안전한 애플 기기 사용 가능케 해주는 DEP에서 잠재적 취약점 나타나
DEP 과정 전에 사용자 인증 철저하게 하면 어느 정도 완화 가능
[보안뉴스 문가용 기자] 보안 업체 듀오 시큐리티(Duo Security)의 전문가들이 애플의 장비 등록 프로그램(Device Enrollment Program, DEP)에서 취약점을 발견했다. 대단히 심각한 성격의 취약점은 아니지만, 상당히 위험한 결과를 초래할 가능성이 있는 것도 사실이라고 한다. 이 오류는 지난 5월에 애플에 보고됐지만 수정이 되었는지는 아직 확인이 안 되고 있다.
[이미지 = iclickart]
애플의 장비 등록 프로그램인 DEP는 애플의 모바일 장비 관리(MDM) 서버에 애플의 기기를 자동으로 등록시키는 프로그램이다. MDM 서버는 사용자들의 장비들을 관리하고 설정하는 데에 사용된다. DEP는 등록 과정을 편리하고 빠르게 만들어주는데, 애플 장비를 업무 현장에서 한꺼번에 다량으로 등록해야 하는 기업의 입장에서는 굉장히 유용한 것이었다. 이 때문에 애플의 장비를 구입한 바로 그날부터 안전하게 업무에 활용할 수 있었다고 듀오 측은 설명한다.
듀오 시큐리티의 연구원들은 이러한 편리한 기능에서 문제를 발견했다. 특히 비밀 DEP API가 문제였다. 이는 따로 문서화가 되지 않은 기능으로, 애플 장비들이 DEP 프로파일을 요청하는 데 사용하는 것이다. 이 DEP 프로파일에는 장비를 소유한 조직들에 대한 여러 가지 정보가 포함되어 있다. 이메일 주소, 전화번호, 우편 주소, MDM 등록 번호 등이 여기에 포함된다. 그리고 인증에 필요한 것은 시리얼 번호뿐이다. 여기에는 시리얼 번호를 보낼 수 있는 사람은 장비를 소유한 사람일 수밖에 없다는 전제 조건이 깔려있다.
그런데 듀오 시큐리티는 “이 부분이 문제가 될 수 있다”고 주장한다. “DEP에 등록된 올바른 시리얼 번호를 가지고 있는 공격자라면 가짜 장비를 MDM 서버에 등록시킬 수 있게 됩니다. DEP API를 사용해 등록된 장비로부터 여러 가지 정보를 취득하는 것도 가능하고요.”
그렇다면 인증 번호를 공격자가 가져가는 게 얼마나 현실적인 위협이 되는지가 중요하다. 듀오 시큐리티에 따르면 시리얼 번호는 예측이 가능하고, 이미 잘 알려진 시퀀스에 의해 만들어진다고 한다. 절대 비밀로서 보호받으려는 목적으로 만들어진 게 아니기 때문이다. “시리얼 보호의 생명력은 ‘고유함’에 있지 ‘비밀성’에 있지 않습니다. 그러므로 공격자들이 생각보다 손쉽게 이 번호를 가져갈 수 있습니다.”
그러나 듀오 시큐리티는 “그렇다고 이게 너무나 심각해서 사용자들이 당장 DEP 사용을 중단해야 할 정도는 아니”라고 말한다. “게다가 애플의 MDM 서비스를 통해 장비를 관리받는 것이 주는 이득이 분명히 있기도 하고요. 또한 이 취약점으로 인해 정보가 곧장 유출되는 것도 아닙니다. 다만 잠재적인 위험을 포함하고 있다는 건 분명합니다. 특히 MDM 서버를 어떤 식으로 설정하고 있는지가 중요합니다.”
예를 들어, 만약 MDM에서 제공되는 설정 데이터에 기술 지원 관련 전화번호가 있다면, 공격자가 이 번호를 전화를 걸어 자신이 가지고 있는 시리얼 번호로 인증을 한 뒤, 소셜 엔지니어링 공격을 통해 보다 많은 정보를 캐거나, 공격에 더 유리한 고지를 선점할 수 있게 된다고 듀오 시큐리티는 설명한다. “더 심각한 건, MDM이 와이파이 설정 정보도 전송하도록 되어 있다는 거죠. 와이파이 비밀번호, 심지어 VPN 비밀번호도 여기에 포함됩니다.”
