맥OS를 보호하기 위한 장치가, 오히려 공격자들이 원하는 특별 권한을 배포해주는 통로가 될 수 있다는 경고가 나왔다. 다행히 문제 자체는 해결된 상황인데, 고도화된 공격을 막을 만한 근본적인 대책이 필요해 보인다.

3줄 요약
1. 맥OS의 보안 도구인 SIP를 우회하는 공격이 MS 손에서 개발됨.
2. SIP를 우회하면 공격자가 특별한 권한을 가져갈 수 있게 됨.
3. SIP 보호를 위한 전용 도구는 없고, 통합적이고 능동적인 보안 전략이 필요.

[보안뉴스 문가용 기자] 마이크로소프트와 애플이 맥OS에서 발견된 중요한 취약점을 해결하기 위해 손을 잡았다. 문제가 된 것은 애플 맥OS의 보안 장치 중 하나인 ‘시스템무결성보호(System Integrity Protection, SIP)’였다. 취약점을 익스플로잇 하는 데 성공할 경우 공격자는 이 SIP를 무력화시키고 서드파티 커널 플러그인(혹은 확장 프로그램)을 로딩할 수 있었다고 한다. 루트킷을 설치하거나, 지속적으로 멀웨어를 생성하거나, 보안 정책을 우회하거나, 그 외 추가 악성 공격을 가능케 하는 등 각종 악성 행위의 첫 관문이 열리는 것과 마찬가지라고 마이크로소프트는 경고했다.


[이미지 = gettyimagesbank]

SIP와 맥OS에서의 특별 권한
먼저 이 사태를 면밀히 이해하려면 SIP라는 보안 장치에서부터 이야기를 시작해야 한다. “SIP는 루트 사용자를 포함해 여러 요인으로부터 운영체제를 보호하기 위해 설계된 장치입니니다. 주로 다섯 가지 작업을 제한하는 방식으로 작동합니다. 임의 커널 드라이버가 로딩되지 않게 하고, NVRAM 변수 변경을 금지시키고, 애플이 서명한 프로세스의 작업 포트로의 접근을 차단하고, 커널 디버깅을 허용하지 않고, 운영체제를 구성하는 민감한 파일의 수정을 막습니다.”

그런데 SIP에는 재미있는 특성이 하나 존재한다. 위 다섯 가지 제한 사항 중 하나만 우회하면 나머지 네 가지를 우회할 수 있게 된다는 것이다. “SIP 정책은 NVRAM 변수에 의해 제어가 되므로, NVRAM 변수를 수정하면 SIP도 우회할 수 있게 됩니다. 커널 확장이나 디버깅을 통해 커널 코드를 실행시키면, 커널 레벨에서 SIP가 적용되기 때문에 또 SIP를 우회하게 됩니다. 파일 시스템 내 민감한 파일을 수정하면 SIP가 자연스럽게 무력화 되기도 합니다.”

SIP를 무력화시킨다거나 우회한다는 건 어떤 의미일까? 공격자가 쉽게 가질 수 없는 특별 권한을 갖게 된다는 뜻이다. 이 특별 권한이라는 건 맥OS 환경에서 entitlement라고 하는데 특정 프로세스들에만 부여되는 기능이며, 디지털 서명으로 정의된다. 그렇기 때문에 공격자가 확보하거나 위조하는 게 대단히 어렵다. SIP를 우회한다면 이런 ‘특별 권한’을 갖게 되는 것과 마찬가지 효과를 얻을 수 있다고 마이크로소프트는 설명한다.

특별 권한은 모니터링 대상
굳이 맥OS의 특별 권한이 아니더라도, ‘권한이 높은 것’이라면 더 철저한 모니터링의 대상이 되는 게 보안의 관점에서는 맞다. 권한이 높은 관리자 계정의 보호가 강조되는 것도 그 이유이고, 그 어떤 시스템이나 네트워크 상에서 높은 권한을 가진 보안 소프트웨어들을 꼼꼼히 모니터링 해야 한다는 소리가 나오는 것도 같은 맥락에서다. 무엇보다 CEO들이야말로 가장 첨예한 모니터링의 대상이 되어야 한다는 주장도 그런 차원에서 이해가 가능하다.

