“당장은 해커와의 싸움보다 보안 자신과의 싸움에서 지는 상태”
[보안뉴스 문가용] 애플의 OS X El Capitan 데스크탑 OS 내에서 특정 파일과 폴더를 수정하지 못하기 위한 보안 기능이 우회 가능할 뿐 아니라 발견된 멀웨어를 제거하는 작업을 더 힘들게 한다는 사실이 발견되었다. 센티넬원(SentinelOne)의 보안 전문가인 페드로 빌라차(Pedro Vilaca)가 시스캔360(SysCan360) 컨퍼런스를 통해 밝힌 내용이다.
이는 제로데이 취약점으로 OS X 모든 버전에 존재한다고 페드로 빌라차는 설명한다. 하지만 가장 최근의 업데이트(OS X 10.11.4)를 통해 해결이 가능하다. 그 외 다른 버전의 OS X를 위한 패치들도 곧 발표될 예정이라고 한다.
해당 오류는 비메모리커럽션 버그(non-memory corruption)의 일종으로 공격자가 권한을 상승시켜 임의의 코드를 실행할 수 있게 해주는 것이라고 한다. 하지만 무엇보다 이 공격을 통해 공격자가 System Integrity Protection(이하 SIP)을 완벽하게 우회할 수 있다는 게 치명적이라고 센티넬원은 전달한다. 이는 애플이 El Capitan과 함께 작년에 처음 도입시킨 기능이다.
SIP은 루트 권한을 가지고 있는 사용자라도 특정 파일이나 폴더를 편집할 수 없도록 하는 기능으로 사용자가 고의적으로든 실수로든 시스템을 취약하게 만드는 일을 하지 못하게 막는 데에 의의가 있다. 하지만 이번에 발견된 취약점 때문에 완벽하게 무시할 수(우회할 수) 있는 기능이 되었다.
이 취약점을 익스플로잇하면 공격자가 인증되지 않은 커널 코드를 시스템으로 옮겨갈 수 있게 되고, 이로써 커널을 보호하는 SIP를 비활성화시키는 게 가능하다. 즉 SIP을 마비시키는 건데, 이로써 SIP 때문에 할 수 없었던 많은 악성 행위들이 가능해진다. “이 취약점은 표적형 공격이나 정부 단위의 사이버전에서 악용될 소지가 매우 크다고 봅니다.”
다만 해당 취약점을 익스플로잇 하는 게 생각만큼 쉬운 건 아니라고 페드로는 전달한다. “먼저 공격하고자 하는 OS X 시스템부터 뚫어놔야 합니다. 이번에 발견된 오류는 원격에서 직접 조정하는 게 불가능하기 때문에 스피어피싱 등을 통해 시스템을 먼저 장악해야 하는 것이죠. 이 단계가 먼저 성립되지 않으면 익스플로잇을 하는 의미가 없어집니다.”
래피드7(Rapid)의 수석 보안 컨설턴트인 기욤 로스(Guillaume Ross)는 해당 취약점에 대한 소식을 전해 듣고 “해커 공격도 공격이지만 다량의 OS X 시스템을 갖춘 환경의 관리자들에게 큰 문제가 될 수도 있다”고 말했다. “학교나 학원 시설들에서 여러 컴퓨터를 OS X로 공유해놓은 경우가 많죠. 그런 곳에서 이번에 발견된 취약점이 알려지기 시작하면 머리 엄청 아플 겁니다. 학생들의 경우 합법적으로 OS X에 접근이 가능하니까 해당 공격의 전제조건인 ‘미리 OS X를 감염시켜야 한다’는 걸 이미 성립시킨 상태니까요. 장난이라도 칠 요량으로 시스템에 정식으로 로그인 한 후 취약점을 통해 권한을 상승시킨다면 무슨 짓이라도 할 수 있게 되는 겁니다. 그 시나리오가 더 걱정됩니다.”
업계는 FBI가 이번 주 “애플의 도움 없이도 테러범의 휴대폰을 조사할 방법을 찾은 것 같다”는 발언을 한 것에 이어 또 다른 제로데이가 발견되었다는 것에서 ‘최고 중 하나라는 애플의 기술에도 오류가 발견되고 있다’는 사실을 지적한다. “최근 맥을 겨냥한 키레인저(KeRanger) 랜섬웨어가 발견되기도 했고, 오션로터스(OceanLotus)라는 오류가 드러나기도 했습니다. 작년 해킹팀(Hacking Team) 해킹 사건으로 세상이 알지 못했던 OS X의 제로데이가 공개되기도 했고요. 애플이 현대의 보안 기술력을 전부 대변한다고 말 할 수는 없지만, 그래도 상징하는 바가 작지 않죠. 보안 업계는 조금 더 되돌아봐야 할 필요가 있어 보입니다. 지금은 해커에게 지는 게 문제가 아니라 우리 자신에게 지고 있는 상황이라고 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>