다행히 위험을 완화할 방법이 존재한다. 듀오 측에 따르면 “이를 조직 차원에서 활용하려면 MDM에 등록하기 이전에 사용자 인증 과정을 좀 더 탄탄하게 만들 필요가 있다”고 한다. “인증을 확실히 거친 사용자만 등록 과정을 진행할 수 있도록 하는 것이죠. 만약 이것이 불가능하다면 MDM에 앱을 하나 설치해 사용자 인증을 강제한 후에 필요한 정보를 교환하도록 할 수 있습니다. 이렇게 한다면 등록 과정에 개입하려는 공격자의 개입을 최소화할 수 있을 것입니다.”
하지만 많은 경우 사용자 인증을 MDM 등록 과정에 집어넣지 않는다. 그러면서 와이파이 비밀번호나 VPN 세부 정보가 MDM을 통해 교환되도록 하고 있다. “사용자들의 실제 사용 상태는 그리 안전하지 않고, 앞으로도 이에 큰 변화가 있을 것 같지는 않습니다. 하지만 애플이 앞으로 만들어낼 장비들의 경우 이러한 문제가 조금은 줄어들 수도 있습니다. 왜냐하면 T1이나 T2 암호화 칩이 들어가 있기 때문입니다. 그럼으로써 각 기기의 신원 확인이 더 까다로워지고 안전해지는 것이죠.”
애플 생태계의 DEP와 MDM에서 문제가 발생한 건 이번이 처음이 아니다. 맥OS 관리를 전문으로 하는 기업 플리트스미스(Fleetsmith)의 CEO인 제스 엔달(Jesse Endahl)과 드롭박스(Dropbox)의 엔지니어인 맥스 벨란저(Max Belanger)는 올해 열린 블랙햇에서 MDM 등록 과정 중에 개입하는 중간자 공격의 가능성을 시연하기도 했다.
3줄 요약
1. 애플 기기를 MDM 서버에 간편하게 등록시켜주는 DEP.
2. 그런데 이 DEP에 사용되는 기기 인증 장치란, 시리얼 번호가 전부임. 시리얼 번호는 처음부터 ‘비밀성’이 아니라 ‘고유성’을 목적으로 만들어진 번호라 취득이 어렵지 않음.
3. 공격자가 시리얼 번호를 얻어내는 데 성공하면 DEP 과정에 개입해 공격을 실시할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
DEP 과정 전에 사용자 인증 철저하게 하면 어느 정도 완화 가능
[보안뉴스 문가용 기자] 보안 업체 듀오 시큐리티(Duo Security)의 전문가들이 애플의 장비 등록 프로그램(Device Enrollment Program, DEP)에서 취약점을 발견했다. 대단히 심각한 성격의 취약점은 아니지만, 상당히 위험한 결과를 초래할 가능성이 있는 것도 사실이라고 한다. 이 오류는 지난 5월에 애플에 보고됐지만 수정이 되었는지는 아직 확인이 안 되고 있다.
[이미지 = iclickart]
애플의 장비 등록 프로그램인 DEP는 애플의 모바일 장비 관리(MDM) 서버에 애플의 기기를 자동으로 등록시키는 프로그램이다. MDM 서버는 사용자들의 장비들을 관리하고 설정하는 데에 사용된다. DEP는 등록 과정을 편리하고 빠르게 만들어주는데, 애플 장비를 업무 현장에서 한꺼번에 다량으로 등록해야 하는 기업의 입장에서는 굉장히 유용한 것이었다. 이 때문에 애플의 장비를 구입한 바로 그날부터 안전하게 업무에 활용할 수 있었다고 듀오 측은 설명한다.
듀오 시큐리티의 연구원들은 이러한 편리한 기능에서 문제를 발견했다. 특히 비밀 DEP API가 문제였다. 이는 따로 문서화가 되지 않은 기능으로, 애플 장비들이 DEP 프로파일을 요청하는 데 사용하는 것이다. 이 DEP 프로파일에는 장비를 소유한 조직들에 대한 여러 가지 정보가 포함되어 있다. 이메일 주소, 전화번호, 우편 주소, MDM 등록 번호 등이 여기에 포함된다. 그리고 인증에 필요한 것은 시리얼 번호뿐이다. 여기에는 시리얼 번호를 보낼 수 있는 사람은 장비를 소유한 사람일 수밖에 없다는 전제 조건이 깔려있다.