이런 특별 권한에 대한 모니터링의 중요성을 인지한 마이크로소프트는 커스텀 파일을 하나 활용해 맥OS를 점검했다. “storagekitd라는 데몬이 있습니다. com.apple.rootless.install.heritable이라는 특별 권한을 가진 프로세스이기도 합니다. 스토리지킷(Storage Kit)이라는 비공개 프레임워크를 사용하여 디스크 상태를 관리하는 기능을 가지고 있습니다. 하지만 특별 권한을 가진만큼 여러 SIP 우회 기능을 탑재하고 있기도 합니다.”

이 결과물을 바탕으로 마이크로소프트는 /Library/Filesystems 디렉토리 아래에 있는 바이너리를 새로 정의하고, 디스크유틸리티(Disk Utility) 앱을 사용해 실행 및 테스트를 진행했다고 한다. 그 결과 애플 커널 확장 프로그램에 포함된 항목을 새롭게 정의하고, SIP를 우회할 수 있다는 것을 알아냈다. “뿐만 아니라 디스크유틸리티앱과 비슷하게 스토리지킷 프레임워크를 사용하는 디스크유틸(diskutil)이라는 유틸리티를 활용해 이 과정을 자동화 하기도 했습니다. SIP 우회를 자동으로 할 수 있는 데에까지 공격을 성공시킨 것이죠.”

그래서?
문제는 맥OS의 커널 레벨 가시성 제한으로 인해 이러한 위협을 탐지하는 것이 쉽지 않다는 것이다. “SIP를 우회하여 특별 권한을 탈취하는 수준의 공격이라면 매우 고도화 되어 있다고 볼 수 있습니다. 하지만 기존 보안 솔루션들로는 이러한 공격을 미리 탐지하거나 차단하는 게 불가능에 가까울 정도로 어렵습니다. 그렇기 때문에 맥OS SIP를 보호하는 단일 솔루션을 찾는 것보다, 보다 통합적이고 심층적인 보안 접근법을 활용하는 게 낫습니다.”

여기서 말하는 심층적 보안 접근법은 다음과 같은 것들을 망라한다.
1) 문제가 되는 취약점(여기서는 CVE-2024-44243)과 유사한 다른 취약점들에 대해 알아보고, 그러한 취약점들을 미리 찾아 해결한다.
2) 특별 권한을 가지고 있는 프로세스들을 모니터링 한다.
3) SIP의 다섯 가지 작동 방식(임의 커널 드라이버가 로딩 제한, NVRAM 변수 변경 제한 등)이 제대로 유지되고 있는지 주기적으로 점검한다.

“결국 선제적 문제 식별 및 해결과 꾸준한 모니터링이 보안에 있어서는 가장 중요합니다. 어떤 취약점이든, 어떤 공격이든, 어떤 해킹 조직이든 마찬가지입니다. 이렇게 했을 때 모든 공격 가능성이 차단되는 건 아닙니다만, 실제 공격에 당하더라도 피해를 완화시킬 수 있습니다. 아무리 고도화된 공격이라 하더라도 이런 선제적 조치들을 통해 위력을 약화시키는 게 가능합니다.”

애플은 지난 12월 해당 취약점에 대한 패치를 진행했다.

SIP와 연계된 특별 권한들과, 그 특별 권한들과 연루된 취약점들에 어떤 것이 있는지, storagekitd의 하위 프로세스들은 어떻게 찾아냈는지, 자동화 공격을 성공시킬 수 있었던 요인이 무엇인지는 이번 주 16일에 발행되는 프리미엄 리포트를 통해 공개됩니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>