만 맥의 OS X는 그렇지 않은 듯 하다”고 말한다. 그럼에도 아직 윈도우에 비해 맥은 대단히 위험하다고 할 만한 수준은 아니다. “윈도우가 계속해서 득세할 것이 예상되는 이 때에, 맥이 실질적으로 위험에 처할 날이 오긴 할런지...”
애플도 모바일 시장에서의 급부상으로 이제부터는 전혀 새로운 것을 고민해야 한다. “이미 애플도 이 사실을 알고 있습니다. 준비 중에 있기도 하고요. 애플이 보안에 대해 본격적으로 나설 경우, 또 시장에 어떤 변화가 올지 궁금해집니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