그런데 듀오 시큐리티는 “이 부분이 문제가 될 수 있다”고 주장한다. “DEP에 등록된 올바른 시리얼 번호를 가지고 있는 공격자라면 가짜 장비를 MDM 서버에 등록시킬 수 있게 됩니다. DEP API를 사용해 등록된 장비로부터 여러 가지 정보를 취득하는 것도 가능하고요.”
그렇다면 인증 번호를 공격자가 가져가는 게 얼마나 현실적인 위협이 되는지가 중요하다. 듀오 시큐리티에 따르면 시리얼 번호는 예측이 가능하고, 이미 잘 알려진 시퀀스에 의해 만들어진다고 한다. 절대 비밀로서 보호받으려는 목적으로 만들어진 게 아니기 때문이다. “시리얼 보호의 생명력은 ‘고유함’에 있지 ‘비밀성’에 있지 않습니다. 그러므로 공격자들이 생각보다 손쉽게 이 번호를 가져갈 수 있습니다.”
그러나 듀오 시큐리티는 “그렇다고 이게 너무나 심각해서 사용자들이 당장 DEP 사용을 중단해야 할 정도는 아니”라고 말한다. “게다가 애플의 MDM 서비스를 통해 장비를 관리받는 것이 주는 이득이 분명히 있기도 하고요. 또한 이 취약점으로 인해 정보가 곧장 유출되는 것도 아닙니다. 다만 잠재적인 위험을 포함하고 있다는 건 분명합니다. 특히 MDM 서버를 어떤 식으로 설정하고 있는지가 중요합니다.”
예를 들어, 만약 MDM에서 제공되는 설정 데이터에 기술 지원 관련 전화번호가 있다면, 공격자가 이 번호를 전화를 걸어 자신이 가지고 있는 시리얼 번호로 인증을 한 뒤, 소셜 엔지니어링 공격을 통해 보다 많은 정보를 캐거나, 공격에 더 유리한 고지를 선점할 수 있게 된다고 듀오 시큐리티는 설명한다. “더 심각한 건, MDM이 와이파이 설정 정보도 전송하도록 되어 있다는 거죠. 와이파이 비밀번호, 심지어 VPN 비밀번호도 여기에 포함됩니다.”
다행히 위험을 완화할 방법이 존재한다. 듀오 측에 따르면 “이를 조직 차원에서 활용하려면 MDM에 등록하기 이전에 사용자 인증 과정을 좀 더 탄탄하게 만들 필요가 있다”고 한다. “인증을 확실히 거친 사용자만 등록 과정을 진행할 수 있도록 하는 것이죠. 만약 이것이 불가능하다면 MDM에 앱을 하나 설치해 사용자 인증을 강제한 후에 필요한 정보를 교환하도록 할 수 있습니다. 이렇게 한다면 등록 과정에 개입하려는 공격자의 개입을 최소화할 수 있을 것입니다.”
하지만 많은 경우 사용자 인증을 MDM 등록 과정에 집어넣지 않는다. 그러면서 와이파이 비밀번호나 VPN 세부 정보가 MDM을 통해 교환되도록 하고 있다. “사용자들의 실제 사용 상태는 그리 안전하지 않고, 앞으로도 이에 큰 변화가 있을 것 같지는 않습니다. 하지만 애플이 앞으로 만들어낼 장비들의 경우 이러한 문제가 조금은 줄어들 수도 있습니다. 왜냐하면 T1이나 T2 암호화 칩이 들어가 있기 때문입니다. 그럼으로써 각 기기의 신원 확인이 더 까다로워지고 안전해지는 것이죠.”
애플 생태계의 DEP와 MDM에서 문제가 발생한 건 이번이 처음이 아니다. 맥OS 관리를 전문으로 하는 기업 플리트스미스(Fleetsmith)의 CEO인 제스 엔달(Jesse Endahl)과 드롭박스(Dropbox)의 엔지니어인 맥스 벨란저(Max Belanger)는 올해 열린 블랙햇에서 MDM 등록 과정 중에 개입하는 중간자 공격의 가능성을 시연하기도 했다.
3줄 요약
1. 애플 기기를 MDM 서버에 간편하게 등록시켜주는 DEP.
2. 그런데 이 DEP에 사용되는 기기 인증 장치란, 시리얼 번호가 전부임. 시리얼 번호는 처음부터 ‘비밀성’이 아니라 ‘고유성’을 목적으로 만들어진 번호라 취득이 어렵지 않음.
3. 공격자가 시리얼 번호를 얻어내는 데 성공하면 DEP 과정에 개입해 공격을 실시할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
